【国际视野】美国国家标准与技术研究院发布《建议消费级路由器产品网络安全要求》

“

天极按

近日，美国国家标准与技术研究院发布《建议消费级路由器产品网络安全要求》。确保路由器的安全性不仅对保护个人数据，而且对保护整个网络的完整性和可用性都至关重要。随着智能家居物联网(IoT)设备和远程工作设置的日益普及，消费级路由器网络安全的重要性也随之扩大，因为这些设备和应用通常依赖于家庭中的路由器来连接互联网。本报告介绍了消费级路由器概况，其中包括消费级路由器产品的网络安全成果和路由器标准的相关要求。

本文件以 NISTIR 8425 [IR8425]《消费类物联网产品物联网核心基准简介》为基础。本文件专门介绍了用于住宅用途的路由器的消费产品基线，这些路由器可由客户自行安装，被称为消费级路由器。

与NISTIR 8425类似，这些建议是针对消费级路由器、其制造商以及生态系统中可能存在的其他支持实体的技术性和非技术性网络安全成果。网络安全成果是针对数字产品的广泛、灵活的指导原则，描述了产品部署到客户环境中时可支持网络安全的硬件和软件能力或组织能力。技术成果是指产品本身利用硬件和软件实现的成果。非技术成果是由产品制造商和支持产品的其他实体实现的成果，通常是通过投入资源来实施和维护政策与程序。为了提供更多的背景和定义，消费级路由器的网络安全成果与相关标准中更详细的要求进行了映射。

在对标准及其要求的分析中，NIST发现没有一个标准能完全满足所有结果的要求，也没有发现在要求或要求与网络安全结果的关系方面存在冲突。因此，NIST建议使用多种标准来全面解决消费级路由器的网络安全问题。

1. 简介

在当今互联世界中，路由器的网络安全至关重要，因为数字通信在个人和专业领域都发挥着核心作用。路由器是我们网络的守门员，管理着家庭或办公室设备与互联网之间的数据流。路由器受到攻击会导致一系列潜在的漏洞和影响，包括未经授权的访问和敏感信息传播，以及对连接设备的恶意攻击。确保路由器的安全性不仅对个人隐私和安全至关重要，而且对整个网络的完整性和可用性也至关重要。随着智能家居物联网产品和远程办公的日益普及，消费级路由器网络安全的重要性也随之扩大。一个安全的消费级路由器不仅能保护美国公民免受数据盗窃和其他网络攻击，还能促进全球数字基础设施的整体恢复能力。消费者级路由器"是指供住宅使用的路由器，可由客户自行安装。路由器在联网系统之间转发数据包，最常见的是互联网协议(IP) 数据包。在本文中，“路由器 ”一词是 “消费级路由器 ”的简称。随着技术的进步，为维护安全、可信的数字环境，对路由器网络安全的需求变得越来越重要。

本报告介绍了一个简介，其中推荐了这些产品的网络安全成果，并确定了标准的相关要求。本简介是根据NISTIR 8425《消费类物联网产品物联网核心基线简介》[IR8425]中为消费类物联网产品定义的成果开发的。尽管NISTIR 8425成果是针对消费类物联网产品制定的，但它对任何数字产品都具有重要的网络安全指导意义。成果可以是技术性的（即通过硬件和/或软件实施），也可以是非技术性的（即作为组织或个人的程序和流程实施）。与NIST IR 8425 中 “成果 ”一词的用法一致，成果是广泛、灵活的指导原则，可适用于不同的用例、情境、技术等，而需求则是有针对性的规范，可针对特定的用例、情境、技术等来定义满足成果的要求。本文档中的指南是针对消费级路由器，利用该产品类型特有的网络安全考虑因素和标准制定的。NIST建议针对消费级路由器产品的网络安全使用以下标准和指南：

1.宽带论坛（BBF）TR-124第 8期，宽带住宅网关设备的功能要求[BBF］

2.CableLabs（CL）安全网关设备安全最佳通用实践[CableLabs］

3.联邦信息安全办公室（BSI）TR-03148：安全宽带路由器，对安全宽带路由器的要求[BSI］

4信息通信媒体发展局（IMDA）住宅网关安全要求技术规范[IMDA］

5.平台固件弹性指南，SP 800-193 [SP800-193]

