英國政府為物聯(lián)網（IOT）設備制造商發(fā)布了一項新的自愿行為準則，旨在保護消費類物聯(lián)網。

該準則旨在確保家用集線器、智能家居設備、安全攝像頭、可穿戴設備和連網玩具等設備免受外部攻擊和數據泄露。

今年早些時候，英國數字、文化、媒體和體育部（DCMS）和英國國家網絡安全中心（NCSC）在聯(lián)合安全設計審查之后采取了這一最新舉措，該審查旨在將安全嵌入新技術的設計流程中。

該準則稱，“隨著人們將越來越多的個人數據委托給在線設備和服務商，這些產品的網絡安全與我們家庭成員的人身安全一樣重要?！?/p>

“本行為準則的目的是通過一套指導方針來支持所有參與消費物聯(lián)網開發(fā)、制造和零售的各方，以確保產品在設計上是安全的，并使人們在數字世界中更容易保持安全?！?/p>

?

安全行為準則：

3月份以草案形式發(fā)布的新指南，列出了消費類設備制造商在設計物聯(lián)網產品時應遵循的13個步驟。

它們是：

1） 禁止使用默認密碼

所有物聯(lián)網設備密碼都應是唯一的，并且不能重置為任何通用出廠默認值。

許多物聯(lián)網設備在銷售時使用的是通用默認用戶名和密碼（如“Admin，Admin”），消費者應對其進行更改。這是物聯(lián)網中許多安全問題的源頭所在，需要杜絕這種做法。應遵循密碼和其他身份驗證方法的最佳做法。

主要適用于：設備制造商

2） 實施漏洞披露政策

作為漏洞披露政策的一部分，所有提供互聯(lián)網連接設備和服務的公司都應提供公共聯(lián)絡點，以便安全研究人員和其他人能夠報告問題。已披露的漏洞應及時予以處理。

了解安全漏洞使公司能夠作出回應。作為產品安全生命周期的一部分，公司還應持續(xù)監(jiān)視、識別和糾正其自身產品和服務中的安全漏洞。最開始就應直接向受影響的利益相關者報告漏洞。如果無法做到，則可向國家當局報告這些漏洞。有關在不同情況下應采取的不同做法的詳細信息，請參閱注釋。我們還鼓勵公司與主管行業(yè)團體分享信息。

主要適用于：設備制造商、物聯(lián)網服務提供商和移動應用程序開發(fā)人員

3） 保持軟件更新

聯(lián)網設備中的軟件組件應能夠安全地執(zhí)行更新。更新需及時進行，并且不能影響設備的功能。終端設備應布一項壽命終止政策，該政策需明確規(guī)定設備接收軟件更新的最短時間長度，以及采用該支持周期長度的原因。每次更新的需求都應清楚地向消費者提出，并且要易于實施。對于無法執(zhí)行物理更新的受限設備，產品應可以隔離和更換。

還應保證安全補丁來源的可靠性，并通過安全的渠道交付。更新過程中應盡可能保證設備的基本功能繼續(xù)運行，例如手表應繼續(xù)顯示時間、自動調溫器應繼續(xù)運行、鎖應繼續(xù)正常解鎖和閉合。這似乎主要是設計方面的問題，但如果不考慮或未正確管理，可能會為某些類型的設備和系統(tǒng)帶來重大安全問題。

軟件更新應在設備銷售后提供，然后在規(guī)定的周期內推送至該設備。購買產品時，應向消費者明確說明軟件更新支持的周期。零售商和/或制造商應向消費者發(fā)出更新通知。對于不可能進行軟件更新的受限設備，應明確指出更換支持的條件和周期。

主要適用于：設備制造商、物聯(lián)網服務提供商和移動應用程序開發(fā)人員

4） 安全存儲憑據和安全敏感數據

任何憑證都應安全地存儲在服務和設備上。不得使用硬編碼在設備軟件中的憑證。設備和應用程序的逆向工程可輕松發(fā)現硬編碼在軟件中的憑證，諸如用戶名和密碼等。用于掩蓋或加密這種硬編碼信息的簡單模糊處理方法也可能會受到破壞。安全敏感數據（例如加密密鑰、設備標識符和初始化向量）應安全地存儲。應使用安全、可信的存儲機制，如受信任的執(zhí)行環(huán)境以及相關的可靠、安全的存儲所提供的存儲機制。

主要適用于：設備制造商、物聯(lián)網服務提供商、移動應用程序開發(fā)人員

5） 安全通信

安全敏感數據（包括所有遠程管理和控制數據）在傳輸過程中應該采用適用于技術和使用方式屬性的方法進行加密。所有密鑰都應安全管理。我們強烈鼓勵應用開放、同行評審的互聯(lián)網標準。

