999精品在线视频_婷婷社区五月天_午夜激情av在线_天天操天天摸天天干

物聯(lián)網(wǎng)有風(fēng)險(xiǎn)，入行需“安全”對(duì)于絕大多數(shù)人而言，當(dāng)今物聯(lián)網(wǎng)面臨的最大挑戰(zhàn)是安全性。根據(jù)英國DCMS的數(shù)據(jù)，超過45％的受訪者表示，安全性正在阻礙物聯(lián)網(wǎng)的普及。根據(jù)其他分析，如果安全性更好，超過70％的客戶會(huì)增加物聯(lián)網(wǎng)產(chǎn)品的購買量。而現(xiàn)實(shí)是，目前只有4％的物聯(lián)網(wǎng)設(shè)備具有足夠的安全性來滿足當(dāng)今的基本要求，同時(shí)全球有超過350萬個(gè)網(wǎng)絡(luò)安全職位空缺……

物聯(lián)網(wǎng)巨大的市場中，有著無限的機(jī)會(huì)。

到2035年，將有1萬億臺(tái)設(shè)備聯(lián)網(wǎng)，對(duì)全球GDP產(chǎn)生5萬億美元的影響，可以想象到了那個(gè)時(shí)候，這將是一件多么令人興奮的事。而且物聯(lián)網(wǎng)具有逆轉(zhuǎn)或影響氣候變化、提高資源利用率的能力，并基本涵蓋了我們今天和將來工作方式，能夠更好地幫助疫情后的經(jīng)濟(jì)重建。

“當(dāng)然要實(shí)現(xiàn)這些，生態(tài)系統(tǒng)很重要。傳統(tǒng)生態(tài)系統(tǒng)中，一般包括具有產(chǎn)品設(shè)計(jì)能力的OEM、具有平臺(tái)的芯片合作伙伴、工具供應(yīng)商，以及為實(shí)現(xiàn)最終目標(biāo)而存在的各種應(yīng)用。但是這些舊關(guān)系正在改變，新關(guān)系正在形成。”11月5日，在ASPENCORE舉辦的第三屆“全球CEO峰會(huì)”上，IAR Systems公司旗下Secure Thingz創(chuàng)始人兼首席執(zhí)行官Haydn Povey分享了他對(duì)于物聯(lián)網(wǎng)時(shí)代風(fēng)險(xiǎn)和回報(bào)的看法。

Secure Thingz創(chuàng)始人兼首席執(zhí)行官，IAR Systems嵌入式安全解決方案部門總經(jīng)理Haydn Povey通過視頻分享主題演講

Haydn Povey是IAR Systems嵌入式安全解決方案部門的總經(jīng)理，同時(shí)還是物聯(lián)網(wǎng)安全基金會(huì)的創(chuàng)始成員——這是一個(gè)致力于物聯(lián)網(wǎng)安全的非政府組織。他曾在Arm擔(dān)任過10年的高級(jí)營銷和業(yè)務(wù)開發(fā)職務(wù)，期間負(fù)責(zé)公司在物聯(lián)網(wǎng)和M2M市場中的安全性戰(zhàn)略和產(chǎn)品路線圖，并領(lǐng)導(dǎo)了Cortex-M微處理器系列的開發(fā)和推介。

多年安全領(lǐng)域的經(jīng)驗(yàn)讓Haydn覺得，從芯片到云、標(biāo)識(shí)和預(yù)配、完備的供應(yīng)鏈、獨(dú)特定制和保護(hù)知識(shí)產(chǎn)權(quán)等能力，都是物聯(lián)網(wǎng)生態(tài)系統(tǒng)“新關(guān)系”快速發(fā)展的組成部分。

未來，公司高管將為網(wǎng)絡(luò)攻擊造成的損失負(fù)責(zé)

