新兴标准定义了IOT安全要求
文章:理查德Quinnell
消费者物联网设计与ETSI的新标准正在制定一个基准的安全要求。万博投注网址
越来越明显的是,即使是面向消费者市场的物联网设计也需要安全功能,哪怕只是为了保持用户信息的隐私。万博投注网址目前还不清楚的是需要包含哪些类型的安全特性。然而,现在一个新兴的标准ETSI(欧洲电信标准协会)的消费物联网设计是定义一个基准的安全要求。万博投注网址
ETSI批准并发布了其标准ETSI EN 303 645 V2.1.1(2020-06) - 网络安全物联网的消费类互联网:基本要求2020年6月。这使它步入了最终批准和今年晚些时候发布的轨道。该标准规定了消费者物联网设备及其与相关服务的交互应提供的高级安全性和数据保护条款。但是,它的范围特别限于消费者设备,而不是服务,也不打算应用于医疗保健或制造业等非消费者应用程序。不过,家庭自动化、联网电器和玩具、联网媒体、健身追踪器等都包括在内。
该标准承认其条款的适用性是依赖于适用情况的,因此大部分定义是非强制性的。它还要求开发人员记录为什么没有实现任何建议的理由,这样其他涉众就可以确定标准的条款是否得到了适当和正确的应用。因此,即使大多数是可选的,该标准的规定确实建立了设计可以期望和消费者可以期望的明确的安全基线。万博投注网址
不管设备的复杂性,这种基线可以申请。一个简单的,即使受限,装置,例如在示出的一个图1,可能在它的电源,电池寿命,处理能力,或物理访问的限制,或者具有有限的功能性,有限的存储器,或有限的网络带宽。在这种情况下,该设备可能需要另一装置的支持如集线器,基站,或伴随设备。完整的系统,然后,将符合安全标准,即使单独的设备可能没有。
图1一个简单的物联网设备如果没有足够的资源来满足安全标准的所有部分,仍然可以通过与支持设备配对来实现。来源:ETSI
更先进的设备,可以在自己的用户提供满足安全标准所需的所有资源,当然也包括在内。所示的参考架构图2,显示智能音箱中可用的资源。它很容易实现标准的所有安全规定。
图2一个成熟的物联网设备,如智能扬声器必须执行该标准的安全规定所需的所有资源。来源:ETSI
该标准为消费者物联网定义了大约12条基本的网络安全规定,开发者应该致力于遵循这些规定。这些包括:
- 没有通用默认密码—在除出厂默认状态以外的任何运行状态下,使用的密码必须是用户自定义的或者是设备唯一的密码。
- 实现一种管理漏洞报告的方法- 开发人员必须做出的一个漏洞披露政策公开。
- 保持软件更新-开发者应该计划在他们的设备运行周期内提供及时的安全更新。
- 安全存储敏感的安全参数—持久化存储中的安全参数(密码、密钥等)必须是安全的。
- 安全通信- 最佳实践的密码是必要的,应该更新。
- 尽量减少暴露的攻击面- 这包括禁用未使用的网络接口和逻辑接口,隐藏的调试接口在可能的情况,以及其它这样的考虑因素。
- 确保软件的完整性-提供安全启动操作和识别未经授权的软件更改。
- 确保个人数据安全- 对设备的感官能力的个人数据,并建议用户使用加密。
- 制作系统抵御中断- 适应网络的连通性损失和断电恢复干净。
- 检查系统遥测数据- 任何遥测数据的设备收集,如使用统计和测量,应检查其安全性异常。
- 很容易让用户删除用户数据- 这是为了简化由操作或所有权的转让的移除设备。
- 使安装和设备维修方便—帮助用户安全设置设备。
- 验证输入数据- 确保系统无法通过接收格式不正确的数据或代码来破坏。
这些指南只是消费者物联网安全的起点,并不是为了解决所有的安全挑战,也不会防止长期或复杂的攻击。但它们确实提供了一个坚实的基础功能,可以防止针对基本设计弱点的基本攻击,这比目前许多消费设备所能宣称的要多。
ETSI的标准一旦正式受理,将有可能成为“开放筹码”物联网设备的设计向前发展。万博投注网址现在是时候为开发商开始变得熟悉标准,并计划实施其政策。
本文最初发布经济日报。
丰富Quinnell是一位退休工程师,作家,和前任主编总司令在EDN。
相关文章:
