近日,美國國家標準與技術研究院(“NIST”)發布了《消費物聯網產品網絡安全標簽推薦標準》(“物聯網標準”)。物聯網標準為消費物聯網產品的網絡安全標簽提供建議,換句話說,為個人、家庭或家庭使用的物聯網產品提供建議。
正如NIST所描述的,該出版物的目的是確定“潛在標簽方案的關鍵要素”然而,該出版物明確指出,該計劃不會由NIST建立或管理,而是由“另一個組織或計劃”建立或管理,該出版物稱之為“計劃所有者”計劃所有人的身份尚未確定,但“可能是公共或私營部門”實體。
物聯網標準的發布代表著面向消費者物聯網產品的國家網絡安全標簽計劃的更進一步。我們應該期待NIST在這份出版物中建立的框架將成為這些要求的典范。
物聯網標準框架。物聯網標準為潛在的網絡安全物聯網標簽計劃的三個關鍵方面確立了推薦的考慮因素:
基線產品標準
標記
合格評定
基線產品標準
關于“基線產品標準”,物聯網標準建議采用“基于結果的方法”,該方法“考慮到了物聯網產品多樣化市場所需的靈活性。”物聯網標準沒有要求具體的技術規范,而是列出了理想的基線“結果”,如果實現這些結果,將增強物聯網產品的網絡安全性。基于結果的方法“允許網絡安全解決方案和緩解措施隨著時間的推移而升級和改變,而不會顯著改變產品的標簽標準。”推薦的標準是作為基線。該出版物討論了十項基準產品標準:
資產識別
物聯網產品是(1)唯一可識別的,(2)庫存其所有組件。
產品配置
物聯網產品具有(1)可更改的配置,(2)“恢復安全默認設置的能力”,以及(3)限制對“授權個人、服務和其他物聯網產品組件”實施更改的能力
數據保護
物聯網產品及其組件保護存儲和傳輸的數據免受未經授權的訪問、泄露和修改。
接口訪問控制:“物聯網產品及其組件將對本地和網絡接口以及這些接口所使用的協議和服務的邏輯訪問限制為僅授權的個人、服務和物聯網產品組件。”
軟件更新
物聯網產品和組件軟件只能由授權的個人、服務和其他物聯網產品組件通過“一種安全且可配置的機制(視每個物聯網產品組件的情況而定)”進行更新
網絡安全狀態感知
“物聯網產品支持檢測影響或受物聯網產品組件及其存儲和傳輸的數據影響的網絡安全事件。”
文檔
物聯網產品開發人員應在產品開發過程中、客戶購買之前以及隨后的生命周期中,創建、收集和存儲與物聯網產品及其組件的網絡安全相關的信息。
信息和查詢接收
物聯網產品開發人員應該能夠“接收與網絡安全相關的信息,并響應客戶和其他人對該信息的查詢”。
信息傳播
物聯網產品開發者應廣播和傳播與網絡安全相關的信息。
產品教育和認知
物聯網產品開發人員應“在物聯網產品生態系統中”就與物聯網產品及其產品組件相關的網絡安全相關信息(例如,注意事項、功能)創建認知并教育客戶和其他人
標簽注意事項
接下來,該出版物提出了關于標簽注意事項的建議。關于NIST標簽指南的幾點說明:
NIST建議使用二進制標簽——“一個單一的標簽表明產品已經達到基線標準。”
除了二進制標簽之外,NIST還提出了一種“分層”方法,即通過網址或可掃描代碼(如二維碼)在線向消費者提供額外的詳細信息。
NIST還強調“適當支持數字和物理格式”的靈活性,并鼓勵與消費者一起定期測試,以評估標簽的適當性和可用性。
NIST推薦旨在支持“物聯網產品的非專家家庭用戶”的特定標簽內容因此,NIST表示,消費者應該在購買前、購買時(店內或網上)和購買后都可以使用標簽。
此外,結合一個標簽,NIST建議“一個強大的消費者教育運動。”
合格評定考慮因素
物聯網標準還建議考慮“符合性評估”,以證明設備是否符合相關標準。NIST強調,“方案所有人必須定制推薦的產品標準,定義合格評定要求,開發標簽和相關信息,并開展相關的消費者宣傳和教育。”NIST指出,“單一的合格評定方法不可能實現預期的目標”,并列出了可以“單獨或結合”使用的幾種合格評定方法,包括:
自我證明:由提供物聯網設備的組織做出的“供應商符合性聲明”,聲明其符合規定的標準。
第三方測試和檢查:基于特定定義標準對消費物聯網設備進行的預期外部“確定或檢查”。
第三方認證:聲明“基于對物聯網產品已滿足規定標準的全面審查而發布。”
總結:在整個2021年,國會、各州和聯邦機構繼續關注物聯網和物聯網網絡安全。公司應該期待這一領域的持續發展,特別是潛在物聯網網絡安全標簽計劃的持續發展。以消費者為中心的標準表明,重點仍將是在物聯網產品市場中優先考慮消費者意識和安全的合規制度。
