ENISA在物联网领域的工作

自2016年以来，欧盟网络安全局一直致力于制定确保物联网安全的良好实践，发布研究报告，绘制相应的威胁图景，并提供有针对性的安全措施。该机构在这一领域的主要出版物包括物联网安全的良好实践——安全软件开发生命周期、智能制造背景下的工业4.0、智能汽车、智能医院、智能机场，以及一个专门的在线工具——物联网和智能基础设施的良好实践。

2020年10月，欧盟网络安全机构、欧洲刑警组织的网络犯罪中心(EC3)和欧盟机构的计算机应急响应小组(CERT-EU)发起了第四届物联网安全系列年度会议，以提高人们对整个欧盟物联网生态系统面临的安全挑战的认识。会议讨论了物联网的可信度，主题包括供应链完整性、人工智能（AI）部署、有关物联网的法规，以及可能支持这一努力的网络安全认证方案，开启了有关IoT可信度的讨论。

2020年11月9日，欧盟网络安全局（ENISA）发布了《物联网安全保护指南–物联网安全供应链》。该指南建立在2019年的物联网安全的良好实践-安全软件开发生命周期出版物的基础上，涵盖了整个物联网（IoT）供应链的硬件、软件和服务，重点关注用于开发物联网产品的供应链的实际流程。本报告补充了该机构的开创性研究《物联网基准安全建议》，是一项被经常引用和参考的工具，旨在用作物联网安全的参考。

在制定《物联网安全保护指南–物联网安全供应链》时，欧盟网络安全局进行了一项调查，发现不受信任的第三方组件和供应商，以及第三方组件的漏洞管理是对物联网供应链的两大威胁。

欧盟网络安全局执行主任Juhan Lepassaar表示：“确保ICT产品和服务的供应链安全，应成为其进一步采用的先决条件，特别是对于关键基础设施和服务。只有这样，我们才能从物联网的广泛部署中获得好处。”

现在的企业（组织）比以往任何时候都更加依赖于第三方。但由于企业（组织）不能总是控制其供应链合作伙伴的安全措施，物联网供应链已成为网络安全的薄弱环节。如今，企业对他们所获得的技术是如何开发、集成和部署的认识和理解比以往任何时候都要少。供应链目前面临着广泛的威胁，从物理威胁到网络安全威胁。

在大多数情况下，人们使用预先准备的产品来构建IoT解决方案，因此通过设计引入安全设计概念和默认安全是保护这一新兴技术的基本构建块。该机构与物联网专家合作，为物联网设备的整个生命周期制定了具体的安全指南。这些指导方针旨在帮助解决物联网的复杂性，重点是将供应链中的关键参与者聚集在一起，采用全面的安全方法，利用现有标准，并通过设计原则实现安全。

最后，该出版物分析了开发过程的不同阶段，探讨了最重要的安全注意事项，确定了每个阶段需要考虑的良好实践，并为读者提供了来自其他计划、标准和指南的额外资源。ENISA旨在通过给每个步骤提供安全措施，为物联网(IoT)产品开发的整个生命周期提供指南。感兴趣的朋友可查找原文参阅。

ENISA《物联网安全保护指南》下载地址：https://www.smart-alliance.com/zh-cn/download.html

（本文出自SCA安全通信联盟，转载请注明出处。）