安全標(biāo)準(zhǔn)是消費(fèi)物聯(lián)網(wǎng)的必備條件

隨著越來(lái)越多的設(shè)備連接起來(lái)，物聯(lián)網(wǎng)（IoT）遭受安全威脅的可能性也在增加。這使得全球各地政府部門(mén)和監(jiān)管機(jī)構(gòu)都重視起來(lái)，開(kāi)始采取諸如網(wǎng)絡(luò)安全立法等行動(dòng)來(lái)保護(hù)消費(fèi)者，同時(shí)也激勵(lì)制造商優(yōu)先考慮網(wǎng)絡(luò)安全。最近，分析機(jī)構(gòu)Omdia的調(diào)研結(jié)果也證明了市場(chǎng)對(duì)物聯(lián)網(wǎng)設(shè)備安全性的剛需：有84%的消費(fèi)者表示，產(chǎn)品安全性是做出購(gòu)買(mǎi)決定時(shí)的重要考慮因素。

例如，2022年歐盟就發(fā)布了網(wǎng)絡(luò)安全相關(guān)的法案，旨在加強(qiáng)歐洲的網(wǎng)絡(luò)安全立法。歐盟委員會(huì)主席表示：“如果一切事物都是互聯(lián)的，那么一切都可能被黑客攻擊?！币簿褪钦f(shuō)，聯(lián)網(wǎng)設(shè)備越多，我們?cè)饺菀自馐芫W(wǎng)絡(luò)攻擊?？紤]到物聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)的廣泛性，這無(wú)疑讓人擔(dān)憂。

新的立法旨在為所有聯(lián)網(wǎng)設(shè)備制定通用的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。對(duì)于已出臺(tái)的與物聯(lián)網(wǎng)設(shè)備相關(guān)的安全標(biāo)準(zhǔn)來(lái)說(shuō)，新立法將進(jìn)一步提供支持。

每當(dāng)新技術(shù)出現(xiàn)時(shí)，安全和保障立法當(dāng)然也必須跟上，任何推遲都可能使消費(fèi)者面臨更高的風(fēng)險(xiǎn)。例如，英國(guó)第一條高速公路于1958年開(kāi)通，但在發(fā)生了一系列致命車(chē)禍后，直到1965年才規(guī)定了限速。

同樣地，對(duì)于當(dāng)今的物聯(lián)網(wǎng)市場(chǎng)來(lái)說(shuō)，有必要加強(qiáng)相關(guān)的安全標(biāo)準(zhǔn)。這將降低消費(fèi)者及其財(cái)產(chǎn)因惡意黑客攻擊或網(wǎng)絡(luò)犯罪活動(dòng)而面臨的威脅。

安全問(wèn)題

大多數(shù)消費(fèi)者認(rèn)為，他們購(gòu)買(mǎi)的物聯(lián)網(wǎng)產(chǎn)品已經(jīng)內(nèi)置有安全功能，無(wú)需對(duì)現(xiàn)代家居中越來(lái)越常見(jiàn)的功能如語(yǔ)音助手、智能照明或安全攝像頭等進(jìn)行設(shè)置或后續(xù)配置。然而，事實(shí)未必如此。許多人認(rèn)為：既然沒(méi)必要擔(dān)心傳統(tǒng)的電視或冰箱的安全性，那么使用新款智能揚(yáng)聲器時(shí)，為什么要采取不同的行動(dòng)呢？

雖然行業(yè)聯(lián)盟和政府機(jī)構(gòu)已經(jīng)發(fā)布了各種指引和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，對(duì)最低安全級(jí)別做出了規(guī)定，但并非所有物聯(lián)網(wǎng)設(shè)備制造商和供應(yīng)商都執(zhí)行了這些標(biāo)準(zhǔn)。這就是為什么我們會(huì)聽(tīng)到智能家電、醫(yī)療設(shè)備和嬰兒監(jiān)控?cái)z像頭被黑客攻擊，人們的隱私被侵犯、數(shù)據(jù)被竊取這樣的事情時(shí)有發(fā)生。

