保安攝影機是否為 CRA 重要產品?
摘要
以物理安全為訴求銷售的連網智慧家庭攝影機,規劃預設應視為重要產品 Class I。當同一支硬體改以另一種用途銷售(視訊通話、專業 CCTV、錄影基礎設施、門禁、或另一項保安產品)時,分類可能改變。
第一份應建立的紀錄,是針對該支攝影機變體的分類與邊界備忘錄。內容應指明預定的保安功能、銷售情境、隨附的數位元件、支援期間,以及路線選擇的理由。
支援期間紀錄應由攝影機的預期使用情境、合理的使用者期待、產品性質、預定用途及相關零組件的支援度推導。CRA 的下限至少為五年,除非產品的預期使用期間少於五年;終止日期至少需含年月,並於購買時即清楚標示。
如何分類一次攝影機釋出?
從銷售方案出發,而不是從攝影機殼體出發。路線取決於銷售主張、買方所仰賴的功能,以及隨該釋出一併供應的數位元件。
銷售用途為視訊通話、會議或一般通訊。
通訊周邊;非家庭保安監看。
裝置韌體、驅動程式或會議軟體整合。不供應監看雲服務或警報流程。
銷售用途為居家監看、嬰兒監看、門鈴保安或警報整合。
買方所仰賴的是家庭保安或監看功能。
為該功能所供應的韌體、本地儲存、應用程式、品牌雲、更新服務與漏洞處理。
銷售用途為專業監看、錄影基礎設施或另一項保安產品的一部分。
真正的產品可能是錄影機、VMS、防火牆、VPN、門禁、生物辨識或身分管理功能。
攝影機加上錄影機、管理伺服器、安裝商雲、門禁服務或保安設備。
把圖示當成路線輔助,而非最終分類紀錄。書面紀錄仍應寫明確切的銷售主張、預定用途與出貨邊界。對智慧家庭攝影機而言,關鍵詞是「具備保安功能的智慧家庭產品」。銷售用途為居家監看、入侵監看、嬰兒監看或警報整合的攝影機屬於該類別;一般用途的網路攝影機通常不屬於。
接著檢驗是否有另一項列名功能才是實際運作的核心。重要產品分類依產品的核心功能,而非碰巧夾帶其中的部件:嵌入某項保安相關元件不會把整個銷售方案拉進重要路線。如果攝影機其實是被當成防火牆、VPN 閘道器、門禁讀卡器、生物辨識裝置、身分管理系統或特權存取管理產品銷售,只是恰好附帶鏡頭,請先就該核心功能分類。
專業監看不要硬套到智慧家庭類別。專業 CCTV 攝影機、VMS 或 NVR 在 CRA 下仍可能是含數位元件的產品,仍需保安要求、支援期間規劃、漏洞處理與技術文件。類別取決於預定用途、出貨邊界與核心功能。
分類備忘錄應回答四個問題:
- 攝影機是否銷售用途為居家保安、嬰兒監看、門鈴保安或警報整合?
- 攝影機是否為產品的核心功能?或是防火牆、VPN、門禁、生物辨識或身分功能才是實際運作的主角?
- 為了預定功能供應了哪些數位元件:韌體、本地儲存、應用程式、製造商雲、更新服務與漏洞處理?
- 哪些系統不在製造商的銷售方案內:客戶路由器、第三方錄影機、安裝商網路、外部身分提供者或監看中心?
