當地時間12月4日，美國聯邦通訊委員會（FCC）宣佈選定知名的測試、檢驗和認證服務商UL Solutions公司作為物聯網安全標籤計劃（Cybersecurity Labeling for Internet of Things）的首席管理員，來確定該標籤計劃的測試程式，並作為FCC和第三方安全標籤管理機構（CLA）的聯絡員。今年3月，FCC作為牽頭部門，透過公開會投票方式正式通過了物聯網安全標籤計劃，在該計劃下，符合相關條件的消費物聯網產品將被賦予網路安全標識標籤（Cyber Trust Mark），方便消費者根據產品安全資訊做出購買決策，同時安全可信產品在市場上具有差異化優勢，激勵物聯網產品製造商推出符合更高安全標準的產品。今年9月，FCC開始接受第三方安全標籤管理機構的申請，到目前確定UL Solutions作為首席管理員，這一計劃的實施進入了快車道。

關於美國物聯網安全標籤計劃，筆者曾在此前多篇文章中進行系統的介紹，本文就圍繞該計劃的管理和檢測認證體系，探索在實施後該計劃是如何運轉的。

在FCC公佈的美國物聯網安全標籤計劃框架中，著重強調了該計劃是一個自願性專案，企業可以根據自身需求自願參與，FCC也認為自願參與將使該標籤計劃比強制要求參與更容易實現，隨著該計劃的推進，物聯網安全標籤有助於區分市場上符合最低要求的產品，併為消費者提供選擇。

可以看出，FCC在建立這一計劃框架時，考慮到推動強制性參與會帶來一刀切的風險，因此參考了類似於“能源之星”的方案，先透過自願參與的形式，形成一定規模和消費者的認可，讓消費者自發決策是否選擇帶有安全標識的產品，實現消費者“用腳投票”，最終可能達到一個事實標準的結果。

FCC在計劃制定中充分認識到，自願性物聯網安全標籤計劃要想取得成功，就必須包括聯邦政府、行業和其他利益相關者之間的密切夥伴關係和合作，因此FCC引進了多個第三方私營機構組成管理架構。

早在去年7月，白宮已授權FCC作為物聯網安全標籤計劃的牽頭負責機構，負責該計劃的整體監督和管理。FCC委託旗下的公共安全和國土安全域性（PSHSB）推進監管，該機構接受第三方安全標籤管理機構（CLA）的申請，選擇多個CLA推進日常管理工作，並從中確定一個首席管理員，組成了美國物聯網安全標籤管理架構。

其中，安全標籤管理機構（CLA）多數為私營機構，將對企業物聯網產品安全標籤申請進行評估，確保廠商產品能夠訪問必需的安全資訊，並執行標籤上市後的持續監督工作，可以說CLA主要承擔著標籤計劃認證的具體工作，因此其角色非常關鍵。

而首席管理員除了要承擔CLA的角色外，還充當各個CLA之間聯絡和協調員角色。其職責包括：

在FCC的方案中建立起了2階段的物聯網安全標籤認證流程，第一步由授權實驗室進行產品安全符合性測試，第二步由CLA進行產品安全標籤認證。

在第一步產品安全符合性測試中，FCC要求測試實驗室必須按照特定標準和程式進行測試，FCC不認可供應商自身做出符合性宣告的形式，所有產品必須在授權的第三方實驗室測試。

在第二步認證中，使用安全標籤的製造商需要向CLA提交認證申請，其中包括一份詳細的、由授權實驗室進行的符合性測試的報告。CLA可以收取合理的費用，以支付稽核申請的成本以及CLA需執行的其他任務的成本。

CLA將詳細審查申請和支援檔案以確保其完整和合規，並出具批准或拒絕申請的結論。若拒絕申請需說明被拒的原因，申請人將有機會糾正CLA確定的缺陷並重新提交申請。針對有爭議的決議，有專門的複審流程。

