美国启动“安全标签”计划

美国政府近日宣布正式启动针对消费级物联网设备的“网络安全信任标签”（U.S. Cyber Trust Mark）计划。白宫的这一举措旨在让消费者轻松了解所购产品的网络安全性，同时激励企业制造更加安全的设备，打造类似“能源之星”的安全标杆。

网络安全标签计划的意义

随着物联网设备在家庭中的渗透率不断攀升，网络安全问题愈加凸显。消费者发现这些产品的安全信息缺乏透明度，很多产品存在大量安全漏洞，且缺乏明确清晰的安全技术支持服务相关条款和承诺，一旦被黑客利用将把智能家居变成黑客据点，给用户造成重大损失。

从智能家居设备到健身追踪器，再到婴儿监控器，这些无处不在的无线物联网设备成为黑客眼中的“软目标”。Gartner预测，到2025年，全球将有超过150亿个物联网设备接入网络。然而，这些设备中的许多缺乏基本的安全防护，成为潜在的“数字后门”。

网络攻击事件屡见不鲜。例如，某品牌的婴儿监控器曾因默认密码被破解，导致入侵者远程控制设备。而智能家居摄像头的漏洞，更被用于大规模DDoS攻击。网络安全已从专业领域走入普通家庭，成为每一位消费者必须面对的现实问题。

正是在这样的背景下，“网络安全信任标签”计划应运而生。

• 对消费者：网络安全信任标签通过透明的安全信息帮助消费者做出明智选择。这不仅为消费者提供了明确的安全参考，更是增强用户防护意识的重要一步。家庭中的每一台联网设备都可能成为网络攻击的潜在入口，安全标签将帮助消费者建立对设备的信任。
• 对制造商：计划为制造商提出了更高的安全标准，推动其优化产品设计，减少漏洞。在一个安全问题可能毁掉品牌声誉的时代，网络安全信任标记将成为区分市场竞争力的关键。
• 对产业：标签计划通过引入第三方认证机制，将网络安全推向一个全新的透明与责任时代。企业将需要积极参与合规流程，同时也会促使整个行业的安全标准向更高水平迈进。

重新定义家庭网络安全标准

白宫在声明中指出，网络安全信任标签计划旨在为消费者提供一目了然的安全参考，同时激励制造商改进产品设计，提高安全性。这一标签计划借鉴了“能源之星”对节能产品的推动作用，通过简明直观的标签提升公众对网络安全的认知。

计划覆盖范围包括：

• 智能家居设备（如智能电器）
• 家庭安全摄像头
• 语音购物设备
• 健身追踪器
• 车库门控制器
• 婴儿监控器

不包括医疗设备、汽车、有线设备、非消费级产品、个人电脑、智能手机和路由器。

虽然路由器暂未列入计划，但是鉴于路由器产品是家庭网络的数据枢纽，白宫特别指示NIST“立即为消费级路由器定义网络安全要求，因为这些产品一旦受到攻击，可能会被用来窃听、窃取密码以及攻击其他设备和高价值网络。（2024年4月NIST发布了NIST IR 8425A：针对消费级路由器产品的推荐网络安全要求的征求意见稿）

标签功能

获得信任标记的设备将附带一个特定标志和二维码，消费者通过扫描二维码可以获取以下信息：

• 软件是否自动更新
• 安全支持时限
• 如何修改默认密码
• 如何配置设备以确保安全

白宫声称这种信息透明化的方式将大幅提升消费者对设备安全性的信心。

测试与认证机制

根据计划，经过NIST认证的CyberLAB实验室将负责测试设备是否符合网络安全标准。满足标准的设备可以获得“信任标记”，其标志将直接印在产品包装或设备上。

此外，美国联邦通信委员会（FCC）已初步批准了11家公司作为网络安全标签管理者，并选择UL Solutions担任主导管理方，负责制定教育宣传活动、设计标签、定义标准和测试流程。

根据白宫公告，消费者最早可在2025年购买到带有信任标记的设备，而零售巨头如BestBuy和Amazon将积极推广这些标记产品。

“安全标签”面临的挑战

尽管计划意义深远，但其实施仍面临挑战。首先，许多物联网设备的制造成本压缩严重，增加安全功能可能引发成本上升。此外，计划暂未覆盖设备如路由器和智能手机仍是家庭网络安全的关键环节，这些产品的安全漏洞同样需要监管。

其次，如何让消费者理解标签背后的技术含义，也是计划能否普及的关键。类似于“能源之星”计划的成功，信任标记需要伴随大规模教育宣传活动，提升消费者对网络安全的重视程度。