国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

近日，歐洲議會投票通過了《網絡安全彈性法案（CRA）》，以保護歐盟的所有數字產品免受網絡威脅。其中，物聯網產品是該法案(an)適用范(fan)圍“數字產品”的重(zhong)要組(zu)成部分，未來(lai)該法案(an)實施后，物聯網(wang)產品將面臨(lin)著(zhu)新的要求。

筆者近期圍繞海外發達經濟體針對物聯網產品網絡安全出臺的一些法案和政策進行跟蹤研究，包括美國物聯網安全標簽計劃、日本物聯網安全標簽計劃、歐盟《數據法案》、英國《產品安全和電信基礎設施法案》以及新加坡、德國、芬蘭等國開展的物聯網安全標簽計劃，可以看出，對物聯網產品安全采取統一的措施已成為共識，尤其是針對物聯網安全基線形成全國統一規范非常重要。《網絡安(an)全(quan)彈性法(fa)案(an)》作為全(quan)球首個面對數字產(chan)品安(an)全(quan)的專門(men)法(fa)案(an)，其中很多做法(fa)和思路(lu)值(zhi)得參(can)考。

法案適用范圍：物聯網產品是典型

《網絡(luo)安(an)全(quan)彈性法(fa)案(an)》旨在建立整個供應鏈的(de)基準產品(pin)安(an)全(quan)法(fa)規，涵蓋從開發到報廢的(de)產品(pin)生(sheng)命周期，該法(fa)案(an)將適用于在歐盟境內銷(xiao)售的(de)各(ge)種軟件和互(hu)聯產品(pin)。

法(fa)案提(ti)出其適用于(yu)在歐盟(meng)市(shi)場上(shang)銷售的(de)“帶有數字元素的(de)產品(pin)”，這類(lei)產品(pin)無論(lun)原產地在哪(na)里，也無論(lun)該產品(pin)是否免費提(ti)供，只要在歐盟(meng)市(shi)場上(shang)，都(dou)適用于(yu)該法(fa)案。

法案對于“帶有數字元素的產品”做了初步解釋，即包括軟件以及與其他設備或網絡直接或間接連接的軟硬件產品。法案提出典型的產品包括獨立軟件以及物聯網產品、操作系統或其他有形設備，如電視、筆記本電腦、嬰兒監視器、智能家居等。

法案也提出(chu)了(le)一些不適用(yong)的(de)范疇，例如(ru)，一些網(wang)站(zhan)和云服(fu)務方案（如(ru)SaaS服(fu)務）如(ru)果不支持遠程處理“帶(dai)有數字元素的(de)產品(pin)”或不是這些產品(pin)的(de)功能(neng)，就不納(na)入法案的(de)范疇。

當然，法案適(shi)用(yong)(yong)于支(zhi)持這些數(shu)字元素(su)(su)產(chan)品(pin)運行的遠(yuan)程(cheng)數(shu)據處理解決方案，例如物聯網產(chan)品(pin)的移動(dong)應用(yong)(yong)程(cheng)序；同時，法案也適(shi)用(yong)(yong)于集成到數(shu)字元素(su)(su)產(chan)品(pin)中的軟件(jian)和硬件(jian)組(zu)件(jian)。

在(zai)商業(ye)活動之外開發的開源軟(ruan)件(jian)(jian)不(bu)在(zai)該法案(an)的適用范圍之內。法案(an)指出，自由和開放源碼(ma)的軟(ruan)件(jian)(jian)將受到寬松監管制(zhi)度的約束。

另外(wai)，法(fa)案也(ye)不適(shi)用于某(mou)些(xie)已(yi)經有部門立法(fa)的產(chan)品(pin)，例如醫療(liao)器械、機動(dong)車、海事(shi)和航空設備，也(ye)不適(shi)用于專(zhuan)門為(wei)國家安(an)全(quan)或國防(fang)開發(fa)的數字產(chan)品(pin)。

基本網絡安全要求

《網(wang)絡(luo)安(an)(an)(an)(an)(an)全(quan)彈性法案》為制(zhi)造商的(de)(de)數字產品制(zhi)定(ding)了(le)一套必須遵守的(de)(de)基(ji)本安(an)(an)(an)(an)(an)全(quan)要(yao)(yao)求。這些要(yao)(yao)求旨(zhi)在通過從一開始(shi)就解決關鍵的(de)(de)安(an)(an)(an)(an)(an)全(quan)漏洞(dong)來(lai)最大限度(du)地降低網(wang)絡(luo)安(an)(an)(an)(an)(an)全(quan)風險。基(ji)本的(de)(de)安(an)(an)(an)(an)(an)全(quan)要(yao)(yao)求包括：

• 默認安全配置：產品必須帶(dai)有默認安全配置，允許用戶在必要(yao)時輕松將其重置為初始狀態。

• 防止未經授權的訪問：必須(xu)建立(li)適(shi)當的控制機制，包括認證、身份或訪(fang)問管理系統。

• 加密：無論(lun)是(shi)在靜止狀態還是(shi)在傳輸過程中，產(chan)品存儲(chu)、傳輸或處理的數(shu)據必須通過加密(mi)進(jin)行保護，以保護其機密(mi)性。

