由于美國立法者希望2017年的物聯(lián)網(wǎng)《網(wǎng)盾法案》獲得批準，美國國家標準與技術(shù)研究院(簡稱NIST)最近向聯(lián)邦機構(gòu)和私營部門提供了一個更好的未來物聯(lián)網(wǎng)(IoT)安全問題的解決方案報告。

　　這份物聯(lián)網(wǎng)安全方案報告內(nèi)容簡介

　　在2018年2月14號的物聯(lián)網(wǎng)網(wǎng)絡(luò)標準的跨部門報告中，NIST 警告稱，由于沒有一套統(tǒng)一的網(wǎng)絡(luò)安全標準，多數(shù)物聯(lián)網(wǎng)的設(shè)備(例如美國總務(wù)管理局總部大樓里，從智能汽車到能效傳感器等設(shè)備)可能受到網(wǎng)絡(luò)攻擊。

　　過去幾年 IoT 已在許多電子產(chǎn)品中盛行起來，但 NIST 警告稱，IoT 技術(shù)的日益普及將為不法之徒提供更多的機會。

　　NIST在這份報告中寫道：“IoT 有望在未來變得更具革命性和普遍性。與此同時，IoT 普及帶來的網(wǎng)絡(luò)安全風險將對國家構(gòu)成重大威脅。”

　　這份報告提供了用于分析 IoT 網(wǎng)絡(luò)安全標準現(xiàn)狀的五大IoT技術(shù)應(yīng)用領(lǐng)域：

　　聯(lián)網(wǎng)汽車IoT;

　　消費者IoT;

　　醫(yī)療保健IoT;

　　智能建筑IoT;

　　智能制造IoT。

　　這份報告還分析了 IoT 的網(wǎng)絡(luò)安全目標、風險和威脅。

　　在 IoT 的安全實施方面，這份報告指出，傳統(tǒng)的 IT 系統(tǒng)通常優(yōu)先考慮保密性，然后是完整性和可用性。然而，報告強調(diào)， IoT 設(shè)備擁有一系列功能，應(yīng)用在不同的領(lǐng)域，對于某些設(shè)備而言，優(yōu)先級排序可能會不同 。由于要保護的系統(tǒng)數(shù)量龐大，對于不同 IoT 設(shè)備的要求是一大挑戰(zhàn)。由此可見，IoT服務(wù)的多樣性加大了制定一致性網(wǎng)絡(luò)安全標準的挑戰(zhàn)難度。

　　盡管如此，NIST 這份報告總結(jié)稱，基于標準的網(wǎng)絡(luò)安全風險管理將繼續(xù)成為 IoT 應(yīng)用可信度的主要因素，NIST 通過對上述五大應(yīng)用領(lǐng)域的分析指出，IoT 網(wǎng)絡(luò)安全將需要調(diào)整現(xiàn)有標準，并制定新標準解決彈出式網(wǎng)絡(luò)連接，共享系統(tǒng)組件等。美國對私營機構(gòu)的依賴程度大，美國政府要有效參與制定網(wǎng)絡(luò)安全標準，就需要與私營部門協(xié)調(diào)與合作。

　　區(qū)塊鏈或徹底改變物聯(lián)網(wǎng)安全

　　談到以技術(shù)為基礎(chǔ)的解決方案，NIST 認為，區(qū)塊鏈有助于與聯(lián)網(wǎng)設(shè)備一起填補一些安全方面的空白，NIST 在報告中表示“區(qū)塊鏈是一個不斷發(fā)展的技術(shù)，它可以徹底改變物聯(lián)網(wǎng)安全。區(qū)塊鏈模型有利于設(shè)備之間的端到端數(shù)據(jù)互聯(lián)，因此是一種去中心化的安全。”

　　美國 IoT《網(wǎng)盾法案》要求

　　美國國會參議員 Ed Markey(馬薩諸塞州)、眾議員Ted Lieu(加州)鼓勵立法者落實《網(wǎng)盾法案》，該法案將為 IoT 設(shè)備創(chuàng)建一個自愿性質(zhì)的網(wǎng)絡(luò)安全認證方案。2018年1月29日美國“關(guān)鍵基礎(chǔ)設(shè)施技術(shù)的冬季峰會”期間，Markey 表示，“如果保障措施不到位，物聯(lián)網(wǎng)時代也是‘危聯(lián)網(wǎng)’時代”。

　　2017，據(jù) Gartner 估計，目前有超過 84 億的 IoT 設(shè)備在使用中。到2020年，IoT 設(shè)備將會超過 200 億臺。

　　美國《網(wǎng)盾法案》一旦被通過，將由來自學術(shù)界，業(yè)內(nèi)和消費者倡導小組的人士組建一個網(wǎng)安專家咨詢委員會，以創(chuàng)建 IoT 的網(wǎng)絡(luò)安全標準。美國商務(wù)部長將任命咨詢委員會的成員，而商務(wù)部監(jiān)察長也將對監(jiān)管機構(gòu)進行監(jiān)督。

　　IoT 設(shè)備安全等級劃分

　　按美國《網(wǎng)盾法案》的要求，設(shè)備制造商應(yīng) 自愿提交其產(chǎn)品進行評估 。滿足美國咨詢委員會網(wǎng)絡(luò)安全標準的產(chǎn)品會被打上網(wǎng)盾標記。Markey 表示，“之所以把詳細信息擺出來，目的是讓用戶清楚自己所用設(shè)備的安全處于哪個等級。(這可能類似于空調(diào)的能耗等級標識)”

　　2018年2月14日，在布魯金斯學會(Brookings Institution)網(wǎng)絡(luò)安全小組討論期間，美國聯(lián)邦通信委員會(FCC)前主席 Tom Wheeler 表示，F(xiàn)CC 或許會在認證網(wǎng)絡(luò)最佳實例中扮演某個角色，就像它現(xiàn)在評估無線電產(chǎn)品一樣，明確產(chǎn)品類型，告知無線電抗干擾程度，這樣的產(chǎn)品認證體系也應(yīng)該用于物聯(lián)網(wǎng)產(chǎn)品。

　　有助于規(guī)范 IoT 設(shè)備“生產(chǎn)”流程

　　Wheeler 認為，雖然 FCC 的測試可能標志著管理 IoT 設(shè)備廠商的重大變革，但私企在規(guī)范網(wǎng)安產(chǎn)品方面做得確實還不夠。生產(chǎn)出來的芯片，可能要用于攝像頭，然后攝像頭交由電商售賣，最后到達消費者手中，在這個供應(yīng)鏈中，很少有人擔心過網(wǎng)絡(luò)安全問題，更多的時候關(guān)心的只是價格問題。

　　為了掌握安全風險的情況，NIST 援引了 2016年10月 Dyn 公司遭遇的那次網(wǎng)絡(luò)攻擊 ，Dyn 公司專門對互聯(lián)網(wǎng)數(shù)據(jù)傳輸進行監(jiān)控和路徑引導。不法之徒通過惡意軟件感染聯(lián)網(wǎng)設(shè)備，令 Dyn 公司的系統(tǒng)在 DoS 攻擊中崩潰，而且還讓很多主要網(wǎng)頁無法打開。

 1/2    1 2 下一頁 尾頁