守護(hù)你的物聯(lián)網(wǎng)數(shù)據(jù)安全，什么是 PSA 認(rèn)證設(shè)備？

幾乎每隔一段時(shí)間就會(huì)聽(tīng)到安全漏洞事件。最近便有新聞報(bào)道某知名訂房網(wǎng)站疑遭黑客入侵，盜走訂房資料庫(kù)信息，以致消費(fèi)者受騙而蒙受損失。安全漏洞層出不窮的大背景下，信息安全的重要性與日俱增，不再只是個(gè)徒具形式的配角。

就像我們很少會(huì)咨詢(xún)沒(méi)有醫(yī)學(xué)執(zhí)照的醫(yī)生、給孩子買(mǎi)一個(gè)沒(méi)有通過(guò)安全標(biāo)準(zhǔn)的玩具，或者安裝未經(jīng)認(rèn)證的熱水器。隨著 5G 即將商用，物聯(lián)網(wǎng)應(yīng)用也將擴(kuò)展到各個(gè)產(chǎn)業(yè)，各種不同規(guī)模的公司都在設(shè)計(jì)、部署和嘗試管理成千上萬(wàn)個(gè)之前沒(méi)有通用標(biāo)準(zhǔn)、也沒(méi)有設(shè)置物聯(lián)網(wǎng)安全的物聯(lián)網(wǎng)設(shè)備。在沒(méi)有統(tǒng)一標(biāo)準(zhǔn)下，未來(lái)萬(wàn)物聯(lián)網(wǎng)的安全性實(shí)在是令人擔(dān)憂(yōu)。

物聯(lián)網(wǎng)安全挑戰(zhàn)日益嚴(yán)峻

隨著物聯(lián)網(wǎng)安全挑戰(zhàn)的增加，物聯(lián)網(wǎng)設(shè)備的部署越來(lái)越復(fù)雜，從自動(dòng)駕駛到網(wǎng)絡(luò)監(jiān)控再到智能電表，一切連網(wǎng)的事物都將受到安全威脅。將機(jī)密或資料儲(chǔ)存在云端，也不能完全免除受到惡意攻擊的可能性。在最壞的情況下，整個(gè)物聯(lián)網(wǎng)設(shè)備可能會(huì)受到損害，形成一個(gè)巨型僵尸網(wǎng)絡(luò)。

沒(méi)有公正機(jī)構(gòu)的監(jiān)管，幾乎沒(méi)有任何物聯(lián)網(wǎng)設(shè)備需要先經(jīng)過(guò)安全測(cè)試，以至于在沒(méi)有通過(guò)安全認(rèn)證就這樣上線(xiàn)了。那么制造商和企業(yè)要如何保護(hù)其物聯(lián)網(wǎng)部署，以及確保它們是安全的呢？

在2018年《Arm安全宣言》中，網(wǎng)絡(luò)安全公司Cybereason的聯(lián)合創(chuàng)始人Yossi Naar 指出：“很少公司在設(shè)計(jì)產(chǎn)品的初期就加入安全功能，大部分是在產(chǎn)品開(kāi)發(fā)末期才想到安全問(wèn)題，以至于需要?jiǎng)h除或是減少部分產(chǎn)品功能，甚至延遲產(chǎn)品發(fā)表時(shí)間才能達(dá)到安全性，這將影響到銷(xiāo)售的結(jié)果。 如果匆促上市的產(chǎn)品不安全，那么在這種情況下對(duì)大家都沒(méi)有好處。”

為什么會(huì)造成這樣的結(jié)果呢？原因很簡(jiǎn)單：產(chǎn)品開(kāi)發(fā)人員通常缺乏專(zhuān)業(yè)的安全知識(shí)，造成他們無(wú)法在設(shè)備上加入安全框架，以至于開(kāi)發(fā)出不安全的產(chǎn)品。因此這也加劇了人們對(duì)產(chǎn)品的安全性缺乏信任，并減緩了物聯(lián)網(wǎng)的普及。