6.系统和组织的网络安全供应链风险管理实践，SP 800-161 Rev. 1 [SP800-161r1]

7.安全软件开发框架(SSDF) 1.1 版：降低软件漏洞风险的建议》，SP 800-218 [SSDF]

8.信息技术-安全技术-漏洞披露流程，ISO/IEC 29147 [ISO29147]

9.信息技术-安全技术-漏洞处理，ISO/IEC 30111 [ISO30111]

10.风险管理-准则，ISO 31000 [ISO31000]

11.系统和软件工程：为用户设计和开发信息，ISO/IEC/IEEE 26514 [ISO26514]

NIST建议使用四个现有的路由器标准（即上述清单中的第1 项至第 4项）。这些标准的要求主要集中在路由器设备上，讨论了许多适合该设备的网络安全功能。图1从概念上描述了四种路由器标准的要求大多是独特的，重叠极少。不同标准的要求很少重复，每种标准的要求都提供了有用的细节，说明如何实现网络安全成果，以及消费级路由器设备中应包含的重要网络安全功能。SP 800-193 对固件提出了额外的技术要求（即第5 项）。附录A 提供了这些产品的网络安全技术成果与这五项标准的技术要求之间的对照表。

四项路由器标准中已确定的要求涉及消费级路由器设备的技术网络安全；但是，它们几乎不包含非技术性网络安全要求，也没有对路由器设备以外的产品组件（如后端、移动应用程序）提出网络安全要求。因此，建议采用附录B 第6 至11项中的附加指南，以帮助填补其中的一些空白，尤其是针对非技术成果的空白。

这些推荐出版物包含大量有价值的指导意见，制造商如能加以利用，将有助于提高这些产品的网络安全性和保密性。本清单仅作为最低起点，可能无法解决每个消费级路由器产品的所有网络安全问题。为确保对所有路由器产品组件的网络安全考虑，除上述标准和指南外，还建议使用《产品开发网络安全手册》[CSWP33]。如果路由器产品有额外的产品组件，如智能手机应用程序，则还需要额外的技术产品网络安全能力要求，以满足完整产品的成果要求。这些考虑因素将在手册中针对数字产品进行一般性讨论。如本简介第2 节所述，所有产品组件都应完全支持本简介中的所有成果。图2显示了上述标准和指南与网络安全成果（即技术成果与非技术成果）和产品组件（即路由器设备与其他产品组件）的关系。

图 2.推荐的指导文件和标准支持消费级路由器产品在整个开发生命周期中所有部件的网络安全成果。

此外，制造商应超越对网络安全功能的最低技术要求，酌情考虑更强大的网络安全控制或支持。本文件第2.1 节提供了可改善这些产品网络安全的示例。

2.消费级路由器的范围

本规范确定了消费级路由器的最低网络安全标准。路由器在网络系统之间转发数据包，最常见的是互联网协议(IP)数据包。本规范在网络安全建议中没有区分产品是由客户拥有还是从互联网服务提供商处租用。

无论消费级路由器制造商的产品最终是如何进入客户家庭的，本简介中定义的网络安全成果对他们都很有价值。从互联网服务提供商处租用的路由器可能部分由客户和提供商共同管理。即使在这种情况下，本资料中的建议要求对客户和提供商确保路由器安全也是有用的。

产品的网络安全成果和要求应包括为与路由器设备一起使用而开发的所有产品组件（如智能手机应用程序）。下图3显示了一个消费级路由器产品示例，其中路由器设备由后台远程服务和智能手机应用程序提供支持。除非产品制造商指定，否则第三方应用程序一般不在产品范围内。不过，产品范围确实包括会给路由器产品带来风险的任何接口，如第三方应用程序可访问的应用程序编程接口(API)。

图3. 消费级路由器产品示例，除路由器设备外，还包括智能手机应用程序和后台服务器。

固件是许多数字产品的重要基础，包括消费级路由器和其他路由器产品组件。鉴于路由器在家庭网络中的核心作用，固件漏洞会带来重大的网络安全问题。其他可以访问路由器数据和管理产品的软件（如移动应用程序或远程后端），如果没有在软件中和通过软件开发过程适当地加以缓解，也会给家庭消费者带来攻击向量。