對(duì)于絕大多數(shù)人而言，當(dāng)今物聯(lián)網(wǎng)面臨的最大挑戰(zhàn)是安全性。根據(jù)英國DCMS的數(shù)據(jù)，超過45％的受訪者表示，安全性正在阻礙物聯(lián)網(wǎng)的普及。根據(jù)其他分析，如果安全性更好，超過70％的客戶會(huì)增加物聯(lián)網(wǎng)產(chǎn)品的購買量。

而現(xiàn)實(shí)是，目前只有4％的物聯(lián)網(wǎng)設(shè)備具有足夠的安全性來滿足當(dāng)今的基本要求，同時(shí)全球有超過350萬個(gè)網(wǎng)絡(luò)安全職位空缺。這個(gè)領(lǐng)域面臨的問題，確實(shí)需要通過使用工具來更好地解決，而不是簡單地說教。

另一個(gè)大問題是，誰將為應(yīng)對(duì)這些安全挑戰(zhàn)負(fù)責(zé)？傳統(tǒng)上，公司在面臨一些大問題時(shí)，承擔(dān)責(zé)任的往往是整個(gè)公司層面，但物聯(lián)網(wǎng)時(shí)代不一樣了。

據(jù)Gartner估計(jì)，到2024年，將有75％的CEO（或其他C級(jí)別高管）將對(duì)CPS（Cyber-Physical System，網(wǎng)絡(luò)物理系統(tǒng)）攻擊導(dǎo)致的系統(tǒng)事故承擔(dān)個(gè)人責(zé)任。以美國為例，聯(lián)邦調(diào)查局（FBI）、國家安全局（NSA）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）已經(jīng)增加了關(guān)鍵基礎(chǔ)設(shè)施相關(guān)系統(tǒng)威脅詳細(xì)信息的提供頻率，這類系統(tǒng)大多屬于私人企業(yè)。不久之后，CEO們將無法對(duì)網(wǎng)絡(luò)安全問題導(dǎo)致的公司損失裝傻，或者躲在保險(xiǎn)政策后面。

Gartner還預(yù)測，到2023年，網(wǎng)絡(luò)物理系統(tǒng)攻擊造成的的巨大財(cái)務(wù)影響將超過500億美元。即使不考慮人生命的實(shí)際價(jià)值，賠償、訴訟、保險(xiǎn)、監(jiān)管罰款帶來的成本和聲譽(yù)損失都將是巨大的。

“所以現(xiàn)在起，安全性將升級(jí)為大多數(shù)C級(jí)別高管的關(guān)注重點(diǎn)，并像GDPR（General Data Protection Regulation，一般數(shù)據(jù)保護(hù)條例）和隱私問題一樣被迅速納入待辦事項(xiàng)清單，并放在首位。”Haydn說到。

安全問題帶來的都是真金白銀的損失

安全性或安全帶來的問題，在整個(gè)產(chǎn)品生命周期中都具有現(xiàn)實(shí)影響，造成的都是真金白銀的損失、影響的都是企業(yè)賴以生存的業(yè)務(wù)，甚至醫(yī)院的網(wǎng)絡(luò)安全出問題還會(huì)讓患者喪命。Haydn舉了兩個(gè)例子：

2019年，挪威海德魯公司（Norsk Hydro）受到了網(wǎng)絡(luò)攻擊，據(jù)估計(jì)損失和恢復(fù)成本價(jià)值超過5200萬美元，位列2019年 “最費(fèi)錢的黑客攻擊”第二名。

在2020年9月，德國杜塞爾多夫大學(xué)醫(yī)院( University Hospital of Düsseldorf )遭到勒索軟件攻擊，導(dǎo)致手術(shù)系統(tǒng)崩潰。一名急診患者被迫轉(zhuǎn)移到更遠(yuǎn)的醫(yī)院治療，錯(cuò)過了最佳搶救時(shí)間不幸死亡。

