编程技术网,编程语言,IT新闻,code,代码审查

英国政府发布消费类物联网设备安全行为准则(3)

2018-10-18 13:37

补充协议模板合同补充协议,办公室搬迁,食堂管理,琉夏,2020奥运会举办城市,索沛论坛


物联网设备可能会更换所有权、最终被回收或处置。可提供相应的机制,让消费者能够保持控制和删除服务、设备和应用程序中的个人数据。
主要适用于:设备制造商、物联网服务提供商、移动应用程序开发人员
12. 轻松安装和维护设备
物联网设备的安装和维护应采用最少的步骤,并应遵循安全最佳做法。还应向消费者提供有关如何安全地设置其设备的指导。
可通过是当地解决用户界面中的复杂性和改善设计来减少甚至消除由于消费者混淆或错误配置导致的安全问题。向用户提供有关如何安全地配置设备的指导,也可降低其受到威胁的可能性。
主要适用于:设备制造商、物联网服务提供商、移动应用程序开发人员
13. 验证输入数据
通过用户界面输入的数据,以及通过应用程序编程接口 (API) 传输的数据或在服务和设备之间的网络传输的数据均应执行验证。
格式设置不正确的数据或通过不同类型的接口传输的代码都可能破坏系统。攻击者通常采用自动化工具来利用未验证数据的潜在缺陷和弱点。示例包括但不限于以下类型的数据:
不属于预期类型,例如可执行代码,而不是用户输入的文本。
超出范围,例如温度值超过传感器限值。
主要适用于:设备制造商、物联网服务提供商、移动应用程序开发人员
支持准则
政府表示,实施这些指导方针将 有助于保护消费者的隐私和安全,同时使他们更容易安全地使用他们的产品 。它还将减轻分布式拒绝服务(DDoS)攻击的威胁,这些攻击通常是从安全性差??的物联网设备和服务发起的。
一些物联网制造商,如惠普和Centrica Hive,已经承诺支持该行为准则。
英国数字、文化、媒体和体育部(DCMS)部长Margot James对这一消息表示欢迎,称 英国在产品安全方面处于全球领先地位,并将消费者不得不保护其设备的负担转移开来 。
惠普公司和Centrica Hive的承诺是值得欢迎的第一步,但至关重要的是,其他制造商也要跟随,确保从设计的那一刻起就将强大安全措施纳入日常技术中。
Ian LeAlex Neill博士,Which家居产品和服务总经理补充说: 我们欢迎政府带头解决互联网产品日益增长的安全问题,这些智能设备的制造商现在必须认真对待安全,并签署该准则,以更好地保护每天使用其产品的消费者 。
为什么准则不是强制性的?
然而,一些安全专家质疑为何该准则是自愿的,政府则表示该准则 以结果为中心,而不是强制性的 ,给予企业 创新和实施适合其产品安全解决方案的灵活性。
网络安全公司Redscan的首席技术官Andy Kays警告称,正因为如此,小型制造商将会蔑视新规则。他说: 为了产生真正的积极影响,我们需要确保在全球范围内改善合作,并采取更多措施帮助企业在整个开发生命周期中优先考虑安全。
现在,网络安全通常是一些制造商优先考虑问题中的最后一个。新功能和服务正在推动销售,而不是稳固性,制造商将原型作为成熟产品销售,以引起关注并尽快推向市场。
新制造商和初创企业与更成熟企业没有相同的品牌资产水平,因此,他们倾向于冒更大的风险来将产品推向市场,这可能意味着网络安全风险较少受到关注。
零售商也需要尽自己的一份力量,通过确保他们选择符合公认的安全标准产品来保护消费者。
他的评论得到了业界其他人赞同。例如,IOActive战略副总裁John Sheehy说: 虽然这确实是朝着正确方向迈出的一步,但鉴于这是自愿的,行业不太可能对此采取行动。
不幸的是,许多设备制造商更关心将最低限度可行的产品推向市场,而不是它是否安全。因此,许多物联网设备使其所有者面临重大风险。
Infoblox技术总监Gary Cox补充说: 为保护企业,可以 而且应该---做得更多。
我们最近的报告显示,美国、英国和德国超过三分之一(35%)的公司报告说,每天有超过5000台个人设备 从智能手机到平板电脑和笔记本电脑 连接到企业网络,表明了该漏洞的规模。

上一篇:人工智能正在彻底改变着人们的生活方式,推动市场经济整体快速发展

下一篇:同级最可靠“三大件”+AI人工智能,东风风神新一代AX7能否逆袭成功?