美国​NIST《物联网产品制造商基础网络安全活动》解读

2026年4月20日，美国国家标准与技术研究院（NIST）发布了修订版指南文件NIST IR 8259r1《物联网产品制造商基础网络安全活动》（Foundational Cybersecurity Activities for IoT Product Manufacturers）。该文件旨在帮助物联网产品制造商在产品开发、上市和后续维护过程中嵌入基础网络安全活动，提升产品固有安全能力，降低组织和个人用户面临的网络安全风险。

本次修订将安全考量范围拓展至物联网产品完整生命周期，进一步明确制造商在产品销售前后应落实的网络安全活动，并强化其与客户在安全维护、技术支持、漏洞处置和产品报废等环节的沟通要求。该指南反映出NIST正推动物联网安全从单点防护转向全生命周期风险管理，有助于减少客户后续安全投入并降低安全事件影响。

一、背景介绍

近年来，物联网设备在家居、医疗、工业、交通和城市基础设施等领域快速普及，已成为数字经济和关键信息基础设施的重要组成部分。但与传统IT设备相比，物联网设备普遍存在资源受限、部署环境复杂、使用周期长、更新维护困难、出厂安全能力不足等特点。长期以来，行业更重视功能和成本，安全设计相对滞后，导致设备漏洞、弱口令、更新机制缺失等问题较为突出，易被攻击者控制并用于僵尸网络、大规模网络攻击和数据泄露，对个人隐私、企业运营和国家安全带来风险。

在此背景下，主要国家和地区持续强化物联网安全监管与标准化要求。美国先后出台《物联网网络安全改进法》、行政命令13800和14028等政策，推动设备安全基线和全生命周期管理；欧盟《网络韧性法案》、新加坡网络安全标签计划等也进一步压实厂商安全责任。NIST于2020年发布IR 8259，并配套IR 8259A设备技术基线和IR 8259B非技术支撑基线，初步形成覆盖设计、开发、运维到退市的物联网产品安全框架。

为应对威胁演变、技术迭代与合规要求升级，NIST推出修订版IR 8259r1，替代2020年版本。新版指南立足物联网产品全生命周期和生态系统视角，强调厂商应将网络安全纳入组织层面优先事项，以客户安全需求为中心，统筹技术与非技术手段，将安全活动系统嵌入产品研发、上市交付、运行维护和退市处置全过程，明确从需求识别、能力设计、持续更新到安全退市的可操作流程，帮助厂商提升产品安全可配置、可管理和可防护能力，降低客户安全防护成本，减少设备被攻陷后的影响范围和危害程度，推动构建可信、安全、韧性的物联网生态。

二、主要内容

（一）目的与范围

物联网（IoT）产品是指能够感知或作用于物理世界，并能够连接或可连接至互联网的数字设备或系统，可由单一设备构成，也可包括后端服务、配套应用、网关等组件。IoT设备通常集成传感器或执行器，并具备一种或多种网络接口。该指南主要面向产品级网络安全活动，重点关注制造商可设计、开发、交付和维护的产品整体及其相关组件，不具体规范处理器、存储器等设备内部子组件。

该指南旨在指导制造商研发具备安全可配置、可管理、可防护能力的IoT产品，并不追求所谓“绝对安全”。这是因为IoT产品部署后通常由用户在具体业务和网络环境中自主管理，制造商难以对所有使用场景实现完全兜底，同时还需兼顾产品自身安全与用户整体系统安全。指南要求产品具备适配不同用户认知水平和使用能力的原生安全能力，既包括用户可见的安全功能，也包括产品内部安全机制；同时，制造商应提供必要的运维服务和安全信息，在产品全生命周期持续支撑用户开展网络安全风险管理。

（二）核心概念体系

1. IoT产品的组成

IoT 产品并非单一设备，而是由多个组件协同构成的整体。主要组件包括以下4类：

1）IoT设备：带传感器/执行器和网络接口，连接物理与数字世界。

2）专用网络/网关硬件：负责数据聚合、协议转换或转发，如集线器。

3）配套应用软件：在手机或PC上运行，用于与IoT产品交互。

4）后端服务：通常是云服务，提供数据存储、处理或设备管理等支持

图 1 由各种物联网产品组件支持的多个物联网产品的

网络示例

图1展示了示例部署环境中物联网产品架构的差异。判断某一组件是否属于IoT产品的标准是：移除该组件是否会导致产品核心功能失效。不同产品架构差异显著，部分设备可直连网络，部分需通过网关接入，组件分布、交互方式与数据流向共同决定了产品的安全边界与攻击面，制造商必须对全部组件进行统一安全设计，才能保证整体可安全性。