產品邊界與隨附元件
對攝影機製造商而言,合規邊界鮮少只有塑膠外殼。應依上市產品本身,以及預定保安功能所需的數位元件設定。
通常落在攝影機製造商邊界內:裝置韌體與其上運作的所有服務、網路介面堆疊、裝置內儲存、製造商指示買方安裝的隨附應用程式、為提供產品文件化功能而由製造商運作的雲服務、OTA 更新基礎設施,以及其背後的漏洞處理流程。
通常落在該邊界外,除非製造商實際銷售該層:買方的家庭路由器、客戶自行選用的第三方 VMS 或 NVR、安裝商現場網路、用於 SSO 的外部身分提供者,以及另立合約的專業監看中心。
當這些產品來自其他製造商時,無須留存。若攝影機製造商把錄影機、VMS、身分服務或雲橋接也作為銷售方案的一部分,每一項都可能是自有產品檔案的獨立 CRA 產品。
網路安全風險檔案 · 元件清單 · 漏洞處理流程 · 揭露政策 · 安全更新機制
納入公開的單一聯絡窗口、預設安全的測試證據、簽章更新驗證,以及支援期間長度的理由。
零組件盡職調查紀錄 · 供應商符合性主張 · 供應商資安通告
攝影機製造商仍需為晶片選擇負責。若某顆晶片、模組或安全元件本身即為 CRA 產品,其供應商符合性主張與通告,是支援製造商盡職調查的輔證,而非替代。
元件清單對新漏洞進行監看;漏洞處理流程分流發現;免費安全更新隨修補釋出並附通告,可行時自動推送。
遭積極利用的攝影機漏洞會啟動時鐘:24 小時內提早警告、72 小時內漏洞通報、矯正或緩解措施可用後 14 天內提交最終漏洞報告。重大資安事件依另一條時鐘運行,沿用同樣的 24 小時與 72 小時節點,並於事件通報後一個月內提交最終事件報告。
運行受影響攝影機的家庭也會收到製造商通知。製造商會告知受影響的擁有者,必要時也告知更廣泛的客戶基礎,問題是什麼、可採取哪些自行操作步驟:強制韌體更新、應用程式升級、密碼重設、選用服務關閉,或轉售前的出廠重設。
攝影機架構檢查點
攝影機釋出檔案應依實際影像產品,而非通用 IoT 檢核清單而設。電池 Wi-Fi 攝影機、PoE 半球攝影機、行動網路戶外攝影機,以及與 NVR 一起銷售的攝影機,可以共用分類討論,但需要不同的工程紀錄。
把圖示當釋出檔案地圖,不是必要部署模式。製造商仍需為自家攝影機、應用程式、雲服務、更新路徑與支援模式,寫明確切的變體邊界。
- 影像與控制路徑。 列出所有可檢視、儲存、匯出或控制影像的路徑:本地串流、Web 管理介面、應用程式工作階段、雲端中繼、分享連結、支援匯出,以及 NVR 或 VMS 相容性主張。
- 本地曝險。 設定完成後與更新後對攝影機掃描。指出哪些服務可達、哪些需要驗證,以及哪些串流或管理路徑維持停用。
- 客戶系統。 把路由器、安裝商網路、第三方錄影機、外部身分提供者與監看中心視為攝影機製造商產品之外,除非製造商把該層作為銷售方案的一部分供應。
- 製造商供應的後端。 判定是否納入帳號服務、簽章管線、事件或通知服務、支援入口、付費功能旗標服務,以及任何雲端 ML 路徑。
- 更新授權。 把更新授權視為雙向交換:攝影機檢查或接收更新中繼資料,更新服務回傳該確切變體的簽章韌體或應用程式套件。簽章更新、復原插槽、降級拒絕與使用者通知紀錄應與釋出版本一同留存。
- 供應商輸入。 為 SoC、Wi-Fi 模組、媒體堆疊、AI 模型、P2P SDK 與開機載入器各自指派負責人、版本、通告監看與釋出決定。
- 上市後迴圈。 漏洞通報、重大事件、供應商通告與場域故障應更新威脅模型、殘留風險紀錄、技術檔案與下一個釋出閘門。
攝影機風險評估實作範例
把本節以下內容當作一個攝影機實作範例來讀,而不是可直接複製的檢核表。意圖是展示攝影機製造商對單一具體變體應能辯護到何種深度:晶片組與模組選擇、韌體版本、雲端中繼、OTA 通道、實際監看的供應商通告、註冊的銷售通道,以及承諾的支援視窗。
我們在評估什麼產品?
範例產品,非真實裝置:ExampleCo IndoorCam X1,於歐盟銷售用於家庭保安監看的室內智慧家庭攝影機。它錄製 1080p 影像與音訊、把片段儲存於 microSD 卡、透過行動應用程式對擁有者串流即時影像、設定期間提供本地 Web 管理介面、首次使用時以 BLE 進行配對、以 Wi-Fi 連線,並由製造商接收簽章韌體更新。
本範例的產品邊界包含攝影機硬體、嵌入式韌體、microSD 錄影、行動應用程式配對流程、製造商雲端中繼、帳號服務、OTA 更新服務、資安通告流程,以及漏洞通報窗口。不包含客戶路由器、第三方 VMS/NVR、家庭自動化平台或專業監看中心。
產品的預定使用者為室內家庭環境中的非技術背景家用使用者。不適用於工業 CCTV、公共空間監看、門禁、生物辨識、身分驗證、職場監看或關鍵基礎設施保安作業。