• 完整性：產品存(cun)儲、傳輸或(huo)處理(li)的數據以及命(ming)令(ling)、程序和配置必須得到保護，以防未經(jing)用(yong)戶(hu)授權的操縱或(huo)修改。

• 數據最小化：產品(pin)應僅收集和處理對其預期用途絕對必要的數據，盡量減少處理的個人(ren)或其他數據量。

• 有效性：基本功能必須能夠抵御拒絕服務攻(gong)擊。

• 攻擊面限制：產品應設計有(you)限的攻擊面(mian)，最(zui)大(da)限度地減(jian)少網絡攻擊的潛(qian)在(zai)切入點。

• 漏洞管理：必須建立機制，以便能夠及時有效(xiao)地修補漏洞，應對新出現的網絡安全威脅。

對制造商的要求

法案(an)提(ti)出制造(zao)商(shang)必須開(kai)發(fa)、生產(chan)和(he)銷(xiao)售具有與(yu)風險相適應(ying)的“基本網絡安全要求”的產(chan)品(pin)。此外(wai)，制造(zao)商(shang)還必須建(jian)立流程和(he)文件來(lai)驗證其產(chan)品(pin)是否符合法案(an)要求的。主要包(bao)括：

1、產品安全要求

網絡安全風險評估：制造(zao)商必(bi)須(xu)進(jin)行與產(chan)品相關的網絡安全風險評估，且風險評估必(bi)須(xu)在支持期(qi)(qi)內(nei)更(geng)新(xin)，并(bing)在整個產(chan)品生命周期(qi)(qi)中予以考慮。

漏洞管理：產品(pin)必(bi)(bi)須在沒有已知可利(li)用漏洞(dong)(dong)的(de)情況(kuang)下(xia)在市(shi)場上提(ti)供，若(ruo)發現(xian)漏洞(dong)(dong)必(bi)(bi)須立即為(wei)漏洞(dong)(dong)提(ti)供安(an)全更(geng)新，并公開披(pi)露補(bu)救的(de)漏洞(dong)(dong)。安(an)全更(geng)新必(bi)(bi)須在至少(shao)10年或支持(chi)期的(de)剩余時(shi)間內(nei)保持(chi)可用，以較長者為(wei)準，同(tong)時(shi)制造商(shang)必(bi)(bi)須記錄(lu)其了解到的(de)相關產品(pin)漏洞(dong)(dong)。

支持期限：支持(chi)期(qi)應符合(he)預期(qi)使用(yong)(yong)時(shi)間(jian)(jian)，但(dan)必須至少(shao)為五年(nian)。用(yong)(yong)戶(hu)在購(gou)買時(shi)必須能夠明確了解支持(chi)期(qi)的結束時(shi)間(jian)(jian)，包(bao)括月份和年(nian)份。

軟件材料清單：制造商必須確定并記錄產(chan)品組件(jian)和漏洞，包(bao)括(kuo)起草(cao)至少包(bao)含(han)產(chan)品主要依賴項的(de)軟件(jian)材料清(qing)單。

測試：制造商必須定期測試產品(pin)安全性。

漏洞報告：制(zhi)造(zao)商必須在24小(xiao)時(shi)內(nei)向(xiang)其指(zhi)定的歐盟(meng)成員(yuan)國計算機安(an)全事(shi)故響應小(xiao)組(zu)（CISRT）報(bao)告(gao)任何被(bei)惡(e)意行為者(zhe)利用的產品漏(lou)洞。然后(hou)，制(zhi)造(zao)商必須在72小(xiao)時(shi)內(nei)提交(jiao)一份總(zong)體跟進報(bao)告(gao)，并在緩解措施出臺后(hou)14天內(nei)提交(jiao)一份詳(xiang)細報(bao)告(gao)。除特殊情(qing)況外，這些(xie)漏(lou)洞報(bao)告(gao)將(jiang)轉發給產品上市(shi)所(suo)在成員(yuan)國的其他安(an)全事(shi)故響應小(xiao)組(zu)和市(shi)場監管機構。同(tong)時(shi)，制(zhi)造(zao)商還(huan)必須將(jiang)事(shi)故通(tong)知(zhi)其用戶。

協同漏洞披露：制造(zao)商(shang)必須建立協調的(de)(de)(de)漏洞披露政策，并(bing)為第三(san)方(fang)(fang)提(ti)供聯(lian)系地址以報(bao)告產(chan)品中(zhong)的(de)(de)(de)漏洞。當制造(zao)商(shang)發(fa)現產(chan)品軟(ruan)件(jian)(jian)或硬件(jian)(jian)組(zu)(zu)件(jian)(jian)中(zhong)的(de)(de)(de)漏洞時(shi)，必須向負責該組(zu)(zu)件(jian)(jian)的(de)(de)(de)一方(fang)(fang)報(bao)告漏洞。

