美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)研究制定了面向物聯(lián)網(wǎng)設(shè)備制造商的網(wǎng)絡(luò)安全指南，為物聯(lián)網(wǎng)產(chǎn)品的制造提供了安全控制的方向與指引。

作為物聯(lián)網(wǎng)網(wǎng)絡(luò)安全計(jì)劃的一部分，NIST 最近發(fā)布了兩份文件。文件旨在為物聯(lián)網(wǎng)設(shè)備制造商提供網(wǎng)絡(luò)安全指南與最佳實(shí)踐。該指南是 NIST 于 2017 年開(kāi)始實(shí)施的《加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全行政令》的一部分。NIST 在這些文件中提供了一系列建議，物聯(lián)網(wǎng)設(shè)備制造商應(yīng)該考慮這些建議來(lái)改善物聯(lián)網(wǎng)設(shè)備的安全性。

第一份文件是NISTIR 8259，該文件為物聯(lián)網(wǎng)設(shè)備制造商提供了詳細(xì)的路線圖，幫助解決 IoT 產(chǎn)品開(kāi)發(fā)過(guò)程中遇到的網(wǎng)絡(luò)安全問(wèn)題。文件中建議從六個(gè)方面進(jìn)行準(zhǔn)備，其中四個(gè)方面是在產(chǎn)品上市前進(jìn)行風(fēng)險(xiǎn)的識(shí)別與適當(dāng)?shù)陌踩刂拼胧?另外兩個(gè)方面是針對(duì)設(shè)備投放市場(chǎng)后如何滿(mǎn)足客戶(hù)的網(wǎng)絡(luò)安全需求。這些措施側(cè)重于確定客戶(hù)及其網(wǎng)絡(luò)安全需求，并解決設(shè)備面世后如何處理網(wǎng)絡(luò)安全問(wèn)題。

另一份文件NISTIR 8259A制定了滿(mǎn)足常見(jiàn)網(wǎng)絡(luò)安全控制需要的核心基本要求。如下所示：

設(shè)備識(shí)別：可以從邏輯和物理上識(shí)別單個(gè)設(shè)備 設(shè)備配置：可以更改 IoT 設(shè)備的軟件配置，此類(lèi)更改只能由授權(quán)實(shí)體進(jìn)行 數(shù)據(jù)保護(hù)：來(lái)自 IoT 設(shè)備的數(shù)據(jù)在存儲(chǔ)和傳輸中均要進(jìn)行保護(hù)，防止未授權(quán)的訪問(wèn)或修改 訪問(wèn)接口：只有授權(quán)實(shí)體才能通過(guò)接口進(jìn)行邏輯訪問(wèn) 軟件更新：IoT 設(shè)備的軟件可以由授權(quán)實(shí)體提供軟件更新 安全狀態(tài)感知：IoT 設(shè)備可以將安全狀態(tài)報(bào)告給授權(quán)實(shí)體

如前所述，物聯(lián)網(wǎng)設(shè)備的安全性在聯(lián)邦與州的共同努力下日益規(guī)范化。NIST 表示正在積極調(diào)整 NISTIR 8259 和 8259A，推動(dòng)聯(lián)邦政府機(jī)構(gòu)能夠使用更安全的 IoT 設(shè)備。

雖然目前沒(méi)有法律要求實(shí)施這兩個(gè)文件中包含的安全控制措施，但是在確定物聯(lián)網(wǎng)設(shè)備安全合理性時(shí)，該文件可能會(huì)成為重要參考。IoT 設(shè)備的制造商，特別是面向政府的設(shè)備制造商應(yīng)該主動(dòng)滿(mǎn)足 NIST 的標(biāo)準(zhǔn)要求，在實(shí)際和制造新 IoT 設(shè)備時(shí)將這兩個(gè)文件考慮進(jìn)來(lái)。