位置:编程技术网 > 区块链 > 正文 >

英国政府发布消费类物联网设备安全行为准则

2018年10月18日 13:37来源:未知手机版

补充协议模板合同补充协议,办公室搬迁,食堂管理,琉夏,2020奥运会举办城市,索沛论坛


英国政府为物联网(IOT)设备制造商发布了一项新的自愿行为准则,旨在保护消费类物联网。
该准则旨在确保家用集线器、智能家居设备、安全摄像头、可穿戴设备和连网玩具等设备免受外部攻击和数据泄露。
今年早些时候,英国数字、文化、媒体和体育部(DCMS)和英国国家网络安全中心(NCSC)在联合安全设计审查之后采取了这一最新举措,该审查旨在将安全嵌入新技术的设计流程中。
该准则称, 随着人们将越来越多的个人数据委托给在线设备和服务商,这些产品的网络安全与我们家庭成员的人身安全一样重要。
本行为准则的目的是通过一套指导方针来支持所有参与消费物联网开发、制造和零售的各方,以确保产品在设计上是安全的,并使人们在数字世界中更容易保持安全。
安全行为准则:
3月份以草案形式发布的新指南,列出了消费类设备制造商在设计物联网产品时应遵循的13个步骤。
它们是:
1. 禁止使用默认密码
所有物联网设备密码都应是唯一的,并且不能重置为任何通用出厂默认值。
许多物联网设备在销售时使用的是通用默认用户名和密码(如 Admin,Admin ),消费者应对其进行更改。这是物联网中许多安全问题的源头所在,需要杜绝这种做法。应遵循密码和其他身份验证方法的最佳做法。
主要适用于:设备制造商
2. 实施漏洞披露政策
作为漏洞披露政策的一部分,所有提供互联网连接设备和服务的公司都应提供公共联络点,以便安全研究人员和其他人能够报告问题。已披露的漏洞应及时予以处理。
了解安全漏洞使公司能够作出回应。作为产品安全生命周期的一部分,公司还应持续监视、识别和纠正其自身产品和服务中的安全漏洞。最开始就应直接向受影响的利益相关者报告漏洞。如果无法做到,则可向国家当局报告这些漏洞。有关在不同情况下应采取的不同做法的详细信息,请参阅注释。我们还鼓励公司与主管行业团体分享信息。
主要适用于:设备制造商、物联网服务提供商和移动应用程序开发人员
3. 保持软件更新
联网设备中的软件组件应能够安全地执行更新。更新需及时进行,并且不能影响设备的功能。终端设备应布一项寿命终止政策,该政策需明确规定设备接收软件更新的最短时间长度,以及采用该支持周期长度的原因。每次更新的需求都应清楚地向消费者提出,并且要易于实施。对于无法执行物理更新的受限设备,产品应可以隔离和更换。
还应保证安全补丁来源的可靠性,并通过安全的渠道交付。更新过程中应尽可能保证设备的基本功能继续运行,例如手表应继续显示时间、自动调温器应继续运行、锁应继续正常解锁和闭合。这似乎主要是设计方面的问题,但如果不考虑或未正确管理,可能会为某些类型的设备和系统带来重大安全问题。
软件更新应在设备销售后提供,然后在规定的周期内推送至该设备。购买产品时,应向消费者明确说明软件更新支持的周期。零售商和/或制造商应向消费者发出更新通知。对于不可能进行软件更新的受限设备,应明确指出更换支持的条件和周期。
主要适用于:设备制造商、物联网服务提供商和移动应用程序开发人员
4. 安全存储凭据和安全敏感数据
任何凭证都应安全地存储在服务和设备上。不得使用硬编码在设备软件中的凭证。设备和应用程序的逆向工程可轻松发现硬编码在软件中的凭证,诸如用户名和密码等。用于掩盖或加密这种硬编码信息的简单模糊处理方法也可能会受到破坏。安全敏感数据(例如加密密钥、设备标识符和初始化向量)应安全地存储。应使用安全、可信的存储机制,如受信任的执行环境以及相关的可靠、安全的存储所提供的存储机制。
主要适用于:设备制造商、物联网服务提供商、移动应用程序开发人员

本文地址:http://www.reviewcode.cn/qukuailian/2592.html 转载请注明出处!

今日热点资讯