Haydn表示，這些影響和攻擊正變得越來越真實(shí)，越來越普遍，必須通過安全技術(shù)來制止這些惡意軟件橫行。雖然采用安全技術(shù)防御的潛在成本、影響以及因此產(chǎn)生的開銷尚不明確，但提升安全性將切實(shí)地幫助到一些領(lǐng)域，例如知識(shí)產(chǎn)權(quán)（IP）保護(hù)和生產(chǎn)控制，同樣，在許多系統(tǒng)中快速登陸時(shí)能夠?qū)⒃O(shè)備直接連接到云，進(jìn)行安全身份認(rèn)證正變得非常重要。

雖然目前有各種立法、行業(yè)標(biāo)準(zhǔn)和認(rèn)證書規(guī)定了一些安全性的要求。立法方面目前正在進(jìn)行審查，即將生效，這對(duì)于整個(gè)行業(yè)的管控是具有真正威力的，并推動(dòng)整個(gè)行業(yè)的真正變革。

從知識(shí)產(chǎn)權(quán)盜竊造成的經(jīng)濟(jì)影響來看，據(jù)ECIPE（European Centre for International Political Economy，歐洲國際政治經(jīng)濟(jì)學(xué)中心）估算，知識(shí)產(chǎn)權(quán)盜竊每年光是對(duì)歐盟就有600億美元的經(jīng)濟(jì)影響。這個(gè)數(shù)字對(duì)現(xiàn)實(shí)世界經(jīng)濟(jì)的影響而言，令人難以置信，其結(jié)果可能會(huì)導(dǎo)致近30萬個(gè)工作崗位的流失。

此外，還有供應(yīng)鏈中的假冒、山寨產(chǎn)品和灰色交易問題。經(jīng)濟(jì)合作與發(fā)展組織（OECD）估計(jì)這是一個(gè)每年產(chǎn)值高達(dá)5000億美元的產(chǎn)業(yè)，幾乎是愛爾蘭和荷蘭GDP的總和。雖然其中電子產(chǎn)品數(shù)量上可能不占大頭，但肯定是價(jià)值最高的一類，這些假冒或山寨電子產(chǎn)品會(huì)影響我們整個(gè)行業(yè)。

“我們?cè)趺粗牢覀兊钠嚒w機(jī)和消費(fèi)電子產(chǎn)品里，用的都是什么器件呢？” Haydn說到，“因此，我們需要研究立法和標(biāo)準(zhǔn)的演變，以及作為一個(gè)行業(yè)，我們需要圍繞這一點(diǎn)做些什么，并為物聯(lián)網(wǎng)設(shè)計(jì)標(biāo)準(zhǔn)。”

世界各地積極立法，規(guī)范物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)

立法雖然在不斷發(fā)展，但這其實(shí)是由行業(yè)驅(qū)動(dòng)的，至少在消費(fèi)者領(lǐng)域自我監(jiān)管不可行，因?yàn)檫@個(gè)領(lǐng)域存在著傳統(tǒng)的競爭至上心態(tài)，或者說一切基于省錢或賺錢的目標(biāo)。這也讓普通消費(fèi)者往往不能理解安全性的優(yōu)缺點(diǎn)，因?yàn)閺S商在宣傳產(chǎn)品時(shí)很少以這個(gè)為賣點(diǎn)，一些物聯(lián)網(wǎng)小產(chǎn)品也壓根不具備足夠的安全性。

但一次次血的教訓(xùn)，讓深受網(wǎng)絡(luò)安全問題困擾的企業(yè)和利益相關(guān)者共同推動(dòng)建立更強(qiáng)大的法律框架，對(duì)物聯(lián)網(wǎng)產(chǎn)品安全提出具體要求。在美國加利福尼亞州和俄勒岡州，已經(jīng)對(duì)違反相關(guān)法律的企業(yè)實(shí)施了嚴(yán)厲懲罰；歐盟和英國這邊，新的EN 303645規(guī)范即將完成。

