英美重视IoT安全,漏洞披露和安全人才培养

摘要: 美参议员提出《物联网网络安全改善法案》,国政府推出“网络学校计划”,投资2000万英镑培养网络安全人才,美国司法部发布框架 引导企业建立“漏洞披露计划”,美国大选投票机在ebay上出售包含65万选民个人信息。


英美重视IoT安全,漏洞披露和安全人才培养

【全球政策趋势】

美参议员提出《物联网网络安全改善法案》,提高政府设备采购安全门槛。点击查看原文

概要:近日,美国数位参议院议员提出《物联网网络安全改善法案》,希望立法规范联邦政府采购的物联网(以下简称IoT)设备的安全标准,。该法案要求IoT厂商保证出售给政府的装置可修补漏洞,不可使用固定密码,杜绝已知安全漏洞;要求使用IoT的部门清点装置并建立安全要求。

点评:参议员表示,希望通过政府采购“以身作则”,进一步完善整个行业的安全标准,补救“市场失灵”,鼓励在安全性的良性行业竞争。日前,我国工信部也表示,今年将重点聚焦车联网、物联网等新业务和融合领域的网络安全,鼓励企业创新,并将在该领域遴选试点示范企业。足以见得,关注IoT安全要求是全球趋势。国内IoT行业高速发展,终端用户现已达到1.81亿。然而,大多数IoT厂商以电子生产、制造为主体,缺乏网络安全意识与能力。因此,在其发展初期,需同步建设IoT安全监测、预警、威胁共享、快速处置等系列规章及系统,让IoT与安全同步发展。

英国政府推出“网络学校计划”,投资2000万英镑培养网络安全人才。点击查看原文

概要:该计划主要针对14-18岁的青少年,目标是在2021年培养至少5700名网络安全行业的新秀,1000名学生将获得4000英镑的奖学金。该计划为期四年,面向各类基础和专业背景的学生,课程包括线下和线上两种方式,提供编程、加密、数字取证和防御Web攻击等课程。学生可以自行控制线上课程的进度,每周约四小时学时。

点评:安全的本质是人与人的攻防对抗。无论多强大的安全护体系都需要专业人员管理和监控。近期全球网络安全事件频发,安全人才的重要性日益凸显。目前,我国安全人才缺口高达70万,且需求每年递增。《国家网络空间安全战略》和《网络安全法》都对网络人才培养提出了要求,教育部也增设了网络空间安全一级学科。在此基础之上,需要进一步加强学科专业建设,保障资金、师资、教学设备的投入。高校、科研机构和安全行业企业要共同育人,形成人才培养、技术创新、产业发展的良性生态链。

美国司法部发布框架 引导企业建立“漏洞披露计划”。点击查看原文

概要:很多美国企业和机构使用“漏洞悬赏计划”,来发现自身网络和应用程序中的漏洞。司法部为此发布了一个详细的框架,帮助企业设计漏洞披露计划,减少违反相关法律法规的可能性。该框架梳理了企业在设计、管理和实施计划的过程中有哪些注意点,例如明确报告漏洞的形式,接收漏洞报告的联络人,如何处理意外和故意违反该漏洞政策的行为等。

点评:美国的“漏洞披露计划”对我国也有借鉴意义,对于漏洞发现、披露等需要设定必要的国家安全标准与规范,以推进具有安全规范和管理的众测机制成长,一方面集中全国网络安全高手,为广大政府、企事业单位挖掘潜在漏洞风险,一方面有效管理白帽子的行为,让漏洞发现与披漏可以得到统筹管理,形成中国自己的软实力。

【相关安全事件】

美国大选投票机在ebay上出售包含65万选民个人信息。点击查看原文

概要:DefCon峰会上,有安全研究人员公开了一台美国大选后政府拍卖的ExpressPoll-5000 投票机。据称,政府拍卖前未将选民资料删除,因此该机器包含了田纳西州65万选民的个人信息(姓名,生日,家庭住址,电话,政党信息、是否缺席投票等等)。目前,有大量类似未经审核的投票机在ebay上被拍卖,最低售价只要几百美金。

点评:美国大选使用“笨重”的投票机的原因之一,是降低大规模黑客入侵的风险。然而,一些州政府对投票机缺乏妥善的管理和基本安全意识,给选民的个人信息安全带来了严重隐患。甚至在有关新闻报道公开后,公众仍然可以在ebay上搜索并购买这些投票机。对于包含个人信息或敏感数据的设备,尤其是政府用设备,需配套相应的全生命周期安全标准,如在丢弃之前应确保销毁有关记录,或在开始就避免明文储存信息,降低数据泄漏风险。 

原文链接:http://click.aliyun.com/m/28085/