撰寫威脅表前,先測試三條通常會驅動風險評估的攝影機路徑:影像保管、裝置身分與設定後曝險。這些圖把實作範例變成工程問題,而不是通用威脅清單。
影像保管細節:來源是攝影機感測器、麥克風與編碼器,含影像調校 blob、音訊路徑、隱私遮罩、AI 偵測輸入與串流設定檔,並綁定到韌體版本。本地檢視路徑包含 ONVIF、RTSP、Web 預覽或瀏覽器,並由驗證與曝險掃描確認。遠端檢視路徑包含雲端中繼、P2P SDK 或擁有者應用程式,並由權杖範圍與中繼測試確認。本地媒體路徑包含 microSD 片段與抽取式儲存,並由重設與抽卡測試確認。支援路徑包含支援包與診斷匯出,並由遮蔽檢核表確認。
重設、解綁與 RMA 抹除測試證明哪些影像、權杖與帳號連結會在轉售、整新或支援移交之前被移除。
擁有權與影像保管是兩件不同的檢查。攝影機可能串流受到保護,但若舊擁有者、共用使用者或復原後的手機在移轉後仍保有存取,仍可能失敗。
身分生命週期細節:出廠配置建立攝影機金鑰或憑證、記錄硬體身分、鎖定量產除錯存取。擁有者設定使用通過驗證的帳號加上一次性、短效的 QR、BLE 或應用程式宣示權杖,攝影機綁定後關閉首次使用視窗。日常運作對密碼重設、帳號復原、手機遺失復原、家庭分享、訪客檢視者與瀏覽器工作階段,套用同一套撤銷模型。擁有者移轉需要授權的解綁路徑,先移除舊帳號、撤銷已分享使用者、終止有效工作階段,攝影機才可被再次宣示。出廠重設、RMA 與整新依產品設計移除帳號連結、憑證、片段與診斷;RMA 處理不應淪為竊盜洗白路徑。
濫用測試:設定權杖會到期、為一次性,且擁有者宣示後鄰近攻擊者無法再用;舊手機、訪客使用者或瀏覽器工作階段在復原後無法繼續取得即時或錄影存取;本地重設不會留下雲端綁定、帳號權杖或片段。
擁有權測試完之後,檢查網路、應用程式、抽取式媒體與支援流程上還可達的服務。這把曝險審視綁回實際出貨行為,而不是通用的埠掃描結果。
存取面細節:本地 LAN 服務包含 RTSP、ONVIF、Web 管理介面與探索端點,釋出紀錄為曝險掃描。遠端檢視包含雲端中繼、分享與裝置身分,釋出紀錄為雲端權杖範圍測試。抽取式媒體包含 microSD 片段、重設行為與儲存決策,釋出紀錄為 microSD 重設結果。支援診斷包含日誌、當機傾印與支援模式,釋出紀錄為支援模式稽核樣本。
我們要保護哪些資產?
攝影機在同一個外殼裡保護的東西差異極大:孩子房間的錄影片段、可以控制鏡頭轉向的擁有者帳號,以及控制今年所有出貨裝置的韌體簽章金鑰,都活在同一項產品背後。先把它們列為不同資產,因為控制集、測試證據與釋出紀錄在它們之間有極大差異。
| 資產 | 為何重要 | 位於何處 |
|---|---|---|
| 即時與錄影的影音 | 暴露私密空間、作息、訪客、孩子、寵物與對話內容 | 感測器、RAM、編碼器、microSD、串流緩衝、雲端中繼 |
| 擁有者帳號與復原因素 | 被接管後可遠端檢視、重設裝置、變更分享設定 | 行動應用程式、身分服務、email/簡訊復原路徑 |
| 裝置對雲端憑證 | 長效信任權杖;在已部署機群中難以輪替 | 安全元件或受保護儲存、帳號綁定服務 |
| 韌體簽章信任根 | 一旦失守,更新通道可能變成惡意程式通道 | 開機鏈、金鑰庫、簽章服務、釋出管線 |
| 本地網路位置 | 攝影機位於家庭 LAN 內,能看到本地對等裝置 | Wi-Fi 介面、DHCP 租約、mDNS/SSDP 視野 |
| 診斷與支援包 | 可能洩漏序號、帳號 ID、網路名稱與當機追蹤 | 裝置日誌、支援入口、內部支援工具 |
| 使用者操作說明與支援日期 | 影響安全設定、更新預期與支援終止處理 | 包裝、網頁手冊、應用程式 UI、產品上架資訊 |
主要的信任邊界在哪裡?
攝影機同時身處五個地方:裝置本身、室內任何人都能取出的 microSD 卡、與手機及不明 IoT 對等裝置共用的家庭網路、觸及每一支現場攝影機的製造商後端,以及握有即時工作階段的擁有者手機或瀏覽器。每一處改變攻擊者的機會,要求不同的控制面,因此即使彼此相連,信任邊界模型仍將其分別列出。
| 環境 | 預期保護 | 為何會改變機率 |
|---|---|---|
| 攝影機內部 | 實體存取受限,但存在維修、竊盜、轉售與除錯墊 | 遠端機率較低,但金鑰若可取出則後果較重 |
| microSD/本地媒體 | 進入室內者都可能取出或複製卡片 | 家中若有訪客、清潔員、租客或轉售,本地存取確有可能 |
| 家庭網路 | 與筆電、手機、電視、印表機與不明 IoT 裝置共用 | 受入侵的對等裝置可攻擊本地管理、探索或串流服務 |
| 製造商後端 | 對網際網路提供服務,且由整批已部署機群共用 | 後端一次失誤可從一戶擴大至多戶 |
| 擁有者端點 | 手機與瀏覽器曝露於釣魚、惡意程式與帳號重複使用 | 帳號失守經常繞過裝置強化 |
應先評估哪些威脅?
