《消费级物联网安全基线》2.0正式发布
随着全球消费级物联网市场持续高速增长,小米拥有全球领先的物联网平台。在“手机XAIoT”核心战略下,截止21年11月(Q3财报数据)小米物联网平台联网设备数量超过4亿,有超过800万米粉拥有5件以上的IoT设备。
物联网设备与AI、大数据、5G、边缘计算等技术结合,开启了万物互联时代。在为用户带来更加便利和智能化生活体验的同时,也面临着巨大的物联网安全威胁和挑战。
为打造安全的物联网生态,世界各国网络安全监管机构仅在2019至2020两年间纷纷制定、颁布针对物联网安全相关的法规、标准或指南共十余部。国内也陆续发布了数十部物联网相关信息安全技术系列标准。面对物联网安全的治理,可以看到各国监管动向已逐渐从理论探讨进入到立法执法阶段。
小米作为物联网安全领域的践行者,2021年初首次对外发布了《消费级物联网安全基线》,向物联网企业提供了一份开放的安全要求实施指南。在这一年里,小米内部及合作厂商依据此安全基线对各品类物联网产品进行安全评估和安全检测工作。我们真切地感受到在基线的指引下,物联网产品安全能力大幅度的提升。
为帮助国内物联网企业更加清晰、快速地理解基线的要求,增强基线要求的可落地性,对齐基线与国内外物联网安全规范的标准。作为国内首部公开可查询的落地性指南文件,小米不断结合这一年中“要求”与“实践”之间的差异,识别基线落地过程中出现的问题,对基线内容进一步地打磨和剖析。今天正式对外发布《消费级物联网安全基线》2.0版本
2.0版本从落地实施角度出发:
1)细化了基线各项要求的分级说明,区分了不同安全等级产品适用的标准要求;
2)优化了基线各项要求及实践方案说明,不仅让产研人员更容易理解,也让所有关注和对物联网安全领域感兴趣的朋友更容易理解这份基线的内容;
3)增加了基线各项要求对硬件选型和用户体验影响附录,附录中标注了基线各项要求哪些依赖硬件能力,为项目早期硬件选型提供参考;梳理了平台已支持的安全方案,为接入平台的产品提供参考,减少再次开发成本;标注了基线中可能影响用户体验的条款,为产品经理评估影响及优化方案提供参考。
4)对齐了最新国内外物联网安全标准,通过内部建立国内外物联网安全相关法规、标准和指南知识库,分析调研并重点参考欧盟电信标准化协会发布的国际认可度最高、最通用的ETSI/EN 303645消费级物联网设备安全标准,把EN303645的各项条款与安全基线逐条映射,整合纳入基线。
小米基于《消费级物联网安全基线》与SDL开发流程的持续安全实践,为产品安全能力提供了坚实的保障,并荣获多项国际权威认证机构的认可。
7月30日,在BSI第四届万物互联•智慧高峰论坛现场,小米智能摄像机获得了BSI消费级物联网安全Kitemark风筝标志认证、米家APP获得了移动应用安全Kitemark风筝标志认证。米家物联网平台已经获得ISO/IEC 27001信息安全管理体系(ISMS)和ISO/IEC 27701隐私信息管理体系(PIMS)两项重量级认证。
其中,小米智能摄像机作为小米物联网设备安全基线落地实践的一个缩影,荣获BSI风筝标志认证代表着小米产品符合《消费级物联网信息安全欧洲标准ETSI/EN303645》和其他相关最佳安全实践,是小米为保护消费者信息安全与隐私保护的又一个里程碑,也证明了小米《消费级物联网安全基线》与国际物联网安全标准要求的高度统一。
小米在物联网安全领域的实践不止于此,11月4日,在2021年物联网安全基金会(IoTSF)中发布的物联网安全漏洞披露评估报告中,小米被列入21家达到了扩展标准测试要求的物联网设备供应商之一,即在安全漏洞披露方面获得了最高的评级,这一评级证明了小米在物联网安全领域的领先地位。
小米作为IoTSF(Internet of Things Security Foundation)与物联网安全联盟会员企业,连续三年参与IoTSF年度安全峰会并分享小米IoT安全合规经验;同时与信通院及30余家业界单位联合成立物联网安全联盟,参与制定《物联网设备基础安全安全基线指南》、《摄像机安全技术要求及测试方法标准》、《物联网网关安全能力技术要求及测试方法》等行业标准;并积极参与网安局摄像机专项整治活动及百企千款-摄像机测评项目,多款产品通过了物联网安全相关认证。作为安全和隐私的从业者,小米一直以来积极参与到行业物联网安全生态建设工作中。
小米全力推进手机
点击链接下载:《消费级物联网终端安全基线》