應對 NCCS 網絡安全標準

充分借鑒市場准入專家的知識,旨在幫助新用戶了解印度的國家通信安全中心 (NCCS) 實施的網絡安全標準。通過這份綜合指南了解 GRL 能如何幫助製造商遵循印度電信安全保證要求 (ITSAR) 的嚴格準則。

根據 ITSAR 和其他國際標準(包括 3GPP、ETSI EN 303 645、OSWAP 10、CWE Top 25 和 NIST SP 800-115)在 GRL 的 NCCS 認證實驗室測試和評估您的產品。

漏洞評估和滲透測試 (VAPT):識別並緩解安全漏洞,以確保您組織的系統能夠安全地抵禦網絡攻擊。這也是獲得NCCS認證的強制步驟之一。

確保全套設備符合印度電信監管局 (TRAI) 規定的 ITSAR,並在分析您的網絡基礎設施時提供不遺餘力的綜合服務,輕鬆獲得 NCCS 認證。

NCCS 簡介

根據電信設備強制測試認證 (MTCTE) 法規,任何希望在印度銷售、進口或使用電信設備的原始設備製造商 (OEM) 或進口商都必須符合電信工程中心 (TEC) 標準。認證所需的測試旨在確保設備符合相關的國家和國際標準。測試參數包括安全驗證、確保射頻發射保持在規定範圍內、確認設備符合國家安全要求,還有設備設備連接網絡後的實施表現。

測試和認證框架要求所有進入印度的電信設備滿足以下基本要求:

(a) 電磁干擾/電磁兼容
(b) 安全
(c) 技術要求
(d) 其他要求和
(e) 網絡安全要求

NCCS 的角色

NCCS 負責制定“通信安全認證計劃”(ComSeC) 下的安全要求,也是 MTCTE 對所有電信設備的強制安全要求。該計劃主要包括三項活動:

  • 為每種電信設備製定國家特定的安全保障標準,稱為印度電信安全保障要求 (ITSAR)
  • 指定滿足要求的第三方電信安全測試實驗室 (TSTL)。註冊的 TSTL 將按照 ITSAR 的要求負責對電信設備進行安全測試
  • NCCS 根據 ITSAR 評估和認證電信設備

電信部 (DoT) 的目標是開發、運營和維護 ComSec 計劃方面實現以下目標:

  • 制定國家特定的標準、流程和規範。
  • 開發測試和認證生態系統。
  • 確保電信網元滿足安全保障要求。
  • 確保遵守有關安全測試的法規要求。

印度電信安全保證要求 (ITSAR)

印度電信安全保證要求 (ITSAR) 是由 NCCS 制定的一套安全準則。 ITSAR 確保印度所有電信服務提供商提供的電信網絡的安全性和完整性的一致性。 ITSAR 涵蓋的領域包括網絡安全、數據隱私和合法攔截。

由於以下原因,ITSAR 的實施勢在必行。

首先,ITSAR 在保護印度電信網絡免受網絡攻擊、數據洩露和其他安全威脅方面發揮著至關重要的作用。隨著銀行、醫療保健,交通運輸等關鍵行業的數字化,這種保護措施也變得越來越重要。

ITSAR 依據 TSDSI 3GPP 引用,廣泛涵蓋以下技術要求:

  1. 訪問和授權
  2. 認證屬性管理
  3. 軟件安全
  4. 系統安全執行環境
  5. 用戶審核
  6. 數據保護
  7. 網絡服務
  8. 攻擊預防機制
  9. 漏洞測試要求
  10. 操作系統
  11. 網絡服務器
  12. 其他安全要求

ITSAR 為電信服務提供的明確定義也幫助增強民民眾和國際社會對印度電信行業的信心,將吸引投資並刺激更多創新。

此外,ITSAR 也是印度政府對抗恐怖主義和其他犯罪活動的重要工具。 ITSAR 指南為政府提供了監控和攔截電信通信的方法,同時保護公民的隱私和權利。

NCCS 負責各設備的 ITSAR 階段性的開發和發布。全新發布的 ITSAR 將直接納入執行方案中,並在分別指定的日期起生效。若該 ITSAR 在過後期間受到任何修改,就將成為新版本的 ITSAR,並將在各自日期適用。

ITSAR 是根據特定國家或地區的安全要求、國際標準以及與 OEM、TSTL、TSP、學術機構、行業和政府機構等各種利益相關者的協商而製定。

針對 ITSAR 的安全測試由指定的 TSTL 進行。想要獲得設備認證的申請者將在 MTCTE 上註冊。成功評估應用程序後,申請者可以選擇指定的 TSTL,並在驗證者的監督下針對適用的 ITSAR 進行安全測試。 TSTL 將提交測試報告,評估成功後由 NCCS 頒發安全證書。

NCCS安全認證流程

NCCS 安全認證流程圖

NCCS 安全認證流程由兩大部分組成;
  1. 針對適用的 ITSAR 進行測試
  2. 評估測試結果以確保符合要求


符合所有適用 ITSAR 要求的設備將獲得相應認證。

任何尋求 NCCS 計劃認證的申請者可通過 MTCTE 網站上線申請。相關文件包括:

  1. 公司註冊
  2. 公司出具的授權申請者承擔相關責任的函件。

國外公司必須指定一名來自印度公司的代表人員來提供以下文件:

  1. 外國 OEM 與印度代表 (AIR) 之間關於在印度銷售和支持產品的諒解備忘錄 (MOU)
  2. 授權 AIR 承擔 MTCTE 相關職責。

若評估員在申請文件中發現任何差異或不一致之處就將通知申請者。註冊必須進行對應更正在才能獲得批准。

申請者需要選擇有望認證的產品,以及任何變體、可用接口和相關型號信息。他們還必須將物料清單 (BoM) 文件上傳到在線門戶。 BoM 必須包括操作系統、數據庫、加密模塊以及設備中使用的任何專有或第三方軟件的軟件版本。申請者在提交後將被告知適用的 ITSAR 和相關費用。

付款後,申請者必須由指定的 TSTL 之一根據相關 ITSAR 對其設備進行測試。 TSTL 在 16 週內必須完成測試,這期間也包括申請者在解決測試期間進行的任何跟合規性有關的改正。 NCCS 可以隨時指派一名驗證員來監督 TSTL 測試的技術方面。

測試完成後,TSTL將上傳帶有被測設備簽名的測試報告。綜合測試報告的硬拷貝也將提供給 NCCS 單位。 NCCS 將評估測試報告,以確定是否符合相關 ITSAR。

如果發現設備符合適用的 ITSAR,將為指定型號頒發證書。

該證書通常會在提交完整測試結果之日起 4-8 週內頒發,並且可能會根據設備的複雜程度而有所不同。

注:若新版ITSAR在測試過程中因修改而發布,則舊版ITSAR將繼續適用,直至新版ITSAR生效。