本範例先列出十六項產品專屬威脅。重點不在於窮盡,而是展示製造商應能展現的可追溯深度。
| 編號 | 威脅情境 | 受影響資產 | 進入點 |
|---|---|---|---|
| T1 | 共用或可預測的首次使用機密讓攻擊者搶在擁有者完成設定前宣示攝影機 | 擁有者帳號、影像串流 | BLE 上線/本地設定 |
| T2 | 本地 Web 管理介面接受弱密碼,或設定後仍維持開啟 | 設定、串流存取 | 家庭網路 |
| T3 | 被竊的行動應用程式權杖在密碼重設後仍然有效,繼續開啟攝影機畫面 | 擁有者帳號、即時影音 | 擁有者端點/雲端中繼 |
| T4 | P2P 退場、STUN/TURN/ICE 處理、UPnP 或打洞,在中繼路徑失敗或被阻擋時把攝影機直接曝險 | 韌體服務、串流存取 | 鄰接網際網路的中繼路徑 |
| T5 | ONVIF/RTSP 在 LAN 上以弱驗證回應,或串流 URL 可被探出 | 即時影音 | 家庭網路 |
| T6 | 復原插槽接受未簽章、舊版或被降級的韌體映像 | 韌體完整性、簽章信任根 | OTA/復原路徑 |
| T7 | UART/JTAG 墊在竊盜、維修或轉售時允許開機階段存取 | 裝置機密、韌體、日誌 | 實體除錯存取 |
| T8 | microSD 片段在卡片取出後或攝影機轉售後仍可讀取 | 錄影影音 | 本地媒體 |
| T9 | BLE 上線將 Wi-Fi 憑證或裝置配對機密暴露給鄰近攻擊者 | Wi-Fi 憑證、擁有者帳號 | BLE 設定視窗 |
| T10 | 支援包含序號、帳號、SSID、權杖片段或私密當機追蹤 | 診斷資料、帳號可關聯性 | 支援上傳 |
| T11 | Wi-Fi 模組或媒體堆疊的供應商漏洞在支援期間未被偵測 | 韌體、可用性、串流機密性 | 供應商通告缺口 |
| T12 | RMA 或轉售重設未抹除帳號綁定、片段或裝置憑證 | 擁有者帳號、錄影媒體、裝置對雲端憑證 | 退貨路徑 |
| T13 | 探索服務向 LAN 上所有裝置揭露型號、韌體、序號或串流中繼資料 | 裝置指紋、串流曝險 | ONVIF/WS-Discovery/mDNS |
| T14 | RTSP 串流器與 Web 管理介面採不同保護,使即時串流在管理強化後仍可達 | 即時影音 | 本地串流服務 |
| T15 | 第三方 P2P 或媒體 SDK 缺陷允許裝置 UID 預測或列舉、裝置冒名或串流工作階段失守 | 即時影音、裝置憑證 | 雲端中繼/SDK |
| T16 | 攝影機韌體使用 SBOM 監看流程中沒有的供應商 ISP、Wi-Fi 或 AI blob | 韌體完整性、漏洞處理 | 供應商韌體 |
初步風險應如何排序?
