英国政府发布消费类物联网设备安全行为准则

英国政府为物联网(IOT)设备制造商发布了一项新的自愿行为准则，旨在保护消费类物联网。

该准则旨在确保家用集线器、智能家居设备、安全摄像头、可穿戴设备和连网玩具等设备免受外部攻击和数据泄露。

[[246516]]

今年早些时候，英国数字、文化、媒体和体育部(DCMS)和英国国家网络安全中心(NCSC)在联合安全设计审查之后采取了这一最新举措，该审查旨在将安全嵌入新技术的设计流程中。

该准则称，“随着人们将越来越多的个人数据委托给在线设备和服务商，这些产品的网络安全与我们家庭成员的人身安全一样重要。”

“本行为准则的目的是通过一套指导方针来支持所有参与消费物联网开发、制造和零售的各方，以确保产品在设计上是安全的，并使人们在数字世界中更容易保持安全。”

安全行为准则：

3月份以草案形式发布的新指南，列出了消费类设备制造商在设计物联网产品时应遵循的13个步骤。

它们是：

1. 禁止使用默认密码

所有物联网设备密码都应是唯一的，并且不能重置为任何通用出厂默认值。

许多物联网设备在销售时使用的是通用默认用户名和密码(如“Admin，Admin”)，消费者应对其进行更改。这是物联网中许多安全问题的源头所在，需要杜绝这种做法。应遵循密码和其他身份验证方法的最佳做法。

主要适用于：设备制造商

2. 实施漏洞披露政策

作为漏洞披露政策的一部分，所有提供互联网连接设备和服务的公司都应提供公共联络点，以便安全研究人员和其他人能够报告问题。已披露的漏洞应及时予以处理。

了解安全漏洞使公司能够作出回应。作为产品安全生命周期的一部分，公司还应持续监视、识别和纠正其自身产品和服务中的安全漏洞。最开始就应直接向受影响的利益相关者报告漏洞。如果无法做到，则可向国家当局报告这些漏洞。有关在不同情况下应采取的不同做法的详细信息，请参阅注释。我们还鼓励公司与主管行业团体分享信息。

主要适用于：设备制造商、物联网服务提供商和移动应用程序开发人员

3. 保持软件更新

联网设备中的软件组件应能够安全地执行更新。更新需及时进行，并且不能影响设备的功能。终端设备应布一项寿命终止政策，该政策需明确规定设备接收软件更新的最短时间长度，以及采用该支持周期长度的原因。每次更新的需求都应清楚地向消费者提出，并且要易于实施。对于无法执行物理更新的受限设备，产品应可以隔离和更换。

还应保证安全补丁来源的可靠性，并通过安全的渠道交付。更新过程中应尽可能保证设备的基本功能继续运行，例如手表应继续显示时间、自动调温器应继续运行、锁应继续正常解锁和闭合。这似乎主要是设计方面的问题，但如果不考虑或未正确管理，可能会为某些类型的设备和系统带来重大安全问题。

软件更新应在设备销售后提供，然后在规定的周期内推送至该设备。购买产品时，应向消费者明确说明软件更新支持的周期。零售商和/或制造商应向消费者发出更新通知。对于不可能进行软件更新的受限设备，应明确指出更换支持的条件和周期。

主要适用于：设备制造商、物联网服务提供商和移动应用程序开发人员

4. 安全存储凭据和安全敏感数据

任何凭证都应安全地存储在服务和设备上。不得使用硬编码在设备软件中的凭证。设备和应用程序的逆向工程可轻松发现硬编码在软件中的凭证，诸如用户名和密码等。用于掩盖或加密这种硬编码信息的简单模糊处理方法也可能会受到破坏。安全敏感数据(例如加密密钥、设备标识符和初始化向量)应安全地存储。应使用安全、可信的存储机制，如受信任的执行环境以及相关的可靠、安全的存储所提供的存储机制。

主要适用于：设备制造商、物联网服务提供商、移动应用程序开发人员

5. 安全通信

安全敏感数据(包括所有远程管理和控制数据)在传输过程中应该采用适用于技术和使用方式属性的方法进行加密。所有密钥都应安全管理。我们强烈鼓励应用开放、同行评审的互联网标准。

