🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

物联网安全联盟ioXt及其八项安全原则

Test Ninja 软件质量报道 2023-11-28
收录于合集
#安全性测试 5 个
#物联网 2 个

2020年12月4日,美国《物联网网络安全改进法案》(Internet of Things Cybersecurity Improvement Act)正式出台,成为美国法律。《物联网网络安全改进法》要求美国国家标准技术研究院(NIST)发布联邦政府使用物联网设备的标准和指南,并指示白宫管理和预算办公室(OMB)审查政府政策,以确保它们符合NIST指南,联邦机构将不得购买不符合安全要求的物联网设备。
在该法中,物联网定义与《对物联网设备制造商的建议:基础活动和核心设备网络安全能力基线》这一文件中的物联网定义保持一致,认为其是“能够独立工作,拥有网络接口,至少有一个传感器(传感器或驱动器)用于与物理世界直接交互的设备”,其涵盖范围非常广泛。《物联网网络安全改进法》将对美国物联网建设产生巨大影响,并有可能对我国的物联网设备出口产生冲击。
无独有偶,我国在近几年也相继出台了信息安全相关的法律法规。
《中华人民共和国网络安全法》于2017年6月1日起实施;
《中华人民共和国密码法》自2020年1月1日起施行;
《中华人民共和国数据安全法》自2021年9月1日起执行;
《中华人民共和国个人信息保护法》于2021年11月1日起执行。
这些法律的出台,必将对我国的物联网建设同样产生深远的影响,也和我们每个人的生活息息相关,毕竟智能物联网设备已经逐渐渗透进我们的生活,大家日常使用的各种电器已经在经历智能网联化的改造。因此我们有必要了解目前物联网安全标准和规范。
ioXt(Internet of secure things)国际物联网安全联盟致力于物联网安全全球标准,为美国《物联网网络安全改进法》的出台提供了重要的技术支持。ioXt提出八项原则,授权认证实验室根据“禁止通用密码、保护每个接口、经验证的加密方法、默认情况下的安全性、签名软件升级、自动软件升级、漏洞报告方案、安全维护到期日”这八项安全原则对物联网设备进行评估。

原则1:禁止通用密码
通常,大容量消费类设备都附带相同的默认密码。通常,用户希望快速部署他们的新设备,因此许多人不会采取简单的步骤将默认密码更改为新密码。为每个新设备提供唯一的工厂编程密码是一个简单的第一步,让对手更难访问或控制可能部署的数百个设备。

原则2:保护每个接口
任何基于微控制器的设备都有许多接口和端口,可以本地或远程访问。主应用程序将在操作期间使用其中一些端口进行通信。然而,其余部分——特别是作为外部通信接口的任何部分——必须加以保护。同样,任何IC到IC接口,例如微控制器和显示控制器之间的接口,都必须加以保护。建议在使用过程中对所有接口进行加密和身份验证。

原则3:经验证的加密方法
在一个开放和可互操作技术的世界中,使用业界认可、开放和经验证的加密标准至关重要。不建议使用封闭的专有加密算法。开放加密标准的使用鼓励所有开发人员、工程师和利益相关者参与,以不断评估针对新安全威胁的潜在漏洞。

原则4:默认情况下的安全性
当消费者购买新设备时,必须将其设置为尽可能高的安全级别。不配置安全选项或只配置最小安全选项的产品可以为对手提供利用机会。用户的开箱即用安全体验应该是启用了所有可能的安全措施。开发者不应该在默认情况下让用户不受保护。

原则5:签名的软件升级
随着越来越多的消费者智能家居设备能够通过无线传输自动升级,当务之急是确保每一次升级都以加密方式进行签名。这样一来,黑客就无法用恶意代码更新设备了。

原则6:自动进行软件升级
消费者不应该成为自己设备的管理员来决定是否升级产品的软件版本。如果需要进行升级,部署和升级应该是自动进行的。此外,升级应在不会影响设备运行的时候应用。例如,智能连接洗衣机在使用时不应该进行升级。

原则7:漏洞报告方案
通常,消费者在他们的嵌入式智能家居设备遇到问题时,都不确定该联系谁。设备被破坏了吗?是否存在应报告的新漏洞?这一原则保证,产品制造商将为客户提供一种手段来报告问题和沟通其对产品安全问题的关注。

原则8:安全维护到期日
与产品保修期一样,产品保修期在购买后有一个到期日期,在此期间产品安全升级的有效期也应该被定义并告知消费者。继续支持具有安全升级的产品涉及持续的维护成本,因此消费者需要在购买时做出明智的决定。制造商还可以选择提供延长保修期,以抵消正在进行的安全更新。

参考:




继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存