美國政府發表IoT安全策略準則，籲業者重視IoT安全

william77

該準則要求業者在設計、生產物聯網裝置時應負起資訊安全責任，在設計階段即考量安全問題，例如安全的作法、軟體更新、漏洞管理及因應。

美國國土安全部（Department of Homeland Security，DHS）於本周二（11/15）發表了「 保護物聯網策略準則」（Strategic Principles for Securing the Internet of Things）1.0版，呼籲物聯網生態體系在設計、 生產及使用物聯網裝置與系統時皆應負起保障物聯網（IoT） 安全的責任。
美國國土安全部長Jeh Johnson指出， 大眾對連網技術的依賴程度已經超出了保護範圍， 人們日益仰賴各種連網活動， 從自動駕駛車到供水與供電的控制系統， 都讓物聯網成為國土安全的重要議題， 此一準則將讓設備製造商進行安全決策時有所依據。
該準則的要點包括在設計階段就應考量安全問題、 改善安全更新與漏洞管理機制、建立可靠的安全作法、以安全為優先任務、推動IoT生態體系的透明化，以及謹慎連結等。 以督促業者從開發、生產、 導入及使用物聯網等各階段都能確保安全性。
此外，在本周一場有關IoT安全性的美國會公聽會上， 也有一些安全專家呼籲政府應立法保障IoT安全。 專精於醫療照護網路安全的Virta Labs執行長Kevin Fu即說，現在IoT安全正處於一個令人感到難過的階段， 因為生產及部署不安全IoT裝置的業者幾乎不需要負擔任何責任。
哈佛大學網路生態研究中心Berkman Klein Center研究員Bruce Schneier則說， 讓此一局面得以維持的原因是不管製造商或是消費者都不在乎IoT 的安全性，因此需要政府介入。 Schneier甚至提議政府應設立一個全新的機構來強制執行I oT法令。
缺乏安全與更新機制讓IoT裝置近來逐漸成為殭屍網路的主力， 例如根據Level 3威脅研究中心（Level 3 Threat Research Labs）的統計， Mirai殭屍病毒感染近50萬台IoT裝置， 而Bashlight殭屍病毒則感染超過96萬台的IoT裝置， 其中的Mirai更是今年9月及10月發動分散式阻斷服務（ DDoS）攻擊， 癱瘓KrebsOnSecurity資安部落格、攻擊網站代管服務供應商OVH與美國網路效能管理公司Dyn旗下 DNS服務的元兇。

myntpcb

网络安全的确很重要。

ruili

安全第一

xfzc