2. IoT产品生态中的实体

IoT产品生态包含多个对安全产生影响的主体，主要包括制造商、客户、供应商、安装方、维护方等。

· 制造商负责产品设计、开发与售后支持；客户是购买并使用产品的组织或个人；

· 供应商提供硬件、软件、云服务等供应链资源；

· 安装方负责现场部署；

· 维护方负责持续运营与修复。

生态内不同主体承担的安全责任、具备的权限与能力存在明显差异，该差异会对产品的最终安全状态产生直接影响。其中，制造商与客户之间的互动对产品安全的影响最为关键，其余主体则通过供应链、部署配置、日常运维等环节对产品安全产生间接影响，制造商需在产品设计阶段明确生态各方的角色定位与安全假设，防范因责任界定模糊引发安全缺口。

3.制造商在网络安全中的作用

制造商的安全作用贯穿IoT产品上市前和上市后全周期。上市前阶段，制造商需尽早将网络安全要求嵌入产品设计，明确产品安全能力、资源配置、开发流程和供应链安全要求。若安全决策过度后置，不仅会显著增加后续改造成本，也可能延长产品上市周期。上市后阶段，制造商需持续提供漏洞修复、软件更新、安全信息披露等非技术支撑，确保产品交付后仍具备持续维护和风险处置能力。

表 1 指南讨论的制造商推荐行动

表 1 展示了指南涵盖的基础网络安全行动，按行动输出主要影响产品安全性的阶段排列。

4.IoT产品客户网络安全需求和目标

IoT产品客户的网络安全需求主要包括五类：

1）资产管理：在产品生命周期内，维护IoT产品及其关键属性的清单，以支持安全管理。这是其他安全活动（如漏洞管理、访问控制等）的基础。

2）漏洞管理：识别并修复IoT产品各组件中的已知漏洞，以降低被攻击的可能性。常见手段包括软件更新（补丁）与配置调整，同时更新也有助于提升系统的可靠性与性能。

3）访问管理：防止未授权访问，控制用户、设备及其他实体对IoT产品的访问权限，并遵循最小权限原则。该需求不仅适用于用户，也包括制造商及其他相关实体。

4）数据保护：在数据存储与传输过程中，防止数据被未授权访问或篡改，从而避免敏感信息泄露或系统功能受损。

5）事件检测：对IoT产品运行状态进行监测与分析，以识别潜在安全事件，并支持后续的事件调查与问题诊断

这些需求既适用于企业客户，也适用于普通家庭用户，同时会受到法规、标准、行业规范与使用场景约束。对于医疗、工业等关键领域，安全需求还需与安全、隐私、可靠性要求协同考虑。

（三）主要方法：9项安全行动

1. 上市前阶段

上市前阶段的安全活动，是物联网产品实现“可安全性”的基础，目标是通过系统性规划与设计，将安全能力前置融入产品，避免后期修补带来的高成本与高风险。

1）行动0：优先考虑网络安全并保持网络安全态势

制造商需将网络安全纳入企业整体战略，建立覆盖研发、供应链、运维全流程的安全文化与制度体系，落实安全开发框架（如NIST SSDF）、供应链安全管控（如NIST SP 800-161）、威胁监测与应急响应机制，保障研发环境、代码仓库、第三方组件的可信性，从源头杜绝因组织安全薄弱导致的后门植入、漏洞泄露等问题，为后续所有产品安全行动提供可靠的组织保障。

2）行动1：识别预期客户并定义预期用例

行动1要求制造商明确目标客户群体与产品使用场景，包括用户类型（个人、企业、医疗、工业等）、部署环境、使用寿命、联网方式、数据类型与传输路径，同时识别潜在的物理与逻辑攻击面，为安全需求分析划定边界。

3）行动2：研究客户网络安全需求和目标

在行动1的基础上，围绕资产管理、漏洞管理、访问控制、数据保护、事件检测五个维度，梳理客户的安全需求，并同步匹配适用的法规、行业标准与合规要求，例如HIPAA 医疗数据安全、IEC 62443工业控制安全、欧盟网络韧性法案等，确保产品安全设计既满足客户实际使用需求，也符合强制合规要求。

图 2 物联网产品制造商与客户之间的网络安全连接

如图2所示，制造商与客户之间的网络安全联系非常重要。

4）行动3：确定在物联网产品背景下支持客户需求和目标的合适方式

制造商需结合产品的硬件资源、成本、功耗、寿命等约束条件，从四类手段中选择适配方案：①IoT设备自身的技术能力，如硬件信任根、安全启动、加密认证；②配套组件（云端服务、App、网关）的安全能力，如OTA更新、云端策略管控；③厂商提供的非技术服务，如安全披露、生命周期告知；④客户可自行部署的补充措施，如网络隔离、访问控制列表，最终形成技术与非技术结合、兼顾可行性与有效性的手段清单。

5）行动4：基于适当手段定义物联网产品网络安全能力

制造商需明确各项安全能力的具体规格与强度，例如采用的加密算法、认证方式、抗攻击能力、更新机制等，优先采用经过验证的安全技术，如硬件根信任、固件验签、防回滚保护，并参考NIST IR 8259A技术安全基线，针对不同行业场景按需扩展安全能力，形成可量化、可验证的产品安全能力清单。

