是否有表明物联网设备安全级别的证书？

#1 楼

UL（以前的Underwriters Laboratories）提供了“网络安全保证计划”，以证明物联网设备可以免受大多数主要威胁的侵害。根据Ars Technica：


UL，已有122年历史的安全标准组织，其各种标志（UL，ENEC等）证明了在电气接线等领域的最低安全标准。 ，清洁产品，甚至膳食补充剂，现在都通过新的UL 2900认证来解决物联网（IoT）设备的网络安全问题。 />


对产品进行模糊测试以识别零日漏洞
所有接口上的漏洞
评估未使用补丁修复的产品上的已知漏洞常见漏洞
枚举（CVE）方案
在产品上识别已知恶意软件ucts
软件弱点的静态源代码分析
，由通用弱点枚举（CWE）识别，
软件弱点的静态二进制分析，由通用弱点枚举（CWE），开源，
软件和第三方库
确定用于产品的特定安全控制
可以降低安全风险[...]
基于缺陷的结构化渗透测试
在其他测试中已确定
设计用于产品的产品安全缓解措施的风险评估
（除非您付费购买全套规格），如Ars Technica所述（并批评）：


当Ars要求提供一份UL 2900文档的副本以仔细研究该标准时，UL（前身为Underwriters Laboratories）拒绝了，这表明如果我们希望购买副本，零售价约为600英镑/ 800美元。设置-我们欢迎这样做。我们也必须假设，独立安全研究人员也欢迎成为UL零售客户。


尽管UL受到尊重，但我们不能认为未经进一步审查，他们的认证在安全性方面特别可靠，尽管确实满足了最初的问题。

我找不到安全性的任何开放标准/证书，尽管这很可能是因为所需的资源对于非营利组织而言实在太大协会。

#2 楼

我想补充一下Aurora0001的答案，即我们只能防御已知的威胁。

最近，我们已经看到针对硬件的Spectre和Meltdown攻击。虽然英特尔CPU在物联网设备中并不常用，但将来我们可能会发现物联网硬件的安全问题。以前，我们已经将Rowhammer和Heartbleed视为一般的系统级错误，影响了大量的系统。随着物联网的发展，我相信看到此类漏洞会变得更加普遍。 >开放性，以便第三方可以评估软件。
规定的支持期限，制造商保证安全更新
可升级性，包括作为默认设置的自动升级。

如果设备据称长期以来一直受支持，并且默认情况下会在新版本发布时自动更新软件，从而减少安全问题的影响。认证只会告诉您产品出厂时没有已知的安全漏洞。