NIST发布物联网设备安全功能建议草案

     物联网设备可以带来许多便利，例如我们可以在杂货店检查家里的冰箱内容。但同时它们也已经因为经常遭受黑客攻击和数据泄露等问题给社会造成了一种新型的网络安全风险。近日，NIST（美国国家标准与技术研究院）发布的“核心基线”指南为这些支持物联网的设备确定了一系列自愿推荐的网络安全功能。

      这个“核心基线”指南为物联网设备应该做什么以及它应该具备哪些安全功能提供了一些建议。NIST计算机科学家兼指南作者之一的Mike Fagan表示，“保护设备是一项需要集体努力的工作，制造商必须提供选项和软件更新，用户必须应用它们。双方都应该发挥作用。”

      “核心基线”提供了制造商可以构建到物联网设备中的六种推荐安全功能的列表，消费者可以在购物时的设备盒子或在线描述中查找。虽然该文档包含非供消费者使用的技术语言，但Fagan对每个功能提供了直接的解释：一、设备识别：物联网设备应该有一种识别自身的方法，例如连接到网络时使用的序列号和/或唯一地址。二、设备配置：同样，授权用户应该能够更改设备的软件和固件配置。例如，许多物联网设备都有办法改变其功能或管理安全功能。三、数据保护：应该清楚IoT设备如何保护其通过网络存储和发送的数据免受未经授权的访问和修改。例如，某些设备使用加密来模糊设备内部存储器上保存的数据。四、对接口的逻辑访问：设备应限制对其本地和网络接口的访问。例如，物联网设备及其支持软件应收集并验证尝试访问设备的用户的身份，例如通过用户名和密码。五、软件和固件更新：设备的软件和固件应使用安全且可配置的机制进行更新。例如，一些物联网设备从制造商处接收自动更新，用户几乎不需要工作。六、网络安全事件记录：物联网设备应记录网络安全事件，并使所有者或制造商可以访问日志。这些日志可以帮助用户和开发人员识别设备中的漏洞，以保护或修复它们。