近日，安全解决方案厂商NETGEAR和网络安全软件供应商Bitdefender联合发布了一份关于物联网设备安全形势的报告，该报告研究了物联网设备中普遍存在的漏洞，并提出了降低此类风险的措施。该报告采用全球380万个家庭的物联网数据，披露了一些新的物联网安全威胁趋势。在全球物联网连接数急剧增长的背景下，物联网安全成为网络安全和数据安全核心部分之一，必须引起人们重视，需要从顶层制度设计到微观技术进步等各个层面的共同努力。

家庭物联网安全形势严峻

NETGEAR和Bitdefender发布的报告中，披露了一些物联网安全方向的调研数据。该报告对采用NETGEAR相应安全服务的380万个家庭物联网设备安全威胁的数据进行分析，并对约5000万个物联网设备产生的超过91亿次安全事件进行研究，以便发现最常见的漏洞和攻击场景。

该报告揭示了首先对家庭物联网设备的供给威胁进行总结，发现家庭物联网安全形势非常严峻，家庭物联网设备随时都处于被供给状态：

• 每24个小时，每个家庭物联网设备平均会遭受10次攻击，去年这一数据为8次；

• 每24个小时，Bitdefender智能家居安全解决方案平均可阻止250万种威胁，即每分钟大约1736种威胁。

市场研究机构数据显示，目前美国一个典型的家庭平均拥有21台联网设备，除了手机和电脑外，游戏机、智能电视、智能音箱、婴儿监视器、摄像头、家电等设备，在提升家庭生活便利性的同时，也给家庭安全带来巨大隐患，毕竟阻止每天10次攻击的压力不小。

报告中的一个重要发现是，几乎所有针对物联网设备的攻击（高达99.3%）都利用了之前发现的常见漏洞和暴露隐患，只有一小部分攻击利用弱密码或明文身份验证。因此，这一发现强调了用户必须确保他们的设备持续更新最新补丁和软件的必要性。

该报告统计了特别容易受到攻击的特定设备，2023年，发现漏洞数量最多的设备包括智能电视机、智能插座、数字录像机(DVR)和智能路由器，占比分别包括34%、18%、13%和14%。其中，电视机由于其较长的使用寿命和最终缺乏软件支持，特别容易受到攻击。虽然这些统计数据主要来自于海外市场，但不少领域国内家庭也需要特别关注，例如、智能电视、智能路由器在国内家庭中已形成高渗透率，需要高度关注针对这些设备的攻击。

由于物联网设备具有不同的功能和硬件配置，因此安全威胁和互联网差异很大。研究发现的漏洞中，最常见的两种类型是缓存溢出和拒绝服务，占比分别为28.25%和27.2%，其次是代码执行、获得特权、内存损坏和信息泄露。

该报告还提到了与移动设备相关的风险。Bitdefender的另一项研究《2024年消费者网络安全评估报告》显示，78.3%的受访者使用移动设备进行敏感交易。尽管如此，44.5%的受访者没有采用任何形式的移动安全解决方案，这使他们容易受到恶意软件、网络钓鱼企图和数据泄露的攻击。

各国推进物联网安全制度建设，安全标签计划是典型做法

针对日益严峻的物联网安全隐患，除了推动物联网安全厂商大力推进新的技术和解决方案的研发和应用外，多国政府在顶层制度设计、法规建设上发力。这些法规旨在确保物联网设备、网络和数据处理免受未经授权的访问、操纵或攻击。一些国家有专门针对物联网设备的法规或政府指导，而其他国家有也会影响物联网设备的一般网络安全法。

大部分法规有一些共同的主题，包括强制执行最低安全措施、推广设计和开发中的最佳实践，以及要求定期更新和修补。有些还规定了合规检查和失误惩罚，创造了一个结构化的环境来促进更安全的物联网实施。

2020年，美国颁发了物联网网络安全改进法案，这是第一部专门针对物联网设备安全的法律。根据这一法案，物联网设备被定义为拥有至少一个用于与物理环境交互的传感器或执行器、至少一个网络接口以及自主运行而不是作为更大系统的一部分的能力的设备。值得注意的是，该法律不适用于智能手机和笔记本电脑等设备。

这项立法工作的一个重要组成部分是美国国家标准与技术研究院（NIST）制定的指南，特别是NIST SP 800-213系列。该系列包括联邦政府的物联网设备网络安全指南和物联网设备网络安全要求目录。后者提供了符合更广泛的网络安全标准的详细框架。这些指导方针通过广泛的公众反馈和协作进行了完善，强调了对发展物联网安全标准的承诺，这些标准在各种联邦应用中是实用和可适应的。其中，该法案禁止联邦机构采购或使用被认为不符合NIST标准的物联网设备。

近年来，美国大力推进物联网安全标签计划（Cybersecurity Labeling Program）推动消费物联网安全认证，该认证旨在帮助消费者识别符合严格安全标准的物联网设备，如强凭据、定期更新和数据保护。这一计划以市场化方式，让消费者形成用脚投票的机制。

加拿大也发布了个人信息保护和电子文件法案，该法案涵盖的范围很广，不仅适用于从事商业交易的企业，还适用于联邦监管行业中员工的个人数据，在物联网环境中，法案提出了具体要求，确保组织遵守问责和同意原则，并限制使用、披露和保留通过物联网设备收集的个人信息。这些法规要求物联网设备制造商和运营商建立严格的数据保护措施，保持其数据做法的透明度，并允许个人有权访问和控制其个人信息。

欧洲已通过了《网络安全弹性法案（CRA）》，以保护欧盟的所有数字产品免受网络威胁。其中，物联网产品是该法案适用范围“数字产品”的重要组成部分。对于物联网设备，网络弹性法案要求制造商采取严格的合规措施，首先是要求所有带有数字元素的设备必须带有欧盟合格标志，该标志表明产品符合该法案规定的新的严格的网络安全标准。此外，该法案涵盖进口商和分销商，他们负责确保只有符合要求的产品才能进入欧洲市场。

今年3月，日本经济产业省发布了《物联网安全合格评估计划草案》征求意见稿，可以看作是日本版物联网安全标签计划，该计划有助于相关公共组织选择和采购满足一定安全级别的物联网产品，对产品采用通用标准评估并实现可视化，为采购和使用物联网产品提供安全定义，让每个行业组织可以指定必要的认证和标签，而且将通过与其他国家的计划进行协调，来降低物联网产品供应商在出口时所需的合规性评估成本，并旨在实现相互认可。

去年12月，韩国科学与信息通信技术部、韩国互联网与安全局与新加坡网络安全局签署了一份合作协议，就物联网安全认证体系互认。这两个认证系统旨在确保物联网产品能够有效应对安全挑战，保护消费者数据并增强设备完整性以抵御潜在的网络威胁。

物联网高速发展带来的安全隐患，让产业界面临更多挑战，各国将解决这一问题提到较优先的议事日程，安全标签已成为一个典型做法。在此背景下，中国版物联网安全标签计划需要尽快出炉，通过这一全球通用方式，保护消费者合法权益，同时提供中国物联网企业的竞争力。