英國政府為物聯(lián)網(wǎng)（IOT）設備制造商發(fā)布了一項新的自愿行為準則，旨在保護消費類物聯(lián)網(wǎng)。

該準則旨在確保家用集線器、智能家居設備、安全攝像頭、可穿戴設備和連網(wǎng)玩具等設備免受外部攻擊和數(shù)據(jù)泄露。

今年早些時候，英國數(shù)字、文化、媒體和體育部（DCMS）和英國國家網(wǎng)絡安全中心（NCSC）在聯(lián)合安全設計審查之后采取了這一最新舉措，該審查旨在將安全嵌入新技術的設計流程中。

該準則稱，“隨著人們將越來越多的個人數(shù)據(jù)委托給在線設備和服務商，這些產(chǎn)品的網(wǎng)絡安全與我們家庭成員的人身安全一樣重要。”

“本行為準則的目的是通過一套指導方針來支持所有參與消費物聯(lián)網(wǎng)開發(fā)、制造和零售的各方，以確保產(chǎn)品在設計上是安全的，并使人們在數(shù)字世界中更容易保持安全。”

安全行為準則：

3月份以草案形式發(fā)布的新指南，列出了消費類設備制造商在設計物聯(lián)網(wǎng)產(chǎn)品時應遵循的13個步驟。

它們是：

1）禁止使用默認密碼

所有物聯(lián)網(wǎng)設備密碼都應是唯一的，并且不能重置為任何通用出廠默認值。

許多物聯(lián)網(wǎng)設備在銷售時使用的是通用默認用戶名和密碼（如“Admin，Admin”），消費者應對其進行更改。這是物聯(lián)網(wǎng)中許多安全問題的源頭所在，需要杜絕這種做法。應遵循密碼和其他身份驗證方法的最佳做法。

主要適用于：設備制造商

2）實施漏洞披露政策

作為漏洞披露政策的一部分，所有提供互聯(lián)網(wǎng)連接設備和服務的公司都應提供公共聯(lián)絡點，以便安全研究人員和其他人能夠報告問題。已披露的漏洞應及時予以處理。

了解安全漏洞使公司能夠作出回應。作為產(chǎn)品安全生命周期的一部分，公司還應持續(xù)監(jiān)視、識別和糾正其自身產(chǎn)品和服務中的安全漏洞。最開始就應直接向受影響的利益相關者報告漏洞。如果無法做到，則可向國家當局報告這些漏洞。有關在不同情況下應采取的不同做法的詳細信息，請參閱注釋。我們還鼓勵公司與主管行業(yè)團體分享信息。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商和移動應用程序開發(fā)人員

3）保持軟件更新

聯(lián)網(wǎng)設備中的軟件組件應能夠安全地執(zhí)行更新。更新需及時進行，并且不能影響設備的功能。終端設備應布一項壽命終止政策，該政策需明確規(guī)定設備接收軟件更新的最短時間長度，以及采用該支持周期長度的原因。每次更新的需求都應清楚地向消費者提出，并且要易于實施。對于無法執(zhí)行物理更新的受限設備，產(chǎn)品應可以隔離和更換。

還應保證安全補丁來源的可靠性，并通過安全的渠道交付。更新過程中應盡可能保證設備的基本功能繼續(xù)運行，例如手表應繼續(xù)顯示時間、自動調(diào)溫器應繼續(xù)運行、鎖應繼續(xù)正常解鎖和閉合。這似乎主要是設計方面的問題，但如果不考慮或未正確管理，可能會為某些類型的設備和系統(tǒng)帶來重大安全問題。

軟件更新應在設備銷售后提供，然后在規(guī)定的周期內(nèi)推送至該設備。購買產(chǎn)品時，應向消費者明確說明軟件更新支持的周期。零售商和/或制造商應向消費者發(fā)出更新通知。對于不可能進行軟件更新的受限設備，應明確指出更換支持的條件和周期。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商和移動應用程序開發(fā)人員

