2026年6月1日,新加坡与日本于正式启动了两国物联网网络安全标签计划的互认安排,双方同意相互承认新加坡网络安全标签计划(CLS)与日本JC-STAR计划下颁发的网络安全标签。这一安排始于2026年3月18日两国签署的物联网网络安全计划相互承认合作备忘录,日本成为第五个与新加坡达成此类互认安排的国家。笔者过去几年持续跟踪各国物联网安全标签计划,这一制度性的安排目前已成为主要经济体的共识,各国大力推动本国标签计划的同时,也在持续推进跨国互认,来简化制造商产品跨境和出海的流程。在这一背景下,推动国内版物联网安全标签计划“网络安全标识”的海外互认需进一步加速,服务我国快速增长的物联网产品出海。
物联网安全标签计划制度设计已成为共识
物联网安全标签计划已有多年历史,新加坡、芬兰、德国、英国、日本等国已实施,美国也在大力推动落地。就本次合作的两个国家来说,两者的制度安排比较一致,因此双方互认的落地更为便利。
新加坡:成熟的物联网安全标签计划
新加坡推出的物联网安全标签计划名为“Cybersecurity Labelling Scheme (CLS)”,该计划是由新加坡网络安全局(CSA)牵头推出,于2020年10月启动,作为改善物联网安全、提高整体网络水平和更好地保护新加坡网络空间的努力的一部分。
CLS计划是亚太区首个物联网安全标签计划项目,按照该计划要求,物联网设备将根据其网络安全规定的等级进行评级,这将使消费者能够识别具有更好网络安全能力的产品,并做出购买的决策。
CLS计划最初是为WiFi路由器和智能家居中控设备而推出的,由于这些产品作为消费物联网的枢纽使用范围更广,而且这些产品安全隐患可能对用户产生的影响更大,因此作为优先认证对象纳入该计划中。此后,CLS计划扩展到包括所有类别的消费物联网设备,如IP摄像头、智能门锁、智能灯和智能打印机等。
CLS计划对物联网设备安全形成4个不同等级,同时有4不同的评估等级,每个评估等级按顺序完成,反映了产品对可能遭受的网络安全攻击抵抗力不断增强,相关体系如下:
第一层评估等级:安全基线要求。要求产品遵循欧洲通信标准化协会(ETSI)发布的ETSI EN 303 645标准中的基线要求,通过消除“常见错误”来防范大多数基于常见漏洞(如默认密码)的攻击,确保安全更新的可用性并实施管理漏洞报告。
第二层评估等级:生命周期要求。供应商的产品应确保遵守一套国际标准(基于ETSI EN 303 645标准中对设备所有强制性要求)。
第三层评估等级:软件二元分析。供应商应根据《IMDA物联网网络安全指南》考虑安全因素,在物联网设备的开发生命周期中采用安全最佳实践(如威胁建模、安全工程方法、安全供应链、安全测试等)来确保设备的安全性。此外,测试实验室使用自动二元分析工具对物联网设备的软件进行评估,以确保没有已知的关键软件缺陷、漏洞或恶意软件。
第四层评估等级:渗透测试。连接的设备经过测试实验室的渗透测试,以提供对常见网络安全攻击的基本抵御能力。
其中第一、第二两个层级评估只需制造商自己的符合性声明,而第三和第四两个层级评估必须经过第三方独立测试才能通过认证。
通过4不同层级的评估,最终给与相应物联网设备赋予不同等级标签,用不同数量星号标识出来,并显示其安全等级。相关标签可以粘贴在智能家居产品包装上,示例如下:
其中一级表示该产品已满足基本的安全要求;二级表示该产品满足1级要求并符合国际标准的所有强制性安全要求;三级表示满足2级要求,并采用设计安全原则开发,通过了经批准的第三方测试实验室对软件二元评估;四级表示该产品满足3级要求,并经过了经批准的第三方测试实验室的结构化渗透测试。
日本:物联网安全标签计划互认落地
日本网络安全标签计划JC-STAR基于日本经济产业部(METI)于2024年8月发布的《物联网产品安全合格评估计划政策》设立,它针对能够与互联网通信的广泛物联网产品,旨在通过统一标准对产品配备的安全功能进行评估/评估和可视化。
