Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27400:2022 — 物聯網安全與隱私指南
物聯網生態系統網絡安全與隱私保護的綜合框架
一、ISO/IEC 27400:2022 的範圍與目的
ISO/IEC 27400:2022 為物聯網(IoT)生態系統中的網絡安全、隱私保護和數據安全提供了全面的指導方針。該標準由 ISO/IEC JTC 1 SC 27 發布,針對全球數以百億計的互聯智能設備所構成的龐大攻擊面帶來的獨特挑戰,建立了整個 27400 系列的核心原則和基於風險的框架。作為該系列的基石文檔,它為後續標準(27402、27403 和 27404)奠定了理論與實踐基礎,後續標準在此基礎上提供了越來越具體的要求。
該標準適用於所有類型的 IoT 系統,包括消費級設備、工業物聯網(IIoT)、醫療保健 IoT、智慧城市基礎設施和汽車遠程信息處理。它認識到 IoT 環境與傳統 IT 環境有著根本不同:設備通常資源受限(有限的 CPU、內存和電池),部署在可物理訪問的地點,需要無人值守運行多年,並通過具有不同安全屬性的異構網絡進行連接。這些特性要求針對 IoT 量身定制的安全和隱私方法,而非直接套用企業 IT 的做法。
實施 ISO/IEC 27400 的組織應將其視為頂層治理框架而非純技術檢查清單。該標準強調安全性和隱私性必須從架構設計階段嵌入,而非在部署後才進行改造。強烈建議在系統設計過程中早期讓安全架構師參與其中。
二、核心安全與隱私原則
該標準定義了八項物聯網安全與隱私的核心原則,指導 IoT 系統開發、部署和運行的每個階段。原則一,安全和隱私的設計內嵌,要求安全控制和隱私保護從最初的概念階段就集成到系統架構中,而非在實現之後添加。原則二,基於風險的方法,要求安全決策應由系統性的風險評估驅動,而非由合規檢查清單或供應商聲明驅動。原則三,數據最小化,將 PII 和遙測數據的收集限制在僅為預期功能所嚴格必需的範圍內。原則四,透明度,要求向用戶清晰溝通收集了哪些數據、如何使用以及與誰共享。原則五,問責制,要求系統運營者對安全和隱私結果負責,無論組件是否來自第三方。原則六,生命週期保護,將安全覆蓋範圍從設備製造擴展到活躍運營直至安全退役。原則七,互操作性,確保安全機制在多供應商生態系統中正確工作。原則八,用戶自主權,賦予用戶對其設備和數據的實際控制權。
| 原則 | 說明 | 工程應用 | 驗證方法 |
|---|---|---|---|
| 安全設計內嵌 | 從初始架構階段整合安全控制 | 系統設計中的威脅建模、安全編碼標準、安全驗收標準 | 架構審查、威脅模型完整性檢查 |
| 數據最小化 | 僅收集功能必需的 PII | 為每個傳感器設置保留期限的數據流向圖 | 數據流審計、保留策略驗證 |
| 生命週期保護 | 從製造到報廢全程安全 | OTA 更新機制、終端安全擦除、供應鏈安全 | 更新機制滲透測試、安全擦除驗證 |
| 用戶自主權 | 用戶控制數據和設備行為 | 精細化權限設置、選擇加入同意界面、離線模式 | 可用性測試、同意審計追蹤審查 |
一個常見誤區是將這些原則視為抽象理想而非具體的工程要求。每個原則應映射到 IoT 產品規格中具體的、可測試的控制措施。例如,”數據最小化”應轉化為具有字段級別理由說明的具體數據收集架構。
三、物聯網風險管理框架
ISO/IEC 27400 採用與 ISO/IEC 27005 和 ISO 31000 一致的基於風險的方法。物聯網風險評估過程包括五個階段。第一階段,資產識別,對所有 IoT 組件進行編目,包括設備、網關、雲端後端、移動應用程序、通信協議和數據存儲。第二階段,威脅場景分析,識別 IoT 攻擊面中的相關威脅,包括物理篡改、網絡竊聽、固件逆向工程、側信道攻擊、雲端 API 利用以及針對設備管理員的社交工程。第三階段,影響評估,評估每種威脅場景實現時的業務、隱私、安全和監管後果。第四階段,風險確定,結合可能性和影響來確定風險處理的優先級。第五階段,風險處理,從標準的控制目錄中選擇適當的控制措施,將已識別的風險降至可接受水平。
