NCCS 网络安全标准

应对 NCCS 网络安全标准

充分借鉴市场准入专家的知识,旨在帮助新用户了解印度的国家通信安全中心 (NCCS) 实施的网络安全标准。通过这份综合指南了解 GRL 能如何帮助制造商遵循印度电信安全保证要求 (ITSAR) 的严格准则。

NCCS 简介

根据电信设备强制测试认证 (MTCTE) 法规,任何希望在印度销售、进口或使用电信设备的原始设备制造商 (OEM) 或进口商都必须符合电信工程中心 (TEC) 标准。认证所需的测试旨在确保设备符合相关的国家和国际标准。测试参数包括安全验证、确保射频发射保持在规定范围内、确认设备符合国家安全要求,还有设备设备连接网络后的实施表现。

测试和认证框架要求所有进入印度的电信设备满足以下基本要求:

(a) 电磁干扰/电磁兼容
(b) 安全
(c) 技术要求
(d) 其他要求和
(e) 网络安全要求

NCCS 的角色

NCCS 负责制定“通信安全认证计划”(ComSeC) 下的安全要求,也是 MTCTE 对所有电信设备的强制安全要求。该计划主要包括三项活动:

  • 为每种电信设备制定国家特定的安全保障标准,称为印度电信安全保障要求 (ITSAR)
  • 指定满足要求的第三方电信安全测试实验室 (TSTL)。注册的 TSTL 将按照 ITSAR 的要求负责对电信设备进行安全测试
  • NCCS 根据 ITSAR 评估和认证电信设备

电信部 (DoT) 的目标是开发、运营和维护 ComSec 计划方面实现以下目标:

  • 制定国家特定的标准、流程和规范。
  • 开发测试和认证生态系统。
  • 确保电信网元满足安全保障要求。
  • 确保遵守有关安全测试的法规要求。

印度电信安全保证要求 (ITSAR)

印度电信安全保证要求 (ITSAR) 是由 NCCS 制定的一套安全准则。 ITSAR 确保印度所有电信服务提供商提供的电信网络的安全性和完整性的一致性。 ITSAR 涵盖的领域包括网络安全、数据隐私和合法拦截。

由于以下原因,ITSAR 的实施势在必行。

首先,ITSAR 在保护印度电信网络免受网络攻击、数据泄露和其他安全威胁方面发挥着至关重要的作用。随着银行、医疗保健,交通运输等关键行业的数字化,这种保护措施也变得越来越重要。

ITSAR 依据 TSDSI 3GPP 引用,广泛涵盖以下技术要求:

  1. 访问和授权
  2. 认证属性管理
  3. 软件安全
  4. 系统安全执行环境
  5. 用户审核
  6. 数据保护
  7. 网络服务
  8. 攻击预防机制
  9. 漏洞测试要求
  10. 操作系统
  11. 网络服务器
  12. 其他安全要求

ITSAR 为电信服务提供的明确定义也帮助增强民民众和国际社会对印度电信行业的信心,将吸引投资并刺激更多创新。

此外,ITSAR 也是印度政府对抗恐怖主义和其他犯罪活动的重要工具。 ITSAR 指南为政府提供了监控和拦截电信通信的方法,同时保护公民的隐私和权利。

NCCS 负责各设备的 ITSAR 阶段性的开发和发布。全新发布的 ITSAR 将直接纳入执行方案中,并在分别指定的日期起生效。若该 ITSAR 在过后期间受到任何修改,就将成为新版本的 ITSAR,并将在各自日期适用。

ITSAR 是根据特定国家或地区的安全要求、国际标准以及与 OEM、TSTL、TSP、学术机构、行业和政府机构等各种利益相关者的协商而制定。

针对 ITSAR 的安全测试由指定的 TSTL 进行。想要获得设备认证的申请者将在 MTCTE 上注册。成功评估应用程序后,申请者可以选择指定的 TSTL,并在验证者的监督下针对适用的 ITSAR 进行安全测试。 TSTL 将提交测试报告,评估成功后由 NCCS 颁发安全证书。

NCCS安全認證流程

NCCS 安全认证流程图

NCCS 安全认证流程由两大部分组成;

  1. 针对适用的 ITSAR 进行测试
  2. 评估测试结果以确保符合要求

符合所有适用 ITSAR 要求的设备将获得相应认证。

任何寻求 NCCS 计划认证的申请者可通过 MTCTE 网站上线申请。相关文件包括:

  1. 公司注册
  2. 公司出具的授权申请者承担相关责任的函件。

国外公司必须指定一名来自印度公司的代表人员来提供以下文件:

  1. 外国 OEM 与印度代表 (AIR) 之间关于在印度销售和支持产品的谅解备忘录 (MOU)
  2. 授权 AIR 承担 MTCTE 相关职责。

若评估员在申请文件中发现任何差异或不一致之处就将通知申请者。注册必须进行对应更正在才能获得批准。

申请者需要选择有望认证的产品,以及任何变体、可用接口和相关型号信息。他们还必须将物料清单 (BoM) 文件上传到在线门户。 BoM 必须包括操作系统、数据库、加密模块以及设备中使用的任何专有或第三方软件的软件版本。申请者在提交后将被告知适用的 ITSAR 和相关费用。

付款后,申请者必须由指定的 TSTL 之一根据相关 ITSAR 对其设备进行测试。 TSTL 在 16 周内必须完成测试,这期间也包括申请者在解决测试期间进行的任何跟合规性有关的改正。 NCCS 可以随时指派一名验证员来监督 TSTL 测试的技术方面。

测试完成后,TSTL将上传带有被测设备签名的测试报告。综合测试报告的硬拷贝也将提供给 NCCS 单位。 NCCS 将评估测试报告,以确定是否符合相关 ITSAR。

如果发现设备符合适用的 ITSAR,将为指定型号颁发证书。

该证书通常会在提交完整测试结果之日起 4-8 周内颁发,并且可能会根据设备的复杂程度而有所不同。

注:若新版ITSAR在测试过程中因修改而发布,则旧版ITSAR将继续适用,直至新版ITSAR生效。