選定控制前,先用簡單的內部評等。本範例中,機率依曝險與攻擊者機會;影響依隱私傷害、機群規模、持續性,以及威脅是否破壞某項保安機制。具體標籤不如旁邊記下的理由重要。
採用釋出閘門位階,讓每一項攝影機風險不致都拿到同一種裁定:
| 閘門裁定 | 在這次攝影機釋出中的意義 |
|---|---|
| 阻擋釋出 | 失敗測試通過前,攝影機不出貨:依威脅不同,可能是配對、串流驗證、簽章更新驗證、RMA 抹除或設定後服務曝險掃描。 |
| 除非書面說明否則阻擋 | 補償性控制、變體專屬限制或安裝模式理由經書面、審視並釘到攝影機釋出檔案,才可釋出。 |
| 帶監看出貨 | 攝影機可出貨,但釋出檔案需指名作用中的監看訊號(供應商 CVE 來源、P2P SDK 通告、濫用遙測)與支援期間負責人。 |
| 移轉至指引 | 曝險取決於家庭網路、擁有者手機或攝影機製造商範疇外的第三方錄影機,因此檔案改保留安裝者或使用者指引,不嘗試控制客戶端。 |
| 接受 | 某些攝影機表面(文件化的探索回應、LAN 中繼資料)帶有先天殘留風險,因此檔案紀錄最小化證據與接受剩餘風險的理由。 |
| 編號 | 機率 | 影響 | 閘門裁定 | 理由 |
|---|---|---|---|---|
| T1 | 中 | 高 | 阻擋釋出 | 首次使用接管確有可能,且削弱擁有權 |
| T2 | 高 | 中 | 阻擋釋出 | 家庭 LAN 內存在不受信任對等裝置與重複密碼 |
| T3 | 中 | 高 | 阻擋釋出 | 帳號權杖失竊可在不碰攝影機的情況下進行遠端檢視 |
| T4 | 低 | 高 | 除非書面說明否則阻擋 | 路徑罕見,但直接曝險可擴散;出貨產品需有書面化的中繼與 NAT 穿越決策 |
| T5 | 中 | 高 | 阻擋釋出 | 本地串流曝險即為直接的隱私失誤 |
| T6 | 低 | 高 | 阻擋釋出 | 更新失守具持續性且影響整批機群 |
| T7 | 中 | 中 | 除非書面說明否則阻擋 | 實體除錯在竊盜、維修或轉售時有可能;釋出需有除錯鎖或服務理由 |
| T8 | 高 | 中 | 除非書面說明否則阻擋 | 本地取卡常見;應加密片段或明確記載抽取式媒體限制 |
| T9 | 中 | 高 | 阻擋釋出 | 上線時間雖短,但會暴露家庭網路憑證 |
| T10 | 中 | 中 | 除非書面說明否則阻擋 | 支援資料外洩不易察覺;支援匯出須最小化、遮蔽或明確關閉 |
| T11 | 中 | 高 | 帶監看出貨 | 支援期間預期會出現供應商 CVE;釋出需有負責人與通告監看 |
| T12 | 中 | 高 | 阻擋釋出 | 消費型裝置的退貨與轉售路徑為可預見情況 |
| T13 | 中 | 中 | 接受 | 部分 LAN 中繼資料是文件化探索協定的固有屬性;在曝險最小化與選用探索的使用者指引前提下接受殘留風險 |
| T14 | 中 | 高 | 阻擋釋出 | 串流驗證不得弱於文件化存取模型 |
| T15 | 低 | 高 | 帶監看出貨 | SDK 或中繼弱點可能波及大量裝置,釋出需有版本負責人與濫用監看 |
| T16 | 中 | 高 | 除非書面說明否則阻擋 | 閉源或由供應商維護的 blob 需有釋出負責人、通告通道與更新路徑,或書面殘留風險決策 |
哪些設計控制能改變風險樣貌?
把每一列控制綁回具體的攝影機測試,而非通用的安全開發檢核表。釋出檔案應能從威脅編號指向證明該控制運行於出貨韌體版本上的精確配對測試、串流驗證掃描、簽章更新驗證日誌、設定後服務清單或 RMA 抹除紀錄。
| 威脅 | 設計控制 | 製造商應留存的證據 |
|---|---|---|
| T1、T2 | 每台裝置專屬設定機密、強制擁有者註冊、無共用預設密碼、註冊後設定介面關閉 | 設定測試日誌、憑證政策、未驗證管理存取的反向測試 |
| T3 | 短效應用程式權杖、裝置綁定工作階段、密碼重設時伺服器端撤銷、登入異常監看 | 權杖效期政策、撤銷測試、帳號復原濫用測試 |
| T4、T5 | 預設停用 UPnP、驗證後中繼、驗證後 ONVIF/RTSP、設定後服務清單 | 網路曝險掃描、串流驗證測試、中繼設定審視 |
| T6 | 安全開機、簽章 OTA、單調版本計數器、復原插槽簽章檢查、回滾政策 | 開機鏈證據、更新驗證測試、降級拒絕測試 |
| T7 | 量產熔絲關閉除錯、封閉或文件化除錯墊、可讀 UART 輸出不含機密 | 硬體量產檢核表、除錯鎖驗證、拆解風險備註 |
| T8 | 變體支援時採用加密 microSD 錄影(如支援機型上的 Eufy、TP-Link Tapo);出廠重設時安全清除;對未加密錄影的變體在手冊與應用程式中明確警告 | 儲存設計備註、重設測試、使用者說明截圖、應用程式內警告擷取 |
| T9 | 驗證後 BLE 配對、短配對視窗、Wi-Fi 機密絕不以明文傳輸、配對速率限制 | 配對協定審視、射頻測試、失效模式測試 |
| T10 | 支援包最小化、權杖遮蔽、上傳前使用者同意、保存期限 | 支援結構描述、遮蔽測試、支援流程證據 |
| T11 | SBOM 監看、廠商通告監看、受影響元件分流、簽章更新釋出流程 | SBOM 差異日誌、供應商通告紀錄、分流決定 |
| T12 | RMA 抹除流程、雲端解綁、重設時憑證輪替、整新裝置檢核表 | 退貨產線檢核表、重設證據、雲端解綁稽核 |
| T13、T14 | 設定後服務清單、驗證後串流 URL、探索回應最小化、設定檔/版本測試證據 | 曝險掃描、ONVIF/RTSP 驗證測試、探索回應稽核 |
| T15 | P2P SDK 清單、工作階段權杖範圍、裝置 UID 熵、SDK 通告監看、冒名與濫用案例測試 | SDK 版本紀錄、UID 列舉測試、裝置冒名測試 |
| T16 | ISP、Wi-Fi、編碼器與 AI 元件的供應商韌體清單;元件負責人與更新路徑 | 供應商物料清單、通告監看紀錄、釋出決定日誌 |
控制套用後仍存的殘留風險?
