NIST发布了物联网设备制造商指南的网络安全指南。作为物联网网络安全计划的一部分,NIST最近发布了两份文件。该文件旨在为物联网设备制造商提供网络安全指南和最佳实践。该指南是NIST于2017年开始实施的《加强联邦网络和关键基础设施网络安全行政令》的一部分。在这些文件中,NIST提供了一系列建议,物联网设备制造商应考虑提高物联网设备的安全性。第一份文件是NISTIR8259,它为物联网设备制造商提供了详细的路线图,以帮助解决物联网产品开发过程中遇到的网络安全问题。文件从六个方面推荐了产品上市前的准备工作,其中四个是产品上市前的风险识别和适当的安全控制措施;另外两个方面是设备上市后如何满足客户的网络安全需求。这些措施侧重于识别客户及其网络安全需求,并解决设备可用后如何处理网络安全问题。另一份文件NISTIR8259A规定了满足常见网络安全控制需求的核心基本要求。它们如下:设备标识:可以在逻辑和物理上识别单个设备设备配置:可以更改物联网设备的软件配置,此类更改只能由授权实体进行数据保护:来自物联网设备的数据在存储和存储中都受到保护在传输中防止未经授权的访问或修改访问接口:只有授权实体可以通过接口进行逻辑访问软件更新:物联网设备的软件更新可以由授权实体提供安全状态感知:物联网设备可以向授权实体报告安全状态如前所述,通过联邦和州的联合努力,物联网设备安全越来越受到监管。NIST表示正在积极调整NISTIR8259和8259A,以使联邦机构能够使用更安全的物联网设备。虽然目前没有法律要求实施这两个文件中包含的安全控制措施,但在确定物联网设备的安全理由时,该文件可能成为重要参考。物联网设备制造商,尤其是面向政府的制造商,应主动满足NIST的标准,并在实施和制造新的物联网设备时考虑这两个文件。
