近日，美國召集了來自私營企業、學術機構的領導和政要開展會議，討論如何在IoT設備上實施網絡安全標簽計劃。據了解，美國想要將這一計劃打造成物聯網安全上的“能源之星”，對于出口海外的國產IoT設備廠商來說，他們的認證流程或許會又多一環。

計劃來由

自2020年以來，美國就在不斷推出加強網絡安全的政策，比如去年5月發布的《改善網絡安全行政令》。在該行政命令中就特別強調，商務部長暨美國國家標準與技術研究院（NIST）院長，應該與其他機構代表合作，在現有的消費品標簽項目上啟動試點計劃，以公示物聯網設備的安全性能，同時激勵制造商和開發商參與該項計劃。

而近日召開的會議上，美國更是強調要求NIST與聯邦貿易委員會合作，推出改良的網絡安全標準，并為這些物聯網設備打造一個標準化的商品標簽。參會者包括AT&T、思科、Comcast等通信廠商，也有CSA、谷歌、亞馬遜、LG、索尼、三星等在IoT市場耕耘已久的廠商和聯盟。

在白宮發布的新聞稿件中，主要列舉了一些家庭常用的IoT設備，比如嬰兒監視器和智能家電等，所以IoT安全標簽主要還是面向消費級，尤其是智能家居的IoT設備。值得一提的是，這次會議并沒有任何芯片原廠的參與，可見這一標簽計劃還是主要針對制造商本身對于產品的安全性設計。

IoT安全標簽的形式

美國政府表示會在2023年有針對性地推出這一IoT安全標簽計劃，并將其作為全球公認的標簽來推進。雖然并沒有提及這一標簽的具體實現形式，但依然可以從參會者中挖出一些信息。


比如這次會議來自學術界的代表為卡內基梅隆大學，他們專攻安全與隱私的Cylab實驗室就曾提出過一個安全標簽原型，比如上圖這個食品成分表一樣的標簽就是他們設計的主要標簽形式。

從上圖中可以看出，這是一個型號名為NS200的智能安全攝像頭的標簽，注明了出廠固件版本號、更新時間和生產地區。在安全機制上，標注了提供直到2022年1月1日的自動安全更新，控制訪問方式有密碼、出廠默認方式、用戶可更換和多用戶同時控制。除了本身的安全機制以外，該標簽還提供了這一攝像頭收集的數據信息，比如視頻和音頻等。

更重要的是，標簽本身還寫明了收集數據的用途、存儲位置、分享對象和是否售賣數據等，可想而知這個標簽的存在和廠商給出的隱私承諾徹底掛鉤了。但這樣一個標簽本身所占面積就已經很大了，如果放在包裝盒上的無疑會影響外觀，所以該標簽也提供了一個二維碼次級標簽，掃碼之后即可查看更詳細的數據隱私信息，比如數據保存期限、數據分享頻率等等。

新加坡的思路

這樣的安全標簽計劃也并非美國首創，其他國家其實早就開展了類似的計劃。譬如新加坡網絡安全局早就推出了網絡安全標簽計劃（CLS），用于改善物聯網安全性。這一計劃最初只是為了覆蓋路由器和網關而推出的，如今已經擴展到了所有消費級物聯網設備上，比如攝像頭、智能門鎖、智能燈具和智能打印機等。
不過從他們的安全標簽來看，更多是針對網絡安全而不是隱私安全的。新加坡網絡安全局為IoT設備的網絡安全分為了四個等級，第一級是滿足基本的安全要求，第二級是遵守了安全設計規范，而這兩個等級都屬于制造商自己的符合性聲明。第三級則是不存在已知的常見軟件漏洞，第四級為可抵抗常見的網絡攻擊，這兩個等級都必須在第三方獨立測試才能通過認證。

鑒于各個國家之間對于網絡安全等級的標準不同，所以新加坡也和其他國家簽署了互相承認協議，比如達到新加坡網絡安全3級的產品與芬蘭的網絡安全標簽互相認可，德國IT安全標簽的IoT設備與新加坡網絡安全2級互相認可等等。

結語

網絡安全技術并非停滯不前，而是一直都在不斷改進，但IoT設備可能是網絡攻擊中最脆弱的硬件設備之一。就以曾經通過智能攝像頭和家用路由器來開展DDoS攻擊的Mirai為例，該惡意工具當年導致了大面積網絡癱瘓。所以此類安全事故出現后影響的可不僅僅只是單個IoT設備，甚至可能影響到一大片區域網絡。

就以上兩個例子的標簽實用性來說，或許僅僅給出簡單的網絡安全標簽，再以二維碼的形式提供詳細的網絡安全和隱私安全標簽更為合理，這樣也不會存在破壞包裝外觀的問題。國內雖然也有在推進IoT設備安全標準的建立，但對于消費者來說，了解到產品安全特性的過程還是太過繁雜了，只有建立起完善的安全標簽系統才能給到用戶更高的透明度。