控制不會關閉檔案。攝影機出貨後,製造商仍需運行積極管理的風險:韌體更新通道、擁有者帳號接管路徑,以及支援期間在 Wi-Fi 堆疊、媒體函式庫與 P2P SDK 不斷浮現的長尾供應商 CVE。殘留紀錄唯有當製造商能指出對這些訊號的即時監看、對新通告的分流決定、實際送達已部署攝影機的簽章更新、發出的擁有者通知,以及每一筆背後的矯正措施時,才算可信。
| 殘留領域 | 仍存的原因 | 營運證據 |
|---|---|---|
| 受入侵的擁有者端點 | 製造商無法完全控制使用者的手機、瀏覽器、電子郵件或密碼衛生 | MFA 支援、權杖撤銷、可疑登入告警、使用者指引 |
| 釋出後才發現的供應商漏洞 | 媒體函式庫、Wi-Fi 韌體、核心與 TLS 函式庫仍會持續出現 CVE | SBOM 監看、供應商通告接收、影響分析、修補紀錄 |
| 本地實體存取 | 家中攝影機可能被偷、轉售、維修,或被訪客接觸 | 重設流程、除錯鎖證據、儲存警告、RMA 抹除紀錄 |
| 網路曝險漂移 | 韌體更新、中繼變更或功能旗標可能重新開啟服務 | 每次釋出曝險掃描、服務清單、變更核准 |
釋出閘門即是風險登錄表本身。不要另外加一張只是把同樣工作再說一次的「資安已審視」卡片。簽核時,釋出負責人應能從阻擋或條件性威脅,指向其結案證據:T1/T2/T5/T14 的配對與串流測試、T3 的權杖撤銷、T6 的簽章更新測試、T8 的儲存/重設證據、T12 的 RMA 抹除證據,以及 T11/T16 的供應商監看。
從概念到支援的攝影機開發擁有權
主導擁有權隨著攝影機由產品定義走到上線支援而轉移。利用這份移交,在每一階段指派一位主導人、一份維護中的紀錄與一道審視閘門。
擁有權細節:產品與資安在概念階段擁有變體邊界備忘錄。產品資安與韌體、雲端在架構階段擁有信任邊界圖、威脅登錄表與閘門位階。韌體、雲端、應用程式、供應商負責人在實作階段維護簽章更新規則、權杖與工作階段控制、元件清單、供應商通告來源與功能旗標決定。QA 與產品資安在驗證階段維護曝險掃描、串流驗證測試、影像保管測試、重設或 RMA 抹除演練與殘留風險決定。合規與釋出負責人維護釋出包、技術檔案目錄、操作說明、支援期間聲明、簽章宣告、進口商包與通報整備。PSIRT、支援與工程於釋出後維護接收、供應商通告分流、使用者通知、簽章修補、端點下架、回歸測試與矯正措施紀錄。
移交細節:於架構工作前凍結邊界、於實作前凍結設計意圖、於驗證前凍結候選版本、於釋出前凍結決定,並讓釋出在支援期間持續運作。進來的通報、供應商通告、事件結果與回歸結果會重新開啟下一輪邊界備忘錄、威脅登錄表與元件清單。
製造商證據地圖
審視者或公告機構評鑑員走過一份攝影機技術檔案的方式,就像安裝者走過一個箱子:從貼有標籤的產品開始,經過隨附的數位元件,到買方被承諾的支援證據。下表列出攝影機製造商應為這趟巡禮維持最新的紀錄;每一列都應是產品資料夾中持續維護的檔案,而不是簽核前抓的截圖。
| 證據領域 | 保安攝影機應記錄的內容 |
|---|---|
| 產品識別 | 型號、韌體版本、隨附應用程式、雲服務、硬體版本 |
| 預定用途 | 產品是銷售用於居家保安、嬰兒監看、門鈴保安或專業監看 |
| 風險評估 | 攝影機存取、影像機密性、憑證設定、本地網路曝險、雲端 API 曝險 |
| SBOM 與硬體元件證據 | 韌體套件、嵌入式 Linux/RTOS 元件、影像處理函式庫、Wi-Fi/乙太網路模組韌體、SoC 與安全元件(若有) |
| 預設安全 | 無共用預設密碼、安全的首次設定、驗證後管理存取、受保護的遠端存取 |
| 更新機制 | 簽章韌體更新、回滾策略、支援期間內的更新可用性 |
| 漏洞處理 | CVD 政策、通報窗口、分流流程、資安通告流程 |
| 使用者操作說明 | 安全安裝、帳號設定、更新設定、支援終止揭露 |
| 可追溯性與聯絡 | 攝影機型號與序號編碼、批次識別碼、包裝標記、歐盟製造商或進口商聯絡資訊、買方在購買前可讀到的支援期間終止日期,以及由真人資安團隊回覆的公開漏洞通報地址 |
