近日,美國召集了來自私營企業、學術機構的領導和政要開展會議,討論如何在IoT設備上實施網絡安全標簽計劃。據了解,美國想要將這一計劃打造成物聯網安全上的“能源之星”,對于出口海外的國產IoT設備廠商來說,他們的認證流程或許會又多一環。
計劃來由
自2020年以來,美國就在不斷推出加強網絡安全的政策,比如去年5月發布的《改善網絡安全行政令》。在該行政命令中就特別強調,商務部長暨美國國家標準與技術研究院(NIST)院長,應該與其他機構代表合作,在現有的消費品標簽項目上啟動試點計劃,以公示物聯網設備的安全性能,同時激勵制造商和開發商參與該項計劃。
而近日召開的會議上,美國更是強調要求NIST與聯邦貿易委員會合作,推出改良的網絡安全標準,并為這些物聯網設備打造一個標準化的商品標簽。參會者包括AT&T、思科、Comcast等通信廠商,也有CSA、谷歌、亞馬遜、LG、索尼、三星等在IoT市場耕耘已久的廠商和聯盟。
在白宮發布的新聞稿件中,主要列舉了一些家庭常用的IoT設備,比如嬰兒監視器和智能家電等,所以IoT安全標簽主要還是面向消費級,尤其是智能家居的IoT設備。值得一提的是,這次會議并沒有任何芯片原廠的參與,可見這一標簽計劃還是主要針對制造商本身對于產品的安全性設計。
IoT安全標簽的形式
美國政府表示會在2023年有針對性地推出這一IoT安全標簽計劃,并將其作為全球公認的標簽來推進。雖然并沒有提及這一標簽的具體實現形式,但依然可以從參會者中挖出一些信息。
安全與隱私標簽 / 卡內基梅隆大學Cylab
比如這次會議來自學術界的代表為卡內基梅隆大學,他們專攻安全與隱私的Cylab實驗室就曾提出過一個安全標簽原型,比如上圖這個食品成分表一樣的標簽就是他們設計的主要標簽形式。
從上圖中可以看出,這是一個型號名為NS200的智能安全攝像頭的標簽,注明了出廠固件版本號、更新時間和生產地區。在安全機制上,標注了提供直到2022年1月1日的自動安全更新,控制訪問方式有密碼、出廠默認方式、用戶可更換和多用戶同時控制。除了本身的安全機制以外,該標簽還提供了這一攝像頭收集的數據信息,比如視頻和音頻等。
更重要的是,標簽本身還寫明了收集數據的用途、存儲位置、分享對象和是否售賣數據等,可想而知這個標簽的存在和廠商給出的隱私承諾徹底掛鉤了。但這樣一個標簽本身所占面積就已經很大了,如果放在包裝盒上的無疑會影響外觀,所以該標簽也提供了一個二維碼次級標簽,掃碼之后即可查看更詳細的數據隱私信息,比如數據保存期限、數據分享頻率等等。
新加坡的思路
這樣的安全標簽計劃也并非美國首創,其他國家其實早就開展了類似的計劃。譬如新加坡網絡安全局早就推出了網絡安全標簽計劃(CLS),用于改善物聯網安全性。這一計劃最初只是為了覆蓋路由器和網關而推出的,如今已經擴展到了所有消費級物聯網設備上,比如攝像頭、智能門鎖、智能燈具和智能打印機等。
新加坡網絡安全標簽 / 新加坡網絡安全局
不過從他們的安全標簽來看,更多是針對網絡安全而不是隱私安全的。新加坡網絡安全局為IoT設備的網絡安全分為了四個等級,第一級是滿足基本的安全要求,第二級是遵守了安全設計規范,而這兩個等級都屬于制造商自己的符合性聲明。第三級則是不存在已知的常見軟件漏洞,第四級為可抵抗常見的網絡攻擊,這兩個等級都必須在第三方獨立測試才能通過認證。
鑒于各個國家之間對于網絡安全等級的標準不同,所以新加坡也和其他國家簽署了互相承認協議,比如達到新加坡網絡安全3級的產品與芬蘭的網絡安全標簽互相認可,德國IT安全標簽的IoT設備與新加坡網絡安全2級互相認可等等。
結語
網絡安全技術并非停滯不前,而是一直都在不斷改進,但IoT設備可能是網絡攻擊中最脆弱的硬件設備之一。就以曾經通過智能攝像頭和家用路由器來開展DDoS攻擊的Mirai為例,該惡意工具當年導致了大面積網絡癱瘓。所以此類安全事故出現后影響的可不僅僅只是單個IoT設備,甚至可能影響到一大片區域網絡。
就以上兩個例子的標簽實用性來說,或許僅僅給出簡單的網絡安全標簽,再以二維碼的形式提供詳細的網絡安全和隱私安全標簽更為合理,這樣也不會存在破壞包裝外觀的問題。國內雖然也有在推進IoT設備安全標準的建立,但對于消費者來說,了解到產品安全特性的過程還是太過繁雜了,只有建立起完善的安全標簽系統才能給到用戶更高的透明度。
計劃來由
自2020年以來,美國就在不斷推出加強網絡安全的政策,比如去年5月發布的《改善網絡安全行政令》。在該行政命令中就特別強調,商務部長暨美國國家標準與技術研究院(NIST)院長,應該與其他機構代表合作,在現有的消費品標簽項目上啟動試點計劃,以公示物聯網設備的安全性能,同時激勵制造商和開發商參與該項計劃。
而近日召開的會議上,美國更是強調要求NIST與聯邦貿易委員會合作,推出改良的網絡安全標準,并為這些物聯網設備打造一個標準化的商品標簽。參會者包括AT&T、思科、Comcast等通信廠商,也有CSA、谷歌、亞馬遜、LG、索尼、三星等在IoT市場耕耘已久的廠商和聯盟。