由于物聯(lián)網(wǎng)行業(yè)在安全自律方面行動(dòng)不夠迅速，世界各地政府不得不介入，以確保消費(fèi)者權(quán)益得到充分保護(hù)。據(jù)研究人員估計(jì)，40.8%的智能家居中至少有一個(gè)設(shè)備易受攻擊，而這是2019年的數(shù)據(jù)，毫無(wú)疑問(wèn)，該數(shù)字還在繼續(xù)上升。 

立法進(jìn)行時(shí)

除了歐盟發(fā)布的網(wǎng)絡(luò)安全法案外，世界其他地區(qū)也先后頒布過(guò)多項(xiàng)保護(hù)網(wǎng)絡(luò)安全的法規(guī)或計(jì)劃，其中不乏針對(duì)消費(fèi)物聯(lián)網(wǎng)設(shè)備安全性的內(nèi)容，這可以使消費(fèi)者在購(gòu)物時(shí)更具信心。此類(lèi)網(wǎng)絡(luò)安全法案、計(jì)劃的發(fā)布帶來(lái)了一個(gè)充滿希望的開(kāi)端，但要解決所有必要的細(xì)節(jié)問(wèn)題仍有許多工作要做。

關(guān)于技術(shù)的立法可能是個(gè)復(fù)雜的過(guò)程，但關(guān)鍵是行業(yè)和消費(fèi)者都必須意識(shí)到物聯(lián)網(wǎng)安全和未來(lái)的監(jiān)管措施是息息相關(guān)的：

（1）默認(rèn)安全：對(duì)于政府來(lái)說(shuō)最需要進(jìn)行的重要改變之一是要求物聯(lián)網(wǎng)產(chǎn)品在上市時(shí)即保證安全。新的物聯(lián)網(wǎng)產(chǎn)品在開(kāi)箱時(shí)就應(yīng)具備安全使用功能。這也意味著，一旦消費(fèi)者將新的物聯(lián)網(wǎng)設(shè)備添加到其網(wǎng)絡(luò)中，該設(shè)備應(yīng)無(wú)需任何進(jìn)一步配置即可安全使用。先前，英國(guó)出臺(tái)的一部法案直接針對(duì)的就是那些出廠時(shí)帶有通用默認(rèn)密碼的產(chǎn)品。除了對(duì)設(shè)備提出這些規(guī)定的安全要求外，如不遵守該法案還將受到處罰。這將對(duì)消費(fèi)者產(chǎn)生真正的影響，因?yàn)樵谟?guó)，生產(chǎn)或銷(xiāo)售物聯(lián)網(wǎng)設(shè)備的任何公司如果不符合新標(biāo)準(zhǔn)，都將受到處罰，對(duì)于這些公司而言，這將是最基本的底線。

（2）威脅建模：物聯(lián)網(wǎng)設(shè)備制造商需要考慮產(chǎn)品在開(kāi)發(fā)、生產(chǎn)和使用過(guò)程中面臨的威脅和風(fēng)險(xiǎn)。這就需要進(jìn)行研究，以了解消費(fèi)者將如何操作產(chǎn)品、產(chǎn)品將處理什么樣的數(shù)據(jù)，以及最重要的是誰(shuí)可能會(huì)破壞這些數(shù)據(jù)。一旦企業(yè)了解到誰(shuí)最有可能是攻擊者，就可以設(shè)計(jì)出能夠阻止攻擊者的產(chǎn)品。

（3）安全事件的應(yīng)對(duì)和處理流程：企業(yè)必須證明其能夠有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件。他們必須具備可運(yùn)轉(zhuǎn)的安全事件響應(yīng)流程，以解決影響其運(yùn)營(yíng)的事件。同時(shí)，還應(yīng)具備產(chǎn)品安全事件響應(yīng)流程，以幫助消費(fèi)者解決與產(chǎn)品相關(guān)的安全事件。

