美国网络安全信任标志计划概述

美国推出的“网络安全信任标志”（US Cyber Trust Mark）计划，旨在为消费者提供更简单的选择，避免在购买物联网（IoT）设备（如恒温器、洒水控制器或婴儿监视器）时进行深入的研究。该标志预计在2024年底前自愿应用于IoT设备。

标志设计与含义

标志设计为一个带有微芯片的盾牌，具体颜色和含义尚未完全确定。根据美国国家标准与技术研究院（NIST）的报告，标志可能涉及加密传输和存储、软件更新、用户对密码和数据保留的控制等方面。

实施进展

目前，该标志作为联邦通信委员会（FCC）的拟议规则制定通知（NPRM）存在。FCC正在征求利益相关者关于哪些设备应被标记、由哪个实体监督计划、验证标准和处理消费者教育的意见。

优先目标

白宫表示，消费者级路由器是优先目标，计划在2023年底前完成评估。能源部则计划为智能电表和电源逆变器开发标签。

IoT设备的安全挑战

安全威胁

IoT设备面临真实的安全威胁。FCC引用第三方估计，2021年上半年针对IoT设备的攻击超过15亿次。预计到2030年，全球将有超过250亿台联网IoT设备。

案例

FCC主席Jessica Rosenworcel引用了一个案例，一家银行尽管在账户和转账等方面有强大的网络安全措施，最终却通过一个未更新的自动售货机被攻破。

安全标准的复杂性

标志的多样性

不同颜色的盾牌（如“Aqua”盾牌）在家庭安全摄像头上的含义尚不明确。每个盾牌将附带一个二维码，消费者可以查看设备如何获得特定颜色的详细信息。

标签的复杂性

IoT设备的标签比传统标签（如UL、EnergyStar）更复杂，涉及以下问题：

• 包含多个互联IoT设备的设备（如路由器）
• 如何评估IoT设备的其他部分（如云服务器、智能手机应用、开源软件）
• 产品更新后，包装可能不再反映新功能和安全变化
• 新漏洞暴露曾经安全的设备
• 不同设备（如带摄像头或传感器的设备与带智能屏幕的冰箱）的安全标准不同
• 数据隐私是否计入“安全”
• 公司的更新承诺是否影响评级

行业支持与挑战

支持者

亚马逊、百思买、LG、三星、谷歌等公司以及消费技术协会行业团体已表示支持该计划。

挑战

苹果公司的缺席引发了对标签有效性的质疑，特别是如果主要供应商拒绝参与，标签的作用可能会受到限制。

结论

网络安全信任标志计划的实施面临复杂性和挑战，但其目标是提高IoT设备的安全性，帮助消费者做出更明智的选择。尽管进展缓慢，行业支持和消费者需求将推动该计划的进一步发展。