本文摘自《网络安全国际动态》2022年第10期
2022年9月14日,美国国家标准与技术研究院(NIST)发布内部报告NISTIR 8425《消费者物联网产品的核心基线》(Profile of the IoT Core Baseline for Consumer Products)最终版,给出了消费者物联网产品通常需要具备的网络安全能力。该报告是NIST为响应美国第14028号行政令而进行的一项网络安全标签研究工作,除了给出消费者物联网产品的网络安全基线外,还针对这些安全配置的开发基础提出注意事项,并为小型企业选购物联网产品提供指导。
一、 背景介绍
2021年5月12日,美国总统拜登签署第14028号行政令,其中要求NIST、美国联邦贸易委员会(FTC)与其他机构合作,启动网络安全标签试点项目,开展消费者物联网产品网络安全标签研究工作。
2022年2月4日,NIST发布《消费者物联网产品网络安全标签推荐准则》(Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things Products)白皮书,旨在通过推荐消费者物联网产品标签标准、标签设计和消费者考虑等事项实现第14028号行政令中相关指示。该白皮书指出消费者网络安全标签的三个关键要素,即制造商和软件开发者如何解决网络安全问题、网络安全信息如何通过标签传达给消费者、如何合格评定物联网产品符合安全要求。
2022年6月17日,NIST发布NISTIR 8425《消费者物联网产品核心基线》草案,采用了同年2月发布的《消费者物联网产品网络安全标签推荐准则》白皮书中消费者物联网网络安全准则。
2022年9月14日,NIST发布NISTIR 8425《消费者物联网产品核心基线》最终版。该文件以NISTIR 8259《物联网设备制造商的基础网络安全活动》(Foundational Cybersecurity Activities for IoT Device Manufacturers)系列为基础,扩展了消费者物联网产品核心基线。
二、 NISTIR 8425《消费者物联网产品核心基线》主要内容
NISTIR 8425《消费者物联网产品核心基线》记录了NIST物联网核心基线的消费者档案,并确定了消费者使用的物联网产品所需的网络安全能力。该文件包含两部分内容:第一部分以白皮书《消费者物联网产品网络安全标签推荐标准》为基础,定义了“物联网产品”的范围,之后介绍了物联网核心基线中物联网产品的消费者档案内容;第二部分通过对物联网设备网络安全能力核心基线的分析,介绍了NIST创建消费者档案全过程。
(一)物联网产品定义和消费者档案内容
1. 物联网产品定义
通常认为物联网产品由一件或多件物联网设备组成,或者除基本操作功能外使用物联网设备所需的其它任何产品组件。NIST将物联网设备定义为具有至少一个传感器和至少一个网络接口的计算设备。一款物联网产品可以作为一件物联网设备,但需通过相关系统组件来实现产品或设备功能,例如后端或个人计算机或智能手机上的配套用户应用程序。
复杂物联网产品可能包含多个物理物联网设备,或作为组件连接到多个后端或配套应用程序。创建物联网产品考虑以下三种特定类型的产品组件:
(1) 专业网络网关硬件;
(2) 配套应用软件;
(3) 后端设备。
其中,配套应用软件和后端设备提供了对物联网产品运行的支持。由于这些附加产品组件都有权访问物联网设备及其创建和使用的数据,因此它们会给物联网产品带来安全隐患。保障整个物联网产品的安全成为一件不可或缺的工作,NIST对物联网组件做出以下评定说明:
本文档讨论了物联网产品级别的功能,要注意评估各种物联网组件组合对生产物联网产品的复杂性。此外,一些物联网产品组件可能完全或部分模块化,用户可以选择组件或组件平台。例如,一些配套应用程序软件会在移动操作系统上或通过web浏览器运行,因此网络安全远超出了组件在物联网产品中的作用。在这种情况下,评估这些物联网产品组件是否符合消费者档案中的网络安全能力应考虑这一事实,并尽可能利用现有标准或合规机制作为物联网产品机制的一部分。例如,可能存在操作系统或云网络安全认证计划,可以证明部分支持消费者档案内确定的网络安全功能,但在许多情况下,物联网组件为产品提供的支持将通过使用现有程序、未经评估的其他应用软件或硬件来实现。因此,物联网产品的网络安全评估可以接受现有认证,并对附加应用软件/硬件的网络安全进行评估。
2. 消费者档案内容
消费者档案包含物联网产品和物联网产品开发者应具有的网络安全能力。图1为分别基于NISTIR 8259A/B,列出消费者档案内6项物联网产品能力准则和4项物联网产品开发者活动。
图1:消费者档案认证能力
(1)物联网产品能力准则
所有物联网产品以及每个单独的物联网产品组件都应符合物联网产品基线准则。
① 资产识别:物联网产品可以由用户和其他授权实体唯一识别;物联网产品可单独识别每个物联网产品组件,并维护相连组件的最新记录清单。
