美國(guó)發(fā)布《保障物聯(lián)網(wǎng)安全戰(zhàn)略原則》

責(zé)任編輯:editor007

2016-11-19 20:40:10

摘自:OFweek物聯(lián)網(wǎng)

在本周二發(fā)布的“保障物聯(lián)網(wǎng)安全的戰(zhàn)略原則,版本1 0”中,美國(guó)國(guó)土安全部(DHS)表示,物聯(lián)網(wǎng)制造商必須在產(chǎn)品設(shè)計(jì)階段構(gòu)建安全,否則可能會(huì)被起訴?!?/p>

 在本周二發(fā)布的“保障物聯(lián)網(wǎng)安全的戰(zhàn)略原則,版本1.0”中,美國(guó)國(guó)土安全部(DHS)表示,物聯(lián)網(wǎng)制造商必須在產(chǎn)品設(shè)計(jì)階段構(gòu)建安全,否則可能會(huì)被起訴。

該戰(zhàn)略原則指出,未在最初設(shè)計(jì)階段構(gòu)建安全并采取基本安全措施“可能會(huì)造成制造商的經(jīng)濟(jì)成本、聲譽(yù)成本或產(chǎn)品召回成本損失。雖然還沒有建立解決物聯(lián)網(wǎng)問題的判例法體系,但傳統(tǒng)的產(chǎn)品責(zé)任侵權(quán)原則可以適用。”

10月21日,美國(guó)域名服務(wù)器管理服務(wù)供應(yīng)商Dyn宣布,該公司在當(dāng)?shù)貢r(shí)間周五早上被Mirai僵尸網(wǎng)絡(luò)(由被攻擊的物聯(lián)網(wǎng)設(shè)備組成,包括DVR和網(wǎng)絡(luò)攝像頭)發(fā)起大規(guī)模DDoS攻擊,導(dǎo)致了Twitter、亞馬遜、華爾街日?qǐng)?bào)等數(shù)百個(gè)重要網(wǎng)站無法訪問,美國(guó)主要公共服務(wù)、社交平臺(tái)、民眾網(wǎng)絡(luò)服務(wù)癱瘓,為此,DHS制定了該戰(zhàn)略原則。許多物聯(lián)網(wǎng)設(shè)備很容易被攻擊,因?yàn)檫@些設(shè)備硬編了默認(rèn)密碼,未采用基本驗(yàn)證程序,并且根本無法實(shí)現(xiàn)遠(yuǎn)程升級(jí)。

DHS部長(zhǎng)杰伊·約翰遜(Jeh Johnson)表示,“保障物聯(lián)網(wǎng)安全已演變?yōu)閲?guó)土安全問題”。

周二,由網(wǎng)絡(luò)安全政策與法律聯(lián)盟(Coalition for Cybersecurity Policy and Law)舉辦的下一任總統(tǒng)網(wǎng)絡(luò)安全研討會(huì)上,DHS網(wǎng)絡(luò)政策助理部長(zhǎng)羅伯特·西爾維斯(Robert Silvers)提出,前端安全也許會(huì)妨礙Mirai僵尸網(wǎng)絡(luò),例如,使默認(rèn)密碼個(gè)性化、更長(zhǎng)、更難破解。

西爾維斯表示,“需要在設(shè)計(jì)階段構(gòu)建安全。安全不應(yīng)該是馬后炮。例如,我們需要內(nèi)置、難以破解的密碼,可靠的操作系統(tǒng)升級(jí),并促進(jìn)安全更新和漏洞管理”。

以下為筆者簡(jiǎn)單概括部分物聯(lián)網(wǎng)安全高級(jí)原則

· 在設(shè)計(jì)階段結(jié)合安全:“經(jīng)濟(jì)驅(qū)動(dòng)力使得企業(yè)將設(shè)備推入市場(chǎng)時(shí)很少考慮安全。這給惡意攻擊者創(chuàng)造大量機(jī)會(huì)操控聯(lián)網(wǎng)設(shè)備的信息流”。

· 啟用安全更新和漏洞管理:即使安全從一開就內(nèi)置存在,但在產(chǎn)品部署后發(fā)現(xiàn)產(chǎn)品漏洞很常見。這些漏洞能通過補(bǔ)丁、安全更新和漏洞管理策略緩解。

· 建立在可靠的安全最佳實(shí)踐之上:傳統(tǒng)網(wǎng)絡(luò)安全中許多經(jīng)過驗(yàn)證的實(shí)踐可以作為提升物聯(lián)網(wǎng)安全的出發(fā)點(diǎn)。