主要适用于：设备制造商、物联网服务提供商、移动应用程序开发人员

6. 尽量减少暴露的攻击面

所有设备和服务都应基于“最小权限原则”运行;未使用的端口应关闭，硬件不得提供不必要的访问权限，服务在未使用时应不可用，并应尽量减少代码，仅保留使服务正常运行所需的最少代码。软件应以适当的权限运行，同时考虑安全性和功能。其他任何应用领域一样，在物联网领域中，最小权限原则也是良好安全工程设计的基础。

主要适用于：设备制造商、物联网服务提供商

7. 确保软件完整性

应使用安全启动机制验证物联网设备上的软件。如果检测到未经授权的更改，设备应向用户/管理员发出警报，提醒其注意问题，并且除了执行警报功能所需的网络之外，不能连接到更广泛的网络。

从此类情况下执行远程恢复的能力应依赖于已知良好状态，例如在本地存储已知良好的版本，以实现设备安全恢复和更新。这将避免拒绝服务和成本高昂的召回或维护访问，同时管理设备被攻击者通过破坏更新或其他网络通信机制的方式进行接管的潜在风险。

主要适用于：设备制造商

8. 确保个人数据受到保护

设备和/或服务处理个人数据时应遵循适用的数据保护法律，如《一般数据保护条例》(GDPR)和《2018 年数据保护法案》。在每种设备和服务中，设备制造商和物联网服务提供商都应向消费者提供清晰、透明的信息，说明其个人数据的使用方式、使用者以及使用目的。这也适用于可能涉及的任何第三方(包括广告商)。如果个人数据依据消费者的授权进行处理，则此授权应以合法、有效的方式获得，并允许消费者随时撤回。

此准则可确保：

• IoT 制造商、服务提供商和应用程序开发人员在开发和交付产品和服务时遵守数据保护义务;
• 根据数据保护法律处理个人数据;
• 协助用户确保其产品的数据处理操作一致，并且根据规范正常运行;
• 为用户提供通过适当配置设备和服务功能来保护其隐私的方法。

主要适用于：设备制造商、物联网服务提供商、移动应用程序开发人员、零售商

9. 使系统能从故障中迅速恢复

考虑到存在数据网络中断或电力中断的可能性，根据物联网设备和服务的用途或依赖于其的系统，如果物联网设备和服务需要具备恢复机制，则应具备相应的内置恢复机制。物联网服务应尽可能在网络断开的情况下保持正常工作能力、可在本地正常运行，并应在恢复供电时完全恢复。设备应能够以合理状态和有序的方式重新加入网络，而不是通过大规模重新连接的方式重新加入。

当今的消费者在一些日益重要的使用情形中依赖于物联网系统和设备，这些使用情形可能与安全相关或影响生命。如果发生网络断开，服务应保持在本地正常运行，这是一种可提高恢复能力的措施。其他措施可能包括构建冗余和对 DDoS 攻击的防范措施。应基于用途确定适当的恢复能力，同时要考虑到可能依赖于这些系统、服务或设备的其他人，因为其影响可能会比预期更广泛。

主要适用于：设备制造商、物联网服务提供商

10. 监控系统遥测数据

如果从物联网设备和服务收集遥测数据，如使用和测量数据，则应监控是否存在安全异常。监控遥测数据(包括日志数据)有助于安全评估，并支持在早期发现异常情况，从而最大限度地降低安全风险，并快速缓解问题。但是，根据准则，应将对个人数据的处理量保持在最低限度，并向消费者说明要收集哪些数据及收集原因。

主要适用于：物联网服务提供商

11. 使用户能够轻松删除个人数据

设备和服务的设置应允许消费者在转让设备所有权、希望删除数据和/或想要处置设备时轻松删除个人数据。应向消费者提供有关如何删除其个人数据的明确说明。

物联网设备可能会更换所有权、最终被回收或处置。可提供相应的机制，让消费者能够保持控制和删除服务、设备和应用程序中的个人数据。

主要适用于：设备制造商、物联网服务提供商、移动应用程序开发人员

12. 轻松安装和维护设备

物联网设备的安装和维护应采用最少的步骤，并应遵循安全最佳做法。还应向消费者提供有关如何安全地设置其设备的指导。

可通过是当地解决用户界面中的复杂性和改善设计来减少甚至消除由于消费者混淆或错误配置导致的安全问题。向用户提供有关如何安全地配置设备的指导，也可降低其受到威胁的可能性。

