• 11月22日 星期五

物联网可信计划启动,美国开始推行IoT安全标签

近日,美国召集了来自私营企业、学术机构的领导和政要开展会议,讨论如何在IoT设备上实施网络安全标签计划。据了解,美国想要将这一计划打造成物联网安全上的“能源之星”,对于出口海外的国产IoT设备厂商来说,他们的认证流程或许会又多一环。


计划来由


自2020年以来,美国就在不断推出加强网络安全的政策,比如去年5月发布的《改善网络安全行政令》。在该行政命令中就特别强调,商务部长暨美国国家标准与技术研究院(NIST)院长,应该与其他机构代表合作,在现有的消费品标签项目上启动试点计划,以公示物联网设备的安全性能,同时激励制造商和开发商参与该项计划。


而近日召开的会议上,美国更是强调要求NIST与联邦贸易委员会合作,推出改良的网络安全标准,并为这些物联网设备打造一个标准化的商品标签。参会者包括AT&T、思科、Comcast等通信厂商,也有CSA、谷歌、亚马逊、LG、索尼、三星等在IoT市场耕耘已久的厂商和联盟。


在白宫发布的新闻稿件中,主要列举了一些家庭常用的IoT设备,比如婴儿监视器和智能家电等,所以IoT安全标签主要还是面向消费级,尤其是智能家居的IoT设备。值得一提的是,这次会议并没有任何芯片原厂的参与,可见这一标签计划还是主要针对制造商本身对于产品的安全性设计。


IoT安全标签的形式


美国政府表示会在2023年有针对性地推出这一IoT安全标签计划,并将其作为全球公认的标签来推进。虽然并没有提及这一标签的具体实现形式,但依然可以从参会者中挖出一些信息。


物联网可信计划启动,美国开始推行IoT安全标签

安全与隐私标签 / 卡内基梅隆大学Cylab



比如这次会议来自学术界的代表为卡内基梅隆大学,他们专攻安全与隐私的Cylab实验室就曾提出过一个安全标签原型,比如上图这个食品成分表一样的标签就是他们设计的主要标签形式。


从上图中可以看出,这是一个型号名为NS200的智能安全摄像头的标签,注明了出厂固件版本号、更新时间和生产地区。在安全机制上,标注了提供直到2022年1月1日的自动安全更新,控制访问方式有密码、出厂默认方式、用户可更换和多用户同时控制。除了本身的安全机制以外,该标签还提供了这一摄像头收集的数据信息,比如视频和音频等。


更重要的是,标签本身还写明了收集数据的用途、存储位置、分享对象和是否售卖数据等,可想而知这个标签的存在和厂商给出的隐私承诺彻底挂钩了。但这样一个标签本身所占面积就已经很大了,如果放在包装盒上的无疑会影响外观,所以该标签也提供了一个二维码次级标签,扫码之后即可查看更详细的数据隐私信息,比如数据保存期限、数据分享频率等等。


新加坡的思路


这样的安全标签计划也并非美国首创,其他国家其实早就开展了类似的计划。譬如新加坡网络安全局早就推出了网络安全标签计划(CLS),用于改善物联网安全性。这一计划最初只是为了覆盖路由器和网关而推出的,如今已经扩展到了所有消费级物联网设备上,比如摄像头、智能门锁、智能灯具和智能打印机等。


物联网可信计划启动,美国开始推行IoT安全标签

新加坡网络安全标签 / 新加坡网络安全局


不过从他们的安全标签来看,更多是针对网络安全而不是隐私安全的。新加坡网络安全局为IoT设备的网络安全分为了四个等级,第一级是满足基本的安全要求,第二级是遵守了安全设计规范,而这两个等级都属于制造商自己的符合性声明。第三级则是不存在已知的常见软件漏洞,第四级为可抵抗常见的网络攻击,这两个等级都必须在第三方独立测试才能通过认证。


鉴于各个国家之间对于网络安全等级的标准不同,所以新加坡也和其他国家签署了互相承认协议,比如达到新加坡网络安全3级的产品与芬兰的网络安全标签互相认可,德国IT安全标签的IoT设备与新加坡网络安全2级互相认可等等。


结语


网络安全技术并非停滞不前,而是一直都在不断改进,但IoT设备可能是网络攻击中最脆弱的硬件设备之一。就以曾经通过智能摄像头和家用路由器来开展DDoS攻击的Mirai为例,该恶意工具当年导致了大面积网络瘫痪。所以此类安全事故出现后影响的可不仅仅只是单个IoT设备,甚至可能影响到一大片区域网络。


就以上两个例子的标签实用性来说,或许仅仅给出简单的网络安全标签,再以二维码的形式提供详细的网络安全和隐私安全标签更为合理,这样也不会存在破坏包装外观的问题。国内虽然也有在推进IoT设备安全标准的建立,但对于消费者来说,了解到产品安全特性的过程还是太过繁杂了,只有建立起完善的安全标签系统才能给到用户更高的透明度。

上一篇新闻

丧心病狂!新加坡为抓拍烟民安装热感摄像机,一点烟就遭捕捉

下一篇新闻

朱帅:美国要就量子计算做文章,该如何应对

评论

订阅每日新闻

订阅每日新闻以免错过最新最热门的新加坡新闻。