目前針對(duì)物聯(lián)網(wǎng)安全立法的指導(dǎo)原則，大都是輕描淡寫，雖然不夠嚴(yán)苛，但仍然具有影響，讓消費(fèi)者的選擇更有透明性、對(duì)比性，促進(jìn)他們對(duì)相關(guān)話題的交流和分享；在產(chǎn)品設(shè)計(jì)端則提供了彈性，讓系統(tǒng)在受到威脅時(shí)及時(shí)止損。

在美國，加利福尼亞州和俄勒岡州已經(jīng)在州一級(jí)立法，從今年1月1日開始銷售的任何設(shè)備，都應(yīng)滿足法律要求，以確保足夠的安全性

Haydn表示，“聯(lián)邦政府都沒有做到這一步（EETC編按：美國是聯(lián)邦制國家，各個(gè)州在聯(lián)邦內(nèi)部也被視為獨(dú)立于聯(lián)邦的國家主體，擁有很大的自主權(quán)，除了憲法規(guī)定的屬于聯(lián)邦的權(quán)力之外，其他的權(quán)力都是屬于州的）。但最近的大選可能會(huì)對(duì)此產(chǎn)生影響。”

早在9月，美國眾議院一致通過了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》（IoT Cybersecurity Improvement Act [H.R. 1668]），該法案要求國土安全部以及網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全機(jī)構(gòu)（DHS/CISA）提供一個(gè)法律框架，保障消費(fèi)者的網(wǎng)絡(luò)安全。負(fù)責(zé)建立標(biāo)準(zhǔn)的是美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST），目前標(biāo)準(zhǔn)是IR 8259。

歐盟和美國確實(shí)在朝著標(biāo)準(zhǔn)和立法邁進(jìn)，這也正在影響亞太地區(qū)和大洋洲—在奧運(yùn)會(huì)之前，日本內(nèi)務(wù)省就立法定義了物聯(lián)網(wǎng)設(shè)備；韓國KISA（互聯(lián)網(wǎng)和安全機(jī)構(gòu)）在2020年2月著手推動(dòng)物聯(lián)網(wǎng)服務(wù)規(guī)劃指南；中國方面，則由政府支持的工作組發(fā)布了官方標(biāo)準(zhǔn)；新加坡正式采用英國DCMS的指導(dǎo)原則；澳大利亞則采用“自愿性物聯(lián)網(wǎng)消費(fèi)者行為準(zhǔn)則”（Voluntary IoT Consumer Code of Practice）。

工業(yè)物聯(lián)網(wǎng)標(biāo)準(zhǔn)先行

其實(shí)在消費(fèi)類物聯(lián)網(wǎng)之外，我們看到工業(yè)領(lǐng)域的物聯(lián)網(wǎng)已經(jīng)實(shí)施了不少標(biāo)準(zhǔn)，其中最相關(guān)的是ISA/IEC 62443。該標(biāo)準(zhǔn)的有趣之處在于，它已成為全球政府采購決策中的強(qiáng)制性規(guī)定。如果你要布建一個(gè)控制系統(tǒng)或智慧城市系統(tǒng)，則相關(guān)產(chǎn)品必須符合該標(biāo)準(zhǔn)。“鑒于現(xiàn)在每個(gè)廠商的系統(tǒng)都不同，因此幾乎在使用前都必須適當(dāng)?shù)剡M(jìn)行編碼。有趣的是，這在多大程度上影響了需求？” Haydn說到。

ISA/IEC 62443不同要求的細(xì)目分類，點(diǎn)擊查看獲取詳細(xì)法規(guī)PDF版下載鏈接

法規(guī)中對(duì)于安全級(jí)別的定義，是最重要的部分，因?yàn)樗O(shè)定了安全操作的級(jí)別。對(duì)于大多數(shù)現(xiàn)代物聯(lián)網(wǎng)應(yīng)用要達(dá)到第2級(jí)或第3級(jí)安全。當(dāng)然，所有設(shè)備都至少需要具備1級(jí)的基本保護(hù)能力，以防止偶發(fā)的攻擊，但如果攻擊再強(qiáng)一些，例如心懷不滿的員工蓄意破壞，或惡意軟件機(jī)器人，這就需要上升到了2級(jí)安全標(biāo)準(zhǔn)了。

