美国土安全部保障物联网安全的战略原则
11月15日,美国国土安全部(DHS)发布物联网设备网络安全政策,列出相关战略原则和安全事项以指导利益相关者遏制黑客对物联网设备的攻击。
战略原则
该原则旨在为利益相关者指导配备工具,使之全面考虑发展、制造、部署或使用物联网设备的安全问题。
①在设计阶段就考虑安全问题。必须对安全问题进行评估,使之成为物联网设备不可或缺的组成部分。受经济利益驱动,大多数企业在将设备投入市场前没有太多考虑安全问题。
②推进安全更新和漏洞管理。即使在设计阶段就考虑到安全问题,产品在投入部署后也会经常发现漏洞。可以通过打补丁、安全更新和漏洞管理策略来逐步缓解和解决。
③建立在行之有效的安全实践上。传统安全领域的行之有效的做法可以应用于物联网安全领域。这些方法可以帮助识别漏洞,发现违规行为,响应潜在的网络安全事件,使物联网设备可以从破坏中恢复过来。
④根据潜在影响优先考虑安全措施。按照安全故障带来影响的大小划分,物联网生态系统的风险模型区别很大。必须关注破坏、数据泄漏或恶意活动带来的潜在后果,这是指导物联网生态系统安全工作的关键。
⑤提高物联网设备的透明度。在可能的情况下,开发商和制造商需要熟悉其供应链即软件和硬件组件是否存在漏洞。通过提升态势感知能力,制造商和工业消费者可以更好识别和运用安全措施。
⑥对物联网设备网络连接施加控制。物联网消费者应考虑是否需要持续的网络连接,尤其在当前的工业生产环境下。
安全事项
在战略原则中,DHS定义了联邦机构需要执行的四项物联网安全事项。
①协调其他联邦部门和机构与物联网制造商、网络连接提供商和其他行业利益相关者合作。随着进一步细化和理解最佳实践和方法,未来的努力方向还将集中在更新和应用这些原则上。
②加强利益相关者中必须的物联网风险意识。DHS将与其他机构、私营部门和国际合作伙伴合作增强公众意识、开展教育和培训计划。
③识别并推进激励措施,保障物联网设备和网络安全。现在常常搞不清谁是产品或系统的安全负责人,此外,安全性差所带来的成本通常不由增强安全的人承担。今后,DHS将召集合作伙伴讨论这些重大事项,并收集意见和反馈信息。
④为物联网国际标准制定进程做贡献。美国的物联网设备是全球生态系统的一部分,DHS必须与国际合作伙伴合作,支持国家及国际标准的制定。
来源:美国国土安全部网站/图片来自互联网
中国国防科技信息中心 吴海
如需转载请注明出处:“国防科技要闻”(ID:CDSTIC)
觉得不错,请点赞↓↓↓