該標準的一個顯著特點是將隱私風險與安全風險分開處理。雖然兩者相互依賴,但標準要求組織除了進行安全風險評估外,還必須進行專門的隱私影響評估(PIA)。這種雙軌方法確保個人可識別信息即使在安全風險被認為較低時也能獲得適當保護。27400 中的 PIA 流程專門針對 IoT 環境處理數據分類、同意管理、跨境數據傳輸、數據主體權利和第三方數據共享問題。
四、工程設計見解與實施指南
從工程角度來看,該標準為每個 IoT 架構層推薦了具體的技術控制措施。在設備層面:基於硬件信任根的安全啟動、具有防回滾保護的加密簽名固件更新、物理篡改檢測與響應、通過禁用未使用的端口和服務來最小化攻擊面、以及使用硬件安全模塊或可信執行環境的安全憑證存儲。在通信層面:所有網絡流量使用 TLS 1.3 或 DTLS 1.3、設備與雲端之間基於證書的雙向認證、通過 VLAN 或軟件定義網絡進行網絡分段、以及在網關層面進行基於異常的入侵檢測。在平台和雲端層面:使用具有客戶管理密鑰的 AES-256 加密靜態數據、基於角色的最小權限訪問控制、具有不可變存儲的全面審計日誌記錄、自動化安全事件響應手冊、以及定期的第三方滲透測試。
設計團隊應實施安全開發生命週期(SDL),將靜態應用安全測試(SAST)和動態應用安全測試(DAST)集成到 CI/CD 流水線中。這能在漏洞進入生產環境之前就將其捕獲。對於 IoT 固件,建議添加能夠檢測不安全配置、硬編碼憑證和已知易受攻擊庫版本的固件二進制分析工具。
該標準還提供了關於供應鏈安全的指導——這是 IoT 安全中經常被忽視的一個方面。它建議組織對組件供應商進行安全評估、在採購合同中確立安全要求、驗證第三方組件具有已知漏洞披露流程、以及為所有 IoT 產品維護軟件物料清單(SBOM),以便在新 CVE 發佈時能夠快速響應漏洞。
問 1:ISO/IEC 27400 可以進行認證嗎?
答:目前 27400 是一項指導性標準,而非可認證的管理體系標準。組織可以聲明符合性,但第三方認證方案尚未建立。如需認證,請參考基於 ISO/IEC 27001 且可能包含 27400 控制措施的 IoT 安全認證方案。
答:目前 27400 是一項指導性標準,而非可認證的管理體系標準。組織可以聲明符合性,但第三方認證方案尚未建立。如需認證,請參考基於 ISO/IEC 27001 且可能包含 27400 控制措施的 IoT 安全認證方案。
問 2:27400 與歐盟《網絡彈性法案》(CRA)有何關係?
答:ISO/IEC 27400 提供了補充 CRA 監管要求的技術指南。在適當記錄和證明的條件下,符合 27400 可作為符合 CRA 第 6 條(IoT 設備安全要求)的推定依據。
答:ISO/IEC 27400 提供了補充 CRA 監管要求的技術指南。在適當記錄和證明的條件下,符合 27400 可作為符合 CRA 第 6 條(IoT 設備安全要求)的推定依據。
問 3:27400 與 ETSI EN 303 645 有何區別?
答:ETSI EN 303 645 是一項歐洲標準,專注於消費級 IoT,包含 13 項具體規定。ISO/IEC 27400 是一項全球性的、更全面的框架,涵蓋包括工業和醫療保健在內的所有 IoT 領域的安全與隱私。
答:ETSI EN 303 645 是一項歐洲標準,專注於消費級 IoT,包含 13 項具體規定。ISO/IEC 27400 是一項全球性的、更全面的框架,涵蓋包括工業和醫療保健在內的所有 IoT 領域的安全與隱私。
問 4:27400 是否涵蓋 AI 驅動的 IoT 設備?
答:2022 年版以一般性術語涉及基於 AI 的 IoT 系統。預期即將到來的修訂版將包括關於 AI 模型安全、對抗性魯棒性和邊緣 AI 部署中訓練數據隱私的更具體指導。
答:2022 年版以一般性術語涉及基於 AI 的 IoT 系統。預期即將到來的修訂版將包括關於 AI 模型安全、對抗性魯棒性和邊緣 AI 部署中訓練數據隱私的更具體指導。