適合性評估路線
攝影機邊界、風險評估、控制與殘留風險都清楚之後,才選擇適合性路線。否則路線決定會跑在工程紀錄之前。
重要產品 Class I 並非每一案皆自動需要公告機構。內部控制路線僅於必要標準、共同規範或方案就適用要求完整套用時可採。
確認是否存在相關調和標準、共同規範,或保證等級至少達「實質」的歐盟資安認證方案,並涵蓋適用的基本要求。若不存在、僅部分套用,或未涵蓋所有相關要求,則改採模組 B+C 或模組 H。
實際攝影機釋出時,將釋出檔案準備到彷彿可能需要第三方審視,再於該攝影機產品的適用標準與方案明朗時確定路線。
選定的路線連同釋出簽核紀錄一同保存,包含所依憑的參照、其涵蓋的要求,以及任何迫使採第三方路線的缺口。
製造商釋出簽核
攝影機釋出到歐盟市場之前,簽核應將分類、邊界、威脅模型、控制、更新路徑與上市後流程匯聚為單一決策。下表為審視者可由此檢索的簡要釋出檔案。
| 釋出問題 | 攝影機專屬證據 |
|---|---|
| 為何此產品歸類為智慧家庭保安攝影機? | 預定用途聲明、銷售通道、安裝情境、產品變體與分類理由 |
| 含數位元件的產品確切是什麼? | 攝影機本體、韌體、本地介面、行動應用程式、與產品一同供應的雲端處理、更新服務,以及排除的第三方部署系統 |
| 最高風險的存取路徑是什麼? | 管理介面、ONVIF/RTSP、本地網路探索、雲端 API、帳號復原、遠端檢視、microSD 存取、除錯埠與服務憑證 |
| 預設啟用了哪些安全保護? | 無共用預設密碼、受保護的首次設定、驗證後管理存取、曝險服務審視、加密決策、安全的遠端存取 |
| 將如何安全更新攝影機? | 簽章韌體、金鑰保管、回滾行為、部分快閃復原、更新可用性、使用者通知,以及支援期間的免費安全更新 |
| 出貨後將如何處理漏洞? | 公開窗口、CVD 政策、分流流程、SBOM 監看、供應商通告監看、資安通告流程、24 小時早期警告整備、72 小時通報整備,以及最終報告證據 |
經濟營運者交接檢查
釋出檔案應讓從製造商到進口商、經銷商與自有品牌賣家的交接可被檢驗。對攝影機而言,弱點通常不只是 CE 標章本身,而是出貨、上架、應用程式、雲服務與更新通道是否仍與已評估的釋出一致。
經濟營運者交接細節:製造商或自有品牌業者擁有該支攝影機釋出的製造商檔案。進口商於將出貨投放歐盟市場之前,先確認分類理由、宣告、CE 標章控制、技術檔案目錄、支援期間聲明、漏洞通報窗口、元件清單處理、目的地語言說明,以及進口商身分。經銷商於銷售前檢查可見的盡職護理訊號,包含 CE 標章、隨附文件、製造商與進口商可追溯性、目的地語言說明、支援與更新聲明、線上上架一致性,以及已知不符合訊號。
停止條件:若釋出檔案、可追溯性、支援聲明、應用程式或雲端依賴、更新通道或已知漏洞令人有理由認為釋出不符合,則暫停出貨或上架。EU 授權代表授權書與進口商或經銷商盡職護理分開審視。製造商角色觸發:當自有品牌、韌體、應用程式、雲端、更新通道、橋接、NVR 組合或預定用途的變動可能影響符合性或預定用途時,重新跑一次製造商角色分析。GDPR、無線電設備指令資安、生物辨識、AI Act 與 NIS2 的問題與 CRA 分類答案分開處理。
下一張圖作為角色檢核表。第一張交接圖呈現出貨與上架流程;這張把進口商、經銷商、授權代表、自有品牌賣家與相鄰法規審視者各自的檢查分開。
每個角色面板把營運者應跑的驗證與暫停出貨、上架或釋出的停止條件配對列出。進口商與經銷商位於 CRA 流程本身。授權代表僅在製造商非歐盟時適用,並與進口商或經銷商的盡職護理分開審視。自有品牌賣家的檢查可能因為變動足以影響符合性或預定用途而產生製造商角色;分類、符合性聲明、技術文件、通報流程與支援期間規劃不可作為非正式的供應商承諾繼承。相鄰法規(GDPR、無線電設備指令資安、AI Act、NIS2)留在 CRA 分類答案之外,需要各自獨立的評估。
常見問題
智慧保安攝影機在 CRA 下屬於 Class I 或關鍵?