6）行动5：规划对客户需求和目标的充分支持

制造商需为安全功能预留必要的硬件资源，包括算力、存储与功耗，采用安全平台或SDK减少自研安全风险，同时落实最小权限原则，关闭不必要的端口与服务以缩小攻击面。对于包含 AI 组件的产品，需明确数据处理与决策逻辑的安全保障措施。此外，还需制定安全开发流程，包括代码审计、渗透测试、漏洞奖励计划等，确保安全能力在产品中可靠实现，为产品上市后的安全运行奠定坚实基础。

2.上市后阶段

上市后阶段的安全活动，是保障物联网产品全生命周期安全韧性的关键环节，目标是通过持续的安全支持、透明的客户沟通与闭环的退市管理，让客户能够在产品使用周期内持续管控安全风险，避免设备因缺乏维护沦为网络攻击的薄弱点。

7）行动6：贯穿全生命周期地持续支持产品网络安全

制造商需建立完善的漏洞监测、响应与修复机制，持续跟踪产品固件、软件及第三方组件中的安全漏洞，制定明确的漏洞分级与响应流程，通过OTA更新等方式及时推送安全补丁，并支持固件验签、防回滚保护等技术，确保更新的完整性与可信性；同时，制造商需提前明确产品的安全支持周期，向客户清晰披露补丁更新的有效期与后续维护计划，对于超出支持周期的产品，需提供安全停用、数据清除与迁移的方案，避免设备因长期无人维护而暴露于攻击之下；在产品最终退市时，制造商还需制定安全报废与销毁流程，确保设备中的用户数据、配置信息被彻底清除，防止信息泄露或设备被非法复用。

8）行动7：定义与客户沟通的方法

制造商需根据客户群体的差异，选择适配的沟通渠道：面向个人消费者，可采用用户手册、产品官网、App 内提示等简洁易懂的方式；面向企业与行业客户，则需提供更专业的技术文档、安全公告、API 接口等，支持自动化系统读取安全信息。同时，制造商需保证安全信息的真实性与完整性，采用数字签名等方式对安全公告、更新说明进行验签，防止伪造或篡改的信息误导客户；此外，还需提供机器可读格式的安全数据，如SBOM（软件物料清单）、支持状态接口等，方便客户的资产管理与安全运维系统自动识别、处理产品安全信息。

9）行动8：决定要项客户传达什么及如何传达

制造商需向客户披露的关键信息包括：产品的安全设计假设与适用场景，明确产品的安全能力边界；安全支持周期与退市计划，让客户了解产品补丁更新的持续时间与后续处理方式；产品的完整构成，包括软件、硬件及第三方组件清单（如SBOM、HBOM）；固件更新机制，说明更新的触发方式、推送频率与验证流程；数据处理方式，明确产品采集、存储、传输用户数据的范围、位置与保护措施；产品的安全能力说明，包括认证、加密、访问控制、审计日志等功能的配置与使用方法；以及各方的安全责任划分，明确制造商、客户与第三方服务提供商在产品安全中的各自职责，同时提供漏洞上报渠道与处理流程，鼓励客户反馈安全问题，共同维护产品安全。

三、小结

NIST IR 8259r1是面向物联网产品制造商的全生命周期网络安全指南，核心在于提升产品安全可配置、可管理、可防护能力，而非追求绝对安全。指南要求厂商通过系统化、前置化的安全活动，为客户提供可理解、可维护、可持续的安全支撑，并构建覆盖组织安全、需求分析、方案设计、上市支撑、信息披露和退市闭环的实施框架，将网络安全融入产品研发、生产、运维和淘汰全过程。

指南将安全活动划分为上市前和上市后两个阶段，共提出九项行动。上市前阶段强调以客户安全需求为导向，夯实企业自身安全和供应链安全基础，明确产品使用场景，梳理合规与风险要求，确定技术与非技术实现手段，形成可落地的产品安全能力。上市后阶段聚焦持续安全保障，要求建立漏洞响应、软件更新和长期支持机制，通过规范、透明的信息沟通，向用户清晰告知安全能力、支持周期、数据处理方式和责任边界，并在产品退市时完成安全停用与数据处置。

该指南坚持风险导向，兼顾技术实现与非技术支撑，充分考虑物联网设备资源有限、生命周期长、应用场景复杂等特点，具有较强通用性和可操作性。其既为厂商提供了标准化的安全实施路径，也有助于降低用户安全管理成本，减少设备被劫持、数据泄露和网络攻击等风险，对提升物联网整体安全韧性、构建可信可靠的物联网生态具有重要参考价值。（完）

致 谢

本期《网络安全国际动态》部分内容得到了中国科学院信息工程研究所刘丽敏专家的大力支持，特此致谢。

声明：本文来自全国网安标委，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。