一、JC-STAR在多国IoT安全标签体系中的定位
2025年3月,日本经济产业省(METI)与信息处理推进机构(IPA)联合推出JC-STAR(Japan Cyber STAR)认证体系,这是全球首个面向全品类物联网产品的网络安全符合性评估与标签制度。该体系设四个安全等级(STAR-1至STAR-4),其中STAR-1和STAR-2采用厂商自我声明模式,STAR-3和STAR-4须由第三方评估机构出具技术报告。
在实际项目中,JC-STAR通常不作为孤立的合规项目,而是与已有的国际IoT安全标签制度形成协同。以下为当前主流IoT安全标签制度的对照:
| 标签制度 | 国家/地区 | 评估方式 | 与JC-STAR的关系 |
|---|---|---|---|
| JC-STAR | 日本 | 自我声明(STAR-1/2)+ 第三方评估(STAR-3/4) | — |
| PSTI | 英国 | 供应商声明 | 与JC-STAR Level 1互认 |
| CLS | 新加坡 | 分级标签(1-4级) | 与JC-STAR互认(2026年6月生效) |
| Cyber Trust Mark | 美国 | 第三方认证 | 独立制度,暂无互认 |
一个常见的策略是:产品先完成ETSI EN 303 645基线要求的技术准备,再利用互认机制同时申请多个标签,从而降低多市场准入的重复评估成本。
二、STAR-1评估清单的实务准备
STAR-1是JC-STAR的入门等级,采用厂商自我声明模式,评估依据为IPA发布的《STAR-1 Assessment Guide》和《STAR-1 Assessment Checklist》。该清单的参考基础包括ETSI EN 303 645和NISTIR 8425,覆盖默认密码策略、漏洞报告机制、软件更新能力、数据保护措施等通用安全基线。
以下为STAR-1评估准备的核心工作节点:
在清单准备过程中,以下几个要点容易被忽视:
默认密码策略:STAR-1要求禁止使用通用默认密码。产品出厂时若统一使用固定密码(如"admin/admin"),或固件升级后重置为默认密码,均构成不符合项。建议采用每设备唯一初始密码或首次使用强制修改机制。
漏洞报告机制:需建立公开的漏洞报告渠道(如安全公告页面),并明确漏洞响应流程和时间预期。这一要求与ETSI EN 303 645的第5.4条一致,若产品已通过EN 303 645评估,该部分文档可复用。
软件更新能力:产品须具备安全更新机制,更新包须经过完整性验证。仅依赖HTTP明文下载更新、缺乏签名校验或无回滚机制,均为常见不符合点。
三、与ETSI EN 303 645的协调评估经验
JC-STAR STAR-1的技术要求与ETSI EN 303 645存在高度重叠。在实务中,产品若已完成EN 303 645的合规评估,STAR-1的准备工作量可显著降低。以下是两者的协调对照:
| 评估维度 | ETSI EN 303 645 | JC-STAR STAR-1 | 文档复用建议 |
|---|---|---|---|
| 默认密码 | 第5.1-1条 | 清单对应项 | 直接复用 |
| 漏洞报告 | 第5.4条 | 清单对应项 | 直接复用 |
| 软件更新 | 第5.3条 | 清单对应项 | 直接复用 |
| 设备数据保护 | 第5.7-5.8条 | 清单对应项 | 部分复用 |
| 用户安全指南 | 第5.9条 | 清单对应项 | 调整格式后复用 |
需要注意,JC-STAR标签通过后须在产品上标注二维码,消费者扫码后可查看产品安全信息。这一标签要求在EN 303 645中不存在,需单独准备。
四、国际互认机制的利用策略
JC-STAR已与英国PSTI制度和新加坡CLS制度建立互认机制。互认的实际价值在于:产品完成一次评估后,可在多个市场获得等效认可。
| 互认对象 | 生效状态 | 互认内容 |
|---|---|---|
| 英国PSTI | MRA已签署 | PSTI合规产品申请STAR-1走简化程序;STAR-1产品视为满足PSTI要求 |
| 新加坡CLS | 2026年6月1日生效 | CLS与JC-STAR互认 |
互认策略的关键在于:优先完成技术要求最严格的基线标准评估(通常是ETSI EN 303 645),再利用互认机制向各目标市场申请标签。这样可以避免因各国标准细节差异导致的重复整改。
五、自我声明路径的风险控制
STAR-1和STAR-2采用厂商自我声明模式,实施门槛较低,但IPA保留事后抽查和撤销标签的权力。自我声明路径中的风险控制要点:
- 文档完整性:符合性声明须基于完整的技术评估文档,而非主观判断。建议保留所有评估证据(测试记录、设计文档、漏洞响应记录)以备抽查。
- 标签有效期管理:STAR-1标签有效期为2年,到期前须重新提交符合性声明。建议建立标签到期提醒机制。
- 产品变更控制:产品固件升级或硬件变更后,须重新评估是否符合STAR-1要求。重大变更可能导致标签失效。
- 市场透明监督:产品信息通过二维码公开可查,消费者和竞争对手均可查询。若产品实际安全能力与声明不符,可能面临投诉和标签撤销风险。
六、常见误区澄清
Q1:JC-STAR是否为强制性认证?
JC-STAR目前为自愿性认证制度,非市场准入强制要求。但日本政府机构采购和储能领域补贴政策已将认证纳入参考因素,市场层面具有一定影响力。
Q2:间接联网设备是否适用?
适用。自身不具备直接IP通信能力,但通过网关、中继器等中间设备间接接入互联网的IoT产品(如使用Zigbee协议通过网关联网的智能传感器),均属于JC-STAR覆盖范围。
Q3:STAR-2及以上等级标准何时发布?
STAR-2及以上等级的符合性标准正在制定中。IPA于2025年5月更新了STAR-1评估指南,后续等级的评估文档将陆续发布。
Q4:已通过ETSI EN 303 645评估,是否仍需单独申请JC-STAR?
是的。两者虽技术要求高度重叠,但JC-STAR是独立的标签制度,须向IPA提交符合性声明并注册标签。已完成EN 303 645评估的产品可复用大部分技术文档,降低STAR-1的准备工作量。
七、小结
JC-STAR作为全球首个全品类IoT安全标签制度,其STAR-1自我声明路径为消费级IoT产品提供了相对低门槛的合规通道。在实务中,将STAR-1评估清单与国际标准(ETSI EN 303 645)协调准备,并利用互认机制同时覆盖日本、英国、新加坡等市场,是降低多国合规成本的有效策略。
对于机电之家网等B2B平台上常见的工业路由器、智能网关、储能系统等IoT产品,若面向日本市场,提前将STAR-1基线要求纳入产品设计阶段,有助于缩短认证准备周期、降低后续整改成本。
数据来源声明:本文依据日本经济产业省(METI)公开政策文件、IPA官方JC-STAR制度文档及ETSI/NIST公开标准资料整理。相关标准与制度如有更新,以官方发布的最新版本为准。