US Cyber Trust Mark

a new program designed to identify secure smart devices

US Cyber Trust Mark是一个由美国联邦通信委员会（FCC）提出的自愿性网络安全认证和标记计划，旨在为消费者物联网（IoT）产品提供网络安全标准，并帮助消费者更容易识别和选择不易受到攻击或安全漏洞的IoT设备。以下是制造商为了获得US Cyber Trust Mark认证需要满足的一些要求：

1. 产品范围：认证计划将适用于“物联网产品”，而不仅仅是“物联网设备”，包括所有必要的产品组件，如网关硬件、与设备通信的移动应用程序和云服务、数据处理和存储等。

2. NIST标准：虽然具体的标准尚未完全定义，但已知该计划将采用美国国家标准与技术研究院（NIST）的标准，这些标准侧重于产品为中心的网络安全结果，而不是发出具体要求或指令。这些结果包括资产识别、产品配置、数据保护、接口访问控制、软件更新、网络安全状态意识、文档编制、信息和查询接收、信息传播以及产品教育和意识。

3. 技术与非技术领域：NIST的IoT网络安全标准覆盖了技术和非技术领域，要求包括但不限于：

   • 资产识别：设备能够被用户唯一识别，并且维护组件的详细清单。

   • 配置变更：用户可以通过一个或多个设备组件更改配置设置，并且能够将设备恢复到安全的默认设置。

   • 数据安全：设备组件保护存储数据的安全，用户可以删除敏感信息或使其不可访问，数据在设备、组件和网络之间的传输是安全的。

   • 访问控制：设备组件限制接口访问仅限于授权用户，并且所有接口限制访问和配置更改。

   • 软件更新：设备组件能够下载、验证并应用经过验证的软件更新，所有组件定期更新板上软件。

   • 网络安全状态意识：设备捕获组件漏洞以检测潜在的网络安全风险。

4. 两步认证过程：制造商必须首先将其产品提交给经认可的实验室进行测试，实验室将进行所需的测试并生成测试报告。每个测试报告将由网络安全标签管理员（CLA）审查，如果报告证明产品符合IoT标签计划的要求，产品将获得认证，并被允许显示US Cyber Trust Mark标志。

5. 费用支付：参与该计划的公司将向实验室和CLA支付费用，CLA的费用将用于资助计划的管理成本。

6. 认证更新：FCC还要求制造商更新认证，但尚未说明需要多频繁地获得更新。

这些要求为制造商提供了一个基准网络安全标准，遵循这些标准的产品将获得US Cyber Trust Mark认证。随着计划的进一步发展和具体要求的明确，制造商可能需要根据最新的指导方针调整其产品和流程以满足认证要求。

1- https://aws.amazon.com/blogs/iot/aws-iot-and-us-cyber-trust-mark/

2- https://www.fcc.gov/cybersecurity-certification-mark