一、GEC-1：確保軟硬件無公開可利用漏洞

GEC-1規(guī)定：設(shè)備不應(yīng)包含公開可利用的漏洞。這些漏洞一旦被利用，可能影響安全資產(chǎn)和網(wǎng)絡(luò)資產(chǎn)。不過，存在一些例外情況，如在設(shè)備特定條件下無法被利用的漏洞、已被緩解至可接受剩余風(fēng)險(xiǎn)的漏洞，以及基于風(fēng)險(xiǎn)評(píng)估被接受的漏洞。

設(shè)備的軟硬件通常由不同供應(yīng)商提供，制造商難以全面掌握所有供應(yīng)商的安全實(shí)踐。因此，識(shí)別并處理這些公開可利用漏洞對(duì)保障設(shè)備安全極為關(guān)鍵。例如，若設(shè)備的軟件存在未修復(fù)的漏洞，黑客可能利用該漏洞獲取設(shè)備的控制權(quán)，進(jìn)而竊取敏感信息或干擾設(shè)備正常運(yùn)行。

為便于監(jiān)測(cè)軟件漏洞，制造商應(yīng)保留設(shè)備軟件的技術(shù)文檔，涵蓋開源軟件和商業(yè)現(xiàn)成組件。同時(shí)，建立硬件技術(shù)文檔也有助于發(fā)現(xiàn)硬件漏洞。在識(shí)別漏洞方面，制造商可查閱公共漏洞數(shù)據(jù)庫(kù)，如NIST國(guó)家漏洞數(shù)據(jù)庫(kù)和歐洲國(guó)家漏洞數(shù)據(jù)庫(kù)。在評(píng)估漏洞時(shí)，需綜合考慮多方面因素，包括設(shè)備的攻擊面、漏洞被利用的證據(jù)、設(shè)備自身的安全機(jī)制、預(yù)期功能以及使用環(huán)境等。比如，一款智能家居設(shè)備，若其在特定家庭網(wǎng)絡(luò)環(huán)境下使用，且該網(wǎng)絡(luò)有較強(qiáng)的安全防護(hù)措施，那么某些漏洞可能在這種環(huán)境下難以被利用。

二、GEC-2：限制通過相關(guān)網(wǎng)絡(luò)接口暴露的服務(wù)

GEC-2要求：在出廠默認(rèn)狀態(tài)下，設(shè)備應(yīng)僅暴露那些對(duì)設(shè)備設(shè)置或基本操作而言所必需的網(wǎng)絡(luò)接口和服務(wù)。

暴露的服務(wù)是設(shè)備網(wǎng)絡(luò)資源面臨風(fēng)險(xiǎn)的重要因素，過多不必要的暴露會(huì)增加設(shè)備被攻擊的可能性。例如，若設(shè)備在出廠時(shí)默認(rèn)開啟了一些不必要的網(wǎng)絡(luò)服務(wù)，黑客可能利用這些服務(wù)的漏洞入侵設(shè)備，從而危害網(wǎng)絡(luò)安全。

不同類型的設(shè)備在配置上有所不同。對(duì)于多功能設(shè)備，如智能手機(jī)和筆記本電腦，制造商在設(shè)備上市前應(yīng)控制其提供的服務(wù)和功能；對(duì)于功能固定的設(shè)備，如傳感器和路由器，在出廠默認(rèn)狀態(tài)下，僅允許暴露對(duì)設(shè)備功能設(shè)置和使用至關(guān)重要的網(wǎng)絡(luò)接口和服務(wù)。以路由器為例，在出廠時(shí)應(yīng)僅開啟必要的網(wǎng)絡(luò)管理接口和基本服務(wù)，其他非必要服務(wù)應(yīng)保持關(guān)閉狀態(tài)，以降低安全風(fēng)險(xiǎn)。

三、GEC-3：可選服務(wù)及相關(guān)暴露網(wǎng)絡(luò)接口的配置

GEC-3規(guī)定：屬于出廠默認(rèn)狀態(tài)一部分的可選網(wǎng)絡(luò)接口或通過網(wǎng)絡(luò)接口暴露的可選服務(wù)，若影響安全資產(chǎn)或網(wǎng)絡(luò)資產(chǎn)，應(yīng)允許授權(quán)用戶啟用和禁用這些網(wǎng)絡(luò)接口或服務(wù)。

這樣做可以有效減少與網(wǎng)絡(luò)接口和暴露服務(wù)相關(guān)的攻擊面。例如，某些可選服務(wù)可能存在安全漏洞，若用戶不需要使用該服務(wù)，將其禁用可降低設(shè)備遭受攻擊的風(fēng)險(xiǎn)。

設(shè)備應(yīng)提供相應(yīng)功能，讓授權(quán)用戶能夠方便地配置這些可選網(wǎng)絡(luò)接口和服務(wù)。同時(shí)，網(wǎng)絡(luò)相關(guān)服務(wù)的配置應(yīng)依據(jù)訪問控制機(jī)制（ACM）和認(rèn)證機(jī)制（AUM）進(jìn)行保護(hù)，確保只有授權(quán)用戶能夠進(jìn)行操作。比如，在家庭網(wǎng)絡(luò)設(shè)備中，用戶可以通過設(shè)備管理界面，在授權(quán)的情況下，對(duì)一些可選的網(wǎng)絡(luò)服務(wù)，如遠(yuǎn)程管理功能，進(jìn)行啟用或禁用操作。 

EN 18031標(biāo)準(zhǔn)下的GEC-1至GEC-3對(duì)設(shè)備的安全性提出了明確且實(shí)用的要求。制造商在設(shè)備的設(shè)計(jì)、生產(chǎn)和維護(hù)過程中，嚴(yán)格遵循這些要求，能夠有效提升設(shè)備的安全性，減少潛在的安全風(fēng)險(xiǎn)。對(duì)于用戶而言，了解這些標(biāo)準(zhǔn)也有助于更好地使用和管理設(shè)備，保護(hù)自身的網(wǎng)絡(luò)安全和隱私。在后續(xù)的文章中，我們還將繼續(xù)解讀GEC的其他部分，深入探討EN18031標(biāo)準(zhǔn)下的通用設(shè)備能力。