有部分產(chǎn)業(yè)專家認(rèn)為，目前關(guān)于物聯(lián)網(wǎng)安全性的行動遠(yuǎn)遠(yuǎn)不夠…

產(chǎn)品安全認(rèn)證機(jī)構(gòu)UL與產(chǎn)業(yè)組織MIPI Alliance正各自為推動更安全的物聯(lián)網(wǎng)(IoT)而盡力;UL期望能在今年底公布物聯(lián)網(wǎng)網(wǎng)關(guān)安全標(biāo)準(zhǔn)，以及一套消費(fèi)性物聯(lián)網(wǎng)產(chǎn)品的軟件安全性的最佳實(shí)踐范例，此外其目標(biāo)是在明年首度發(fā)起針對物聯(lián)網(wǎng)硬件安全性的行動。

至于MIPI Alliance則是呼吁廠商們加入一個新成立的物聯(lián)網(wǎng)安全性工作小組，并計(jì)劃在今年針對橫跨汽車、手機(jī)與物聯(lián)網(wǎng)裝置等采用MIPI互連的系統(tǒng)，發(fā)表安全性架構(gòu)草案。

然而有部分產(chǎn)業(yè)專家認(rèn)為，目前關(guān)于物聯(lián)網(wǎng)安全性的行動遠(yuǎn)遠(yuǎn)不夠;如美國哈佛(Harvard)大學(xué)講師、安全專家Bruce Schneier，在去年11月美國發(fā)生大規(guī)模Mirai網(wǎng)絡(luò)襲擊之后的一場國會聽證會上表示：“法規(guī)是必須、重要而復(fù)雜的，也會來臨;我們不能等到一切已經(jīng)太晚、無法承擔(dān)忽視這些問題之后果的那時候。”

Schneier認(rèn)為，消費(fèi)者通常不會愿意為了安全而花更多錢，但：“政府能強(qiáng)制物聯(lián)網(wǎng)裝置制造商遵守最低限度的安全標(biāo)準(zhǔn)，要求他們保障裝置的安全性，就算消費(fèi)者不在乎;政府機(jī)關(guān)可以要求制造商負(fù)起責(zé)任…細(xì)節(jié)需要謹(jǐn)慎思考，但無論是哪一種方法，都應(yīng)該要提高裝置若不安全可能帶來的成本，讓廠商有花錢保障裝置安全性的動機(jī)。”

事實(shí)上，目前只有兩家廠商已經(jīng)取得第一版UL 2900網(wǎng)絡(luò)安全標(biāo)準(zhǔn)認(rèn)證，此標(biāo)準(zhǔn)是UL在2016年4月發(fā)布;不過UL表示，還有更多產(chǎn)品目前正準(zhǔn)備通過認(rèn)證程序。

UL的安全性首席工程師Ken Modeste表示：“有部份產(chǎn)業(yè)已經(jīng)相當(dāng)成熟，有專門的網(wǎng)絡(luò)安全團(tuán)隊(duì)能快速反應(yīng);但其他廠商如創(chuàng)新消費(fèi)性物聯(lián)網(wǎng)業(yè)者卻還不夠成熟，可能只有一個人在負(fù)責(zé)因應(yīng)安全性問題并尋找指導(dǎo)原則。”

在此同時，UL也將2900標(biāo)準(zhǔn)擴(kuò)展至包括各種訪問控制、大樓自動化等裝置;目前有10家廠商正參與擬定UL的消費(fèi)性物聯(lián)網(wǎng)最佳實(shí)作準(zhǔn)則，以及物聯(lián)網(wǎng)網(wǎng)關(guān)規(guī)格細(xì)節(jié)，預(yù)期在近期可以公布。Modeste表示，UL認(rèn)為建立安全性標(biāo)準(zhǔn)是一個長期性任務(wù)，需要花費(fèi)許多年時間才能建立因應(yīng)大多數(shù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的框架，雖然不是萬靈丹，但能做為一個基礎(chǔ)。

而Modeste也指出：“對硬件安全性的需求變得越來越普遍，因此我們的目標(biāo)是在明年中展開相關(guān)行動;我們在支付終端以及汽車應(yīng)用方面已經(jīng)有一些硬件計(jì)劃，目標(biāo)是找到一個方法因應(yīng)所有的硬件。”

