英美重视IoT安全，漏洞披露和安全人才培养

摘要： 美参议员提出《物联网网络安全改善法案》，国政府推出“网络学校计划”，投资2000万英镑培养网络安全人才，美国司法部发布框架 引导企业建立“漏洞披露计划”，美国大选投票机在ebay上出售包含65万选民个人信息。

 

 

【全球政策趋势】

 

 

美参议员提出《物联网网络安全改善法案》，提高政府设备采购安全门槛。点击查看原文

 

概要：近日，美国数位参议院议员提出《物联网网络安全改善法案》，希望立法规范联邦政府采购的物联网（以下简称IoT）设备的安全标准，。该法案要求IoT厂商保证出售给政府的装置可修补漏洞，不可使用固定密码，杜绝已知安全漏洞；要求使用IoT的部门清点装置并建立安全要求。

 

点评：参议员表示，希望通过政府采购“以身作则”，进一步完善整个行业的安全标准，补救“市场失灵”，鼓励在安全性的良性行业竞争。日前，我国工信部也表示，今年将重点聚焦车联网、物联网等新业务和融合领域的网络安全，鼓励企业创新，并将在该领域遴选试点示范企业。足以见得，关注IoT安全要求是全球趋势。国内IoT行业高速发展，终端用户现已达到1.81亿。然而，大多数IoT厂商以电子生产、制造为主体，缺乏网络安全意识与能力。因此，在其发展初期，需同步建设IoT安全监测、预警、威胁共享、快速处置等系列规章及系统，让IoT与安全同步发展。

 

 

 

英国政府推出“网络学校计划”，投资2000万英镑培养网络安全人才。点击查看原文

 

概要：该计划主要针对14-18岁的青少年，目标是在2021年培养至少5700名网络安全行业的新秀，1000名学生将获得4000英镑的奖学金。该计划为期四年，面向各类基础和专业背景的学生，课程包括线下和线上两种方式，提供编程、加密、数字取证和防御Web攻击等课程。学生可以自行控制线上课程的进度，每周约四小时学时。

 

 

点评：安全的本质是人与人的攻防对抗。无论多强大的安全护体系都需要专业人员管理和监控。近期全球网络安全事件频发，安全人才的重要性日益凸显。目前，我国安全人才缺口高达70万，且需求每年递增。《国家网络空间安全战略》和《网络安全法》都对网络人才培养提出了要求，教育部也增设了网络空间安全一级学科。在此基础之上，需要进一步加强学科专业建设，保障资金、师资、教学设备的投入。高校、科研机构和安全行业企业要共同育人，形成人才培养、技术创新、产业发展的良性生态链。

 

 

美国司法部发布框架 引导企业建立“漏洞披露计划”。点击查看原文

 

概要：很多美国企业和机构使用“漏洞悬赏计划”，来发现自身网络和应用程序中的漏洞。司法部为此发布了一个详细的框架，帮助企业设计漏洞披露计划，减少违反相关法律法规的可能性。该框架梳理了企业在设计、管理和实施计划的过程中有哪些注意点，例如明确报告漏洞的形式，接收漏洞报告的联络人，如何处理意外和故意违反该漏洞政策的行为等。

 

 

点评：美国的“漏洞披露计划”对我国也有借鉴意义，对于漏洞发现、披露等需要设定必要的国家安全标准与规范，以推进具有安全规范和管理的众测机制成长，一方面集中全国网络安全高手，为广大政府、企事业单位挖掘潜在漏洞风险，一方面有效管理白帽子的行为，让漏洞发现与披漏可以得到统筹管理，形成中国自己的软实力。

 

 

【相关安全事件】

 

美国大选投票机在ebay上出售包含65万选民个人信息。点击查看原文

 

概要：DefCon峰会上，有安全研究人员公开了一台美国大选后政府拍卖的ExpressPoll-5000 投票机。据称，政府拍卖前未将选民资料删除，因此该机器包含了田纳西州65万选民的个人信息（姓名，生日，家庭住址，电话，政党信息、是否缺席投票等等）。目前，有大量类似未经审核的投票机在ebay上被拍卖，最低售价只要几百美金。

 

点评：美国大选使用“笨重”的投票机的原因之一，是降低大规模黑客入侵的风险。然而，一些州政府对投票机缺乏妥善的管理和基本安全意识，给选民的个人信息安全带来了严重隐患。甚至在有关新闻报道公开后，公众仍然可以在ebay上搜索并购买这些投票机。对于包含个人信息或敏感数据的设备，尤其是政府用设备，需配套相应的全生命周期安全标准，如在丢弃之前应确保销毁有关记录，或在开始就避免明文储存信息，降低数据泄漏风险。 

原文链接：http://click.aliyun.com/m/28085/