网络安全作用:识别物联网产品及其组件的能力对于资产管理的更新、数据保护和事件响应的数字取证等活动是必要的。
② 产品配置:经授权的个人、服务和其他物联网产品组件可以通过一个或多个物联网产品组件改变物联网产品的配置;经授权的个人、服务和其他物联网产品组件有能力将物联网产品恢复到安全化默认设置;物联网产品将配置设置应用于适用的物联网组件。
网络安全作用:具有修改物联网产品配置的权限可以帮助用户根据他们的需求和目标定制物联网产品功能,用户可以根据风险偏好配置产品,以避免安全风险。
③ 数据保护:每个物联网产品组件都通过安全方法,保护其存储数据;物联网产品可以删除数据或将从用户处收集的无法识别的数据进行复原;保护在物联网产品组件之间或外部之间传输的数据。
网络安全作用:维护数据的机密性、完整性和可用性是物联网产品网络安全的基础。用户期望数据得到保护,数据保护有助于确保物联网产品安全和实现其预期功能。
④ 接口访问控制:物联网产品组件控制对所有接口的访问,以保证只有授权实体才能访问。物联网产品组件至少应仅使用和访问物联网产品运行所需的接口,其他所有通道和访问通道都应被移除或确保其安全性;对于物联网产品使用的所有必要接口,都有访问控制措施;对于所有的接口,访问和修改的权限是有限的。
网络安全作用:通过对物联网产品所有内部和外部接口的枚举和访问控制,将有助于物联网产品、组件和数据免受未授权的访问和修改,从而维护其机密性、完整性和可用性。
⑤ 软件更新:所有物联网产品组件的软件只能由授权人员、服务人员和其他物联网产品组件通过使用安全且可配置的机制来更新,该规则适用于每个物联网产品组件。
网络安全作用:部署物联网产品后,软件可能存在漏洞。软件更新功能可以帮助确保安全补丁切实安装。
⑥ 网络安全态势感知:物联网产品可捕获和记录有关物联网组件状态的信息,这些信息可用于检测网络安全事件,或检测受物联网产品组件及其存储和传输数据的影响程度。
网络安全作用:当设备开始以意外方式运行,意味着设备正在尝试未经授权的访问,或发生物联网产品用户未发起或开发者未预期的其他类型操作时,设备可以向用户发送警报,对数据进行保护并确保开启保护功能。
(2)物联网产品开发者活动
大多数物联网产品准则直接与物联网产品挂钩,另外一小部分准则适用于物联网产品开发者。
① 产品说明文档:物联网产品开发者在用户购买之前,以及在产品开发和后续声明周期中,创建、收集和存储与物联网产品及其组件相关的网络安全信息。具体包括:
a) 在开发过程中做出的假设以及与物联网产品相关的其他信息;
b) 作为物联网产品一部分的所有物联网组件,包括但不限于物联网设备;
c) 物联网产品在其组件中如何满足基线产品准则,包括物联网产品组件不满足哪些基线产品标准以及原因;
d) 相关产品设计和注意事项;
e) 物联网产品的维护要求;
f) 与物联网产品相关相关的安全系统生命周期政策和流程;
g) 与物联网产品相关的漏洞管理政策和流程。
网络安全作用:生成、捕获和存储有关物联网产品及其开发的重要信息,帮助物联网产品开发者了解产品的实际网络安全状况。
② 接收并响应查询信息:物联网产品开发具有接收与物联网产品及其组件的网络安全相关信息的能力,并响应用户和其他人对物联网产品及其组件的网络安全相关信息的查询。
网络安全作用:用户在使用物联网产品过程中产生的问题报告有助于及时维护物联网产品的网络安全性能。
③ 信息传递:物联网产品开发者向公众、产品生态系统中的客户或其他人公布网络安全相关信息。具体包括:
a) 物联网产品开发者可通过向用户注册的电子信箱发送电子邮件等渠道,向所有用户公布产品网络安全相关信息及事件;
b) 物联网产品开发者可以公布物联网产品及其组件的网络安全信息,以提醒产品生态系统注意相关网络安全问题;
c) 物联网产品开发者使用的信息安全实践和保护措施概述。
网络安全作用:随着物联网产品及其组件、产品威胁和相关缓解措施的变化,用户需要了解如何安全使用物联网产品。
④ 产品科普和认知:物联网产品开发者应在物联网生态系统中就与物联网产品及其组件相关的网络安全信息为用户和其他人进行科普,建立其对产品的安全意识。具体包括:
a) 物联网产品应具备的网络安全性能及使用方法;
b) 如何在物联网产品及其组件的生命周期内,以及从产品开发者处获得安全支持之后进行维护;
c) 物联网产品及其组件如何安全重新配置;
d) 可供用户使用的物联网产品及其组件的漏洞管理选项;
e) 用户可以参考物联网产品其他信息,就产品的安全性做出购买决策。
网络安全作用:为其他用户和消费者物联网产品市场带来最佳网络安全建议,用户需要了解如何安全使用设备,培养产品网络安全意识。
(二)创建消费者档案全过程
NIST通过剖析物联网设备网络安全能力核心基线概念,通过2个步骤创建消费者档案:首先NIST对消费者物联网产品网络安全信息源进行收集,随后通过分析上述信息得出结论并建立消费者档案。
1. 收集消费者物联网产品网络安全源信息
