政府安全资讯精选 2017年第二期:英美重视IoT安全,漏洞披露和安全人才培养

简介: 美参议员提出《物联网网络安全改善法案》,国政府推出“网络学校计划”,投资2000万英镑培养网络安全人才,美国司法部发布框架 引导企业建立“漏洞披露计划”,美国大选投票机在ebay上出售包含65万选民个人信息。


d67f9d5f41f1d8068d9a791a9cc3f5fe6e4d228c



【全球政策趋势】



美参议员提出《物联网网络安全改善法案》,提高政府设备采购安全门槛点击查看原文


概要:近日,美国数位参议院议员提出《物联网网络安全改善法案》,希望立法规范联邦政府采购的物联网(以下简称IoT)设备的安全标准,。该法案要求IoT厂商保证出售给政府的装置可修补漏洞,不可使用固定密码,杜绝已知安全漏洞;要求使用IoT的部门清点装置并建立安全要求。


点评:参议员表示,希望通过政府采购“以身作则”,进一步完善整个行业的安全标准,补救“市场失灵”,鼓励在安全性的良性行业竞争。日前,我国工信部也表示,今年将重点聚焦车联网、物联网等新业务和融合领域的网络安全,鼓励企业创新,并将在该领域遴选试点示范企业。足以见得,关注IoT安全要求是全球趋势。国内IoT行业高速发展,终端用户现已达到1.81亿。然而,大多数IoT厂商以电子生产、制造为主体,缺乏网络安全意识与能力。因此,在其发展初期,需同步建设IoT安全监测、预警、威胁共享、快速处置等系列规章及系统,让IoT与安全同步发展。

 


英国政府推出“网络学校计划”,投资2000万英镑培养网络安全人才。点击查看原文


概要:该计划主要针对14-18岁的青少年,目标是在2021年培养至少5700名网络安全行业的新秀,1000名学生将获得4000英镑的奖学金。该计划为期四年,面向各类基础和专业背景的学生,课程包括线下和线上两种方式,提供编程、加密、数字取证和防御Web攻击等课程。学生可以自行控制线上课程的进度,每周约四小时学时。


点评:安全的本质是人与人的攻防对抗。无论多强大的安全护体系都需要专业人员管理和监控。近期全球网络安全事件频发,安全人才的重要性日益凸显。目前,我国安全人才缺口高达70万,且需求每年递增。《国家网络空间安全战略》和《网络安全法》都对网络人才培养提出了要求,教育部也增设了网络空间安全一级学科。在此基础之上,需要进一步加强学科专业建设,保障资金、师资、教学设备的投入。高校、科研机构和安全行业企业要共同育人,形成人才培养、技术创新、产业发展的良性生态链。



美国司法部发布框架 引导企业建立“漏洞披露计划”。点击查看原文


概要:很多美国企业和机构使用“漏洞悬赏计划”,来发现自身网络和应用程序中的漏洞。司法部为此发布了一个详细的框架,帮助企业设计漏洞披露计划,减少违反相关法律法规的可能性。该框架梳理了企业在设计、管理和实施计划的过程中有哪些注意点,例如明确报告漏洞的形式,接收漏洞报告的联络人,如何处理意外和故意违反该漏洞政策的行为等。


点评:美国的“漏洞披露计划”对我国也有借鉴意义,对于漏洞发现、披露等需要设定必要的国家安全标准与规范,以推进具有安全规范和管理的众测机制成长,一方面集中全国网络安全高手,为广大政府、企事业单位挖掘潜在漏洞风险,一方面有效管理白帽子的行为,让漏洞发现与披漏可以得到统筹管理,形成中国自己的软实力。



【相关安全事件】


美国大选投票机在ebay上出售包含65万选民个人信息点击查看原文


概要:DefCon峰会上,有安全研究人员公开了一台美国大选后政府拍卖的ExpressPoll-5000 投票机。据称,政府拍卖前未将选民资料删除,因此该机器包含了田纳西州65万选民的个人信息(姓名,生日,家庭住址,电话,政党信息、是否缺席投票等等)。目前,有大量类似未经审核的投票机在ebay上被拍卖,最低售价只要几百美金。

点评:美国大选使用“笨重”的投票机的原因之一,是降低大规模黑客入侵的风险。然而,一些州政府对投票机缺乏妥善的管理和基本安全意识,给选民的个人信息安全带来了严重隐患。甚至在有关新闻报道公开后,公众仍然可以在ebay上搜索并购买这些投票机。对于包含个人信息或敏感数据的设备,尤其是政府用设备,需配套相应的全生命周期安全标准,如在丢弃之前应确保销毁有关记录,或在开始就避免明文储存信息,降低数据泄漏风险。 



期待听到您的反馈


 金融、政府、游戏安全资讯精选会通过云栖社区专栏,

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。




029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈


我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群


相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
目录
相关文章
|
1月前
|
安全 物联网 网络安全
智能设备的安全隐患:物联网(IoT)安全指南
智能设备的安全隐患:物联网(IoT)安全指南
88 12
|
28天前
|
安全 物联网 物联网安全
揭秘区块链技术在物联网(IoT)安全中的革新应用
揭秘区块链技术在物联网(IoT)安全中的革新应用
|
2月前
|
Kubernetes 安全 微服务
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
67 8
|
4月前
|
存储 安全 物联网
物联网(IoT)安全:挑战与解决方案
【8月更文挑战第5天】物联网(IoT)深刻改变着我们的生活,但随之而来的安全挑战不容忽视。面对设备身份验证复杂、数据隐私泄露、软件漏洞及资源受限等问题,本文提出加强身份验证、加密保护、定期更新、安全开发生命周期、多层次防御、安全培训及标准化合作等解决方案,旨在构建一个更加安全可靠的物联网环境。
|
6月前
|
供应链 安全 物联网
物联网(IoT)安全:风险与防护策略
【6月更文挑战第26天】物联网(IoT)安全风险包括数据泄露、设备劫持、DDoS攻击、超级漏洞和不安全设备。防护策略涉及强化设备安全设计、建立认证授权机制、加密数据传输、实施安全监控、加强供应链管理、提升用户安全意识及采用零信任模型。多层面合作以降低安全威胁,确保物联网稳定安全。
|
安全 物联网 物联网安全
物联网安全IoT攻击向量威胁
物联网主要有两种感染途径:暴力破解弱密码和利用网络服务中的漏洞。
191 0
|
传感器 存储 监控
IoT安全:让我们不要忘记的“事情”
IoT安全:让我们不要忘记的“事情”
|
存储 安全 算法
基于区块链的IoT的安全模型
基于区块链的IoT的安全模型