（4）終身安全：如果企業(yè)開(kāi)發(fā)的產(chǎn)品部署周期較長(zhǎng)，則必須證明在這些產(chǎn)品的預(yù)期生命周期內(nèi)，它們的安全性能夠可靠地進(jìn)行更新/升級(jí)，以應(yīng)對(duì)可能出現(xiàn)的任何新威脅。

（5）安全運(yùn)營(yíng)：技術(shù)制造商必須在自己的運(yùn)營(yíng)中采取安全措施，以確保其生產(chǎn)的產(chǎn)品是安全可靠的。例如，如果制造商因疏忽或網(wǎng)絡(luò)安全受損或缺乏安全管理流程而不斷出現(xiàn)內(nèi)部安全漏洞，則有理由認(rèn)為其產(chǎn)品自身的安全性可能存在不足。

（6）供應(yīng)鏈合規(guī)性：企業(yè)必須證明其能夠有效管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，因?yàn)榫W(wǎng)絡(luò)安全風(fēng)險(xiǎn)會(huì)影響整個(gè)供應(yīng)鏈。隨著時(shí)間的推移以及威脅不斷地增加和變化，必須進(jìn)行定期問(wèn)責(zé)檢查，以監(jiān)控安全標(biāo)準(zhǔn)是否合規(guī)。

針對(duì)上述網(wǎng)絡(luò)安全方面的要求和措施，物聯(lián)網(wǎng)行業(yè)包括芯片和軟件供應(yīng)商、設(shè)備制造商、系統(tǒng)集成商等在內(nèi)的各類(lèi)廠商都在不斷提高安全意識(shí)，優(yōu)化安全功能，以便在未來(lái)的物聯(lián)網(wǎng)應(yīng)用實(shí)現(xiàn)中滿足相關(guān)法案、規(guī)范和標(biāo)準(zhǔn)的規(guī)定。

Secure Vault、定制化元件制造服務(wù)和第三方認(rèn)證全面提升物聯(lián)網(wǎng)安全

對(duì)于Silicon Labs（亦稱(chēng)“芯科科技”）而言，作為一家專(zhuān)注于物聯(lián)網(wǎng)的公司，我們很早就意識(shí)到安全性在物聯(lián)網(wǎng)系統(tǒng)中的重要性，并開(kāi)發(fā)了業(yè)界領(lǐng)先的Secure VaultTM安全技術(shù)，其中包含一整套先進(jìn)的安全功能，可防止本地和遠(yuǎn)程軟件攻擊，本地硬件攻擊，并已通過(guò)第三方實(shí)驗(yàn)室的滲透測(cè)試。憑借Secure Vault安全組件，芯科科技成為率先獲得PSA/SESIP最高級(jí)別3級(jí)認(rèn)證的芯片供應(yīng)商。此外，芯科科技的定制化元件制造服務(wù)（CPMS）和預(yù)先認(rèn)證的技術(shù)支持服務(wù)也可以幫助設(shè)備制造商進(jìn)一步確保其物聯(lián)網(wǎng)設(shè)備的安全。

人們能夠意識(shí)到物聯(lián)網(wǎng)安全立法至關(guān)重要且并非易事，不過(guò)這個(gè)目標(biāo)完全可以實(shí)現(xiàn)，而且毫無(wú)疑問(wèn)這一目標(biāo)必須要實(shí)現(xiàn)。對(duì)于業(yè)內(nèi)許多公司已經(jīng)采取的物聯(lián)網(wǎng)安全措施而言，全球多個(gè)地區(qū)發(fā)布的網(wǎng)絡(luò)安全相關(guān)法案和計(jì)劃無(wú)疑是一種鼓勵(lì)和認(rèn)可。如果行業(yè)能夠共享最佳實(shí)踐，安全技術(shù)專(zhuān)家就能夠在立法者起草法規(guī)時(shí)提供幫助，在保證消費(fèi)者數(shù)據(jù)安全的同時(shí)，讓物聯(lián)網(wǎng)技術(shù)在我們的日常生活中繼續(xù)蓬勃發(fā)展。