UL的硬件安全性計(jì)劃可能是嘗試建立一個針對裝置如何使用密碼以及密鑰來儲存、存取數(shù)據(jù)的認(rèn)證程序;Modeste表示：“我們歡迎與相關(guān)領(lǐng)域的廠商們合作，”他并指出需要包括汽車、FPGA與微控制器等領(lǐng)域的硬件專家共襄盛舉。

MIPI發(fā)起成立物聯(lián)網(wǎng)安全性工作小組

MIPI Alliance最近公開呼吁業(yè)界廠商加入一個新的安全性工作小組，目前小組成員已經(jīng)包括Qualcomm、Robert Bosch、STMicroelectronics與Synopsys等大廠。

該工作小組的目標(biāo)是在今年底之前，開發(fā)一個概述布署MIPI互連之安全性目標(biāo)與威脅模式的框架;正在探索的領(lǐng)域包括端點(diǎn)身分識別(endpoint identity)、感測與生物特征數(shù)據(jù)，以及針對汽車、可穿戴裝置與銷售終端裝置等產(chǎn)品的受保護(hù)內(nèi)容。

MIPI之安全性工作小組主席Enrico Carrieri接受EE Times電子郵件采訪時表示，該小組并不打算著墨諸如加密算法等規(guī)格，因?yàn)椴煌袌龆加胁煌摹⑾嗷ジ偁幍男枨?小組的工作成果將會與現(xiàn)有MIPI兼容性測試整合。

除了MIPI之外還有許多單位在嘗試推動物聯(lián)網(wǎng)安全性，如美國國家標(biāo)準(zhǔn)技術(shù)研究所(National Institute for Standards and Technology)正在與產(chǎn)業(yè)顧問合作，在在線教育工程師如何采用ISO/IEC 27002/27019、NIST IR 7628與IEC 62443-3-3等標(biāo)準(zhǔn)。

在英國，一場于2015年5月舉行的物聯(lián)網(wǎng)安全性高峰會上，研究人員破解了Enigma密碼機(jī)并協(xié)助成立了物聯(lián)網(wǎng)安全性基金會(IoT Security Foundation，IoTSF);目前該組織成員包括ARM、華為(Huawei)、IBM、Infineon、Intel、NXP與Vodaphone等大廠，并與來自南美、澳洲等地的專業(yè)人員連結(jié)。

IoTSF的目標(biāo)是成為最佳實(shí)踐的信息交換中心，能提供成員簡易、快速使用并經(jīng)常指向外部資源;該組織在去年12月發(fā)布了第一套最佳實(shí)踐準(zhǔn)則，并正在探索如何與UL、TUV Rheinland等機(jī)構(gòu)合作建立認(rèn)證程序的方法。

另一個IoTSF的工作小組正在嘗試定義自我認(rèn)證標(biāo)準(zhǔn)，還有其他人正在打造物聯(lián)網(wǎng)安全性的輪廓，并尋求補(bǔ)救現(xiàn)有裝置以及在發(fā)現(xiàn)漏洞時提出報(bào)告的方法;有一位小組領(lǐng)導(dǎo)人最近在EE Times美國版網(wǎng)站上留言，表示：“物聯(lián)網(wǎng)安全性是一個邪惡的挑戰(zhàn)，沒有通用的解決方案而且是比純粹技術(shù)性需求更廣大的問題。”

此外如筆者先前的文章所提到，Cloud Security Alliance有一個物聯(lián)網(wǎng)工作小組正在定義最佳實(shí)踐，不過看來并沒有建立認(rèn)證程序的計(jì)劃;工業(yè)因特網(wǎng)聯(lián)盟(Industrial Internet Consortium)則于去年發(fā)表了一套安全性框架，但不著墨消費(fèi)性物聯(lián)網(wǎng)領(lǐng)域。

Online Trust Alliance已經(jīng)發(fā)表第二版的物聯(lián)網(wǎng)信任框架(IoT Trust Framework);在今年稍早，AT&T、IBM、Nokia等廠商則是成立了 IoT Cybersecurity Alliance，是另一個關(guān)于物聯(lián)網(wǎng)安全性的資源。