NIST发布消费物联网产品网络安全标签推荐标准
来源 | 物联网智库2022-02-09 17:05:15
近日,美国国家标准与技术研究院(“NIST”)发布了《消费物联网产品网络安全标签推荐标准》(“物联网标准”)。物联网标准为消费物联网产品的网络安全标签提供建议,换句话说,为个人、家庭或家庭使用的物联网

近日,美国国家标准与技术研究院(“NIST”)发布了《消费物联网产品网络安全标签推荐标准》(“物联网标准”)。物联网标准为消费物联网产品的网络安全标签提供建议,换句话说,为个人、家庭或家庭使用的物联网产品提供建议。

物联网

正如NIST所描述的,该出版物的目的是确定“潜在标签方案的关键要素”然而,该出版物明确指出,该计划不会由NIST建立或管理,而是由“另一个组织或计划”建立或管理,该出版物称之为“计划所有者”计划所有人的身份尚未确定,但“可能是公共或私营部门”实体。

物联网标准的发布代表着面向消费者物联网产品的国家网络安全标签计划的更进一步。我们应该期待NIST在这份出版物中建立的框架将成为这些要求的典范。

物联网标准框架。物联网标准为潜在的网络安全物联网标签计划的三个关键方面确立了推荐的考虑因素:

  • 基线产品标准

  • 标记

  • 合格评定

基线产品标准

关于“基线产品标准”,物联网标准建议采用“基于结果的方法”,该方法“考虑到了物联网产品多样化市场所需的灵活性。”物联网标准没有要求具体的技术规范,而是列出了理想的基线“结果”,如果实现这些结果,将增强物联网产品的网络安全性。基于结果的方法“允许网络安全解决方案和缓解措施随着时间的推移而升级和改变,而不会显著改变产品的标签标准。”推荐的标准是作为基线。该出版物讨论了十项基准产品标准:

资产识别

物联网产品是(1)唯一可识别的,(2)库存其所有组件。

产品配置

物联网产品具有(1)可更改的配置,(2)“恢复安全默认设置的能力”,以及(3)限制对“授权个人、服务和其他物联网产品组件”实施更改的能力

数据保护

物联网产品及其组件保护存储和传输的数据免受未经授权的访问、泄露和修改。

接口访问控制:“物联网产品及其组件将对本地和网络接口以及这些接口所使用的协议和服务的逻辑访问限制为仅授权的个人、服务和物联网产品组件。”

软件更新

物联网产品和组件软件只能由授权的个人、服务和其他物联网产品组件通过“一种安全且可配置的机制(视每个物联网产品组件的情况而定)”进行更新

网络安全状态感知

“物联网产品支持检测影响或受物联网产品组件及其存储和传输的数据影响的网络安全事件。”

文档

物联网产品开发人员应在产品开发过程中、客户购买之前以及随后的生命周期中,创建、收集和存储与物联网产品及其组件的网络安全相关的信息。

信息和查询接收

物联网产品开发人员应该能够“接收与网络安全相关的信息,并响应客户和其他人对该信息的查询”。

信息传播

物联网产品开发者应广播和传播与网络安全相关的信息。

产品教育和认知

物联网产品开发人员应“在物联网产品生态系统中”就与物联网产品及其产品组件相关的网络安全相关信息(例如,注意事项、功能)创建认知并教育客户和其他人

标签注意事项

接下来,该出版物提出了关于标签注意事项的建议。关于NIST标签指南的几点说明:

  • NIST建议使用二进制标签——“一个单一的标签表明产品已经达到基线标准。”

  • 除了二进制标签之外,NIST还提出了一种“分层”方法,即通过网址或可扫描代码(如二维码)在线向消费者提供额外的详细信息。

  • NIST还强调“适当支持数字和物理格式”的灵活性,并鼓励与消费者一起定期测试,以评估标签的适当性和可用性。

  • NIST推荐旨在支持“物联网产品的非专家家庭用户”的特定标签内容因此,NIST表示,消费者应该在购买前、购买时(店内或网上)和购买后都可以使用标签。

  • 此外,结合一个标签,NIST建议“一个强大的消费者教育运动。”

合格评定考虑因素

物联网标准还建议考虑“符合性评估”,以证明设备是否符合相关标准。NIST强调,“方案所有人必须定制推荐的产品标准,定义合格评定要求,开发标签和相关信息,并开展相关的消费者宣传和教育。”NIST指出,“单一的合格评定方法不可能实现预期的目标”,并列出了可以“单独或结合”使用的几种合格评定方法,包括:

  • 自我证明:由提供物联网设备的组织做出的“供应商符合性声明”,声明其符合规定的标准。

  • 第三方测试和检查:基于特定定义标准对消费物联网设备进行的预期外部“确定或检查”。

  • 第三方认证:声明“基于对物联网产品已满足规定标准的全面审查而发布。”

总结:在整个2021年,国会、各州和联邦机构继续关注物联网和物联网网络安全。公司应该期待这一领域的持续发展,特别是潜在物联网网络安全标签计划的持续发展。以消费者为中心的标准表明,重点仍将是在物联网产品市场中优先考虑消费者意识和安全的合规制度。