NO.67 | 2020.05.29
banner
title資訊百科 友善列印>>
消費型物聯網設備安全標準(ETSI TS 103 645)

<資通安全組/吳宗恩>

 
 隨著科技及網路的發展與進步,物聯網已經是可實現的概念,目前市面上有著各式各樣的物聯網設備應用在不同的領域及每個人的生活,例如:農業、工業、家庭、物流…等。各種不同的物聯網設備透過各式的網路介面來串聯,如:乙太網路(Ethernet)、長期演進技術(Long Term Evolution)、無線網路(Wi-Fi),與現實世界進行互動並為各種領域及生活帶來便利。

  但物聯網設備因為其安全性普遍較低且連結網路等原因,容易成為駭客攻擊的目標,進一步竊取、破壞機密資料或遭控制成為殭屍網路的一員。為了能有效改善物聯網設備的安全性問題,製造商在開發物聯網設備時,應朝防範惡意攻擊及加強安全性的方向設計,以保護自家產品與使用者,避免資安危害發生。有鑑於此,本文參考及整理Cyber Security for Consumer Internet of Things(ETSI TS 103 645)安全標準,以探討消費型物聯網設備的安全標準。


消費型物聯網安全標準
 
歐洲電信標準協會(European Telecommunications Standards Institute, ETSI):

  歐洲電信標準協會(European Telecommunications Standards Institute, ETSI) 是歐洲地區性標準化組織,建立於1988年,成立宗旨為貫徹歐洲郵電管理委員會(CEPT)和歐盟委員會(CEC)的電信政策。

  該協會於2019年提出Cyber Security for Consumer Internet of Things(ETSI TS 103 645),為幫助消費型物聯網設備的製造商、服務供應商、行動應用程式開發人員或零售商等相關業者,確保產品採用安全的設計架構,有助於保護使用者隱私與安全並減少惡意攻擊的威脅,以下就適用範圍及安全標準進行說明:
 
1. 適用範圍:此標準適用於連接到網際網路或家庭網路的消費型物聯網設備,以下舉例:
  • 遠端控制的嬰兒監視器。
  • 居家電子門鎖。
  • 網路攝影機。
  • 智慧冰箱。
2. 安全標準:ETSI從多方面思考,定義適合消費型物聯網設備的網路安全標準,解決現今常見的安全缺陷,列出以下13項基本安全措施:

 (1) 禁止使用預設密碼(No universal default passwords):所有物聯網設備密碼應該是獨一無二的,且不得被重置為出廠預設密碼。
 (2) 漏洞回報功能(Implement a means to manage reports of vulnerabilities):聯網設備和服務的業者,應提供漏洞回報的管道,以便安全研究人員,對已知的漏洞進行即時修補。
 (3) 保持軟體更新(Keep software updated):物聯網設備應具有軟體更新功能,能安全的執行更新,並且更新時不影響到設備的功能運作。
 (4) 安全儲存認證資料和敏感性資料(Securely store credentials and security-sensitive data):認證資料和敏感性資料應提供安全的儲存機制,不應在程式碼內呈現,容易被攻擊者使用逆向工程方式取得。
 (5) 安全通信(Communicate securely):敏感性資料(包括遠端管理和控制指令)傳輸時應使用加密方式傳輸。
 (6) 減少暴露的攻擊面向(Minimize exposed attack surfaces):在物聯網設備上應關閉未使用或多餘的網路服務埠,不提供不必要的存取權限,降低設備洩漏的可能性。
 (7) 確保軟體完整性(Ensure software integrity):物聯網設備應提供安全檢測機制,確保驗證設備上的軟體是否完整或有無被未經授權的使用者更改過。
 (8) 確保個人資料受到保護(Ensure that personal data is protected):物聯網設備或服務在處理個人資料時,應向使用者提供明確且透明的資訊,說明個人資料是如何被使用、由誰使用以及出於什麼目的。 
 (9) 系統具有抗故障能力(Make systems resilient to outages):設備應在突發狀況下,可提供最低功能運作,且能在無網路時,進行離線運作。
 (10) 檢查系統遙測資料(Examine system telemetry data):物聯網設備應將蒐集的遙測資料進行去識別化,且應向使用者提供有關蒐集哪些資料及其原因的資訊。
 (11) 能輕易刪除個人資料(Make it easy for consumers to delete personal data):物聯網設備或服務提供者應可讓使用者選擇性的刪除個人資料的機制,並向使用者確切說明如何刪除。
 (12) 簡易安裝與維護(Make installation and maintenance of devices easy):物聯網設備應使用最少步驟進行安裝與維護,並提供安全設定設備的指導,讓使用者可輕易了解使用。
 (13) 驗證輸入的資料(Validate input data):使用者通過介面輸入資料時,應進行驗證資料輸入格式是否正確。
 
  本標準提供基本且可操作的參考,讓製造商進行產品設計時可納為考量,以改善物聯網設備可能遇到的網路安全攻擊或威脅同時亦能提升設備的安全性,為自家產品提供更周全的保護。

       建議消費者購買已進行資安認證的產品,保護自身的隱私與安全的網路環境。