聚焦产品要求与网络安全风险：更新物联网产品制造商的基础活动

2025年9月30日

作者：Barbara Cuthill 和 Michael Fagan

更新：关于NIST IR 8259第二份公开草案的反馈意见征集期已延长至2025年12月10日。

在过去的几个月里，美国国家标准与技术研究院（NIST）一直在修订和更新《物联网产品制造商基础活动》（NIST IR 8259修订1版初始公开草案）。该文件为制造商提供了推荐的市场前和市场后活动，以开发出满足客户网络安全需求和期望的产品。非常感谢大家在此过程中提出的深思熟虑的评论和反馈；来自工业界、消费者组织、学术界、联邦机构和研究机构的400多名参与者通过2024年12月和2025年3月的研讨会，以及对初始公开草案的书面评论分享了意见。还有一些参与者参加了6月份的虚拟讨论论坛活动，讨论了更新内容，分享了关于NIST IR 8259工作示例的初步想法，并探讨了关于计划更新NIST SP 800-213/213A的文章中的主题。

NIST分享了两份研讨会总结报告（2024年12月研讨会和2025年3月研讨会），并提炼了全面的修改内容，这些修改扩展了对物联网产品的关注，强调产品网络安全能力是物联网网络安全的中心。

下一步是什么？

作为这次合作努力的结晶，我们今天宣布发布我们的最新资源——《NIST IR 8259修订1版第二份公开草案》。

对于第二份草案，我们专注于吸纳社区的反馈，以确保资源保持相关性和实用性。以下是一些更新内容概览：

• 拆分与修订活动：NIST 审视了拆分某些活动（例如，活动3拆分为活动3和活动4）并增加一个新活动（即活动0）的方案，以更好地反映反馈并阐明8259中的流程步骤。重点在于修订后的活动是否捕捉并聚焦了预期的要求，以及是否解决了收到的意见。
• 聚焦风险评估与威胁建模：审查了文件中如何纳入风险评估和威胁建模，确保活动和示例体现了识别和缓解风险的稳健方法。这包括初始风险评估的需要，以及将威胁信息整合到确定产品适当网络安全能力过程中的重要性。
• 纳入标准与参考：NIST 考虑了如何纳入有用的参考——例如，将NIST网络安全框架用于新增加的活动0——以及在哪里可以添加新的示例来展示在不同行业中的应用。
• 文档结构与清晰度：审阅了关于文档整体结构、清晰度和组织的意见。NIST 考虑了如何以对不同受众可访问且可操作的方式呈现信息。增加了第2.6节，以阐明客户需求与目标、手段以及产品网络安全能力之间的关系。在1.1节（目的与范围）、2.1节（产品网络安全与系统网络安全）和2.3节（物联网产品生态系统中的实体）中增加了段落。

正如6月讨论论坛所讨论的，我们还在审查NIST IR 8259修订1版工作示例的样本用例，并将在秋季晚些时候与社区分享更新。该工作示例展示了制造商在开发代表性物联网产品时按顺序推进活动的过程。NIST 考虑了呈现工作示例的不同方法，以平衡示例具体性与保持文档跨行业广泛适用性的需求。

立即查看！ | 阅读 NIST IR 8259 修订1版第二份公开草案。

我们致力于推进物联网网络安全，并在各行业为互联产品技术培育一个安全的生态系统。我们期待在2025年12月10日截止（已延长！）的公开征求意见期内，听取您对NIST IR 8259第二份公开草案的反馈。我们计划与社区进行更多对话，特别是在2025年12月16日至17日的研讨会期间，并在我们努力完成NIST IR 8259修订1版最终稿的过程中提供更新。