欧洲电信标准协会(ETSI)发布了旨在加强消费者物联网开发设备的网络安全和数据保护的指南。

随着越来越多的家庭设备连接到互联网，这些指南可以及时提醒人们注意便利性和连接性带来的漏洞。

ETSI总干事JanEllsberger表示：“消费者越来越依赖联网设备来进行安全交易，这使得制造商赢得这种信任至关重要——在设计上优先考虑安全性。”

“这些指南旨在解决最重要的漏洞，我相信它们有助于创建一个更安全的物联网开发生态系统，只要我们保持警惕——我们深知这项工作永远不会‘完成’。”

解决基本的消费者物联网开发安全缺陷

该文件强调，它并不打算为与消费者物联网开发相关的每一个安全、数据保护和隐私问题提供详尽的解决方案。相反，它通过提供“基线级别的安全和数据保护”来针对最紧迫和最普遍的漏洞。

根据该报告，该基线旨在防止“对基本设计弱点的基本攻击，例如使用容易猜测的密码”。

该文件的范围涵盖了无数消费者物联网开发设备，从智能家居助理和联网设备到可穿戴健康追踪器和智能相机。

特别是，该指南考虑了设备资源的限制，这可能会影响安全功能，正如报告中指出的那样：“可能限制安全功能的典型设备资源是能源供应、通信带宽、处理能力或（非）易失性存储器容量”。

漏洞管理的主动措施

该指南的一个重要部分集中在漏洞管理上。ETSI声称制造商有必要通过实施协调漏洞披露(CVD)计划来维持“对消费者和第三方的注意义务”。

该CVD计划旨在确保制造商准备好负责任地处理安全漏洞，从而保护其产品免遭恶意利用。

该指南建议制造商发布“漏洞披露政策”，至少规定报告问题的联系信息、确认收到漏洞报告的时间表以及状态更新。这种透明度对于维持漏洞管理的信任和有效性至关重要。

保持消费者物联网开发软件更新

ETSI强调了使用最新安全补丁更新软件的重要性。该文件强调了制造商在确保“消费者物联网开发设备中由于安全原因而并非一成不变的所有软件组件都应该能够安全更新”方面的作用。敦促制造商将安全更新与功能更新分开，以避免复杂化并确保及时交付。

随着消费设备越来越融入生活的关键方面，提供更新被认为对于维护安全至关重要。该文件要求“安全更新应及时”，并承认及时更新部署所涉及的固有复杂性。

确保数据保护

除了网络安全之外，数据保护仍然是ETSI指南的重点。随着许多物联网开发设备处理个人数据，保护这些信息的重要性怎么强调也不为过。

ETSI的指导方针主张制造商需要提供“关于处理哪些个人数据以及处理目的的清晰透明的信息”。

鼓励物联网开发产品开发商建立机制，让用户撤回数据处理同意，确保遵守监管要求并保护个人数据。

该文件还规定，数据收集应限于预期功能所需的范围，提倡使用匿名技术来保护用户隐私。

确保通信和存储安全

关键规定之一是关键安全参数的安全通信和存储。ETSI指南坚持认为“持久存储中的敏感安全参数应由消费者物联网开发设备安全存储”。

使用加密存储和安全元件等机制，制造商有望减轻与安全参数泄露相关的风险。

此外，ETSI非常重视消费物联网开发设备的安全通信，指出这些设备“应使用最佳实践加密技术来安全通信”。

通过优先使用经过评估的加密实现，该指南旨在确保跨网络接口的安全数据处理。

建立抗断电能力

消费者物联网开发设备对数据网络或电力中断的恢复能力是该指南解决的另一个关键方面。

产品预计“在网络访问中断的情况下保持运行和本地功能，并且在恢复断电的情况下应该完全恢复”。该规定对于维护消费者信任和避免与设备中断相关的安全影响特别重要。

随着物联网开发在基本的个人和社会功能中进一步巩固，抵御干扰的能力仍然至关重要。

该指南强调网络重新连接期间的有序性，并推广可最大限度减少物联网开发设备并发请求的系统，从而降低服务拒绝的风险。

消费者物联网开发制造商的行动号召

ETSI指南的重点是加强基本安全原则，旨在帮助制造商培育更安全、更可靠的物联网开发生态系统。

报告最后提出了谨慎和预期，暗示随着安全措施的改进，指南的未来修订可能会强制执行当前建议的条款。

通过制定这些标准，ETSI正在为更安全的物联网开发未来铺平道路，在这个未来中，连接的好处不会以牺牲安全和隐私为代价。