近日，美國召集了來自私營企業(yè)、學術機構的領導和政要開展會議，討論如何在IoT設備上實施網(wǎng)絡安全標簽計劃。據(jù)了解，美國想要將這一計劃打造成物聯(lián)網(wǎng)安全上的“能源之星”，對于出口海外的國產(chǎn)IoT設備廠商來說，他們的認證流程或許會又多一環(huán)。

計劃來由

自2020年以來，美國就在不斷推出加強網(wǎng)絡安全的政策，比如去年5月發(fā)布的《改善網(wǎng)絡安全行政令》。在該行政命令中就特別強調(diào)，商務部長暨美國國家標準與技術研究院（NIST）院長，應該與其他機構代表合作，在現(xiàn)有的消費品標簽項目上啟動試點計劃，以公示物聯(lián)網(wǎng)設備的安全性能，同時激勵制造商和開發(fā)商參與該項計劃。

而近日召開的會議上，美國更是強調(diào)要求NIST與聯(lián)邦貿(mào)易委員會合作，推出改良的網(wǎng)絡安全標準，并為這些物聯(lián)網(wǎng)設備打造一個標準化的商品標簽。參會者包括AT&T、思科、Comcast等通信廠商，也有CSA、谷歌、亞馬遜、LG、索尼、三星等在IoT市場耕耘已久的廠商和聯(lián)盟。

在白宮發(fā)布的新聞稿件中，主要列舉了一些家庭常用的IoT設備，比如嬰兒監(jiān)視器和智能家電等，所以IoT安全標簽主要還是面向消費級，尤其是智能家居的IoT設備。值得一提的是，這次會議并沒有任何芯片原廠的參與，可見這一標簽計劃還是主要針對制造商本身對于產(chǎn)品的安全性設計。

IoT安全標簽的形式

美國政府表示會在2023年有針對性地推出這一IoT安全標簽計劃，并將其作為全球公認的標簽來推進。雖然并沒有提及這一標簽的具體實現(xiàn)形式，但依然可以從參會者中挖出一些信息。


比如這次會議來自學術界的代表為卡內(nèi)基梅隆大學，他們專攻安全與隱私的Cylab實驗室就曾提出過一個安全標簽原型，比如上圖這個食品成分表一樣的標簽就是他們設計的主要標簽形式。

從上圖中可以看出，這是一個型號名為NS200的智能安全攝像頭的標簽，注明了出廠固件版本號、更新時間和生產(chǎn)地區(qū)。在安全機制上，標注了提供直到2022年1月1日的自動安全更新，控制訪問方式有密碼、出廠默認方式、用戶可更換和多用戶同時控制。除了本身的安全機制以外，該標簽還提供了這一攝像頭收集的數(shù)據(jù)信息，比如視頻和音頻等。

更重要的是，標簽本身還寫明了收集數(shù)據(jù)的用途、存儲位置、分享對象和是否售賣數(shù)據(jù)等，可想而知這個標簽的存在和廠商給出的隱私承諾徹底掛鉤了。但這樣一個標簽本身所占面積就已經(jīng)很大了，如果放在包裝盒上的無疑會影響外觀，所以該標簽也提供了一個二維碼次級標簽，掃碼之后即可查看更詳細的數(shù)據(jù)隱私信息，比如數(shù)據(jù)保存期限、數(shù)據(jù)分享頻率等等。

新加坡的思路

這樣的安全標簽計劃也并非美國首創(chuàng)，其他國家其實早就開展了類似的計劃。譬如新加坡網(wǎng)絡安全局早就推出了網(wǎng)絡安全標簽計劃（CLS），用于改善物聯(lián)網(wǎng)安全性。這一計劃最初只是為了覆蓋路由器和網(wǎng)關而推出的，如今已經(jīng)擴展到了所有消費級物聯(lián)網(wǎng)設備上，比如攝像頭、智能門鎖、智能燈具和智能打印機等。
不過從他們的安全標簽來看，更多是針對網(wǎng)絡安全而不是隱私安全的。新加坡網(wǎng)絡安全局為IoT設備的網(wǎng)絡安全分為了四個等級，第一級是滿足基本的安全要求，第二級是遵守了安全設計規(guī)范，而這兩個等級都屬于制造商自己的符合性聲明。第三級則是不存在已知的常見軟件漏洞，第四級為可抵抗常見的網(wǎng)絡攻擊，這兩個等級都必須在第三方獨立測試才能通過認證。

鑒于各個國家之間對于網(wǎng)絡安全等級的標準不同，所以新加坡也和其他國家簽署了互相承認協(xié)議，比如達到新加坡網(wǎng)絡安全3級的產(chǎn)品與芬蘭的網(wǎng)絡安全標簽互相認可，德國IT安全標簽的IoT設備與新加坡網(wǎng)絡安全2級互相認可等等。

結語

網(wǎng)絡安全技術并非停滯不前，而是一直都在不斷改進，但IoT設備可能是網(wǎng)絡攻擊中最脆弱的硬件設備之一。就以曾經(jīng)通過智能攝像頭和家用路由器來開展DDoS攻擊的Mirai為例，該惡意工具當年導致了大面積網(wǎng)絡癱瘓。所以此類安全事故出現(xiàn)后影響的可不僅僅只是單個IoT設備，甚至可能影響到一大片區(qū)域網(wǎng)絡。

就以上兩個例子的標簽實用性來說，或許僅僅給出簡單的網(wǎng)絡安全標簽，再以二維碼的形式提供詳細的網(wǎng)絡安全和隱私安全標簽更為合理，這樣也不會存在破壞包裝外觀的問題。國內(nèi)雖然也有在推進IoT設備安全標準的建立，但對于消費者來說，了解到產(chǎn)品安全特性的過程還是太過繁雜了，只有建立起完善的安全標簽系統(tǒng)才能給到用戶更高的透明度。