为什么国际标准如此重要,以及卡巴斯基如何为物联网标准化做出贡献。
物联网 (IoT) 的动荡水域很快将变得更加畅通无阻——这要归功于最近通过的 ISO/IEC 30141 标准,该标准定义了物联网解决方案的参考架构。就我们而言,卡巴斯基一直积极参与制定物联网设备的信任原则,如 ISO/IEC TS 30149:2024 规范所述。让我们用这个例子来探讨我们为什么需要标准,物联网中可以标准化什么,以及为什么物联网设备及其制造商必须证明它们值得消费者信任。
为什么我们需要标准
如果您已经熟悉电子产品标准化的基本原则,请直接跳到下一节。
当您在度假时将智能手机的充电器插入酒店墙上的插座时,数十项国际标准都在无形中发挥作用。充电器按照 IEC 60335-1:2020 制造,该标准涉及家用电器的电气安全;插头形状受 IEC 60906-1:2009 及其衍生产品(如 CEE 7/16)的管辖;供电电压本身受 IEC 60038:2009+A1:2021 的管制。广泛的标准化极大地简化了我们的生活:世界上大多数国家都使用相同类型的电器、产品包装上的条形码以及重量、长度和速度单位。反过来,控制产品中有害物质、绝缘和接地家用电器、药物剂量和交通标志颜色的统一方法极大地提高了安全性并简化了商品的认证和测试。
国际电工委员会 (IEC) 将标准化的好处总结如下。
标准:
• 使不同产品能够互操作
• 用于测试和认证,以验证制造商是否履行了承诺
• 包含可纳入特定国家/地区法规的技术细节
• 简化国际贸易
目前有不少标准化机构 — 有些是地区性的,有些是工业性的,有些是技术领域特定的。除了上述 IEC 之外,还有互联网工程任务组 (IETF) — 负责制定互联网标准;美国国家标准协会 (ANSI) — 为美国市场发布标准;其中最具普遍性的是国际标准化组织 (ISO)。当这些机构的职责范围重叠时,它们通常会合作制定共同的建议。例如,电气工程标准通常以 ISO/IEC 为前缀。
请注意,制造商遵守任何标准都是自愿的。但是,个别国家可能会禁止销售不符合当地或国际标准的电器。
智能技术标准
标准不仅可以描述成品的特性,还可以描述如何制造它——涉及硬件和软件两个方面。因此,最近通过的 ISO/IEC 30141:2024 描述了与物联网相关的设备和服务的架构,这是标准组合中合乎逻辑的——也是早就应该加入的。
基于此规范的标准化解决了几个紧迫的问题:
• 无线传感器及其交互的集线器将使用相同的协议,以便来自不同供应商的设备可以在家庭和公司内部互操作。
• 物联网设备的标准化互联网通信将减少用户对制造商的依赖(供应商锁定),并消除服务器关闭使您的智能家居变成南瓜的情况——灰姑娘风格。
• 物联网解决方案开发的标准化方法将使使用更成熟的通信协议实现成为可能。此外,标准概述了强制性安全措施及其在设备硬件和软件方面的实施。所有这些都将减少存在明显安全问题的物联网设备数量(1、2、3、4)。
IEC 30141 的一个重要补充是 5 月份发布的 ISO/IEC TS 30149:2024 规范,该规范列出了物联网可信度的原则。该文件回答了如何证明物联网设备是安全的(而不仅仅是依赖供应商的说法)的问题——卡巴斯基帮助制定了这份文件。
可验证安全性的五个方面
该文件的关键概念是可信度,它与信任不同。信任基于假设,其中一些假设可能是真实的,并基于可观察的属性(“由金属制成”),而另一些假设可能是毫无根据的(“不包含秘密备份密码”)。根据规范,可信度是可验证的满足期望的能力。ISO/IEC TS 30149:2024 详细说明了信任、可信度和风险如何相互关联,并描述了可以证明物联网解决方案可信度的五个方面。它们是:
• 安全
• 保密性
• 隐私
• 弹性
• 可靠性
对于每个方面,都通过特定的系统设计和构建方法来确保可信度。该文件提供了构建物联网系统并确保对它们的信任的最佳实践模板——从信任相关违规的威胁评估方法到可信系统的架构解决方案(例如 MILS)。
对未来物联网的期望
仅靠采用标准并不能在一夜之间奇迹般地改善物联网安全性。旧产品已经不再符合标准,而对于新产品,符合标准需要成为国家和国际监管机构的要求。制造商将需要投入大量时间来开发符合这些标准的新产品。话虽如此,几年后,我们可以期待工业和消费物联网设备的安全性得到显著改善。这些措施应包括简单而有效的措施——例如安全的默认设置和较长的预定义更新交付期。更复杂但关键的改进应包括广泛采用安全设计方法,以及标准化、公开验证的通信协议,以降低产品的脆弱性。有了这些,专家将能够更轻松地分析特定产品的安全性,这要归功于记录更完善的系统和协议架构。最终目标是:消费者确信他们购买的物联网设备在整个生命周期内都是安全、可靠的,并且可以抵御威胁(包括物理威胁和网络威胁)。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...