4）安全存儲憑據(jù)和安全敏感數(shù)據(jù)

任何憑證都應安全地存儲在服務和設備上。不得使用硬編碼在設備軟件中的憑證。設備和應用程序的逆向工程可輕松發(fā)現(xiàn)硬編碼在軟件中的憑證，諸如用戶名和密碼等。用于掩蓋或加密這種硬編碼信息的簡單模糊處理方法也可能會受到破壞。安全敏感數(shù)據(jù)（例如加密密鑰、設備標識符和初始化向量）應安全地存儲。應使用安全、可信的存儲機制，如受信任的執(zhí)行環(huán)境以及相關的可靠、安全的存儲所提供的存儲機制。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商、移動應用程序開發(fā)人員

5）安全通信

據(jù)羿戓設計所了解，安全敏感數(shù)據(jù)（包括所有遠程管理和控制數(shù)據(jù)）在傳輸過程中應該采用適用于技術和使用方式屬性的方法進行加密。所有密鑰都應安全管理。我們強烈鼓勵應用開放、同行評審的互聯(lián)網(wǎng)標準。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商、移動應用程序開發(fā)人員

6）盡量減少暴露的攻擊面

所有設備和服務都應基于“最小權限原則”運行；未使用的端口應關閉，硬件不得提供不必要的訪問權限，服務在未使用時應不可用，并應盡量減少代碼，僅保留使服務正常運行所需的最少代碼。軟件應以適當?shù)臋嘞捱\行，同時考慮安全性和功能。其他任何應用領域一樣，在物聯(lián)網(wǎng)領域中，最小權限原則也是良好安全工程設計的基礎。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商

7）確保軟件完整性

應使用安全啟動機制驗證物聯(lián)網(wǎng)設備上的軟件。如果檢測到未經(jīng)授權的更改，設備應向用戶/管理員發(fā)出警報，提醒其注意問題，并且除了執(zhí)行警報功能所需的網(wǎng)絡之外，不能連接到更廣泛的網(wǎng)絡。

從此類情況下執(zhí)行遠程恢復的能力應依賴于已知良好狀態(tài)，例如在本地存儲已知良好的版本，以實現(xiàn)設備安全恢復和更新。這將避免拒絕服務和成本高昂的召回或維護訪問，同時管理設備被攻擊者通過破壞更新或其他網(wǎng)絡通信機制的方式進行接管的潛在風險。

主要適用于：設備制造商

8）確保個人數(shù)據(jù)受到保護

設備和/或服務處理個人數(shù)據(jù)時應遵循適用的數(shù)據(jù)保護法律，如《一般數(shù)據(jù)保護條例》（GDPR）和《2018 年數(shù)據(jù)保護法案》。在每種設備和服務中，設備制造商和物聯(lián)網(wǎng)服務提供商都應向消費者提供清晰、透明的信息，說明其個人數(shù)據(jù)的使用方式、使用者以及使用目的。這也適用于可能涉及的任何第三方（包括廣告商）。如果個人數(shù)據(jù)依據(jù)消費者的授權進行處理，則此授權應以合法、有效的方式獲得，并允許消費者隨時撤回。

此準則可確保：

i） IoT 制造商、服務提供商和應用程序開發(fā)人員在開發(fā)和交付產(chǎn)品和服務時遵守數(shù)據(jù)保護義務；

ii） 根據(jù)數(shù)據(jù)保護法律處理個人數(shù)據(jù)；

iii） 協(xié)助用戶確保其產(chǎn)品的數(shù)據(jù)處理操作一致，并且根據(jù)規(guī)范正常運行；

Iv） 為用戶提供通過適當配置設備和服務功能來保護其隱私的方法。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商、移動應用程序開發(fā)人員、零售商

