歐盟網(wǎng)絡(luò)安全局(ENISA)近日發(fā)布了《物聯(lián)網(wǎng)安全準則》，這是一個涵蓋了整個物聯(lián)網(wǎng)供應(yīng)鏈，包括硬件、軟件和服務(wù)的整個物聯(lián)網(wǎng)生命周期的安全指南：從需求和設(shè)計到交付，以及維護和處置。該《準則》旨在幫助物聯(lián)網(wǎng)制造商、開發(fā)人員、集成商以及與物聯(lián)網(wǎng)供應(yīng)鏈有關(guān)的所有利益相關(guān)者在構(gòu)建、部署或評估物聯(lián)網(wǎng)技術(shù)時做出更好的安全決策。

物聯(lián)網(wǎng)供應(yīng)鏈當前面臨著各種各樣的威脅，從物理威脅到網(wǎng)絡(luò)安全威脅。組織比以往任何時候都更加依賴第三方。

由于組織無法始終規(guī)范和控制其供應(yīng)鏈合作伙伴的安全措施，因此物聯(lián)網(wǎng)供應(yīng)鏈已成為網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。如今，組織對所購買和使用的技術(shù)是如何開發(fā)，集成和部署知之甚少，可見度比以往任何時候都低。

“確保信息技術(shù)產(chǎn)品和服務(wù)的供應(yīng)鏈安全，應(yīng)當成為物聯(lián)網(wǎng)設(shè)備采購的首要條件，特別是對于關(guān)鍵基礎(chǔ)設(shè)施和服務(wù)，只有如此，我們才能獲得物聯(lián)網(wǎng)廣泛部署相關(guān)的好處。”ENISA執(zhí)行總監(jiān)Juhan Lepassaar說道。

在《準則》制定的過程中，ENISA進行了一項調(diào)查，確認了不可信的第三方組件和供應(yīng)商，以及第三方組件的漏洞管理是物聯(lián)網(wǎng)供應(yīng)鏈的兩個主要威脅。《準則》分析了物聯(lián)網(wǎng)開發(fā)過程的不同階段，探討了最重要的安全注意事項，確定了每個階段要考慮的良好做法，并為讀者提供了其他相關(guān)資源。

《準則》的推廣有助于解決物聯(lián)網(wǎng)安全的復(fù)雜性問題，將供應(yīng)鏈中的主要參與者聚集在一起，采用全面的安全性方法，并基于安全設(shè)計原則提升物聯(lián)網(wǎng)安全性。

參考資料

ENISA物聯(lián)網(wǎng)安全準則：

https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文