Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27402:2023 — 物聯網設備與網關安全要求
採用能力等級框架的物聯網設備和網關基線安全要求
一、ISO/IEC 27402:2023 概述
ISO/IEC 27402:2023 規定了物聯網設備和物聯網網關的基線安全要求。與指南級別的 27400 不同,該標準定義了具體的、可審計的要求,並按安全能力等級進行組織。它針對需要為跨消費級、商業和工業環境部署的 IoT 組件獲得可驗證安全保證的製造商、系統集成商和採購組織。該標準的結構使其既可作為採購規範,也可作為產品開發目標和合格評定基準。
該標準解決了一個根本性問題:IoT 設備的安全能力差異巨大,使得買方難以比較產品,製造商也難以確定目標安全級別。通過定義三個具有明確要求的不同的能力等級,27402 實現了一種分層的 IoT 安全方法,使保護級別與部署風險輪廓和成本限制相匹配。
在為採購指定 IoT 設備時,使用 27402 中的能力等級系統將安全級別與部署風險相匹配。家庭中的智能恆溫器(Class 1)與控制生產線的工業網關(Class 3)有著截然不同的要求。對所有設備使用 Class 3 將過於昂貴;對關鍵基礎設施使用 Class 1 則危險地不足。
二、安全能力等級
該標準定義了三個安全能力等級,允許組織根據風險評估選擇適當的安全級別。每個等級都建立在前一個等級的要求之上,確保向上兼容:
| 等級 | 安全級別 | 典型用例 | 關鍵要求 | 硬件依賴 |
|---|---|---|---|---|
| Class 1 | 基本 | 消費級 IoT(燈泡、智能插座、傳感器) | 唯一設備身份、安全啟動、TLS 加密、OTA 更新、無默認密碼 | 最低——安全 MCU 即可實現 |
| Class 2 | 增強 | 商業 IoT(門禁、樓宇管理、零售) | 硬件信任根、雙向認證、入侵檢測日誌、安全密鑰存儲、強制簽名固件 | 需要 TPM 或安全元件 |
| Class 3 | 高級 | 工業 IoT(SCADA 網關、醫療設備、汽車) | 防篡改硬件、認證加密模塊、實時監控、故障安全模式、物理攻擊響應 | 需要 HSM、防篡改機殼 |
不要認為更高級別總是更好。Class 3 要求會帶來顯著的成本和複雜性,包括認證的硬件安全模塊、防篡改機殼和更嚴格的測試。請選擇與您部署環境實際威脅模型相匹配的等級。
三、詳細設備安全要求
對於每個設備,標準要求了幾項核心安全控制措施。首先,必須在製造過程中配置唯一且不可克隆的設備身份,通常實現為綁定到硬件安全模塊或可信平台模塊的 X.509 證書。該身份用於設備整個生命週期中所有後續的認證操作。其次,安全啟動過程必須在執行前對固件的每個階段進行密碼學驗證,使用植根於不可變硬件的信任鏈,防止未經授權或修改的代碼在設備上運行。第三,必須使用具有防回滾保護的簽名和版本化更新包來實現安全的固件更新機制,確保設備不會被降級到易受攻擊的固件版本。第四,必須通過在生產單元中物理熔斷保險絲或安全配置鎖定來禁用調試接口(JTAG、UART、SWD),從而最小化攻擊面。第五,所有加密密鑰必須存儲在硬件支持的密鑰庫中而非基於文件系統的存儲中,防止通過軟件漏洞提取密鑰。
四、網關安全要求
物聯網網關有額外的安全要求,因為它們聚合多個設備連接並橋接 IoT 和企業網絡。標準要求網關在 IoT 設備段和企業網絡之間強制執行網絡分段,防止受感染的 IoT 設備進行橫向移動。網關必須執行協議感知的深度包檢測,以檢測 MQTT、CoAP 和 Modbus TCP 等 IoT 協議中的惡意負載。必須對連接的設備實施速率限制和異常檢測,以識別和隔離表現出異常行為模式的設備。網關必須維護所有下游設備的最新固件清單,以驗證所有連接的設備都在運行授權和最新的固件版本。最後,必須為加入網絡的新設備提供安全註冊機制,使用帶外密鑰共享、PKI 註冊或使用製造商頒發憑證的零接觸配置等技術。
一個實現 27402 Class 2 要求且架構良好的 IoT 網關可以顯著降低源自已部署設備的 IoT 殭屍網絡風險。網關同時充當安全執行點和集中管理接口,提供單個設備無法實現的可見性和控制力。
一個實際的實施考量是,許多 IoT 網關運行基於 Linux 的操作系統。該標準為保護基於 Linux 的網關提供了具體指南,包括內核加固(移除不必要的內核模塊、啟用 SELinux 或 AppArmor)、文件系統完整性監控(使用 AIDE 或 Tripwire)以及將用戶空間最小化到僅保留必要的服務。容器化網關部署應實現鏡像簽名、漏洞掃描和運行時安全監控(使用 Falco 或 Tracee 等工具)。
問 1:設備能否僅通過軟件滿足 27402 要求?
答:Class 1 的要求大部分可以通過純軟件方法實現,如安全引導加載程序和基於軟件的密鑰存儲。然而,Class 2 和 Class 3 需要硬件支持的安全功能,如 TPM、安全元件或硬件安全模塊(HSM)用於密鑰保護和可信執行。
答:Class 1 的要求大部分可以通過純軟件方法實現,如安全引導加載程序和基於軟件的密鑰存儲。然而,Class 2 和 Class 3 需要硬件支持的安全功能,如 TPM、安全元件或硬件安全模塊(HSM)用於密鑰保護和可信執行。
問 2:27402 與 IoT 安全合規框架(IoTSF)有何關係?
答:ISO/IEC 27402 提供了一種國際認可的、面向認證的方法,具有明確定義的能力等級,而 IoTSF 提供了更廣泛的合規檢查清單。兩者在核心原則上一致,但 27402 提供了更清晰的審計標準和更結構化的進階路徑。
答:ISO/IEC 27402 提供了一種國際認可的、面向認證的方法,具有明確定義的能力等級,而 IoTSF 提供了更廣泛的合規檢查清單。兩者在核心原則上一致,但 27402 提供了更清晰的審計標準和更結構化的進階路徑。
問 3:27402 是否涉及雲端後端安全?
答:不涉及。27402 僅專注於設備和網關安全。物聯網的雲端安全要求由補充標準如 ISO/IEC 27017(雲安全控制)和 ISO/IEC 27018(公共雲中的 PII 保護)涵蓋。
答:不涉及。27402 僅專注於設備和網關安全。物聯網的雲端安全要求由補充標準如 ISO/IEC 27017(雲安全控制)和 ISO/IEC 27018(公共雲中的 PII 保護)涵蓋。
問 4:設備安全應多長時間重新評估一次?
答:標準建議在設備固件重大更新時、新威脅影響設備威脅模型時、或至少每 12 個月(對於 Class 2 和 Class 3 設備)進行重新評估。
答:標準建議在設備固件重大更新時、新威脅影響設備威脅模型時、或至少每 12 個月(對於 Class 2 和 Class 3 設備)進行重新評估。