9）使系統(tǒng)能從故障中迅速恢復

考慮到存在數(shù)據(jù)網(wǎng)絡中斷或電力中斷的可能性，根據(jù)物聯(lián)網(wǎng)設備和服務的用途或依賴于其的系統(tǒng)，如果物聯(lián)網(wǎng)設備和服務需要具備恢復機制，則應具備相應的內(nèi)置恢復機制。物聯(lián)網(wǎng)服務應盡可能在網(wǎng)絡斷開的情況下保持正常工作能力、可在本地正常運行，并應在恢復供電時完全恢復。設備應能夠以合理狀態(tài)和有序的方式重新加入網(wǎng)絡，而不是通過大規(guī)模重新連接的方式重新加入。

當今的消費者在一些日益重要的使用情形中依賴于物聯(lián)網(wǎng)系統(tǒng)和設備，這些使用情形可能與安全相關或影響生命。如果發(fā)生網(wǎng)絡斷開，服務應保持在本地正常運行，這是一種可提高恢復能力的措施。其他措施可能包括構建冗余和對 DDoS 攻擊的防范措施。應基于用途確定適當?shù)幕謴湍芰Γ瑫r要考慮到可能依賴于這些系統(tǒng)、服務或設備的其他人，因為其影響可能會比預期更廣泛。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商

10）監(jiān)控系統(tǒng)遙測數(shù)據(jù)

如果從物聯(lián)網(wǎng)設備和服務收集遙測數(shù)據(jù)，如使用和測量數(shù)據(jù)，則應監(jiān)控是否存在安全異常。監(jiān)控遙測數(shù)據(jù)（包括日志數(shù)據(jù)）有助于安全評估，并支持在早期發(fā)現(xiàn)異常情況，從而最大限度地降低安全風險，并快速緩解問題。但是，根據(jù)準則，應將對個人數(shù)據(jù)的處理量保持在最低限度，并向消費者說明要收集哪些數(shù)據(jù)及收集原因。

主要適用于：物聯(lián)網(wǎng)服務提供商

11）使用戶能夠輕松刪除個人數(shù)據(jù)

設備和服務的設置應允許消費者在轉讓設備所有權、希望刪除數(shù)據(jù)和/或想要處置設備時輕松刪除個人數(shù)據(jù)。應向消費者提供有關如何刪除其個人數(shù)據(jù)的明確說明。

物聯(lián)網(wǎng)設備可能會更換所有權、最終被回收或處置。可提供相應的機制，讓消費者能夠保持控制和刪除服務、設備和應用程序中的個人數(shù)據(jù)。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商、移動應用程序開發(fā)人員

12）輕松安裝和維護設備

物聯(lián)網(wǎng)設備的安裝和維護應采用最少的步驟，并應遵循安全最佳做法。還應向消費者提供有關如何安全地設置其設備的指導。

可通過是當?shù)亟鉀Q用戶界面中的復雜性和改善設計來減少甚至消除由于消費者混淆或錯誤配置導致的安全問題。向用戶提供有關如何安全地配置設備的指導，也可降低其受到威脅的可能性。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商、移動應用程序開發(fā)人員

13）驗證輸入數(shù)據(jù)

通過用戶界面輸入的數(shù)據(jù)，以及通過應用程序編程接口 （API） 傳輸?shù)臄?shù)據(jù)或在服務和設備之間的網(wǎng)絡傳輸?shù)臄?shù)據(jù)均應執(zhí)行驗證。

格式設置不正確的數(shù)據(jù)或通過不同類型的接口傳輸?shù)拇a都可能破壞系統(tǒng)。攻擊者通常采用自動化工具來利用未驗證數(shù)據(jù)的潛在缺陷和弱點。示例包括但不限于以下類型的數(shù)據(jù)：

i） 不屬于預期類型，例如可執(zhí)行代碼，而不是用戶輸入的文本。

ii） 超出范圍，例如溫度值超過傳感器限值。

主要適用于：設備制造商、物聯(lián)網(wǎng)服務提供商、移動應用程序開發(fā)人員

支持準則

政府表示，實施這些指導方針將“有助于保護消費者的隱私和安全，同時使他們更容易安全地使用他們的產(chǎn)品”。它還將減輕分布式拒絕服務（DDoS）攻擊的威脅，這些攻擊通常是從安全性差的物聯(lián)網(wǎng)設備和服務發(fā)起的。