智慧家庭保安攝影機的核心功能為智慧家庭物理保安時,通常屬於重要產品 Class I。攝影機不會僅因處理影像或位於敏感網路上而被歸為關鍵。
分類紀錄:一份備忘錄,記下該支攝影機變體、銷售主張、預定保安功能、隨附數位元件與路線理由。
智慧家庭保安攝影機是否需要公告機構?
不一定。實務判斷在於:製造商是否能完全仰賴攝影機基本資安要求的適用標準、共同規範或合格的資安認證方案。涵蓋若有缺漏或僅部分,則規劃第三方路線,而非假設可走內部控制。
適合性路線紀錄:列出該攝影機產品所依憑的參照、其涵蓋的要求、任何缺口,以及選定的路線。
專業 CCTV 攝影機或 NVR 是否自動歸入同一類?
不。不要單憑「攝影機」一詞就將專業監看分類。CCTV 攝影機、VMS 或 NVR 仍可能是含數位元件的產品,仍需 CRA 資安工作,但路線取決於預定用途、隨附元件,以及客戶所仰賴的功能。
邊界紀錄:專業監看變體備忘錄,涵蓋攝影機、錄影機、VMS、安裝商雲、遠端存取路徑,以及隨銷售方案供應的任何獨立產品。
攝影機若含臉部辨識、門禁、防火牆或 VPN 功能該怎麼辦?
視為分類警示。若攝影機主要是智慧家庭保安攝影機,那些功能可能屬於攝影機風險評估的一部分。若產品主要是門禁讀卡器、生物辨識裝置、VPN 閘道器、防火牆、IDS/IPS 或其他列名資安產品,先就該核心功能分類,不要硬把產品塞回攝影機類別。這很重要,因為某些類別有更嚴格的路線;例如防火牆與 IDS/IPS 為 Class II。
重審觸發:當攝影機控制的是身分、存取、網路過濾、VPN 存取或入侵偵測,而非僅影像監看時,另開核心功能檢查。
雲端影像儲存會改變產品邊界嗎?
雲端儲存不會自動改變分類。若製造商供應的雲端處理由製造商設計或於其責任之下設計,且攝影機若無該處理則某項功能無法執行,則該處理視為產品邊界、證據與風險評估的一部分。產品分類仍依攝影機的核心功能,除非另一項列名功能才是主角。
邊界紀錄:一張雲端依賴地圖,標示哪些雲服務隨攝影機供應、哪些功能少了它便無法執行、處理哪些資料,以及哪些系統在製造商銷售方案之外。
ONVIF、RTSP 或本地 Web 管理在設定後該保持開啟嗎?
僅當釋出對該表面有書面化的存取模型時。消費型攝影機可為合法的設定、安裝商或錄影機用途而開放本地串流或管理,但釋出檔案應顯示:註冊後該表面是否仍可達、由哪一種驗證保護、是否採用傳輸加密,以及哪一項使用者設定或變體主張足以正當化它。
測試產出:設定後與更新後的服務掃描、ONVIF/RTSP 驗證測試、探索回應審視,以及每一個本地表面的釋出決定。
風險評估何時應更新?
當已釋出的攝影機狀態以影響信任的方式變動時:新的 ONVIF 設定檔、遠端檢視模式、帳號復原流程、雲端中繼、OTA 通道、晶片組、韌體基底、行動應用程式驗證變更、支援包欄位或出廠重設行為。如果變動的功能重新開啟一條攻擊路徑,僅靠版本說明並不足夠。
重審觸發:任何改變存取、更新授權、儲存影像、帳號綁定、支援資料或重設行為的功能或供應商變更,都會重新開啟邊界與風險評估。