2.1. 利用完整产品的网络安全

第1节中提到的标准，尤其是专门针对消费级路由器的四项标准，反映了该设备的一般、最低限度的网络安全。路由器产品制造商应在这些技术要求之外寻求额外的安全功能。以下概念是新兴技术的示例，可帮助提高消费级路由器和产品本身的网络安全性：

支持机器可读资产识别。消费级路由器是网络的中心连接点。许多类型的设备都能访问本地网络，通常还能访问互联网。如果有机器可读资产识别码，消费级路由器就能更主动地管理网络的网络安全。虽然家庭用户可以使用机器可读资产标识符，但它更可能对小型企业或从互联网服务提供商（ISP）租用的路由器有用。识别功能还可以超越简单的清点，包括设备类型和固件版本，通过设备意图信号（如 “制造商使用说明”[MUD]）等概念进行扩展，或者更直接地用于路由器设备固件更新的管理。必须以保护隐私的方式开发和使用机器可读资产标识符。
尽量减少消费级路由器设备的接口和功能。应用于消费级路由器的 “安全设计 ”原则[SecureByDesign]应指导制造商尽量减少逻辑和物理接口的数量以及路由器设备提供的一般功能。家用路由器的主要功能是为家用设备提供互联网接入。无关功能不应包括在这一组件中。例如，由其他产品组件（如移动应用程序）管理配置可能会更好。这并不是说，仅由路由器设备组成的产品，其安全性一定比那些可将功能卸载到其他组件的产品低。
消费级路由器产品提供强大的网络入网支持。在为连接到消费级路由器的网络配置新设备时，网络安全可不仅仅局限于一个密码。当路由器产品由移动应用程序或后端等组件组成时，这些组件可用作更强大的上载机制的一部分。例如，当设备试图在有密码（或无密码）的情况下连接路由器设备时，移动应用程序可以通知所有者，并要求其明确同意设备接入。虽然需要考虑可靠性，以确保个人能够始终访问和使用路由器，但消费级路由器的上载机制能让个人对其网络有更多的访问控制，这通常是有益的。有关消费者物联网入网和设备认证的更多建议，请参阅《可信物联网（IoT）设备网络层入网和生命周期管理》（Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management）：加强基于互联网协议的物联网设备和网络[SP1800-36]。
保护捕获的网络安全状态信息日志的强大安全性。附录A 中记录的 “网络安全状态感知 ”对于检测被入侵的路由器至关重要。由于日志是安全研究人员和其他人员对网络安全事件进行取证分析的重要工具，因此需要安全地存储这些数据。可提高路由器日志安全性的保护措施包括：对日志进行加密和密码保护，以确保只有授权人员才能访问日志；使用非易失性内存存储日志；在设备外存储日志数据；限制日志删除。

其中几个例子强调了消费级路由器产品使用多种技术提供网络安全功能的方式。随着风险的变化和新的缓解措施的出现，制造商应考虑使用这些技术和其他技术来不断提高路由器的网络安全。

3.结论

本消费级路由器简介可帮助制造商在开发产品时确定适当的网络安全。这些建议借鉴了当前的有效实践，并促进路由器产品采用公认的、经过审核的网络安全功能。这里提到的成果、要求和标准不应被视为排除使用其他前瞻性要求，如第2.1 节中讨论的要求。

与NIST 的任何报告一样，随着时间的推移，所参考的标准和有效实践也会发生变化，NIST可能会重新审视本文件并对其进行修订。NIST欢迎社会各界就消费级路由器的标准、有效实践和解决方案不断提出反馈意见和建议。尽管如此，NIST鼓励读者识别此处引用的标准是否与本报告同步更新。NIST重申，必须从整个产品的角度出发，制定全面的方法，为消费级路由器产品提供网络安全保障。

往期回顾

END

天极智库聚焦网络安全相关领域，聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量，组织开展政策研判、事件分析、技术研究、学术交流，为国家网络安全工作提供支撑，增强国家网络空间安全防御能力，提升国家关键信息基础设施安全保障能力和水平。