IoT安全标准是什么?有哪些已颁布的IoT安全标准?
物联网(IOT)的网络安全标准是少之又少,却很少强迫或部份工业或政府法规,不像其他IT标准。
NIST的物联网装备制造商实践
2020年5月的NIST文件“针对物联网装备制造商的基础网络安全活动”指点物联网装备制造商如何更好地保护其物联网装备。
该文档建议制造商可使用六种技术向IoT装备添加安全功能。其中有四个适用于制造商在制造装备之前如何斟酌安全性。其他两种技术用于支持已售出的装备。
肯定预期的客户和用户,并定义预期的用例
本质上,制造商应当研究谁想租赁该装备和租赁缘由。这应当在设计进程的初期完成,以决定使用哪一种安全工具和如何对其进行集成。
研究客户网络安全需求和目标
利用来自客户研究的信息,制造商可以完善相干的安全风险。固然,制造商没法知道每一个客户的风险。但是,目标是使预期租赁了预期使用情况的装备的客户最少可以最小程度地保护其安全。
肯定如何满足客户需求和目标
利用从研究安全风险中学到的知识,制造商可以弄清楚如何使用安全功能使装备最少可以最小程度地安全化。NIST建议制造商审查其“IoT装备网络安全能力核心基准”出版物。
计划为客户的需求和目标提供足够的支持
制造商应当能够提供硬件和软件资源来支持安全功能。另外,制造商应斟酌为物联网装备提供延续开发和支持所需的条件,例如安全的编码做法,漏洞响应和缺点修复。
定义与客户沟通的方法
制造商将其装备投放市场后,一定要与客户明确交换有关装备安全风险的信息。沟通可以直接与客户或与代表客户的组织进行。例如,制造商可以将信息发送给托管安全服务提供商,而不是直接发送给客户。
肯定与客户沟通的方式和沟通方式
与客户交换的主题包括:
1.支持多长时间的装备和什么时候终止使用寿命。
2.客户如何报告漏洞。
3.有关装备的软件,硬件,服务,功能和数据类型的信息。
4.如果有更新,则将在什么时候何地分发这些更新,和客户如何确认更新的来源是制造商。
欧盟基准安全建议
ENISA于2017年11月发布的“关键信息基础架构背景下的IoT基准安全建议”包括三个安全措施的整体主题:
1.技术措施
2.政策规定
3.组织,人员和流程措施
建议的技术措施包括多种硬件和软件安全性方法。这些技术措施的示例包括信任的硬件根,自动更新回滚和每一个装备独有的难以破解的默许密码。制造商应斟酌其产品的销售速度和所选安全措施所需的可扩大性。
当触及到安全策略时,它们需要足够广泛,以保护组织的系统并进行充分的文档记录。种别包括按设计的安全性,按设计的隐私性和风险和要挟的辨认与评估。安全设计和隐私设计重视整合安全和隐私到物联网系统,而不是在开发的末尾添加每一个。风险和要挟辨认与评估反应了NIST建议的一部份,建议建议肯定IoT装备的预期用处和将在何处使用。
接下来,ENISA建议物联网装备的制造商具有如何保护其装备的标准。应当向客户表露与NIST建议类似的使用寿命终止支持,并应提供补钉,直至使用寿命终止。另外,物联网装备制造商应避免使用通讯协议和密码算法。由于黑客可以轻松找到已知协议和密钥来访问IoT装备,因此可以提高安全性。制造商应具有在安全事件产生时进行分析和处理的进程,并表露其产生情况的程序。
下一条建议是对员工进行隐私和安全实践方面的培训。触及数据处理,数据同享和硬件或软件创建的第三方应了解其服务适用的安全性和法规要求。
加州物联网安全法
加利福尼亚州参议院于2018年11月在州民法典中增加了参议院法案327(SB327)。该法案要求联网装备的制造商为其配备安全功能。
这些功能一定要满足三个要求。首先,安全功能一定要合适装备的性质和功能。换句话说,装备没必要为其不具有的功能提供安全性。其次,功能一定要合适装备搜集,包括或传输的信息。例如,如果装备上没有个人健康数据,则可能不需要符合HIPAA。第三,一定要设计安全功能以保护装备及其包括的信息免遭未经授权的访问,破坏,使用,修改或泄漏。本质上,这些功能一定要禁止歹意行动者访问装备或其数据。
根据法律,如果连接的装备能够在LAN外部时对用户进行身份验证,则认为该装备具有公道的安全性。依然需要两个要求。首先,装备的预编程密码对每一个制造的装备都一定要是唯一的。其次,IoT装备一定要强迫用户创建新的凭据,然后才能首次访问该装备。
物联网安全标准:关键要点
NIST关于保护IoT装备的六项建议属于制造商的主题,这些主题是制造商了解其客户,肯定装备用例并向客户转达装备安全状态的主题。
ENISA讨论的三种安全方法告知IoT制造商使用集成安全策略,组织本身以提供安全的环境和使用广泛的技术措施来保护IoT装备。
加利福尼亚州参议院327号法案的独特的地方在于,它是目前全国范围内有关物联网安全和隐私的唯一法律之一。
TikTok千粉号购买平台:https://tiktokusername.com/
TOP