迪吉国际
2017 年 5 月 12 日
我的供应商是否进行渗透测试?渗透测试,又称笔测试,测试攻击者可在设备、网络或网络应用程序上利用的漏洞。理想情况下,设备制造商应经常(每季度)接受外部承包商的笔测试,以及感兴趣的客户的临时笔测试。
我的供应商拥有哪些安全认证?你希望看到一个积极的安全办公室和安全模式,而不仅仅是口头承诺。设立专门的安全办公室意味着确保将安全最佳实践纳入工程设计流程。这种方法纳入了考虑到产品设计和测试的公认准则和流程,如美国质量协会/故障模式影响分析、iSixSigma/DFMEA、ISO9001 SDLC、渗透测试执行标准和 OWASP 等第三方组织以及在线信任联盟 (OTA) 等新兴标准所定义的准则和流程。
供应商如何/应如何生成真正的随机数并确保密钥存储安全?密码的好坏取决于它所依据的随机数。计算机本身具有确定性,那么它们如何才能生成真正的随机数呢?真正的硬件随机数生成器(TRNG)利用物理世界的随机特性,在量子噪声的基础上生成真正的随机数。
您的供应商上次接受审计是在什么时候,他们发现了什么,您做了什么?您的供应商是否提供持续的威胁测量和监控服务,并定期进行内部和外部安全审计?定期审核可确保提供最新的安全补丁,并就即将到来的威胁提供持续的主动沟通。某些行业安全框架(如 PCI DSS)要求进行这些定期审计。
这将给我们带来什么损失?一般来说,只有当供应商进行经常性投资时,你才应该支付经常性费用。例如,你应该为一个好的防火墙支付一次费用,而你应该为持续的设备管理支付持续费用。评估不同供应商的总拥有成本是个好主意。我们的竞争对手的总拥有成本往往更高,因为他们对安全服务收费,或者更糟糕的是,他们根本不提供安全服务。
>>点击此处了解如何通过Digi TrustFence轻松集成设备安全、设备身份和数据隐私功能