主要適用于：設備制造商、物聯(lián)網服務提供商、移動應用程序開發(fā)人員

6） 盡量減少暴露的攻擊面

所有設備和服務都應基于“最小權限原則”運行；未使用的端口應關閉，硬件不得提供不必要的訪問權限，服務在未使用時應不可用，并應盡量減少代碼，僅保留使服務正常運行所需的最少代碼。軟件應以適當的權限運行，同時考慮安全性和功能。其他任何應用領域一樣，在物聯(lián)網領域中，最小權限原則也是良好安全工程設計的基礎。

主要適用于：設備制造商、物聯(lián)網服務提供商

7） 確保軟件完整性

應使用安全啟動機制驗證物聯(lián)網設備上的軟件。如果檢測到未經授權的更改，設備應向用戶/管理員發(fā)出警報，提醒其注意問題，并且除了執(zhí)行警報功能所需的網絡之外，不能連接到更廣泛的網絡。

從此類情況下執(zhí)行遠程恢復的能力應依賴于已知良好狀態(tài)，例如在本地存儲已知良好的版本，以實現設備安全恢復和更新。這將避免拒絕服務和成本高昂的召回或維護訪問，同時管理設備被攻擊者通過破壞更新或其他網絡通信機制的方式進行接管的潛在風險。

主要適用于：設備制造商

8） 確保個人數據受到保護

設備和/或服務處理個人數據時應遵循適用的數據保護法律，如《一般數據保護條例》（GDPR）和《2018 年數據保護法案》。在每種設備和服務中，設備制造商和物聯(lián)網服務提供商都應向消費者提供清晰、透明的信息，說明其個人數據的使用方式、使用者以及使用目的。這也適用于可能涉及的任何第三方（包括廣告商）。如果個人數據依據消費者的授權進行處理，則此授權應以合法、有效的方式獲得，并允許消費者隨時撤回。

此準則可確保：

i） IoT 制造商、服務提供商和應用程序開發(fā)人員在開發(fā)和交付產品和服務時遵守數據保護義務；

ii） 根據數據保護法律處理個人數據；

iii） 協(xié)助用戶確保其產品的數據處理操作一致，并且根據規(guī)范正常運行；

Iv） 為用戶提供通過適當配置設備和服務功能來保護其隱私的方法。

主要適用于：設備制造商、物聯(lián)網服務提供商、移動應用程序開發(fā)人員、零售商

9） 使系統(tǒng)能從故障中迅速恢復

考慮到存在數據網絡中斷或電力中斷的可能性，根據物聯(lián)網設備和服務的用途或依賴于其的系統(tǒng)，如果物聯(lián)網設備和服務需要具備恢復機制，則應具備相應的內置恢復機制。物聯(lián)網服務應盡可能在網絡斷開的情況下保持正常工作能力、可在本地正常運行，并應在恢復供電時完全恢復。設備應能夠以合理狀態(tài)和有序的方式重新加入網絡，而不是通過大規(guī)模重新連接的方式重新加入。

當今的消費者在一些日益重要的使用情形中依賴于物聯(lián)網系統(tǒng)和設備，這些使用情形可能與安全相關或影響生命。如果發(fā)生網絡斷開，服務應保持在本地正常運行，這是一種可提高恢復能力的措施。其他措施可能包括構建冗余和對 DDoS 攻擊的防范措施。應基于用途確定適當的恢復能力，同時要考慮到可能依賴于這些系統(tǒng)、服務或設備的其他人，因為其影響可能會比預期更廣泛。

主要適用于：設備制造商、物聯(lián)網服務提供商

10） 監(jiān)控系統(tǒng)遙測數據

如果從物聯(lián)網設備和服務收集遙測數據，如使用和測量數據，則應監(jiān)控是否存在安全異常。監(jiān)控遙測數據（包括日志數據）有助于安全評估，并支持在早期發(fā)現異常情況，從而最大限度地降低安全風險，并快速緩解問題。但是，根據準則，應將對個人數據的處理量保持在最低限度，并向消費者說明要收集哪些數據及收集原因。

主要適用于：物聯(lián)網服務提供商

11） 使用戶能夠輕松刪除個人數據

設備和服務的設置應允許消費者在轉讓設備所有權、希望刪除數據和/或想要處置設備時輕松刪除個人數據。應向消費者提供有關如何刪除其個人數據的明確說明。

物聯(lián)網設備可能會更換所有權、最終被回收或處置?？商峁┫鄳臋C制，讓消費者能夠保持控制和刪除服務、設備和應用程序中的個人數據。

主要適用于：設備制造商、物聯(lián)網服務提供商、移動應用程序開發(fā)人員

12） 輕松安裝和維護設備

物聯(lián)網設備的安裝和維護應采用最少的步驟，并應遵循安全最佳做法。還應向消費者提供有關如何安全地設置其設備的指導。

可通過是當地解決用戶界面中的復雜性和改善設計來減少甚至消除由于消費者混淆或錯誤配置導致的安全問題。向用戶提供有關如何安全地配置設備的指導，也可降低其受到威脅的可能性。

