随着物联网的发展，面临的网络安全风险的挑战也变得严峻。物联网设备存在多种安全性漏洞，如继续使用默认密码，缺乏定期安全更新，以及弱加密和不安全身份验证等。这些漏洞使得网络安全风险加剧。物联网设备一旦受到安全破坏，会影响整个物联网体系。基于此，保护物联网成了《国家网络安全》中的重要支柱战略。2023年8月28日，美国公共和私营部门为物联网行业发布了物联网设备安全标签计划（下简称“该计划”）。旨在帮助消费者识别、比较不同物联网设备的安全指数和级别，从而打造一个充满良性竞争的物联网生态系统。

此前，美国国家标准与技术研究院（NIST）于2022年发布了一份白皮书，根据现有的消费品标签计划和不同利益相关者提供的信息，确定了物联网消费设备网络安全能力的标签标准，并发布了一份关于为消费者物联网产品创建网络安全标签计划的总结报告。此外，NIST还制作了一份《消费者物联网产品的物联网核心基线概况》的报告，该报告确定了消费者物联网领域通常需要的网络安全功能，从而为消费者在购买物联网产品时应该考虑什么提供了一个基准水平。NIST确定了标签计划的关键要素，包括鼓励创新，实用性和不负担，以及其他要素。

该计划为自愿性质。这是鉴于物联网市场的性质。专家认为，网络安全标签计划的成功将取决于联邦政府、行业和其他利益相关者之间的自愿、密切的伙伴关系和合作。虽然该拟议计划是自愿的，但生产商须确保其物联网设备和产品符合该计划中提到的产品标准。符合该计划的物联网产品将被授权使用委员会提出的新标签，表明它们参与了该计划并符合制定的标准。带有网络安全标签的设备将受到消费者的青睐。

计划界定了物联网产品定义：物联网设备和除基本操作功能外使用物联网设备所必需的任何附加产品组件（例如，后端、网关、移动应用程序等）。计划着重强调了通过辐射或感应产生和发射射频能量的散热器。如果被漏洞利用——可以被操纵来产生和发射射频能量，从而造成有害干扰。

标准。计划以NIST物联网标准为基础。NIST的标准包括:（1）资产识别;（2）产品配置;（3）数据保护;（4）接口访问控制;（5）软件更新;（6）网络安全状态意识;（7）文档;（8）信息查询接收;（9）信息传播;（10）产品教育和认知度。NIST的物联网标准，如产品配置、接口访问控制、产品教育和意识、数据生产、资产识别、软件更新、网络安全状态意识、文档、信息和查询接收等，以适当的方式告知最低物联网安全要求和标准，以适合符合性评估。

认证认可。计划授权电信认证机构（tcb）为标签计划的监督和管理者，明确了认证认可实验室的资质（在物联网设备和产品的网络安全测试和合格评定方面具有技术专长）、资源（拥有必要的设备、设施和人员，可以对物联网设备和产品进行网络安全测试和符合性评估）、程序（有文件化的合格评定程序）。除了第三方测试之外，评估活动还可以包括供应商对消费者物联网设备的符合性声明/自我认证，其中根据物联网设备或产品符合物联网安全标准的全面审查发布声明。物联网设备和产品的符合性评估应基于合规性评估(任何测试和其他必要的评估)，其中包括物联网设备或产品的制造商或进口商向第三方(如实验室)提交的支持性文件和数据，并且第三方管理员可以授权仅对符合既定物联网安全标准的设备使用物联网安全标签。