2、證明產品一致性

技術文檔：制造商必(bi)須創建和維(wei)護技(ji)術文件，以證明其(qi)產品(pin)符合(he)法案(an)的基本安(an)全要求。技(ji)術文檔(dang)必(bi)須在(zai)(zai)產品(pin)投放市場之(zhi)前完成(cheng)，并應(ying)在(zai)(zai)產品(pin)支持期間(jian)不斷更新。

符合性評估：在(zai)將產(chan)品投(tou)放市場之前，制造(zao)商必(bi)須對(dui)產(chan)品進(jin)行符合(he)性評(ping)估，以(yi)確(que)保(bao)符合(he)安全(quan)要(yao)求(qiu)。法案(an)對(dui)產(chan)品安全(quan)做了分(fen)級(ji)，主要(yao)包(bao)括：

• 未分類(lei)或默認級別：這一(yi)大類(lei)包括大多(duo)數(shu)帶有數(shu)字(zi)元素的產(chan)品，制造商(shang)可(ke)以(yi)自我評估是(shi)否(fou)符合安全要求。

• 第一類(lei)和(he)第二類(lei)（Classes I and II）：該級別被認為是“重(zhong)要”的數字產品，這些產品必須(xu)經過(guo)第三(san)方合格(ge)評估，它們可以適(shi)用統一標準或(huo)統一網(wang)絡安全認證計劃(hua)。第一類(lei)和(he)第二類(lei)產品具有網(wang)絡安全相(xiang)關功(gong)(gong)能(neng)(neng)，如果被破壞，其功(gong)(gong)能(neng)(neng)會帶來重(zhong)大負面影響風險。

• “關鍵(jian)”的(de)(de)數字產(chan)品：該類別包括被認為(wei)是基本服務關鍵(jian)依(yi)賴(lai)項的(de)(de)產(chan)品，如智(zhi)(zhi)能(neng)卡或具有安(an)全元件的(de)(de)類似設備、智(zhi)(zhi)能(neng)計量系統以及用(yong)于高級安(an)全目的(de)(de)的(de)(de)其他設備。

數字產(chan)(chan)品(pin)(pin)完成符合性評估后，制(zhi)造商必須起草一份符合性聲(sheng)明以補充(chong)技術文件，并將這(zhe)些記(ji)錄保存十年或支(zhi)持期內(nei)（以較長者(zhe)為準）。此外，數字產(chan)(chan)品(pin)(pin)必須具(ju)有CE標志(zhi)，以表明產(chan)(chan)品(pin)(pin)在進入市(shi)場之前符合法案標準。這(zhe)一要求可以視作(zuo)強制(zhi)性的安全標簽計劃。

同時，法(fa)案還對進(jin)口商和分銷商提出相關要(yao)求，例(li)如(ru)包括(kuo)對制造(zao)商的產品進(jin)行盡職調(diao)查、發(fa)現漏洞后及時通知制造(zao)商、向歐洲當局告知重大(da)風險、保留記錄以(yi)及售后責(ze)任(ren)等。

對不合規行為的處罰

法(fa)案規(gui)定，對于未能(neng)遵守法(fa)案中提出的(de)漏(lou)洞(dong)報(bao)(bao)告(gao)、網絡(luo)事件(jian)報(bao)(bao)告(gao)或基本(ben)網絡(luo)安(an)全要求的(de)公司，可能(neng)面(mian)臨高(gao)達1500萬歐元或其全球營(ying)業額2.5%的(de)行政罰款，以較高(gao)者為準。

未能遵守多項(xiang)其他義(yi)務的公司(si)，可能會被處以最高(gao)1000萬歐元的行政(zheng)罰款，或其全球營業(ye)額的2%，以較高(gao)者(zhe)為準(zhun)。

同時，那些向(xiang)執法機構(gou)或國(guo)家網絡事(shi)件響應小(xiao)組提供誤導性信息可能導致500萬歐元的(de)罰款，或全球營業額的(de)1%，以較高者為準。

在某些情況下，歐盟成(cheng)員國當局可(ke)以要求廠(chang)商從歐盟市(shi)場召(zhao)回或撤出不合(he)規(gui)產品。

《網(wang)絡安全彈性(xing)法案》實施日期之前，歐(ou)盟將制(zhi)定統一(yi)標準，以更好地幫助制(zhi)造商進(jin)(jin)行一(yi)致性(xing)評估(gu)。一(yi)旦生(sheng)效，制(zhi)造商、進(jin)(jin)口(kou)商和分銷商將有三(san)年時(shi)間適應新要(yao)求。中國(guo)是物聯網(wang)產(chan)品(pin)的生(sheng)產(chan)和出口(kou)大(da)國(guo)，大(da)量(liang)數字產(chan)品(pin)出口(kou)歐(ou)洲，相(xiang)關(guan)生(sheng)產(chan)廠(chang)商需要(yao)高度(du)重視，提前學習《網(wang)絡安全彈性(xing)法案》相(xiang)關(guan)內(nei)容，做好應對。