753
政府安全資訊精選 2017年第二期:英美重視IoT安全,漏洞披露和安全人才培養
美參議員提出《物聯網網絡安全改善法案》,提高政府設備采購安全門檻。
概要:近日,美國數位參議院議員提出《物聯網網絡安全改善法案》,希望立法規範聯邦政府采購的物聯網(以下簡稱IoT)設備的安全標準,。該法案要求IoT廠商保證出售給政府的裝置可修補漏洞,不可使用固定密碼,杜絕已知安全漏洞;要求使用IoT的部門清點裝置並建立安全要求。
點評:參議員表示,希望通過政府采購“以身作則”,進一步完善整個行業的安全標準,補救“市場失靈”,鼓勵在安全性的良性行業競爭。日前,我國工信部也表示,今年將重點聚焦車聯網、物聯網等新業務和融合領域的網絡安全,鼓勵企業創新,並將在該領域遴選試點示範企業。足以見得,關注IoT安全要求是全球趨勢。國內IoT行業高速發展,終端用戶現已達到1.81億。然而,大多數IoT廠商以電子生產、製造為主體,缺乏網絡安全意識與能力。因此,在其發展初期,需同步建設IoT安全監測、預警、威脅共享、快速處置等係列規章及係統,讓IoT與安全同步發展。
英國政府推出“網絡學校計劃”,投資2000萬英鎊培養網絡安全人才。
概要:該計劃主要針對14-18歲的青少年,目標是在2021年培養至少5700名網絡安全行業的新秀,1000名學生將獲得4000英鎊的獎學金。該計劃為期四年,麵向各類基礎和專業背景的學生,課程包括線下和線上兩種方式,提供編程、加密、數字取證和防禦Web攻擊等課程。學生可以自行控製線上課程的進度,每周約四小時學時。
點評:安全的本質是人與人的攻防對抗。無論多強大的安全護體係都需要專業人員管理和監控。近期全球網絡安全事件頻發,安全人才的重要性日益凸顯。目前,我國安全人才缺口高達70萬,且需求每年遞增。《國家網絡空間安全戰略》和《網絡安全法》都對網絡人才培養提出了要求,教育部也增設了網絡空間安全一級學科。在此基礎之上,需要進一步加強學科專業建設,保障資金、師資、教學設備的投入。高校、科研機構和安全行業企業要共同育人,形成人才培養、技術創新、產業發展的良性生態鏈。
概要:很多美國企業和機構使用“漏洞懸賞計劃”,來發現自身網絡和應用程序中的漏洞。司法部為此發布了一個詳細的框架,幫助企業設計漏洞披露計劃,減少違反相關法律法規的可能性。該框架梳理了企業在設計、管理和實施計劃的過程中有哪些注意點,例如明確報告漏洞的形式,接收漏洞報告的聯絡人,如何處理意外和故意違反該漏洞政策的行為等。
點評:美國的“漏洞披露計劃”對我國也有借鑒意義,對於漏洞發現、披露等需要設定必要的國家安全標準與規範,以推進具有安全規範和管理的眾測機製成長,一方麵集中全國網絡安全高手,為廣大政府、企事業單位挖掘潛在漏洞風險,一方麵有效管理白帽子的行為,讓漏洞發現與披漏可以得到統籌管理,形成中國自己的軟實力。
【相關安全事件】
概要:DefCon峰會上,有安全研究人員公開了一台美國大選後政府拍賣的ExpressPoll-5000 投票機。據稱,政府拍賣前未將選民資料刪除,因此該機器包含了田納西州65萬選民的個人信息(姓名,生日,家庭住址,電話,政黨信息、是否缺席投票等等)。目前,有大量類似未經審核的投票機在ebay上被拍賣,最低售價隻要幾百美金。
點評:美國大選使用“笨重”的投票機的原因之一,是降低大規模黑客入侵的風險。然而,一些州政府對投票機缺乏妥善的管理和基本安全意識,給選民的個人信息安全帶來了嚴重隱患。甚至在有關新聞報道公開後,公眾仍然可以在ebay上搜索並購買這些投票機。對於包含個人信息或敏感數據的設備,尤其是政府用設備,需配套相應的全生命周期安全標準,如在丟棄之前應確保銷毀有關記錄,或在開始就避免明文儲存信息,降低數據泄漏風險。
金融、政府、遊戲安全資訊精選會通過雲棲社區專欄,
如果您是阿裏雲用戶,
最後更新:2017-08-13 22:29:58