欧盟网络安全局(ENISA)近日发布了《物联网安全准则》,这是一个涵盖了整个物联网供应链,包括硬件、软件和服务的整个物联网生命周期的安全指南:从需求和设计到交付,以及维护和处置。该《准则》旨在帮助物联网制造商、开发人员、集成商以及与物联网供应链有关的所有利益相关者在构建、部署或评估物联网技术时做出更好的安全决策。
物联网供应链当前面临着各种各样的威胁,从物理威胁到网络安全威胁。组织比以往任何时候都更加依赖第三方。
由于组织无法始终规范和控制其供应链合作伙伴的安全措施,因此物联网供应链已成为网络安全的薄弱环节。如今,组织对所购买和使用的技术是如何开发,集成和部署知之甚少,可见度比以往任何时候都低。
“确保信息技术产品和服务的供应链安全,应当成为物联网设备采购的首要条件,特别是对于关键基础设施和服务,只有如此,我们才能获得物联网广泛部署相关的好处。”ENISA执行总监Juhan Lepassaar说道。
在《准则》制定的过程中,ENISA进行了一项调查,确认了不可信的第三方组件和供应商,以及第三方组件的漏洞管理是物联网供应链的两个主要威胁。《准则》分析了物联网开发过程的不同阶段,探讨了最重要的安全注意事项,确定了每个阶段要考虑的良好做法,并为读者提供了其他相关资源。
《准则》的推广有助于解决物联网安全的复杂性问题,将供应链中的主要参与者聚集在一起,采用全面的安全性方法,并基于安全设计原则提升物联网安全性。
参考资料
ENISA物联网安全准则:
https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】