認(rèn)證有助于建立信任

還好，當(dāng)前已有許多組織開(kāi)始推廣物聯(lián)網(wǎng)標(biāo)準(zhǔn)，同時(shí)監(jiān)管機(jī)構(gòu)也意識(shí)到了物聯(lián)網(wǎng)安全的必要性與市場(chǎng)需求。物聯(lián)網(wǎng)需求相當(dāng)碎片化且多樣化，需要一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。而只有通過(guò)業(yè)界認(rèn)可的認(rèn)證標(biāo)準(zhǔn)，才能幫助建立對(duì)物聯(lián)網(wǎng)設(shè)備的信任，并在現(xiàn)有和既有的設(shè)備中創(chuàng)造商業(yè)價(jià)值。

物聯(lián)網(wǎng)的愿景是部署大量連接的設(shè)備，這些設(shè)備都會(huì)產(chǎn)生海量的數(shù)據(jù)。對(duì)企業(yè)而言，不論在邊緣或是在云端產(chǎn)生的數(shù)據(jù)將會(huì)為企業(yè)帶來(lái)洞見(jiàn)，但前提是這些數(shù)據(jù)必須是可被信任的。唯有通過(guò)安全認(rèn)證的設(shè)備，所獲得的信息才是真正有價(jià)值、有保障的信息。

多級(jí)別的安全保證和穩(wěn)健性

想要達(dá)到萬(wàn)億設(shè)備互聯(lián)的未來(lái)，我們需要為物聯(lián)網(wǎng)開(kāi)發(fā)出一個(gè)值得信賴(lài)的框架和業(yè)界可以遵循的標(biāo)準(zhǔn)，來(lái)建立安全標(biāo)準(zhǔn)的一致性。這就是為什么 Arm 會(huì)發(fā)展出平臺(tái)安全架構(gòu)（PSA）– 這是一個(gè)獨(dú)立的框架，許多制造商已經(jīng)使用該框架，可為其物聯(lián)網(wǎng)解決方案加入令人信任的安全級(jí)別。

PSA 具有四個(gè)關(guān)鍵要素：分析、架構(gòu)、實(shí)施和認(rèn)證。 Arm 已發(fā)布了與 PSA 相關(guān)的規(guī)格、威脅模型和參考元件，同時(shí)也獲得了業(yè)界廣泛的支持與采用。

2019年年初，Arm 還宣布與 Brightsight 、中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室、Riscure 和 UL 等獨(dú)立安全測(cè)試實(shí)驗(yàn)室，以及咨詢(xún)機(jī)構(gòu) Prove＆Run 聯(lián)合推出了 PSA 認(rèn)證項(xiàng)目（PSA Certified），以支持基于平臺(tái)安全架構(gòu)（PSA）框架的安全物聯(lián)網(wǎng)解決方案的大規(guī)模部署。通過(guò)獨(dú)立安全測(cè)試，PSA 認(rèn)證項(xiàng)目可幫助物聯(lián)網(wǎng)解決方案開(kāi)發(fā)商和設(shè)備制造商對(duì)來(lái)自種類(lèi)繁多的物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)，建立安全性和真實(shí)性。 目前已經(jīng)有多家領(lǐng)先的芯片供應(yīng)商通過(guò)了 PSA 級(jí)別 1 的認(rèn)證。

通過(guò) PSA 認(rèn)證擴(kuò)展物聯(lián)網(wǎng)

多層次的安全認(rèn)證很重要，通過(guò) PSA 多級(jí)別的認(rèn)證，企業(yè)可以確保其產(chǎn)品的安全級(jí)別，得到安全認(rèn)證。未來(lái)大規(guī)模的部署可信賴(lài)的物聯(lián)網(wǎng)設(shè)備才有保障。

PSA 認(rèn)證的推出是 Arm 希望通過(guò)與安全實(shí)驗(yàn)室和咨詢(xún)公司合作，來(lái)解決物聯(lián)網(wǎng)設(shè)備缺乏安全認(rèn)證和碎片化問(wèn)題。此認(rèn)證提供多級(jí)別的安全認(rèn)證和功能 API 認(rèn)證，來(lái)滿(mǎn)足不同應(yīng)用場(chǎng)景的安全需求，減少碎片化，縮短上市時(shí)間，加速未來(lái)物聯(lián)網(wǎng)設(shè)備的部署。