UL、MIPI分別為推動物聯(lián)網(wǎng)安全性出力

有部分產(chǎn)業(yè)專家認為，目前關(guān)于物聯(lián)網(wǎng)安全性的行動遠遠不夠…

產(chǎn)品安全認證機構(gòu)UL與產(chǎn)業(yè)組織MIPI Alliance正各自為推動更安全的物聯(lián)網(wǎng)(IoT)而盡力;UL期望能在今年底公布物聯(lián)網(wǎng)網(wǎng)關(guān)安全標準，以及一套消費性物聯(lián)網(wǎng)產(chǎn)品的軟件安全性的最佳實踐范例，此外其目標是在明年首度發(fā)起針對物聯(lián)網(wǎng)硬件安全性的行動。

至于MIPI Alliance則是呼吁廠商們加入一個新成立的物聯(lián)網(wǎng)安全性工作小組，并計劃在今年針對橫跨汽車、手機與物聯(lián)網(wǎng)裝置等采用MIPI互連的系統(tǒng)，發(fā)表安全性架構(gòu)草案。

然而有部分產(chǎn)業(yè)專家認為，目前關(guān)于物聯(lián)網(wǎng)安全性的行動遠遠不夠;如美國哈佛(Harvard)大學(xué)講師、安全專家Bruce Schneier，在去年11月美國發(fā)生大規(guī)模Mirai網(wǎng)絡(luò)襲擊之后的一場國會聽證會上表示：“法規(guī)是必須、重要而復(fù)雜的，也會來臨;我們不能等到一切已經(jīng)太晚、無法承擔(dān)忽視這些問題之后果的那時候。”

Schneier認為，消費者通常不會愿意為了安全而花更多錢，但：“政府能強制物聯(lián)網(wǎng)裝置制造商遵守最低限度的安全標準，要求他們保障裝置的安全性，就算消費者不在乎;政府機關(guān)可以要求制造商負起責(zé)任…細節(jié)需要謹慎思考，但無論是哪一種方法，都應(yīng)該要提高裝置若不安全可能帶來的成本，讓廠商有花錢保障裝置安全性的動機。”

事實上，目前只有兩家廠商已經(jīng)取得第一版UL 2900網(wǎng)絡(luò)安全標準認證，此標準是UL在2016年4月發(fā)布;不過UL表示，還有更多產(chǎn)品目前正準備通過認證程序。

UL的安全性首席工程師Ken Modeste表示：“有部份產(chǎn)業(yè)已經(jīng)相當成熟，有專門的網(wǎng)絡(luò)安全團隊能快速反應(yīng);但其他廠商如創(chuàng)新消費性物聯(lián)網(wǎng)業(yè)者卻還不夠成熟，可能只有一個人在負責(zé)因應(yīng)安全性問題并尋找指導(dǎo)原則。”

在此同時，UL也將2900標準擴展至包括各種訪問控制、大樓自動化等裝置;目前有10家廠商正參與擬定UL的消費性物聯(lián)網(wǎng)最佳實作準則，以及物聯(lián)網(wǎng)網(wǎng)關(guān)規(guī)格細節(jié)，預(yù)期在近期可以公布。Modeste表示，UL認為建立安全性標準是一個長期性任務(wù)，需要花費許多年時間才能建立因應(yīng)大多數(shù)網(wǎng)絡(luò)安全風(fēng)險的框架，雖然不是萬靈丹，但能做為一個基礎(chǔ)。

而Modeste也指出：“對硬件安全性的需求變得越來越普遍，因此我們的目標是在明年中展開相關(guān)行動;我們在支付終端以及汽車應(yīng)用方面已經(jīng)有一些硬件計劃，目標是找到一個方法因應(yīng)所有的硬件。”

UL的硬件安全性計劃可能是嘗試建立一個針對裝置如何使用密碼以及密鑰來儲存、存取數(shù)據(jù)的認證程序;Modeste表示：“我們歡迎與相關(guān)領(lǐng)域的廠商們合作，”他并指出需要包括汽車、FPGA與微控制器等領(lǐng)域的硬件專家共襄盛舉。

MIPI發(fā)起成立物聯(lián)網(wǎng)安全性工作小組

MIPI Alliance最近公開呼吁業(yè)界廠商加入一個新的安全性工作小組，目前小組成員已經(jīng)包括Qualcomm、Robert Bosch、STMicroelectronics與Synopsys等大廠。

該工作小組的目標是在今年底之前，開發(fā)一個概述布署MIPI互連之安全性目標與威脅模式的框架;正在探索的領(lǐng)域包括端點身分識別(endpoint identity)、感測與生物特征數(shù)據(jù)，以及針對汽車、可穿戴裝置與銷售終端裝置等產(chǎn)品的受保護內(nèi)容。

MIPI之安全性工作小組主席Enrico Carrieri接受EE Times電子郵件采訪時表示，該小組并不打算著墨諸如加密算法等規(guī)格，因為不同市場都有不同的、相互競爭的需求;小組的工作成果將會與現(xiàn)有MIPI兼容性測試整合。

除了MIPI之外還有許多單位在嘗試推動物聯(lián)網(wǎng)安全性，如美國國家標準技術(shù)研究所(National Institute for Standards and Technology)正在與產(chǎn)業(yè)顧問合作，在在線教育工程師如何采用ISO/IEC 27002/27019、NIST IR 7628與IEC 62443-3-3等標準。

在英國，一場于2015年5月舉行的物聯(lián)網(wǎng)安全性高峰會上，研究人員破解了Enigma密碼機并協(xié)助成立了物聯(lián)網(wǎng)安全性基金會(IoT Security Foundation，IoTSF);目前該組織成員包括ARM、華為(Huawei)、IBM、Infineon、Intel、NXP與Vodaphone等大廠，并與來自南美、澳洲等地的專業(yè)人員連結(jié)。

IoTSF的目標是成為最佳實踐的信息交換中心，能提供成員簡易、快速使用并經(jīng)常指向外部資源;該組織在去年12月發(fā)布了第一套最佳實踐準則，并正在探索如何與UL、TUV Rheinland等機構(gòu)合作建立認證程序的方法。

另一個IoTSF的工作小組正在嘗試定義自我認證標準，還有其他人正在打造物聯(lián)網(wǎng)安全性的輪廓，并尋求補救現(xiàn)有裝置以及在發(fā)現(xiàn)漏洞時提出報告的方法;有一位小組領(lǐng)導(dǎo)人最近在EE Times美國版網(wǎng)站上留言，表示：“物聯(lián)網(wǎng)安全性是一個邪惡的挑戰(zhàn)，沒有通用的解決方案而且是比純粹技術(shù)性需求更廣大的問題。”

此外如筆者先前的文章所提到，Cloud Security Alliance有一個物聯(lián)網(wǎng)工作小組正在定義最佳實踐，不過看來并沒有建立認證程序的計劃;工業(yè)因特網(wǎng)聯(lián)盟(Industrial Internet Consortium)則于去年發(fā)表了一套安全性框架，但不著墨消費性物聯(lián)網(wǎng)領(lǐng)域。

Online Trust Alliance已經(jīng)發(fā)表第二版的物聯(lián)網(wǎng)信任框架(IoT Trust Framework);在今年稍早，AT&T、IBM、Nokia等廠商則是成立了 IoT Cybersecurity Alliance，是另一個關(guān)于物聯(lián)網(wǎng)安全性的資源。