· 根據(jù)影響優(yōu)先考慮安全措施:數(shù)據(jù)泄露的風(fēng)險(xiǎn)和后果大不相同,這取決于聯(lián)網(wǎng)設(shè)備。因此,專注破壞、泄露或惡意活動(dòng)的潛在后果對(duì)決定物聯(lián)網(wǎng)生態(tài)系統(tǒng)的安全方向尤為重要。

· 提升透明度:在可能的情況下,開發(fā)人員和制造商需要了解供應(yīng)鏈,因此他們能識(shí)別軟件和硬件組件,并了解任何相關(guān)漏洞。增強(qiáng)意識(shí)能幫助制造商和工業(yè)消費(fèi)者識(shí)別安全措施應(yīng)用的位置和具體方法。

· 連接需仔細(xì)謹(jǐn)慎:考慮物聯(lián)網(wǎng)的使用和物聯(lián)網(wǎng)被破壞的相關(guān)風(fēng)險(xiǎn),物聯(lián)網(wǎng)消費(fèi)者,尤其工業(yè)企業(yè)應(yīng)該仔細(xì)并謹(jǐn)慎考慮是否需持續(xù)連網(wǎng)。

西爾維斯表示,“今天邁出了第一步”。他承認(rèn),聯(lián)邦機(jī)構(gòu)、行業(yè)組織等在不懈努力。戰(zhàn)略原則指出,物聯(lián)網(wǎng)存在的許多漏洞能通過公認(rèn)的安全最佳實(shí)踐得到緩解,但如今太多產(chǎn)品未融入最基本的安全措施。

在此戰(zhàn)略原則中,DHS定義了聯(lián)邦機(jī)構(gòu)需要執(zhí)行的四項(xiàng)物聯(lián)網(wǎng)安全事項(xiàng)

· 協(xié)調(diào)其它聯(lián)邦部門和機(jī)構(gòu)與物聯(lián)網(wǎng)制造商、網(wǎng)絡(luò)連接提供商和其它行業(yè)利益相關(guān)者合作。隨著進(jìn)一步細(xì)化和理解最佳實(shí)踐和方法,未來的努力方向還將集中在更新和應(yīng)用這些原則上。

· 在所有利益相關(guān)者中構(gòu)建與物聯(lián)網(wǎng)有關(guān)的風(fēng)險(xiǎn)意識(shí)。DHS將與其它機(jī)構(gòu)、私有部門和國(guó)際合作伙伴合作增強(qiáng)公眾意識(shí)、教育和培訓(xùn)計(jì)劃。

· 識(shí)別并推進(jìn)激勵(lì)措施,保障物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)安全?,F(xiàn)在,常常搞不清楚誰(shuí)是給定產(chǎn)品或系統(tǒng)的安全負(fù)責(zé)人。此外,安全性差所帶來的成本通常不由增強(qiáng)安全的人承擔(dān)。要考慮的因素是侵權(quán)責(zé)任、網(wǎng)絡(luò)保險(xiǎn)、立法、監(jiān)管、自愿認(rèn)證管理、標(biāo)準(zhǔn)設(shè)定舉措、自愿行業(yè)級(jí)計(jì)劃…今后,DHS將召集合作伙伴討論這些重大事項(xiàng)、并收集意見和反饋。

· 為物聯(lián)網(wǎng)國(guó)際標(biāo)準(zhǔn)發(fā)展進(jìn)程做貢獻(xiàn)。美國(guó)的物聯(lián)網(wǎng)設(shè)備是全球生態(tài)系統(tǒng)的一部分,更不用說國(guó)家組織正在全力應(yīng)對(duì)同樣的安全問題,開始評(píng)估眾多同樣的安全考慮。我們必須與國(guó)際合作伙伴和私營(yíng)部門合作,支持國(guó)家標(biāo)準(zhǔn)的發(fā)展。該原則指出,重要的是,不將物聯(lián)網(wǎng)的相關(guān)活動(dòng)分裂為不一致的標(biāo)準(zhǔn)或規(guī)則集。

戰(zhàn)略原則總結(jié)到,“美國(guó)無法承擔(dān)不安全物聯(lián)網(wǎng)設(shè)備帶來的影響??紤]到對(duì)關(guān)鍵基礎(chǔ)設(shè)施、個(gè)人隱私和經(jīng)濟(jì)的潛在損害,后果不堪重負(fù)”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)