物聯(lián)網(wǎng)危機(jī),掌握安全成唯一的道路
物聯(lián)網(wǎng)危機(jī),掌握安全成唯一的道路
來(lái)源:http://lzzrhvn.cn/
隨著科技的日新月異,實(shí)施聯(lián)網(wǎng)安全任務(wù)也變得更加復(fù)雜,電子產(chǎn)品除了最基本的機(jī)電防火安全即必須固守外,在必須同時(shí)確保最關(guān)鍵的軟體與網(wǎng)路安全下,另亦需維持一定的性能(品質(zhì))表現(xiàn);而在今日坊間充斥各式各樣行銷語(yǔ)言的情況下,企業(yè)在行銷商品時(shí)各說(shuō)各話,則突顯透過(guò)第三方單位執(zhí)行“行銷宣告檢測(cè)驗(yàn)證”的重要性,才可確保購(gòu)買者權(quán)益。
物聯(lián)網(wǎng)裝置種類繁多,唯有取得獲政府認(rèn)可的第三方,才是站穩(wěn)市場(chǎng)的長(zhǎng)遠(yuǎn)之計(jì)。
上述的網(wǎng)路安全(Cybersecurity)、產(chǎn)品機(jī)電與防火安全(Safety)、性能/品質(zhì)(Performance/Quality)及行銷宣告檢測(cè)驗(yàn)證(MarkeTIng Claim VerificaTIon),再加之當(dāng)前市場(chǎng)正極力鼓吹的產(chǎn)品可持續(xù)性(Sustainability)與企業(yè)運(yùn)作(供應(yīng)鏈)透明度(Transparency),即是所謂的六大基石。
科技始終來(lái)自于人性 IoT的發(fā)展之路怎么走
大家對(duì)于科幻電影的場(chǎng)景肯定不陌生,人們對(duì)于未來(lái)世界的憧憬因此加速了智慧家庭的發(fā)展,而如今的科技真的能為大家完成夢(mèng)想嗎?
UL能源暨電力科技部事業(yè)發(fā)展經(jīng)理陳立閔指出,在所謂物聯(lián)網(wǎng)的時(shí)代,智慧家庭與智慧家電是主要核心?,F(xiàn)今常采用的智慧功能,其中“語(yǔ)音辨識(shí)”被視為第一步,如今許多智慧型手機(jī)已大量?jī)?nèi)建語(yǔ)音功能,我們得以透過(guò)語(yǔ)音辨識(shí)搜尋資料、使用地圖導(dǎo)航,更甚者可以直接進(jìn)行同步翻譯;接下來(lái)為“人臉辨識(shí)”,每個(gè)人獨(dú)一無(wú)二的生理特征,透過(guò)掃描辨識(shí),像是經(jīng)過(guò)眨眼、挑眉等較細(xì)微的臉部變化來(lái)下達(dá)指令,雖然此技術(shù)才剛剛起步,但其未來(lái)發(fā)展著實(shí)令人期待;第三步則是“動(dòng)作辨識(shí)”,透過(guò)不論是正面?zhèn)让娴闹w移動(dòng),智慧家電的感測(cè)系統(tǒng)便能夠判斷其動(dòng)作,因此在偵測(cè)后即能預(yù)測(cè)人類的下一步動(dòng)作并解讀其行為需求;最后的“行為辨識(shí)”,可望藉由行為模式的辨認(rèn)與累積,達(dá)到自我學(xué)習(xí)的目的,并可由人類某些行為或肢體語(yǔ)言來(lái)進(jìn)行偵測(cè)等。
無(wú)論何種可實(shí)現(xiàn)智慧景貌的功能,所有的設(shè)計(jì)初衷皆始于人性的需求。換言之,物聯(lián)網(wǎng)的蓬勃發(fā)展,被賦予可讓生活更聰明美好的智慧家電一一陪伴在每個(gè)人生活空間中絕非夢(mèng)事。
智慧家庭的發(fā)展之路被誰(shuí)擋住了
陳立閔認(rèn)為,雖然目前我們所見(jiàn)的智慧家庭產(chǎn)品似乎離真正的人工智慧都還有一段距離,但其實(shí)“動(dòng)作辨識(shí)”的某些技術(shù)已經(jīng)可以接近“行為辨識(shí)”的水平,只是其安全漏洞往往可能造成辨識(shí)錯(cuò)誤以及背后更大的安全隱憂。例如車輛電子與智慧化的需求,電腦和多功能媒體系統(tǒng)逐漸成為標(biāo)準(zhǔn)配備,原本在網(wǎng)際網(wǎng)路的駭客問(wèn)題也伴隨成為更急迫的挑戰(zhàn)。另外,竊取使用者的產(chǎn)品內(nèi)相關(guān)個(gè)人資料與敏感資料并不再是駭客唯一的破壞手法,透過(guò)網(wǎng)路漏洞綁架其操作系統(tǒng)或相關(guān)資料,像是鎖住手機(jī)、電腦或重要文件,進(jìn)而索取勒贖金的案例在全球亦層出不窮。
