物聯(lián)網(wǎng)可信計(jì)劃啟動(dòng)，美國開始推行IoT安全標(biāo)簽

近日，美國召集了來自私營企業(yè)、學(xué)術(shù)機(jī)構(gòu)的領(lǐng)導(dǎo)和政要開展會議，討論如何在IoT設(shè)備上實(shí)施網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃。據(jù)了解，美國想要將這一計(jì)劃打造成物聯(lián)網(wǎng)安全上的“能源之星”，對于出口海外的國產(chǎn)IoT設(shè)備廠商來說，他們的認(rèn)證流程或許會又多一環(huán)。

計(jì)劃來由

自2020年以來，美國就在不斷推出加強(qiáng)網(wǎng)絡(luò)安全的政策，比如去年5月發(fā)布的《改善網(wǎng)絡(luò)安全行政令》。在該行政命令中就特別強(qiáng)調(diào)，商務(wù)部長暨美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）院長，應(yīng)該與其他機(jī)構(gòu)代表合作，在現(xiàn)有的消費(fèi)品標(biāo)簽項(xiàng)目上啟動(dòng)試點(diǎn)計(jì)劃，以公示物聯(lián)網(wǎng)設(shè)備的安全性能，同時(shí)激勵(lì)制造商和開發(fā)商參與該項(xiàng)計(jì)劃。

而近日召開的會議上，美國更是強(qiáng)調(diào)要求NIST與聯(lián)邦貿(mào)易委員會合作，推出改良的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，并為這些物聯(lián)網(wǎng)設(shè)備打造一個(gè)標(biāo)準(zhǔn)化的商品標(biāo)簽。參會者包括AT&T、思科、Comcast等通信廠商，也有CSA、谷歌、亞馬遜、LG、索尼、三星等在IoT市場耕耘已久的廠商和聯(lián)盟。

在白宮發(fā)布的新聞稿件中，主要列舉了一些家庭常用的IoT設(shè)備，比如嬰兒監(jiān)視器和智能家電等，所以IoT安全標(biāo)簽主要還是面向消費(fèi)級，尤其是智能家居的IoT設(shè)備。值得一提的是，這次會議并沒有任何芯片原廠的參與，可見這一標(biāo)簽計(jì)劃還是主要針對制造商本身對于產(chǎn)品的安全性設(shè)計(jì)。

IoT安全標(biāo)簽的形式

美國政府表示會在2023年有針對性地推出這一IoT安全標(biāo)簽計(jì)劃，并將其作為全球公認(rèn)的標(biāo)簽來推進(jìn)。雖然并沒有提及這一標(biāo)簽的具體實(shí)現(xiàn)形式，但依然可以從參會者中挖出一些信息。


比如這次會議來自學(xué)術(shù)界的代表為卡內(nèi)基梅隆大學(xué)，他們專攻安全與隱私的Cylab實(shí)驗(yàn)室就曾提出過一個(gè)安全標(biāo)簽原型，比如上圖這個(gè)食品成分表一樣的標(biāo)簽就是他們設(shè)計(jì)的主要標(biāo)簽形式。

從上圖中可以看出，這是一個(gè)型號名為NS200的智能安全攝像頭的標(biāo)簽，注明了出廠固件版本號、更新時(shí)間和生產(chǎn)地區(qū)。在安全機(jī)制上，標(biāo)注了提供直到2022年1月1日的自動(dòng)安全更新，控制訪問方式有密碼、出廠默認(rèn)方式、用戶可更換和多用戶同時(shí)控制。除了本身的安全機(jī)制以外，該標(biāo)簽還提供了這一攝像頭收集的數(shù)據(jù)信息，比如視頻和音頻等。

更重要的是，標(biāo)簽本身還寫明了收集數(shù)據(jù)的用途、存儲位置、分享對象和是否售賣數(shù)據(jù)等，可想而知這個(gè)標(biāo)簽的存在和廠商給出的隱私承諾徹底掛鉤了。但這樣一個(gè)標(biāo)簽本身所占面積就已經(jīng)很大了，如果放在包裝盒上的無疑會影響外觀，所以該標(biāo)簽也提供了一個(gè)二維碼次級標(biāo)簽，掃碼之后即可查看更詳細(xì)的數(shù)據(jù)隱私信息，比如數(shù)據(jù)保存期限、數(shù)據(jù)分享頻率等等。

新加坡的思路

這樣的安全標(biāo)簽計(jì)劃也并非美國首創(chuàng)，其他國家其實(shí)早就開展了類似的計(jì)劃。譬如新加坡網(wǎng)絡(luò)安全局早就推出了網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃（CLS），用于改善物聯(lián)網(wǎng)安全性。這一計(jì)劃最初只是為了覆蓋路由器和網(wǎng)關(guān)而推出的，如今已經(jīng)擴(kuò)展到了所有消費(fèi)級物聯(lián)網(wǎng)設(shè)備上，比如攝像頭、智能門鎖、智能燈具和智能打印機(jī)等。
不過從他們的安全標(biāo)簽來看，更多是針對網(wǎng)絡(luò)安全而不是隱私安全的。新加坡網(wǎng)絡(luò)安全局為IoT設(shè)備的網(wǎng)絡(luò)安全分為了四個(gè)等級，第一級是滿足基本的安全要求，第二級是遵守了安全設(shè)計(jì)規(guī)范，而這兩個(gè)等級都屬于制造商自己的符合性聲明。第三級則是不存在已知的常見軟件漏洞，第四級為可抵抗常見的網(wǎng)絡(luò)攻擊，這兩個(gè)等級都必須在第三方獨(dú)立測試才能通過認(rèn)證。

鑒于各個(gè)國家之間對于網(wǎng)絡(luò)安全等級的標(biāo)準(zhǔn)不同，所以新加坡也和其他國家簽署了互相承認(rèn)協(xié)議，比如達(dá)到新加坡網(wǎng)絡(luò)安全3級的產(chǎn)品與芬蘭的網(wǎng)絡(luò)安全標(biāo)簽互相認(rèn)可，德國IT安全標(biāo)簽的IoT設(shè)備與新加坡網(wǎng)絡(luò)安全2級互相認(rèn)可等等。

結(jié)語

網(wǎng)絡(luò)安全技術(shù)并非停滯不前，而是一直都在不斷改進(jìn)，但I(xiàn)oT設(shè)備可能是網(wǎng)絡(luò)攻擊中最脆弱的硬件設(shè)備之一。就以曾經(jīng)通過智能攝像頭和家用路由器來開展DDoS攻擊的Mirai為例，該惡意工具當(dāng)年導(dǎo)致了大面積網(wǎng)絡(luò)癱瘓。所以此類安全事故出現(xiàn)后影響的可不僅僅只是單個(gè)IoT設(shè)備，甚至可能影響到一大片區(qū)域網(wǎng)絡(luò)。

就以上兩個(gè)例子的標(biāo)簽實(shí)用性來說，或許僅僅給出簡單的網(wǎng)絡(luò)安全標(biāo)簽，再以二維碼的形式提供詳細(xì)的網(wǎng)絡(luò)安全和隱私安全標(biāo)簽更為合理，這樣也不會存在破壞包裝外觀的問題。國內(nèi)雖然也有在推進(jìn)IoT設(shè)備安全標(biāo)準(zhǔn)的建立，但對于消費(fèi)者來說，了解到產(chǎn)品安全特性的過程還是太過繁雜了，只有建立起完善的安全標(biāo)簽系統(tǒng)才能給到用戶更高的透明度。