主要适用于：设备制造商、物联网服务提供商、移动应用程序开发人员

13. 验证输入数据

通过用户界面输入的数据，以及通过应用程序编程接口 (API) 传输的数据或在服务和设备之间的网络传输的数据均应执行验证。

格式设置不正确的数据或通过不同类型的接口传输的代码都可能破坏系统。攻击者通常采用自动化工具来利用未验证数据的潜在缺陷和弱点。示例包括但不限于以下类型的数据：

• 不属于预期类型，例如可执行代码，而不是用户输入的文本。
• 超出范围，例如温度值超过传感器限值。

主要适用于：设备制造商、物联网服务提供商、移动应用程序开发人员

支持准则

政府表示，实施这些指导方针将“有助于保护消费者的隐私和安全，同时使他们更容易安全地使用他们的产品”。它还将减轻分布式拒绝服务(DDoS)攻击的威胁，这些攻击通常是从安全性差​​的物联网设备和服务发起的。

一些物联网制造商，如惠普和Centrica Hive，已经承诺支持该行为准则。

英国数字、文化、媒体和体育部(DCMS)部长Margot James对这一消息表示欢迎，称“英国在产品安全方面处于全球领先地位，并将消费者不得不保护其设备的负担转移开来”。

“惠普公司和Centrica Hive的承诺是值得欢迎的第一步，但至关重要的是，其他制造商也要跟随，确保从设计的那一刻起就将强大安全措施纳入日常技术中。”

Ian LeAlex Neill博士，Which家居产品和服务总经理补充说：“我们欢迎政府带头解决互联网产品日益增长的安全问题，这些智能设备的制造商现在必须认真对待安全，并签署该准则，以更好地保护每天使用其产品的消费者”。

为什么准则不是强制性的?

然而，一些安全专家质疑为何该准则是自愿的，政府则表示该准则“以结果为中心，而不是强制性的”，给予企业“创新和实施适合其产品安全解决方案的灵活性。”

网络安全公司Redscan的首席技术官Andy Kays警告称，正因为如此，小型制造商将会蔑视新规则。他说：“为了产生真正的积极影响，我们需要确保在全球范围内改善合作，并采取更多措施帮助企业在整个开发生命周期中优先考虑安全。”

“现在，网络安全通常是一些制造商优先考虑问题中的最后一个。新功能和服务正在推动销售，而不是稳固性，制造商将原型作为成熟产品销售，以引起关注并尽快推向市场。”

“新制造商和初创企业与更成熟企业没有相同的品牌资产水平，因此，他们倾向于冒更大的风险来将产品推向市场，这可能意味着网络安全风险较少受到关注。”

“零售商也需要尽自己的一份力量，通过确保他们选择符合公认的安全标准产品来保护消费者。”

他的评论得到了业界其他人赞同。例如，IOActive战略副总裁John Sheehy说：“虽然这确实是朝着正确方向迈出的一步，但鉴于这是自愿的，行业不太可能对此采取行动。”

“不幸的是，许多设备制造商更关心将最低限度可行的产品推向市场，而不是它是否安全。因此，许多物联网设备使其所有者面临重大风险。”

Infoblox技术总监Gary Cox补充说：“为保护企业，可以——而且应该—做得更多。”

“我们最近的报告显示，美国、英国和德国超过三分之一(35%)的公司报告说，每天有超过5000台个人设备——从智能手机到平板电脑和笔记本电脑——连接到企业网络，表明了该漏洞的规模。”

“有可能会有更多设备连接到专业网络，增加了它们被勒索软件、数据泄漏和其他形式网络攻击的风险。”

“为了降低黑客，违规和滥用的风险，企业必须更加重视安全，并且应该从一开始就将其构建到设备中，在识别网络中的恶意通信时，请将智能DNS解决方案作为任何防御策略的核心。”