再進(jìn)一步觀察,其實(shí)并非設(shè)定有聯(lián)網(wǎng)功能的產(chǎn)品才會(huì)面臨網(wǎng)路的風(fēng)險(xiǎn),2009年在美國(guó)就曾經(jīng)發(fā)生無(wú)聯(lián)網(wǎng)功能的瓦斯?fàn)t因設(shè)計(jì)不當(dāng)導(dǎo)致遭PDA手機(jī)無(wú)預(yù)警啟動(dòng)的意外,該產(chǎn)品僅因受到手機(jī)鈴響時(shí)產(chǎn)生的電磁突波干擾即意外觸發(fā)點(diǎn)火的指令。由此見(jiàn)在透過(guò)其他相關(guān)的因素下,不難預(yù)見(jiàn)原本設(shè)有聯(lián)網(wǎng)功能產(chǎn)品的不安全疑慮將更形復(fù)雜。
如上所述,除了聯(lián)網(wǎng)的軟體安全以外,因軟體失誤而導(dǎo)致指令錯(cuò)誤而產(chǎn)生的裝置風(fēng)險(xiǎn)更讓人擔(dān)憂,其中一項(xiàng)就是行動(dòng)智慧裝置的充電安全。如前陣子備受關(guān)注的電動(dòng)平衡車在充電時(shí)意外起火造成災(zāi)情,引起美國(guó)政府莫大的關(guān)注,因此下令所有入境美國(guó)的電動(dòng)平衡車皆須通過(guò)UL的安全,如果使用智能控制充電裝置運(yùn)作時(shí)產(chǎn)生了網(wǎng)路安全問(wèn)題,其損害可能難以估計(jì)。
上述這些意外的發(fā)生皆是因?yàn)榇嬖谥话踩浻搀w和設(shè)定存在著漏洞,以下為網(wǎng)路安全相關(guān)網(wǎng)站列出的十大常見(jiàn)的網(wǎng)路風(fēng)險(xiǎn)可供參考:
? 不安全的網(wǎng)路介面 – 使用不安全的Wi-Fi便可能遭入侵
? 授權(quán)保護(hù)不足 – 密碼易遭破解
? 不安全網(wǎng)路服務(wù) – 偽裝的網(wǎng)路服務(wù)
? 資料傳遞加密不足 – 資料傳遞過(guò)程不夠隱密,容易被破解與濫用
? 隱私?jīng)]有得到保護(hù) – 隱私設(shè)定不足,文件檔案容易被竊取與破解
? 不安全的云端介面 – 云端系統(tǒng)本身的安全強(qiáng)度不足,成為衍生的新安全死角
? 安全設(shè)定本身不夠安全 – 環(huán)境本身的安全要求過(guò)低,無(wú)法達(dá)到防護(hù)的要求
? 不安全的軟體 – 一時(shí)貪便宜取得的免費(fèi)軟體可能潛藏破壞防護(hù)的漏洞
? 貧乏的實(shí)體安全防護(hù) – 軟體或許安全,實(shí)體防護(hù)不足也可透過(guò)電磁干擾破壞
覆蓋網(wǎng)路安全生態(tài)系的UL 2900系列標(biāo)準(zhǔn)
其實(shí)根據(jù)保險(xiǎn)業(yè)者統(tǒng)計(jì),網(wǎng)路風(fēng)險(xiǎn)事件當(dāng)中駭客所造成的占比并不如一般人想像的高,案例中統(tǒng)計(jì)有超過(guò)50%的意外源自于人為因素和系統(tǒng)漏洞。軟硬體設(shè)備皆沒(méi)有問(wèn)題的狀況下,風(fēng)險(xiǎn)的產(chǎn)生可能歸究于企業(yè)內(nèi)部疏于更新系統(tǒng)、或“內(nèi)神通外鬼”的情況…等??偠灾髽I(yè)在填補(bǔ)這些安全漏洞時(shí)往往會(huì)花費(fèi)比預(yù)期更高的成本。意識(shí)到網(wǎng)路安全漏洞不斷挑戰(zhàn)危險(xiǎn)層級(jí),美國(guó)白宮政府特別委托UL協(xié)同制定網(wǎng)路安全標(biāo)準(zhǔn) ── UL 2900系列標(biāo)準(zhǔn),其中包括鎖定軟體的UL 2900-1、針對(duì)硬體的UL 2900-2、以及分別聚焦組織與流程(執(zhí)行)的UL 2900-3與UL 2900-4等等四項(xiàng)各有專攻的服務(wù)。
