2020年5月29日,美国国家标准与技术研究院发布了《物联网设备网络安全能力核心基准》(NISTIR 8259A),文件定义了物联网设备网络安全能力的核心基准,该网络安全能力泛指支撑常见网络安全控制所需设备能力的集合,常见的网络安全控制包括保护组织的设备、设备数据、系统以及生态系统。该基准旨在为组织机构提供一个起点,用于识别即将制造、集成或使用的新型物联网设备的网络安全能力,同时可以与物联网设备制造商的基础网络安全活动NISTIR 8259一起使用。该基准介绍了六方面的物联网设备网络安全能力,其中包括设备识别、设备配置、数据保护、接口的逻辑访问、软件更新以及网络安全状态感知,并分别对每项能力的共性特点和基本原理进行如下阐述。
一、设备识别:
可以在逻辑上和物理上唯一识别物联网设备。
(一)共性特点
1、唯一逻辑标识符。
2、授权实体可以访问的设备的外部或内部位置上的唯一物理标识符。
注:物理标识符和逻辑标识符可以表示相同的值,但不做强制要求。
(二)基本原理阐述
1、该功能支持资产管理,而资产管理又支持漏洞管理、访问管理、数据保护和事件检测。
2、唯一的逻辑标识符可以用来区分设备,通常用于自动化设备管理和监视。这可能要求该逻辑标识符是不可变的,以允许长期使用标识符进行设备识别。唯一逻辑标识符也可用于设备认证,但利用哪种标识进行设备认证需要进一步考虑。
3、当其他逻辑标识符不可用时,例如在设备部署和退役期间,或者在设备故障之后,可以使用该物理标识符将设备与其他设备区分开来。
4、该功能可能还需要一个附加的逻辑标识符用于更具体的目的,如设备意图信号,该附加标识符可以不具有唯一性。
二、设备配置:
物联网设备软件的配置可以更改,且只能由授权实体执行。
(一)共性特点
1、能够修改设备的软件配置设置。
2、将修改配置的权限限制在授权实体范围内。
3、赋予授权实体将设备恢复到授权实体定义的安全配置的能力。
(二)基本原理阐述
1、该功能支持漏洞管理、访问管理、数据保护和事件检测。
2、一个被授权的实体可能会因为各种原因想要改变设备的配置,包括网络安全、互操作性、隐私和可用性。没有设备配置能力,授权实体无法定制设备以满足其需求,无法将设备集成到授权实体的环境中。
3、大多数网络安全能力至少在某种程度上取决于设备配置能力。
4、未经授权的实体可能会出于多种原因更改设备的配置,比如获得未经授权的访问、导致设备故障或秘密监视设备的环境。
5、在当前配置包含错误,已被损坏或宕机,或不再被认为是值得信任的设备的情况下,需要提供恢复到安全配置状态的能力。
三、数据保护:
物联网设备可以保护其存储和传输的数据,防止未经授权的访问和修改。
(一)共性特点
1、使用可证明安全的加密模块进行标准化加密算法,例如,认证加密、加密哈希、数字签名验证,以防止设备存储和传输数据的机密性和完整性受到损害。
2、当前授权实体有能力阻止所有实体(无论是否曾经被授权过)访问设备上的数据,例如,通过擦除内部存储,销毁加密数据的加密密钥。
3、与设备配置功能一起使用的配置设置,包括但不限于授权实体配置加密使用本身的能力,例如选择密钥长度。
(二)基本原理阐述
1、该功能支持访问管理、数据保护和事件检测。
2、授权的实体(客户、管理员、用户)经常希望保护他们的数据的机密性,这样未经授权的实体就不能访问和滥用数据。
3、授权实体通常希望保护其数据的完整性,以免无意或有意地更改数据,而更改可能会产生各种不良后果,例如,向设备发出错误的命令,隐藏恶意活动。
四、接口的逻辑访问:
物联网设备可以限制其本地和网络接口的逻辑访问,以及这些接口使用的协议和服务,只有授权的实体可以进行访问。
(一)共性特点