一些物聯(lián)網(wǎng)制造商，如惠普和Centrica Hive，已經(jīng)承諾支持該行為準則。

英國數(shù)字、文化、媒體和體育部（DCMS）部長Margot James對這一消息表示歡迎，稱“英國在產(chǎn)品安全方面處于全球領先地位，并將消費者不得不保護其設備的負擔轉移開來”。

“惠普公司和Centrica Hive的承諾是值得歡迎的第一步，但至關重要的是，其他制造商也要跟隨，確保從設計的那一刻起就將強大安全措施納入日常技術中。”

Ian LeAlex Neill博士，Which家居產(chǎn)品和服務總經(jīng)理補充說：“我們歡迎政府帶頭解決互聯(lián)網(wǎng)產(chǎn)品日益增長的安全問題，這些智能設備的制造商現(xiàn)在必須認真對待安全，并簽署該準則，以更好地保護每天使用其產(chǎn)品的消費者”。

為什么準則不是強制性的？

然而，一些安全專家質(zhì)疑為何該準則是自愿的，政府則表示該準則“以結果為中心，而不是強制性的”，給予企業(yè)“創(chuàng)新和實施適合其產(chǎn)品安全解決方案的靈活性。”

網(wǎng)絡安全公司Redscan的首席技術官Andy Kays警告稱，正因為如此，小型制造商將會蔑視新規(guī)則。他說：“為了產(chǎn)生真正的積極影響，我們需要確保在全球范圍內(nèi)改善合作，并采取更多措施幫助企業(yè)在整個開發(fā)生命周期中優(yōu)先考慮安全。”

“現(xiàn)在，網(wǎng)絡安全通常是一些制造商優(yōu)先考慮問題中的最后一個。新功能和服務正在推動銷售，而不是穩(wěn)固性，制造商將原型作為成熟產(chǎn)品銷售，以引起關注并盡快推向市場。”

“新制造商和初創(chuàng)企業(yè)與更成熟企業(yè)沒有相同的品牌資產(chǎn)水平，因此，他們傾向于冒更大的風險來將產(chǎn)品推向市場，這可能意味著網(wǎng)絡安全風險較少受到關注。”

“零售商也需要盡自己的一份力量，通過確保他們選擇符合公認的安全標準產(chǎn)品來保護消費者。”

他的評論得到了業(yè)界其他人贊同。例如，IOActive戰(zhàn)略副總裁John Sheehy說：“雖然這確實是朝著正確方向邁出的一步，但鑒于這是自愿的，行業(yè)不太可能對此采取行動。”

“不幸的是，許多設備制造商更關心將最低限度可行的產(chǎn)品推向市場，而不是它是否安全。因此，許多物聯(lián)網(wǎng)設備使其所有者面臨重大風險。”

Infoblox技術總監(jiān)Gary Cox補充說：“為保護企業(yè)，可以——而且應該---做得更多。”

“我們最近的報告顯示，美國、英國和德國超過三分之一（35％）的公司報告說，每天有超過5000臺個人設備——從智能手機到平板電腦和筆記本電腦——連接到企業(yè)網(wǎng)絡，表明了該漏洞的規(guī)模。”

“有可能會有更多設備連接到專業(yè)網(wǎng)絡，增加了它們被勒索軟件、數(shù)據(jù)泄漏和其他形式網(wǎng)絡攻擊的風險。”

“為了降低黑客，違規(guī)和濫用的風險，企業(yè)必須更加重視安全，并且應該從一開始就將其構建到設備中，在識別網(wǎng)絡中的惡意通信時，請將智能DNS解決方案作為任何防御策略的核心。”