歐洲電信標準協(xié)會( ETSI )最近發(fā)布了技術(shù)規(guī)范103 645，旨在幫助保護消費者免受物聯(lián)網(wǎng)設(shè)備的侵害。該規(guī)范由ETSI協(xié)會網(wǎng)絡(luò)安全技術(shù)委員會制定。

ETSI在全球擁有近900名會員，包括ABB、佳能、愛立信、三菱、LG電子、Orange、施耐德電氣、奧迪、德意志銀行、德國漢莎航空系統(tǒng)、松下、博世、三星電子、西門子等公司和許多其他世界級公司。我們可以期待這些組織能夠引領(lǐng)我們走向一個更加安全的互聯(lián)世界。

加強物聯(lián)網(wǎng)安全控制

在物聯(lián)網(wǎng)安全行業(yè)工作的每個人都知道，現(xiàn)在的情況就像是一個蠻荒的西部，在沒有任何硬性法規(guī)的情況下，為了節(jié)省時間和成本，該行業(yè)違反了低安全標準。

就像在汽車上強制使用安全帶和在社交媒體上使用GDPR（歐盟通用數(shù)據(jù)保護條例）保護隱私一樣，連網(wǎng)設(shè)備面臨更嚴格的安全法規(guī)只是時間問題。

有一些舉措可以幫助行業(yè)提高物聯(lián)網(wǎng)的安全性，如美國物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)盾牌法案、智能物聯(lián)網(wǎng)法、美國國家標準局管理物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和隱私風險法案、歐盟網(wǎng)絡(luò)安全法，另外不要忘記最近的SB-327法案，在該法案中，加州將從2020年1月1日起強制實施物聯(lián)網(wǎng)設(shè)備的基本安全。有充分理由相信這些代表了未來的要求。

讓我們深入了解ETSI協(xié)會的新規(guī)范：TS 103 645，以了解未來的發(fā)展方向。

立法者對物聯(lián)網(wǎng)產(chǎn)品的期望是什么

TS 103 645附帶了一套相當技術(shù)性的要求，這些要求強調(diào)了保護連網(wǎng)設(shè)備并非小事。安全性必須貫穿產(chǎn)品的整個生命周期，那些拼湊而成的安全性必將失敗。新規(guī)范提出了13項要求：

1、沒有通用默認密碼

2、實施管理漏洞報告的方法

3、保持軟件更新

4、安全存儲憑據(jù)和敏感數(shù)據(jù)

5、安全溝通

6、最大限度地減少暴露的攻擊面

7、確保軟件完整性

8、確保個人數(shù)據(jù)受到保護

9、系統(tǒng)應(yīng)該具有彈性，使停機快速恢復

10、檢查系統(tǒng)遙測數(shù)據(jù)

11、方便消費者刪除個人數(shù)據(jù)

12、簡化設(shè)備的安裝和維護

13、驗證輸入數(shù)據(jù)

保持軟件更新

規(guī)范中的第三個要求得到的關(guān)注最多，并且也被認為是最重要的安全措施之一。

“保持軟件更新”要求包括以下條款：

▲消費者物聯(lián)網(wǎng)設(shè)備中的所有軟件組件都應(yīng)該可以安全更新

▲當需要更新時，應(yīng)該通知消費者

▲應(yīng)及時更新——這取決于嚴重程度

▲所有產(chǎn)品應(yīng)有明確的標簽，標明使用壽命結(jié)束日期

▲應(yīng)該讓消費者知道更新的需求，并且易于實現(xiàn)

▲基本功能應(yīng)該在更新期間保持運行

▲安全補丁必須通過安全通道提供

▲對于不能更新軟件的受限設(shè)備，產(chǎn)品應(yīng)該是可隔離的，并且硬件可更換

▲對于不能更新軟件的受限設(shè)備，必須有使用期限和報廢的明確標識

贏家對安全非常認真

正如麥肯錫對300家企業(yè)研究結(jié)果所指出的那樣，贏家在產(chǎn)品設(shè)計階段和生命周期中都將安全性考慮在內(nèi)。隨著監(jiān)管機構(gòu)越來越意識到保護全球連網(wǎng)設(shè)備的重要性，每個供應(yīng)商何時必須遵守基本安全措施想必也只是時間問題。好消息是，安全性對企業(yè)非常有好處。