DRAFT Code of Practice— Securing the Internet of Things for Consumers（实务守则(草案): 保障消费者物联网安全）是提高澳大利亚物联网设备安全性的第一步。该草案确认了十三个基本原则。

1 禁止重复的默认密码或弱密码：物联网设备(以及相关的后端/云账户) 的密码应该是独特的，不可预测的，复杂的，不可猜测的，不可恢复的指向多个设备通用的任何工厂默认值。

2.实现漏洞披露政策：物联网设备制造商、物联网服务提供商和移动应用开发人员应该提供一个公共接触点作为漏洞披露政策的一部分，以便安全研究人报告问题。

3.保持软件安全更新：物联网设备上的软件(包括固件)，包括第三方和第三方开源软件以及相关的web服务应该进行安全更新。更新应该及时，不影响设备的功能。

4.安全储存凭证和安全敏感数据：任何凭据都应该安全地存储在设备和服务中。硬编码凭证(例如用户名和密码)不应该是嵌入设备软件或硬件，因为它们可以通过逆向工程被发。

5.确保个人资料保护：当设备和/或服务处理个人数据时，它们必须根据数据保护相关法律运行，例如《1988年隐私法》和《澳大利亚隐私准则》。

6.减少暴露的攻击面：硬件不应该不必要地暴露访问权限(例如，不需要的端口应该关闭，web管理接口应该只对本地用户开放网络，除非设备需要通过互联网远程管理) 。

7.确保通信安全：安全敏感数据，包括任何远程管理和控制，应在传输过程中加密，以适应技术和使用的属性。所有的证书和证明都应该是安全管理。

8.确保软件的完整性：物联网设备上的软件(包括固件)应该通过安全启动机制进行验证。如果检测到未授权的更改，则设备应该提醒使用者/管理员一个问题，并且应该不连接除必要的报警功能之外的更广泛的网络。

9.提高系统对中断的弹性：提高物联网设备和服务及其依赖系统对于数据或电力中断的弹性 ，考虑到数据网络和电力的中断的可能性。

10.监测系统遥测数据：如果从物联网设备和服务中收集到遥测数据，如使用和测量数据，则应监测其是否存在安全异常。

11.方便消费者删除个人资料：设备和服务的设置应确保当使用者希望删除它和/或当使用者希望处理该设备时，有所有权转移时的个人数据可以很容易被移除。

12.使设备的安装和维护变得容易：物联网设备的安装和维护应尽量减少步骤，并且遵守澳大利亚政府关于安全最佳实践的步骤和经验还应向消费者提供清晰和直接的指导，以安全地设置他们的设备并且利用它的生命周期来维护它。

13.验证输入数据：在设备和服务中，通过用户接口输入和通过应用程序编程接口或网络传输的数据应该被却。确保数据输入得到授权并符合预期。

DRAFT Code of Practice— Securing the Internet of Things for Consumers（实务守则(草案): 保障消费者物联网安全）所确立的十三个原则是该草案的核心内容，对于保护澳洲消费者的物联网安全具有重要意义。