歐洲電信標準協(xié)會( ETSI )最近發(fā)布了技術規(guī)范103 645，旨在幫助保護消費者免受物聯(lián)網(wǎng)設備的侵害。該規(guī)范由ETSI協(xié)會網(wǎng)絡安全技術委員會制定。

ETSI在全球擁有近900名會員，包括ABB、佳能、愛立信、三菱、LG電子、Orange、施耐德電氣、奧迪、德意志銀行、德國漢莎航空系統(tǒng)、松下、博世、三星電子、西門子等公司和許多其他公司。我們可以期待這些組織能夠帶領我們走向一個更加安全的互聯(lián)世界。

[[259422]]

加強物聯(lián)網(wǎng)安全控制

在物聯(lián)網(wǎng)安全行業(yè)工作的每個人都知道，現(xiàn)在的情況就像是一個蠻荒的西部，在沒有任何硬性法規(guī)的情況下，為了節(jié)省時間和成本，該行業(yè)違反了低安全標準。

就像在汽車上強制使用安全帶和在社交媒體上使用GDPR(歐盟通用數(shù)據(jù)保護條例)保護隱私一樣，連網(wǎng)設備面臨更嚴格的安全法規(guī)只是時間問題。

有一些舉措可以幫助行業(yè)提高物聯(lián)網(wǎng)的安全性，如美國物聯(lián)網(wǎng)網(wǎng)絡安全法、網(wǎng)絡盾牌法案、智能物聯(lián)網(wǎng)法、美國國家標準局管理物聯(lián)網(wǎng)網(wǎng)絡安全和隱私風險法案、歐盟網(wǎng)絡安全法，另外不要忘記最近的SB-327法案，在該法案中，加州將從2020年1月1日起強制實施物聯(lián)網(wǎng)設備的基本安全。有充分理由相信這些代表了未來的要求。

讓我們深入了解ETSI協(xié)會的新規(guī)范：TS 103 645，以了解未來的發(fā)展方向。

立法者對物聯(lián)網(wǎng)產品的期望是什么

TS 103 645附帶了一套相當技術性的要求，這些要求強調了保護連網(wǎng)設備并非小事。安全性必須貫穿產品的整個生命周期，那些拼湊而成的安全性必將失敗。新規(guī)范提出了13項要求：

• 沒有通用默認密碼
• 實施管理漏洞報告的方法
• 保持軟件更新
• 安全存儲憑據(jù)和敏感數(shù)據(jù)
• 安全溝通
• 盡可能減少暴露的威脅面
• 確保軟件完整性
• 確保個人數(shù)據(jù)受到保護
• 系統(tǒng)應該具有彈性，使停機快速恢復
• 檢查系統(tǒng)遙測數(shù)據(jù)
• 方便消費者刪除個人數(shù)據(jù)
• 簡化設備的安裝和維護
• 驗證輸入數(shù)據(jù)

要了解關于這些要求的更多內容，請單擊此處。

保持軟件更新

規(guī)范中的第三個要求得到的關注最多，并且也被認為是最重要的安全措施之一。

“保持軟件更新”要求包括以下條款：

• 消費者物聯(lián)網(wǎng)設備中的所有軟件組件都應該可以安全更新
• 當需要更新時，應該通知消費者
• 應及時更新——這取決于嚴重程度
• 所有產品應有明確的標簽，標明使用壽命結束日期
• 應該讓消費者知道更新的需求，并且易于實現(xiàn)
• 基本功能應該在更新期間保持運行
• 安全補丁必須通過安全通道提供
• 對于不能更新軟件的受限設備，產品應該是可隔離的，并且硬件可更換
• 對于不能更新軟件的受限設備，必須有使用期限和報廢的明確標識

贏家對安全非常認真

正如麥肯錫對300家企業(yè)研究結果所指出的那樣，贏家在產品設計階段和生命周期中都將安全性考慮在內。隨著監(jiān)管機構越來越意識到保護全球連網(wǎng)設備的重要性，每個供應商何時必須遵守基本安全措施想必也只是時間問題。好消息是，安全性對企業(yè)非常有好處。