主要適用于：設備制造商、物聯(lián)網服務提供商、移動應用程序開發(fā)人員

13） 驗證輸入數據

通過用戶界面輸入的數據，以及通過應用程序編程接口 （API） 傳輸的數據或在服務和設備之間的網絡傳輸的數據均應執(zhí)行驗證。

格式設置不正確的數據或通過不同類型的接口傳輸的代碼都可能破壞系統(tǒng)。攻擊者通常采用自動化工具來利用未驗證數據的潛在缺陷和弱點。示例包括但不限于以下類型的數據：

i） 不屬于預期類型，例如可執(zhí)行代碼，而不是用戶輸入的文本。

ii） 超出范圍，例如溫度值超過傳感器限值。

主要適用于：設備制造商、物聯(lián)網服務提供商、移動應用程序開發(fā)人員

支持準則

政府表示，實施這些指導方針將“有助于保護消費者的隱私和安全，同時使他們更容易安全地使用他們的產品”。它還將減輕分布式拒絕服務（DDoS）攻擊的威脅，這些攻擊通常是從安全性差的物聯(lián)網設備和服務發(fā)起的。

一些物聯(lián)網制造商，如惠普和Centrica Hive，已經承諾支持該行為準則。

英國數字、文化、媒體和體育部（DCMS）部長Margot James對這一消息表示歡迎，稱“英國在產品安全方面處于全球領先地位，并將消費者不得不保護其設備的負擔轉移開來”。

“惠普公司和Centrica Hive的承諾是值得歡迎的第一步，但至關重要的是，其他制造商也要跟隨，確保從設計的那一刻起就將強大安全措施納入日常技術中?！?/p>

Ian LeAlex Neill博士，Which家居產品和服務總經理補充說：“我們歡迎政府帶頭解決互聯(lián)網產品日益增長的安全問題，這些智能設備的制造商現在必須認真對待安全，并簽署該準則，以更好地保護每天使用其產品的消費者”。

為什么準則不是強制性的？

然而，一些安全專家質疑為何該準則是自愿的，政府則表示該準則“以結果為中心，而不是強制性的”，給予企業(yè)“創(chuàng)新和實施適合其產品安全解決方案的靈活性?！?/p>

網絡安全公司Redscan的首席技術官Andy Kays警告稱，正因為如此，小型制造商將會蔑視新規(guī)則。他說：“為了產生真正的積極影響，我們需要確保在全球范圍內改善合作，并采取更多措施幫助企業(yè)在整個開發(fā)生命周期中優(yōu)先考慮安全?！?/p>

“現在，網絡安全通常是一些制造商優(yōu)先考慮問題中的最后一個。新功能和服務正在推動銷售，而不是穩(wěn)固性，制造商將原型作為成熟產品銷售，以引起關注并盡快推向市場?！?/p>

“新制造商和初創(chuàng)企業(yè)與更成熟企業(yè)沒有相同的品牌資產水平，因此，他們傾向于冒更大的風險來將產品推向市場，這可能意味著網絡安全風險較少受到關注?！?/p>

“零售商也需要盡自己的一份力量，通過確保他們選擇符合公認的安全標準產品來保護消費者?！?/p>

他的評論得到了業(yè)界其他人贊同。例如，IOActive戰(zhàn)略副總裁John Sheehy說：“雖然這確實是朝著正確方向邁出的一步，但鑒于這是自愿的，行業(yè)不太可能對此采取行動。”

“不幸的是，許多設備制造商更關心將最低限度可行的產品推向市場，而不是它是否安全。因此，許多物聯(lián)網設備使其所有者面臨重大風險。”

Infoblox技術總監(jiān)Gary Cox補充說：“為保護企業(yè)，可以——而且應該---做得更多?！?/p>

“我們最近的報告顯示，美國、英國和德國超過三分之一（35％）的公司報告說，每天有超過5000臺個人設備——從智能手機到平板電腦和筆記本電腦——連接到企業(yè)網絡，表明了該漏洞的規(guī)模?！?/p>

“有可能會有更多設備連接到專業(yè)網絡，增加了它們被勒索軟件、數據泄漏和其他形式網絡攻擊的風險?！?/p>

“為了降低黑客，違規(guī)和濫用的風險，企業(yè)必須更加重視安全，并且應該從一開始就將其構建到設備中，在識別網絡中的惡意通信時，請將智能DNS解決方案作為任何防御策略的核心?！?/p>