美國國家標準與技術研究院（NIST）計劃修訂其物聯網網路安全框架，以應對人工智慧、沉浸式技術新興技術和用例帶來的不斷變化的風險。NIST準備修訂的框架是在2020年美國首個全國性的物聯網網路安全法案出臺後形成的NIST IR 8259系列框架，在過去近5年的時間裡，該文件被美國物聯網產業界廣泛採用。隨著物聯網應用的擴充套件，加上新興技術快速發展，原有的物聯網網路安全框架面臨著新的挑戰，需要對其進行持續修訂。筆者曾在《特朗普重返白宮，回顧一下他曾經簽署的美國首部物聯網安全法》一文中提出，美國首個物聯網安全法案實施過程中，NIST發揮了重要作用，我們今天就係統地瞭解一下NIST在物聯網安全方面所做地工作。

2016年至2017年，幾個惡性物聯網安全事件發生，包括惡意軟體Mirai攻擊物聯網裝置事件和“WannaCry”勒索病毒暴發，美國聯邦政府部門意識到了物聯網安全問題的嚴重性，開始積極探討和研究如何應對物聯網面臨的安全衝擊。2017年5月，時任總統特朗普簽署了13800號總統行政令《加強聯邦網路和關鍵基礎設施的網路安全》，其中內容之一就是要增強美國應對殭屍網路及其他自動化和分散式威脅的能力，行政令還提出各機構應使用由NIST制定的“改善關鍵基礎設施網路安全的框架”。

NIST為了執行13800號行政令，在此後召開了專門研討會，探討在物聯網環境下增強網路彈性及應對殭屍網路威脅的解決方案。研討會上，與會人員就當前加強物聯網安全，降低殭屍網路威脅的標準、技術及做法，物聯網裝置開發，網際網路使用者的自我保護，物聯網安全研究以及政府角色等問題進行了集中討論。為了應對物聯網網路安全問題，NIST啟動了物聯網網路安全計劃。

NIST宣稱物聯網網路安全計劃的使命是培養對物聯網的信任，並透過標準、指南和相關工具營造一個支援全球範圍創新的環境。在這一計劃中，NIST重點針對3個領域形成相關標準、指南和工具，支援這3個領域物聯網網路安全工作實施。其中，第一個領域是為物聯網製造商和服務商提供的指南，形成NIST IR 8259系列；第二個領域是為聯邦政府和企業在其系統中部署物聯網裝置提供指南，形成NIST SP 800-213系列；第三個領域是面向消費物聯網產品的標準和技術貢獻，包括消費物聯網核心基線NIST IR 8425，對物聯網安全標籤計劃形成有力支援。

目前，NIST物聯網網路安全計劃相關標準不僅規範美國國內企業的產品和服務，也是很多企業進入海外市場認證標準。例如，NIST IR 8259、NIST IR 8425認證得到全球多個國家認可，國內格力、美的等家電廠商的智慧家電獲得NIST IR 8425複合性認證，為其產品走向全球市場提供有利條件。

2020年5月，NIST釋出了《物聯網裝置製造商的基礎網路安全活動》（NIST IR 8259），它描述了製造商在向客戶銷售其物聯網裝置之前應考慮執行的建議網路安全活動，這些基本的網路安全活動可以幫助製造商減少客戶所需的網路安全相關工作，這反過來又可以降低物聯網裝置受損和使用受損裝置進行攻擊的普遍性和嚴重性。

在該檔案釋出後的近五年中，已經以三種語言（英語、西班牙語和葡萄牙語）版本釋出，下載次數超過4萬次，得到業界廣泛認可和應用。為了完善該系列框架，NIST增加了兩個重要條目，即《物聯網裝置網路安全能力核心基線》（NIST IR 8259A）和《物聯網非技術支撐能力核心基線 》（NIST IR 8259B），NIST IR 8259A和NIST IR 8259B補充了NISTIR 8259中描述的活動，提供了特定的技術能力和非技術性支援活動，製造商應在其產品設計和支援計劃中考慮這些活動，以幫助確保他們滿足客戶的網路安全需求和目標。

為了支援相關部門推進物聯網安全工作，例如支援《物聯網網路安全改進法案》實施和美國物聯網網路安全標識計劃，在NISTIR 8259系列標準的基礎上，後續出臺了多個標準和指南，NISTIR 8259為這些標準和指南提供了概念和背景的基礎。後續出臺新的標準和指南包括：

一是《聯邦政府物聯網裝置網路安全指南》（NIST SP 800-213）。這一指南是NIST IR 8259系列標準在聯邦政府的應用，將物聯網產品網路安全納入NIST的各種資訊系統風險管理指南中，以使聯邦機構對可能感興趣的物聯網裝置的功能範圍更加清晰、更加可用、更加相容。此外，與這一指南相伴而生的《物聯網裝置網路安全需求目錄》（(NIST SP 800-213A)提供了裝置及其製造商為確保這些裝置安全所需的最詳細的功能列表，也提供了許多超出基線的附加功能。

二是《面向消費物聯網產品的物聯網核心基線概況》（NIST IR 8425）。這一檔案是NIST IR 8259 A和NIST IR 8259B針對消費級物聯網產品的闡釋。這份基線檔案明確了消費物聯網的概念及其擴充套件範疇，考慮到了物聯網產品及其所有必要的元件，如移動應用程式、閘道器或遠端後臺等。

三是《消費級路由器產品的推薦網路安全要求》（NIST IR 8425A）。該檔案包括消費級路由器產品的網路安全成果和路由器相關標準要求。

四是《產品開發網路安全手冊：物聯網產品製造商的概念和考慮》（CSWP33草案)。該草案討論對於為任何行業或使用案例開發和部署安全物聯網產品非常重要的概念，包括物聯網產品架構、部署、角色和網路安全視角。

NIST認為，隨著物聯網應用的擴充套件，新的挑戰已經出現，促使NIST IR 8259需要進行修訂，以更好地符合新的指南、標準的要求。對物聯網安全提議的更新包括將把關注點從單個物聯網裝置擴大到整個產品生態系統，NIST還計劃整合風險評估和威脅建模，解決物聯網、OT和IT系統之間的差異，並納入其網路安全框架的見解。

該框架的更新還將解決新出現的問題，如可修復性與安全性的關係，以及互聯產品中IT和機械部件壽命之間的差異。NIST公告稱，隨著人工智慧、沉浸式技術和其他創新的引入，物聯網網路安全變得更加複雜，此次修訂旨在確保製造商能夠跟上這些發展，同時解決長期以來對裝置安全性和支援的擔憂。更新後的框架將作為製造商和政策制定者的參考，有助於降低裝置接管和資料洩露等風險。

NIST IR 8259系列框架作為美國物聯網網路安全底層框架，在其問世至今近5年時間不斷完善。特朗普在上一任期中對物聯網網路安全已形成初步政策體系，在接下來的第二任總統任期中，預計會進一步出臺新的物聯網網路安全政策。目前NIST對物聯網網路安全框架的修訂，也在為進一步的政策出臺打下基礎。