2019年8月1日，美国国家标准与技术研究院（NIST）发布了《物联网设备核心网络安全功能基线^[1]：物联网设备制造商的起点》指南草案^[2]，旨在帮助物联网（IoT）设备制造商了解其客户面临的网络安全风险，以便物联网设备能够提供网络安全功能，确保使用这些设备的个人和组织能够获得最低要求的网络安全保障^[3]。

　　该指南定义了所有物联网设备网络安全功能的最低标准，并鼓励物联网设备制造商使用核心基线作为最低安全要求。核心基线帮助物联网设备用户实现基本的网络安全要求，降低了一般客户面临的网络安全风险。通过将网络安全功能纳入其设计和开发的物联网设备中，物联网设备制造商可以帮助物联网客户有效管理其网络安全风险，加强其设备的安全性。该文件还提供了有关制造商如何识别最适合其客户核心基线以外功能的方法，以通过实施这些功能进一步提高其物联网设备的安全性。这将有助于减少物联网设备客户所需进行的与网络安全相关的努力，进而降低物联网设备的损害率和严重度。

　　该指南不是制造商要遵守的一套规则，而是自愿性指导原则，旨在帮助推行减轻物联网安全风险的最佳经验。指南中给出的物联网设备核心基线包括制造商可应用到物联网设备中的六个安全功能：

　　1、设备标识：物联网设备应具有标识自身的方法，例如，连接到网络时使用的序列号和唯一地址。

　　2、设备配置：授权用户应该能够更改设备的软件和固件配置。例如，许多物联网设备都应有一种方法来更改其功能或管理安全功能。

　　3、数据保护：应清楚物联网设备如何保护其通过网络存储和发送的数据，防止未经授权的访问和修改。例如，一些设备通过加密手段来保护设备内部存储的数据。

　　4、对接口的逻辑访问：设备应限制对其本地和网络接口的访问。例如，物联网设备及其支持软件应收集并验证试图访问该设备的用户身份，例如，通过用户名和密码。

　　5、软件和固件更新：设备的软件和固件应可使用安全且可配置的机制进行更新。例如，一些物联网设备从制造商处接收自动更新，用户几乎不需要工作。

　　6、网络安全事件记录：物联网设备应记录网络安全事件，并使所有者或制造商可以访问记录。这些记录可以帮助用户和开发人员识别设备中的漏洞以保护或修复它们。                      （邓阿妹）