1、能够在逻辑上或物理上禁用设备核心功能不需要的任何本地和网络接口。
2、能够在逻辑上限制对每个网络接口的访问,只有授权的实体才能访问,例如,设备认证、用户认证。
3、与设备配置功能一起使用的配置设置包括(但不限于)为设备锁定或禁用账户或在多次失败的身份验证尝试后延迟额外身份验证尝试的任何功能启用、禁用和调整阈值的能力。
(二)基本原理阐述
1、该功能支持漏洞管理、访问管理、数据保护和事件检测。
2、限制对接口的访问可以减少设备的攻击面,使攻击者有更少的机会破坏它。例如,对物联网设备的无限制网络访问使攻击者能够直接与设备交互,这极大地增加了设备被攻击的可能性。
3、对接口的访问可能会部分或完全受限于设备的状态。例如,如果设备没有配备适当的网络凭据,那么如果使用安全的加载方案,所有对网络接口的访问都将受到限制。
五、软件更新:
物联网设备的软件只能由授权实体使用,并通过安全且可配置的机制进行更新。
(一)共性特点
1、通过远程(如网络下载)和/或本地手段(如可移动媒体)更新设备软件的能力。
2、在安装任何更新之前验证和身份认证的能力。
3、授权实体能够将已更新的软件退回到以前的版本。
4、将更新操作限制为仅授权实体的能力。
5、启用或禁用更新的能力。
6、与设备配置功能一起使用的配置设置,包括但不限于:(1)能够配置任何远程更新机制,以自动或手动启动更新下载和安装。(2)当更新可用时启用或禁用通知的能力,并指定通知谁或什么内容。
(二)基本原理阐述
1、此功能支持漏洞管理。
2、更新可以消除物联网设备的漏洞,从而降低攻击者危害设备的可能性。
3、更新可以纠正物联网设备的运行问题,从而提高设备的可用性、可靠性、性能等方面的设备运行。
4、一些授权实体将需要自动更新能力来满足其网络安全目标和需求,而另一些实体或需要对更新及其应用进行更直接的控制。
5、在程序更新无意中影响关键应用程序或与其他系统的情况下,可以提供程序版本回落的功能;当程序运行在稳定版本时,应该具有防止程序版本回落的功能。
六、网络安全状态感知:
物联网设备可以报告其网络安全状态,并仅允许授权实体访问这些信息。
(一)共性特点
1、报告设备网络安全状态的能力。
2、区分设备何时可能正常运行和何时可能处于网络安全降级状态的能力。
3、能够限制对状态指示器的访问,以便只有经过授权的实体才能查看。
4、能够防止任何实体(授权或未经授权)编辑状态,但负责维护设备状态信息的实体除外。
5、使状态信息对另一个设备上的服务可用的能力,例如事件/状态日志服务器。
(二)基本原理阐述
1、此功能支持漏洞管理和事件检测。
2、网络安全状态感知有助于调查危害,定位错误,并排除某些操作问题。
3、基于特定的上下文环境需求和目标,设备如何使其他实体感知到网络安全状态将有所不同。但应能捕获并记录必须存储在外部空间的事件信息,及时直接向监视系统发送预警信息,或通过物联网设备自身接口发出警告。
值得注意的是,以上提供的能力可以作为一个起点,帮助利益相关者提供可能需要的手段,以满足共同的网络安全需求和目标。客户可能追求的风险缓解领域是考虑网络安全需求和目标的一种方式,这些需求和目标可能需要通过设备网络安全能力得到物联网设备的支持,详细内容可参考NISTIR 8228文件。
总结
美国国家标准与技术研究院发布的《物联网设备网络安全能力核心基准》(NISTIR 8259A)为物联网设备网络安全能力提供了最低基准线,为使用者提供一般性参考,为其他组织定义更适合自身物联网设备的安全措施提供了安全基准保障。
作者:金忠峰 李楠
声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