第3級(jí)開始，防護(hù)重點(diǎn)在于不受復(fù)雜手段、特殊技能和動(dòng)機(jī)的傷害。這一級(jí)最典型攻擊是勒索軟件，Haydn表示，“我們已經(jīng)見過很多非常高級(jí)的攻擊，比如前面提到針對(duì)挪威海德魯公司的攻擊。更高層次防護(hù)是復(fù)雜的，意味著需要擴(kuò)展更多資源和高度機(jī)動(dòng)性，因?yàn)樵?/span>4級(jí)安全定義中，最典型的就是針對(duì)國家層面的攻擊。需要再次強(qiáng)調(diào)的是，這確實(shí)包括應(yīng)對(duì)一些有組織的犯罪和高級(jí)勒索軟件攻擊。”

雖然這些東西聽起來像詹姆斯·邦德（James Bond，《007》男主角）或者杰森·伯恩（Jason Bourne，《諜影重重》男主角）等間諜小說里的東西，但確實(shí)是任何工業(yè)自動(dòng)化控制系統(tǒng)都必須要防御的攻擊，無論是在汽車平臺(tái)，還是在工業(yè)機(jī)器人或者是在街道照明上。

那么，如何在不增加成本和復(fù)雜性的情況下，通過設(shè)計(jì)確保安全?

安全設(shè)計(jì)應(yīng)從設(shè)計(jì)之初，貫徹到量產(chǎn)

回到消費(fèi)者物聯(lián)網(wǎng)的行業(yè)準(zhǔn)則，在所謂的“13個(gè)最佳準(zhǔn)則”（13 Best Practices）中，有三個(gè)最應(yīng)該關(guān)注。

沒有默認(rèn)密碼首當(dāng)其沖，因?yàn)檫@給了社交型攻擊機(jī)會(huì)。重置設(shè)備或許可以讓其功能恢復(fù)，但實(shí)際上也給了壞人得到密碼的機(jī)會(huì)。

“第二點(diǎn)是必須讓漏洞披露平臺(tái)運(yùn)轉(zhuǎn)起來，這對(duì)于確保所有客戶、用戶都意識(shí)到風(fēng)險(xiǎn)非常重要，這些風(fēng)險(xiǎn)將存在于任何設(shè)備中。” Haydn表示，“當(dāng)然，如果有了漏洞披露政策，還必須遵循第三點(diǎn)——保持軟件更新的能力。這類良好的安全習(xí)慣實(shí)施起來非常非常困難。”

從開發(fā)的角度來看，要在整個(gè)物聯(lián)網(wǎng)平臺(tái)上開發(fā)唯一身份實(shí)現(xiàn)起來非常困難。即每個(gè)設(shè)備都真正具有唯一的標(biāo)識(shí)，并且可以對(duì)其進(jìn)行唯一尋址、唯一更新和唯一管理，這重要到會(huì)影響整個(gè)開發(fā)和生產(chǎn)流程。

這需要新一代的工具，雖然目前已經(jīng)有一些方法可以實(shí)現(xiàn)上述功能，但是Haydn肯定地說，還有其他方法能使這一切變得更容易，不需要消費(fèi)者和開發(fā)人員去了解加密基元、根證書頒發(fā)機(jī)構(gòu)和中間證書這些晦澀難懂的東西，只需通過操作向?qū)Ш秃唵蔚膹?fù)選框就能實(shí)現(xiàn)支持。

