歐洲電信標(biāo)準(zhǔn)協(xié)會(ETSI)發(fā)布了旨在加強(qiáng)消費(fèi)者物聯(lián)網(wǎng)開發(fā)設(shè)備的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的指南。

隨著越來越多的家庭設(shè)備連接到互聯(lián)網(wǎng)，這些指南可以及時提醒人們注意便利性和連接性帶來的漏洞。

ETSI總干事JanEllsberger表示：“消費(fèi)者越來越依賴聯(lián)網(wǎng)設(shè)備來進(jìn)行安全交易，這使得制造商贏得這種信任至關(guān)重要——在設(shè)計(jì)上優(yōu)先考慮安全性?！?/p>

“這些指南旨在解決最重要的漏洞，我相信它們有助于創(chuàng)建一個更安全的物聯(lián)網(wǎng)開發(fā)生態(tài)系統(tǒng)，只要我們保持警惕——我們深知這項(xiàng)工作永遠(yuǎn)不會‘完成’?！?/p>

解決基本的消費(fèi)者物聯(lián)網(wǎng)開發(fā)安全缺陷

該文件強(qiáng)調(diào)，它并不打算為與消費(fèi)者物聯(lián)網(wǎng)開發(fā)相關(guān)的每一個安全、數(shù)據(jù)保護(hù)和隱私問題提供詳盡的解決方案。相反，它通過提供“基線級別的安全和數(shù)據(jù)保護(hù)”來針對最緊迫和最普遍的漏洞。

根據(jù)該報(bào)告，該基線旨在防止“對基本設(shè)計(jì)弱點(diǎn)的基本攻擊，例如使用容易猜測的密碼”。

該文件的范圍涵蓋了無數(shù)消費(fèi)者物聯(lián)網(wǎng)開發(fā)設(shè)備，從智能家居助理和聯(lián)網(wǎng)設(shè)備到可穿戴健康追蹤器和智能相機(jī)。

特別是，該指南考慮了設(shè)備資源的限制，這可能會影響安全功能，正如報(bào)告中指出的那樣：“可能限制安全功能的典型設(shè)備資源是能源供應(yīng)、通信帶寬、處理能力或（非）易失性存儲器容量”。

漏洞管理的主動措施

該指南的一個重要部分集中在漏洞管理上。ETSI聲稱制造商有必要通過實(shí)施協(xié)調(diào)漏洞披露(CVD)計(jì)劃來維持“對消費(fèi)者和第三方的注意義務(wù)”。

該CVD計(jì)劃旨在確保制造商準(zhǔn)備好負(fù)責(zé)任地處理安全漏洞，從而保護(hù)其產(chǎn)品免遭惡意利用。

該指南建議制造商發(fā)布“漏洞披露政策”，至少規(guī)定報(bào)告問題的聯(lián)系信息、確認(rèn)收到漏洞報(bào)告的時間表以及狀態(tài)更新。這種透明度對于維持漏洞管理的信任和有效性至關(guān)重要。

保持消費(fèi)者物聯(lián)網(wǎng)開發(fā)軟件更新

ETSI強(qiáng)調(diào)了使用最新安全補(bǔ)丁更新軟件的重要性。該文件強(qiáng)調(diào)了制造商在確保“消費(fèi)者物聯(lián)網(wǎng)開發(fā)設(shè)備中由于安全原因而并非一成不變的所有軟件組件都應(yīng)該能夠安全更新”方面的作用。敦促制造商將安全更新與功能更新分開，以避免復(fù)雜化并確保及時交付。

隨著消費(fèi)設(shè)備越來越融入生活的關(guān)鍵方面，提供更新被認(rèn)為對于維護(hù)安全至關(guān)重要。該文件要求“安全更新應(yīng)及時”，并承認(rèn)及時更新部署所涉及的固有復(fù)雜性。

確保數(shù)據(jù)保護(hù)

除了網(wǎng)絡(luò)安全之外，數(shù)據(jù)保護(hù)仍然是ETSI指南的重點(diǎn)。隨著許多物聯(lián)網(wǎng)開發(fā)設(shè)備處理個人數(shù)據(jù)，保護(hù)這些信息的重要性怎么強(qiáng)調(diào)也不為過。

ETSI的指導(dǎo)方針主張制造商需要提供“關(guān)于處理哪些個人數(shù)據(jù)以及處理目的的清晰透明的信息”。

鼓勵物聯(lián)網(wǎng)開發(fā)產(chǎn)品開發(fā)商建立機(jī)制，讓用戶撤回?cái)?shù)據(jù)處理同意，確保遵守監(jiān)管要求并保護(hù)個人數(shù)據(jù)。

該文件還規(guī)定，數(shù)據(jù)收集應(yīng)限于預(yù)期功能所需的范圍，提倡使用匿名技術(shù)來保護(hù)用戶隱私。

確保通信和存儲安全

關(guān)鍵規(guī)定之一是關(guān)鍵安全參數(shù)的安全通信和存儲。ETSI指南堅(jiān)持認(rèn)為“持久存儲中的敏感安全參數(shù)應(yīng)由消費(fèi)者物聯(lián)網(wǎng)開發(fā)設(shè)備安全存儲”。

使用加密存儲和安全元件等機(jī)制，制造商有望減輕與安全參數(shù)泄露相關(guān)的風(fēng)險(xiǎn)。

此外，ETSI非常重視消費(fèi)物聯(lián)網(wǎng)開發(fā)設(shè)備的安全通信，指出這些設(shè)備“應(yīng)使用最佳實(shí)踐加密技術(shù)來安全通信”。

通過優(yōu)先使用經(jīng)過評估的加密實(shí)現(xiàn)，該指南旨在確保跨網(wǎng)絡(luò)接口的安全數(shù)據(jù)處理。

建立抗斷電能力

消費(fèi)者物聯(lián)網(wǎng)開發(fā)設(shè)備對數(shù)據(jù)網(wǎng)絡(luò)或電力中斷的恢復(fù)能力是該指南解決的另一個關(guān)鍵方面。

產(chǎn)品預(yù)計(jì)“在網(wǎng)絡(luò)訪問中斷的情況下保持運(yùn)行和本地功能，并且在恢復(fù)斷電的情況下應(yīng)該完全恢復(fù)”。該規(guī)定對于維護(hù)消費(fèi)者信任和避免與設(shè)備中斷相關(guān)的安全影響特別重要。

隨著物聯(lián)網(wǎng)開發(fā)在基本的個人和社會功能中進(jìn)一步鞏固，抵御干擾的能力仍然至關(guān)重要。

該指南強(qiáng)調(diào)網(wǎng)絡(luò)重新連接期間的有序性，并推廣可最大限度減少物聯(lián)網(wǎng)開發(fā)設(shè)備并發(fā)請求的系統(tǒng)，從而降低服務(wù)拒絕的風(fēng)險(xiǎn)。

消費(fèi)者物聯(lián)網(wǎng)開發(fā)制造商的行動號召

ETSI指南的重點(diǎn)是加強(qiáng)基本安全原則，旨在幫助制造商培育更安全、更可靠的物聯(lián)網(wǎng)開發(fā)生態(tài)系統(tǒng)。

報(bào)告最后提出了謹(jǐn)慎和預(yù)期，暗示隨著安全措施的改進(jìn)，指南的未來修訂可能會強(qiáng)制執(zhí)行當(dāng)前建議的條款。

通過制定這些標(biāo)準(zhǔn)，ETSI正在為更安全的物聯(lián)網(wǎng)開發(fā)未來鋪平道路，在這個未來中，連接的好處不會以犧牲安全和隱私為代價。