公共安全和國土安全域性會發布公告，提供有關如何申請和使用物聯網安全標籤的更多詳細資訊，包括但不限於申請的資訊元素、備案要求和標籤使用資訊，如標籤的描述或照片以及如何以及貼上到產品什麼位置，也包括如何請求對提交的資訊進行保密處理等。

授權實驗室是認證過程中的關鍵機構，它們負責進行物聯網產品安全符合性測試並生成報告。FCC接受各種型別的實驗室作為物聯網安全標籤測試實驗室，包括已有的網路安全測試實驗室、CLA運營的實驗室等，FCC也認可已獲得ISO/IEC 17025標準認證的測試實驗室可進行符合性測試。公共安全和國土安全域性會發布授權實驗室的要求和標準，授權實驗室可以設在美國境外，但可能會有一些額外的標準和程式。首席管理員將對所有經過認證和認可的授權實驗室進行定期審計和審查。

FCC採用NIST推薦的物聯網標準作為物聯網安全標籤計劃的基礎，即NIST IR 8425標準《消費物聯網產品核心基線檔案》，該標準包括以下產品能力：資產識別、產品配置、資料保護、介面訪問控制、軟體更新、網路安全國家意識。

FCC將與利益相關者合作，確定涵蓋核心基線或提供同等要求的公認標準。FCC將指導首席管理員根據NISTIR 8425中包含的消費物聯網產品核心基線進行具體標準的制定，NIST標準是通用指南，但其必須進一步發展為產品規範和相應的測試程式，確保能夠進行一致性測試。首席管理員可以確定市場上已經存在的現有標準或方案，這些標準或方案可以隨時調整應用於標籤計劃中。例如，方案中提到，徵求意見階段多個組織提出歐洲和新加坡的物聯網安全標籤計劃遵循歐洲通訊標準化協會（ETSI）出臺的EN 303 645標準，未來，不排除ETIS相關標準與NIST融合為美歐通用標準。

UL Solutions作為一家第三方認證公司，對多種技術解決方案進行認證，物聯網安全認證也是其中一項重要的業務。UL Solutions此次被選為物聯網安全標籤計劃的首席管理員，背後有其對於物聯網測試認證長期的積累。例如，早在2020年，UL Solutions就推出了專為物聯網產品設計的安全驗證和標籤解決方案——物聯網安全評級服務，按照青銅、白銀、黃金、鉑金和鑽石五個等級進行產品分類，經過驗證的產品將獲得相應的UL物聯網安全評級驗證標籤（指明產品達到的安全級別），並由UL進行持續評估。

UL Solutions進入中國四十多年，在國內廣泛開展業務，目前在國內設有12個分支機構以及8個大型實驗室，以及眾多獲得UL認可的第三方合作實驗室和客戶實驗室。2016年在東莞松山湖建立的物聯網實驗室就是國內8個大型實驗室之一，其中最重要的一個任務就是對企業生產的智慧產品進行多個方面的測試，包括互通性、相容性、可用性、資料安全性、網路安全性、快速充電、電磁相容性等，已覆蓋智慧家居、車載資訊娛樂裝置、可穿戴裝置、機器人、VR等眾多領域。

作為美國物聯網安全標籤計劃的首席管理員，UL Solutions對於物聯網安全認證的經驗和程式或許會逐漸推薦至標籤計劃中，進一步擴大了物聯網安全認證的範圍。

目前，國內已開展物聯網安全標籤計劃的深入研究，加快推進中國版的物聯網安全標籤計劃，提升國內物聯網產品安全水平。當然，美國物聯網安全標籤計劃是透過總統行政令的形式推動的，明確了安全標籤計劃的標準、原則、責任機構和時間進度要求等。物聯網涉及眾多領域，中國版物聯網安全標籤計劃也需要頂層設計來籌劃，並設定明確的要求，形成分工協作的管理機制，建立與全球主要經濟體互通的標準體系和測試實驗室。除此之外，國內的物聯網企業，尤其是消費物聯網廠商面對海外市場，必須加強對物聯網安全標籤計劃的研究，與合格的測試認證機構合作，深入跟蹤標籤計劃實施的細則，提升產品出海的競爭力。