但是作為開發(fā)人員要有一種思維上的轉(zhuǎn)變，那就是將安全性放在開發(fā)的首位，將其貫徹應(yīng)用于原型設(shè)計(jì)中，為將來的批量生產(chǎn)打好樣。一個(gè)硬件安全模塊，可確保安全地生成信任/身份根，并將其配置（編程）到目標(biāo)設(shè)備中。

如果在所有連接的設(shè)備中大規(guī)模進(jìn)行此操作，難度很大，但是現(xiàn)在這是強(qiáng)制性的。如何進(jìn)行大規(guī)模的安全配置和編程？Haydn認(rèn)為，它應(yīng)該非常簡單，就像包含一個(gè)用于密鑰生成的證書框架，以便將原型擴(kuò)展到大批量生產(chǎn)。

關(guān)于實(shí)施漏洞披露的政策，Haydn介紹了他們的漏洞披露平臺(tái)。該平臺(tái)允許任何開發(fā)人員注冊(cè)并披露漏洞信息，顯示受影響的軟件版本，并允許披露受到威脅的硬件產(chǎn)品。他認(rèn)為其實(shí)每個(gè)行業(yè)組織、OEM、芯片廠商、工具供應(yīng)商都必須制定自己的披露政策，必須有高管為此負(fù)責(zé)。同時(shí)必須與消費(fèi)者保持聯(lián)絡(luò)和良好的溝通。而不幸的是，目前整個(gè)行業(yè)在這一領(lǐng)域做得非常差。

交付生命周期管理方面，雖然有很多機(jī)制可以做到這一點(diǎn)，但基本上在每個(gè)層面上都可能存在折中。現(xiàn)實(shí)情況是，更新機(jī)制越小，系統(tǒng)引導(dǎo)過程越早，效果也會(huì)越好。這就是為什么要采用構(gòu)建健壯（robust）、安全的啟動(dòng)管理器的方法，它支持通過任何一種機(jī)制來加載內(nèi)存，這些機(jī)制可以保障簽名、加密、格式、版本和更新正確。

這也可以在操作系統(tǒng)中以及通過應(yīng)用程序完成，具體取決于許多級(jí)別。在大多數(shù)情況下，會(huì)有多個(gè)級(jí)別的更新。但從根本上講，必須假定任何復(fù)雜程度的軟件都將充滿妥協(xié)，而且我們必須能夠適當(dāng)?shù)剡M(jìn)行恢復(fù)、修復(fù)和更新，因此需要從一開始就具有安全性。

總結(jié)

“安全實(shí)際上是一種高價(jià)值的能力，這不是成本。”Haydn說到，“它可以保護(hù)您和您的客戶IP免受盜竊，保護(hù)用戶免受惡意軟件侵害。消費(fèi)者物聯(lián)網(wǎng)的安全性已經(jīng)受到法律約束，不幸的是，很少有公司準(zhǔn)備就緒。”

雖然工業(yè)物聯(lián)網(wǎng)已經(jīng)有了一些強(qiáng)大的安全標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)現(xiàn)在已成為許多組織的采購要求，但并不是所有你需要的組件都能符合要求。Haydn建議閱讀工業(yè)物聯(lián)網(wǎng)規(guī)范以及EN 303645標(biāo)準(zhǔn)，以更好地適應(yīng)不斷變化的經(jīng)濟(jì)形態(tài)。

“作為一家工具開發(fā)公司，我會(huì)盡量把物聯(lián)網(wǎng)潛在的風(fēng)險(xiǎn)說出來，但是用好了工具確實(shí)可以使安全性變得簡單。”Haydn總結(jié)道，“這應(yīng)該不難，您也不必是專家，只需按圖索驥來便可以將標(biāo)準(zhǔn)化的安全推廣到每個(gè)角落。我認(rèn)為物聯(lián)網(wǎng)時(shí)代有很多潛在的回報(bào)，也有很多風(fēng)險(xiǎn)，但是通過工具、芯片和應(yīng)用程序協(xié)同作用，我們就可以確保連接的安全。”