物联网可信计划启动，美国开始推行IoT安全标签

近日，美国召集了来自私营企业、学术机构的领导和政要开展会议，讨论如何在IoT设备上实施网络安全标签计划。据了解，美国想要将这一计划打造成物联网安全上的“能源之星”，对于出口海外的国产IoT设备厂商来说，他们的认证流程或许会又多一环。

计划来由

自2020年以来，美国就在不断推出加强网络安全的政策，比如去年5月发布的《改善网络安全行政令》。在该行政命令中就特别强调，商务部长暨美国国家标准与技术研究院（NIST）院长，应该与其他机构代表合作，在现有的消费品标签项目上启动试点计划，以公示物联网设备的安全性能，同时激励制造商和开发商参与该项计划。

而近日召开的会议上，美国更是强调要求NIST与联邦贸易委员会合作，推出改良的网络安全标准，并为这些物联网设备打造一个标准化的商品标签。参会者包括AT&T、思科、Comcast等通信厂商，也有CSA、谷歌、亚马逊、LG、索尼、三星等在IoT市场耕耘已久的厂商和联盟。

在白宫发布的新闻稿件中，主要列举了一些家庭常用的IoT设备，比如婴儿监视器和智能家电等，所以IoT安全标签主要还是面向消费级，尤其是智能家居的IoT设备。值得一提的是，这次会议并没有任何芯片原厂的参与，可见这一标签计划还是主要针对制造商本身对于产品的安全性设计。

IoT安全标签的形式

美国政府表示会在2023年有针对性地推出这一IoT安全标签计划，并将其作为全球公认的标签来推进。虽然并没有提及这一标签的具体实现形式，但依然可以从参会者中挖出一些信息。


比如这次会议来自学术界的代表为卡内基梅隆大学，他们专攻安全与隐私的Cylab实验室就曾提出过一个安全标签原型，比如上图这个食品成分表一样的标签就是他们设计的主要标签形式。

从上图中可以看出，这是一个型号名为NS200的智能安全摄像头的标签，注明了出厂固件版本号、更新时间和生产地区。在安全机制上，标注了提供直到2022年1月1日的自动安全更新，控制访问方式有密码、出厂默认方式、用户可更换和多用户同时控制。除了本身的安全机制以外，该标签还提供了这一摄像头收集的数据信息，比如视频和音频等。

更重要的是，标签本身还写明了收集数据的用途、存储位置、分享对象和是否售卖数据等，可想而知这个标签的存在和厂商给出的隐私承诺彻底挂钩了。但这样一个标签本身所占面积就已经很大了，如果放在包装盒上的无疑会影响外观，所以该标签也提供了一个二维码次级标签，扫码之后即可查看更详细的数据隐私信息，比如数据保存期限、数据分享频率等等。

新加坡的思路

这样的安全标签计划也并非美国首创，其他国家其实早就开展了类似的计划。譬如新加坡网络安全局早就推出了网络安全标签计划（CLS），用于改善物联网安全性。这一计划最初只是为了覆盖路由器和网关而推出的，如今已经扩展到了所有消费级物联网设备上，比如摄像头、智能门锁、智能灯具和智能打印机等。
不过从他们的安全标签来看，更多是针对网络安全而不是隐私安全的。新加坡网络安全局为IoT设备的网络安全分为了四个等级，第一级是满足基本的安全要求，第二级是遵守了安全设计规范，而这两个等级都属于制造商自己的符合性声明。第三级则是不存在已知的常见软件漏洞，第四级为可抵抗常见的网络攻击，这两个等级都必须在第三方独立测试才能通过认证。

鉴于各个国家之间对于网络安全等级的标准不同，所以新加坡也和其他国家签署了互相承认协议，比如达到新加坡网络安全3级的产品与芬兰的网络安全标签互相认可，德国IT安全标签的IoT设备与新加坡网络安全2级互相认可等等。

结语

网络安全技术并非停滞不前，而是一直都在不断改进，但IoT设备可能是网络攻击中最脆弱的硬件设备之一。就以曾经通过智能摄像头和家用路由器来开展DDoS攻击的Mirai为例，该恶意工具当年导致了大面积网络瘫痪。所以此类安全事故出现后影响的可不仅仅只是单个IoT设备，甚至可能影响到一大片区域网络。

就以上两个例子的标签实用性来说，或许仅仅给出简单的网络安全标签，再以二维码的形式提供详细的网络安全和隐私安全标签更为合理，这样也不会存在破坏包装外观的问题。国内虽然也有在推进IoT设备安全标准的建立，但对于消费者来说，了解到产品安全特性的过程还是太过繁杂了，只有建立起完善的安全标签系统才能给到用户更高的透明度。