歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)新規(guī)發(fā)布,旨在加強(qiáng) IOT安全控制

歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)( ETSI )最近發(fā)布了技術(shù)規(guī)范103 645，旨在幫助保護(hù)消費(fèi)者免受物聯(lián)網(wǎng)設(shè)備的侵害。該規(guī)范由ETSI協(xié)會(huì)網(wǎng)絡(luò)安全技術(shù)委員會(huì)制定。

ETSI在全球擁有近900名會(huì)員，包括ABB、佳能、愛(ài)立信、三菱、LG電子、Orange、施耐德電氣、奧迪、德意志銀行、德國(guó)漢莎航空系統(tǒng)、松下、博世、三星電子、西門(mén)子等公司和許多其他世界級(jí)公司。我們可以期待這些組織能夠引領(lǐng)我們走向一個(gè)更加安全的互聯(lián)世界。

加強(qiáng)物聯(lián)網(wǎng)安全控制

在物聯(lián)網(wǎng)安全行業(yè)工作的每個(gè)人都知道，現(xiàn)在的情況就像是一個(gè)蠻荒的西部，在沒(méi)有任何硬性法規(guī)的情況下，為了節(jié)省時(shí)間和成本，該行業(yè)違反了低安全標(biāo)準(zhǔn)。

就像在汽車(chē)上強(qiáng)制使用安全帶和在社交媒體上使用GDPR（歐盟通用數(shù)據(jù)保護(hù)條例）保護(hù)隱私一樣，連網(wǎng)設(shè)備面臨更嚴(yán)格的安全法規(guī)只是時(shí)間問(wèn)題。

有一些舉措可以幫助行業(yè)提高物聯(lián)網(wǎng)的安全性，如美國(guó)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)盾牌法案、智能物聯(lián)網(wǎng)法、美國(guó)國(guó)家標(biāo)準(zhǔn)局管理物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)法案、歐盟網(wǎng)絡(luò)安全法，另外不要忘記最近的SB-327法案，在該法案中，加州將從2020年1月1日起強(qiáng)制實(shí)施物聯(lián)網(wǎng)設(shè)備的基本安全。有充分理由相信這些代表了未來(lái)的要求。

讓我們深入了解ETSI協(xié)會(huì)的新規(guī)范：TS 103 645，以了解未來(lái)的發(fā)展方向。

立法者對(duì)物聯(lián)網(wǎng)產(chǎn)品的期望是什么

TS 103 645附帶了一套相當(dāng)技術(shù)性的要求，這些要求強(qiáng)調(diào)了保護(hù)連網(wǎng)設(shè)備并非小事。安全性必須貫穿產(chǎn)品的整個(gè)生命周期，那些拼湊而成的安全性必將失敗。新規(guī)范提出了13項(xiàng)要求：

1、沒(méi)有通用默認(rèn)密碼

2、實(shí)施管理漏洞報(bào)告的方法

3、保持軟件更新

4、安全存儲(chǔ)憑據(jù)和敏感數(shù)據(jù)

5、安全溝通

6、最大限度地減少暴露的攻擊面

7、確保軟件完整性

8、確保個(gè)人數(shù)據(jù)受到保護(hù)

9、系統(tǒng)應(yīng)該具有彈性，使停機(jī)快速恢復(fù)

10、檢查系統(tǒng)遙測(cè)數(shù)據(jù)

11、方便消費(fèi)者刪除個(gè)人數(shù)據(jù)

12、簡(jiǎn)化設(shè)備的安裝和維護(hù)

13、驗(yàn)證輸入數(shù)據(jù)

保持軟件更新

規(guī)范中的第三個(gè)要求得到的關(guān)注最多，并且也被認(rèn)為是最重要的安全措施之一。

“保持軟件更新”要求包括以下條款：

▲消費(fèi)者物聯(lián)網(wǎng)設(shè)備中的所有軟件組件都應(yīng)該可以安全更新

▲當(dāng)需要更新時(shí)，應(yīng)該通知消費(fèi)者

▲應(yīng)及時(shí)更新——這取決于嚴(yán)重程度

▲所有產(chǎn)品應(yīng)有明確的標(biāo)簽，標(biāo)明使用壽命結(jié)束日期

▲應(yīng)該讓消費(fèi)者知道更新的需求，并且易于實(shí)現(xiàn)

▲基本功能應(yīng)該在更新期間保持運(yùn)行

▲安全補(bǔ)丁必須通過(guò)安全通道提供

▲對(duì)于不能更新軟件的受限設(shè)備，產(chǎn)品應(yīng)該是可隔離的，并且硬件可更換

▲對(duì)于不能更新軟件的受限設(shè)備，必須有使用期限和報(bào)廢的明確標(biāo)識(shí)

贏家對(duì)安全非常認(rèn)真

正如麥肯錫對(duì)300家企業(yè)研究結(jié)果所指出的那樣，贏家在產(chǎn)品設(shè)計(jì)階段和生命周期中都將安全性考慮在內(nèi)。隨著監(jiān)管機(jī)構(gòu)越來(lái)越意識(shí)到保護(hù)全球連網(wǎng)設(shè)備的重要性，每個(gè)供應(yīng)商何時(shí)必須遵守基本安全措施想必也只是時(shí)間問(wèn)題。好消息是，安全性對(duì)企業(yè)非常有好處。