经济产业省于2022年11月成立了一个“物联网产品安全合格评估计划研究小组”,该小组经过调研讨论,决定建立一个物联网产品安全符合性评估方案并在全社会广泛传播。2024年1月,经济产业省发布了《物联网安全合格评估计划草案》征求意见稿,日本版物联网安全标签计划的全貌形成,选取部分重点内容包括:
标签计划适用范围:日本版标签计划也明确提出了其适用于消费物联网产品。关于物联网产品的定义,该计划沿用欧洲通信标准化协会ETSI EN 303 645标准中对物联网的定义,包括物联网产品和相关服务。其中,消费物联网设备是指具有使用互联网协议(IP)、通过互联网发送和接收数据能力的广泛物联网产品,包括间接连接到互联网的产品,但不包括个人电脑、智能手机等。
物联网安全分级:日本版计划通过建立物联网安全分级机制来实施不同的评估。该机制一共分为4个层级,层级1为符合安全基线的标准,以解决适用范围内所有物联网产品常见的、最低威胁基准,层级2至层级4的标准要求逐渐提高。
获得不同层级标签的方式不同,其中,针对层级1和层级2,通过物联网产品供应商自我符合性声明即可获得安全标签,以促进该计划的传播;对于层级3和层级4,将根据独立测试实验室的第三方评估后再决定授予标签,尤其是层级3及以上旨在供政府机构和关键基础设施提供商采购使用,因此会要求高可靠性。
从这个角度来看,日本版物联网安全标签计划与新加坡版计划更加类似,新加坡版计划也是通过分为4层,以及1-2层符合性声明的模式获取标签。
与其他国家类似计划的合作互认:日本在方案征求意见稿中就提到了与其他国家物联网安全标签计划,主要包括美国、欧盟、新加坡和英国。本次于新加坡的互认,正是该计划实施过程中主要工作之一。
根据安排,获得任一国家认证的智能家居助手、家庭自动化与报警系统、物联网网关及集线器等设备,在另一国市场申请认证时将享受简化的认可流程。日本成为继芬兰、德国、韩国和英国之后,第五个与新加坡达成此类互认安排的国家。互认不仅有助于加强互联设备的网络安全实践、切实减轻制造商的认证负担,还能有效提升消费者对智能技术的信心,通过减少监管壁垒,进一步推动全球物联网生态系统的信任与安全建设。
我国物联网安全标签计划国际互认需加速
2026年4月,国家互联网信息办公室等三部门联合印发《网络安全标识管理办法》,该办法将于7月1日起实施。该文件的发布,虽然并非专门指向物联网产品,但物联网产品占据具有互联网联网功能产品大部分比例,因此在一定程度上可以认为是中国版物联网安全标签体系初步版本的发布。
不过,《办法》虽然对标识管理形成完善的一套体系,但针对产品出海以及海外产品进入中国过程中的安全标识管理,暂未形成相关规定。海外多个国家加快推动物联网安全标签计划互认,毫无疑问会在很大程度上对我国物联网产品尤其是出海的产品产生显著影响。
从《办法》相关条款来看,我国网络安全标识相关标准在设计之初也尽量与海外标准以及主要经济体的制度设计保持较好的兼容,而且强调安全要求应当和现行国家标准、国际标准做好衔接,充分借鉴吸收其它实施网络安全标识制度国家和地区的相关经验。
近年来,国内物联网产品出口保持较好态势。以智能家居为例,根据公开数据,黄埔海关2025年监管的智能家居产品出口货值同比增长75.4% ;深圳海关2025年前7个月监管出口家具(含智能类)货值达765.7亿元。在出海的产品结构方面,清洁电器持续高增,如智能扫地机器人、洗地机等清洁类产品保持高位增长态势;AI赋能家电,即搭载AI算法(如气味探测、自动杀菌、语音交互)的智能冰箱、空调等家电占比提升,部分企业AI产品出口占比超35%;全屋智能解决方案,即从单一硬件向“全屋设备语音联动”、“智能生活场景”转变,高端全屋智能方案成为出口新亮点。
在我国智能互联产品大规模“走出去”的背景下,产品生产企业需要进一步符合海外物联网安全标签计划的要求,进行相关测试、认证和备案。若我国的网络安全标识制度能够和海外相关计划达成跨境合作,则会大幅降低企业出海成本,提升企业海外竞争力。因此,推动国际化是网络安全标识工作下一步的一个重点方向。