消费者档案的创建,在响应美国14028号行政令的基础上,也为NIST消费者物联网产品网络安全标签计划提出建议。NIST与外部利益相关方就消费者物联网产品的需求和目标进行讨论,经过一年的工作,收集了数百条与消费者物联网产品网络安全标签相关的素材。
NIST通过研究整个公共领域,锁定了消费者物联网产品的可能漏洞。该项工作对于确定消费者物联网产品漏洞至关重要,可为其确定其他威胁和漏洞提供判定依据。同时,上述威胁和漏洞为网络安全分析过程提供了信息,尤其是产品最低安全性。表1转载自2021年12月NIST发布的《物联网产品消费者网络安全标签:正向通路的讨论稿》(Consumer Cybersecurity Labeling for IoT Products: Discussion Draft on the Path Forward)白皮书,其中列举了部分常见漏洞,以及消费者档案中与之对应的网络安全能力。
表1:消费者档案中记录的消费者物联网漏洞及其对应的网络安全能力
此外,NIST研究了物联网设备产品的现有标准、合规要求和标签生态系统,以了解用户对消费者物联网产品的考量。NIST审查了约30份源文件,包括物联网网络安全法、网络安全功能目录、基线性能集和分层方案,发现上述文件都是针对物联网设备本身提出安全要求,只有部分文件将云、移动应用程序或其他外部组件作为物联网产品的一部分进行约束。在NISTIR 8425公开征集意见期间,多数意见支持将物联网产品的所有组件纳入一组既定的网络安全功能范围内。
2. 消费者物联网产品网络安全源信息分析
在收集的30份源文件中,有8份样本与消费者物联网产品直接相关。NIST将上述样本与NISTIR 8259A/B中记录的属性进行了比较,结果表明样本的技术属性与NISTIR 8259A/B中记录的技术属性基本一致,并且使用了NISTIR 8259A中未记录的通用技术属性对消费者档案核心基线进行调整。然而,几乎没有源文档涉及到NISTIR 8259B中记录的非技术属性。由于消费者物联网设备的目标用户通常不是网络安全领域专家,因此这些非技术属性对于确保物联网设备安全运行更加重要。NIST在NISTIR 8425公开征集意见期间,通过提炼公众评论和用户反馈,整理出了消费者档案创建过程中的关键意见,详见表2。
表2:消费者物联网分析过程的重点意见和关键要点
NIST根据表2的意见和要点,针对消费者物联网概况得出以下结论:
(1) 许多消费者物联网设备都由额外组件组成,这些组件对于物联网设备至关重要;
(2) 家庭消费者通常没有这些额外组件的控制权。因此,在考虑到将设备应用于家庭消费者领域时,控制权应该扩展到设备之外,从而包含整个产品。此范围可能作为物联网产品的一部分组件,包括消费者之间进行间接互动的组件;
(3) 消费者档案必须在关键隐私、安全共识和行业考量的背景下实施。因为物联网产品用例在特定背景下仍具有巨大差异,所以消费者物联网产品安全和隐私机制是动态的。由于不同用例可能共享安全和隐私机制,但其影响或缓解的措施可能完全不同,这意味着消费者档案的功能必须广泛支持各种产品,同时不能阻碍产品自身安全和隐私机制;
(4) 物联网产品用户的网络安全实践在定义方式和成熟度上有所不同,需要在档案中定义普遍适用的网络安全实践;
(5) 可用的网络安全功能为该行业的一个重要网络安全需求,实施这些功能需要最高效的用户设置和交互,如果这些功能不可用,用户将失去可利用安全资源;
(6) 对于物联网产品功能和用例,应酌情使用特定标准、解决方案、实施或缓解措施。这意味着没有一套可适用于所有产品的特定标准。因此,消费者档案描述了物联网产品网络安全指导原则,为相关技术和用例提供了指引。
三、 小结
《消费者物联网产品核心基线》基于NISTIR 8259系列,针对物联网产品安全配置的开发基础提出注意事项,并为小型企业选购物联网产品提供指导。该报告的发布代表着美国消费者物联网产品的网络安全标签计划更进一步,以消费者为中心的物联网产品核心基线表明其重点仍是在市场中优先考虑消费者意识和安全的合规制度。此外,国际标准化组织ISO也正在开展物联网产品网络安全标签相关国际标准研究工作,即ISO/IEC PWI 27404《网络安全 物联网安全和隐私 消费者物联网通用网络安全标签框架》,该预研工作项目(PWI)由新加坡提出,给出了消费者物联网通用网络安全标签框架的定义,为开发和实施消费者物联网产品的网络安全标签计划提供指导。基于上述情况,我国也应加强物联网产品网络安全标签研究,进一步完善物联网基础安全标准体系。(完)
致 谢
本期《网络安全国际动态》内容得到了北京天融信网络安全技术有限公司、北京亿赛通科技发展有限责任公司、浙江垦丁(广州)律师事务所、深圳大学中国质量经济发展研究院、OPPO广东移动通信有限公司、用友网络科技股份有限公司等单位的大力支持,特此致谢。
声明:本文来自全国信安标委,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