在白宮發布的新聞稿件中,主要列舉了一些家庭常用的IoT設備,比如嬰兒監視器和智能家電等,所以IoT安全標簽主要還是面向消費級,尤其是智能家居的IoT設備。值得一提的是,這次會議并沒有任何芯片原廠的參與,可見這一標簽計劃還是主要針對制造商本身對于產品的安全性設計。
IoT安全標簽的形式
美國政府表示會在2023年有針對性地推出這一IoT安全標簽計劃,并將其作為全球公認的標簽來推進。雖然并沒有提及這一標簽的具體實現形式,但依然可以從參會者中挖出一些信息。
安全與隱私標簽 / 卡內基梅隆大學Cylab
比如這次會議來自學術界的代表為卡內基梅隆大學,他們專攻安全與隱私的Cylab實驗室就曾提出過一個安全標簽原型,比如上圖這個食品成分表一樣的標簽就是他們設計的主要標簽形式。
從上圖中可以看出,這是一個型號名為NS200的智能安全攝像頭的標簽,注明了出廠固件版本號、更新時間和生產地區。在安全機制上,標注了提供直到2022年1月1日的自動安全更新,控制訪問方式有密碼、出廠默認方式、用戶可更換和多用戶同時控制。除了本身的安全機制以外,該標簽還提供了這一攝像頭收集的數據信息,比如視頻和音頻等。
更重要的是,標簽本身還寫明了收集數據的用途、存儲位置、分享對象和是否售賣數據等,可想而知這個標簽的存在和廠商給出的隱私承諾徹底掛鉤了。但這樣一個標簽本身所占面積就已經很大了,如果放在包裝盒上的無疑會影響外觀,所以該標簽也提供了一個二維碼次級標簽,掃碼之后即可查看更詳細的數據隱私信息,比如數據保存期限、數據分享頻率等等。
新加坡的思路
這樣的安全標簽計劃也并非美國首創,其他國家其實早就開展了類似的計劃。譬如新加坡網絡安全局早就推出了網絡安全標簽計劃(CLS),用于改善物聯網安全性。這一計劃最初只是為了覆蓋路由器和網關而推出的,如今已經擴展到了所有消費級物聯網設備上,比如攝像頭、智能門鎖、智能燈具和智能打印機等。
新加坡網絡安全標簽 / 新加坡網絡安全局
不過從他們的安全標簽來看,更多是針對網絡安全而不是隱私安全的。新加坡網絡安全局為IoT設備的網絡安全分為了四個等級,第一級是滿足基本的安全要求,第二級是遵守了安全設計規范,而這兩個等級都屬于制造商自己的符合性聲明。第三級則是不存在已知的常見軟件漏洞,第四級為可抵抗常見的網絡攻擊,這兩個等級都必須在第三方獨立測試才能通過認證。
鑒于各個國家之間對于網絡安全等級的標準不同,所以新加坡也和其他國家簽署了互相承認協議,比如達到新加坡網絡安全3級的產品與芬蘭的網絡安全標簽互相認可,德國IT安全標簽的IoT設備與新加坡網絡安全2級互相認可等等。
結語
網絡安全技術并非停滯不前,而是一直都在不斷改進,但IoT設備可能是網絡攻擊中最脆弱的硬件設備之一。就以曾經通過智能攝像頭和家用路由器來開展DDoS攻擊的Mirai為例,該惡意工具當年導致了大面積網絡癱瘓。所以此類安全事故出現后影響的可不僅僅只是單個IoT設備,甚至可能影響到一大片區域網絡。
就以上兩個例子的標簽實用性來說,或許僅僅給出簡單的網絡安全標簽,再以二維碼的形式提供詳細的網絡安全和隱私安全標簽更為合理,這樣也不會存在破壞包裝外觀的問題。國內雖然也有在推進IoT設備安全標準的建立,但對于消費者來說,了解到產品安全特性的過程還是太過繁雜了,只有建立起完善的安全標簽系統才能給到用戶更高的透明度。
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
原文標題:物聯網可信計劃啟動,美國開始推行IoT安全標簽
文章出處:【微信號:elecfans,微信公眾號:電子發燒友網】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
如何實現物聯網安全
隨著物聯網(IoT)技術的飛速發展,越來越多的設備被連接到互聯網上,從智能恒溫器到工業控制系統,IoT設備已經成為我們日常生活和工業生產中不
HPM6750evkmini如何實現可信的執行環境?
在HPM6700的datasheet中的1.2.15 信息安全系統有提到“基于BOOT ROM 的安全啟動機制,支持加密啟動,支持可信的執行
發表于 09-25 09:27
工業物聯網(IOT)云平臺是什么
隨著信息技術的飛速發展,工業互聯網(IoT)云平臺已成為推動制造業數字化轉型的重要力量。這一平臺基于云計算、物聯網技術、大數據分析等先進技術構建,旨在通過連接設備、生產線、工廠和企業,
論述RISC-C在IOT領域的發展機會
設計,實現了低功耗運行,滿足了IoT設備的需求。
同時,RISC-V的低成本特性也降低了IoT設備的整體成本,使得更多用戶能夠享受到物聯網帶來的便利。
發表于 06-27 08:43
iot物聯網平臺是什么?
監控、自動報警、遠程控制、遠程診斷、遠程維護等功能。 IOT物聯網平臺是物聯網解決方案的關鍵組成部分,負責將感知層的各類設備連接到場景應用,
愛星物聯開源IoT平臺助力企業構建安全可定制化的IoT解決方案
愛星物聯團隊近期推出了愛星物聯IoT平臺開源版本,該平臺專為智能設備和智能化企業量身打造,旨在提供成熟、安全且全球可用的物
評論