返回 登录
0

物联网设备安全&隐私基本准则

阅读504

安全

  1. 默认安全

    • 设备之间不会共享默认密码,或采用弱密码。
    • 所有的密码应该由高品质的随机数生成器随机产生。
    • 关闭用户很少使用的高级功能应(如VPN,远程管理等)。
  2. 安全设计

    • 固件应该被锁定以使串行连接不可用。
    • 应该使用安全元件(SE)或者受信任的保护模块(TPM)设备来保护固件和硬件的访问。
    • 生产版本应该禁用硬件上所有的GPIO、UART和JTAG接口。
    • NAND或其它存储器/存储介质应用环氧树脂、球座进行保护(使存储器不能被移除、转存),或采用其他方法来防止物理攻击。
  3. 自包含安全(Self-contained security)

    • 设备不应该依赖于网络来提供安全性。相反,该​​设备的安全模型应确保网络安全,并维持保护方法。
    • 设备之间的通信必须加密,以防止MITM攻击和嗅探/窥探。

隐私

  • 不会与制造商或合作伙伴共享消费者PIN。
  • 个人消费者使用的数据都不会与合作伙伴或广告商共享。
  • 大量用户使用模式的匿名数据是可以接受的,只要证明这些数据不能追溯到个人消费者。
  • 明确数据收集策略,数据类型和数据的使用。

原文:Internet of Things security is so bad, there’s a search engine for sleeping kids

评论