其中值得一提的是,針對(duì)硬體所規(guī)范的UL 2900-2標(biāo)準(zhǔn)目前首推醫(yī)療設(shè)備(UL 2900-2-1)和工業(yè)控制系統(tǒng)(UL 2900-2-2),這是由于醫(yī)療物聯(lián)網(wǎng)與工業(yè)控制物聯(lián)網(wǎng)與傳統(tǒng)人聯(lián)網(wǎng)路最大的差別在于必須更加看重“分秒必爭(zhēng)”與“資料準(zhǔn)確”的環(huán)節(jié),如傳統(tǒng)的信用卡付費(fèi)若因系統(tǒng)錯(cuò)誤造成資料傳遞延遲,如在資料沒(méi)有被竊取的情況下其實(shí)不會(huì)帶來(lái)人身乃至國(guó)家的重大危害,但是對(duì)于醫(yī)療物聯(lián)網(wǎng)與工業(yè)控制物聯(lián)網(wǎng)的安全來(lái)說(shuō),“準(zhǔn)時(shí)與精確”絕對(duì)是無(wú)法忽視的關(guān)鍵因素。
全面癱瘓電廠 手術(shù)臺(tái)也可能變行刑臺(tái)
舉例來(lái)說(shuō),攻擊工業(yè)控制物聯(lián)網(wǎng)的時(shí)候,可以透過(guò)讓門鎖系統(tǒng)拉長(zhǎng)運(yùn)算時(shí)間,無(wú)法及時(shí)執(zhí)行指令,便可趁機(jī)潛入竊取資料;也可以透過(guò)癱瘓系統(tǒng)達(dá)到目的,例如可以在攻擊電廠的時(shí)候提高電網(wǎng)系統(tǒng)的資訊流量,使得系統(tǒng)可能必須耗費(fèi)過(guò)多的軟硬體資源進(jìn)行計(jì)算、運(yùn)作與執(zhí)行,導(dǎo)致節(jié)點(diǎn)與節(jié)點(diǎn)的失聯(lián)或是網(wǎng)路資源的過(guò)載,系統(tǒng)有可能因此進(jìn)入自我防護(hù)的模式,進(jìn)而導(dǎo)致電網(wǎng)的局部或者全面癱瘓。
在科技發(fā)達(dá)的今日,許多醫(yī)療設(shè)備皆須透過(guò)網(wǎng)路傳遞資訊并即時(shí)做出調(diào)整,而治療過(guò)程中除了“時(shí)間”外,精確度也很重要,因此醫(yī)療物聯(lián)網(wǎng)更是駭客眼中的一塊大餅。醫(yī)療物聯(lián)網(wǎng)與傳統(tǒng)網(wǎng)路駭客事件最大的差別在于立即性的生命安危。像日前美國(guó)便發(fā)生駭客入侵手術(shù)室,控制手術(shù)室儀器,若未能及時(shí)支付贖金,所有儀器都將無(wú)法運(yùn)作,而因?yàn)樨P(guān)病患的性命,即不得不就范。鑒于類似事件層出不窮且日益猖獗,因此美國(guó)食品藥物管理局(FDA)已于官方網(wǎng)頁(yè)宣布,電子化的醫(yī)療器材的現(xiàn)在必須增加網(wǎng)路安全的風(fēng)險(xiǎn)評(píng)估。
設(shè)備可靠了,那人可靠嗎?
在設(shè)備都通過(guò)安全后,最后就是管理層面與實(shí)行的把關(guān)。UL 2900-3便是針對(duì)公司與組織的架構(gòu)進(jìn)行安全,避免“內(nèi)神通外鬼”或者人機(jī)互動(dòng)的系統(tǒng)漏洞,譬如要求企業(yè)是否有嚴(yán)謹(jǐn)?shù)拈T禁系統(tǒng)與影像紀(jì)錄,并掌握人員的動(dòng)向,或者避免重要機(jī)密資訊安全流出,采取電腦活動(dòng)紀(jì)錄的監(jiān)控措施,以確保重要資訊不會(huì)藉由網(wǎng)路或者人為攜帶外流。一旦企業(yè)的人機(jī)系統(tǒng)設(shè)計(jì)達(dá)到要求后,UL 2900-4便利用于制度運(yùn)行時(shí)的持續(xù)執(zhí)行與落實(shí)管理。綜合言之,UL 2900系列標(biāo)準(zhǔn)是一套從軟硬體、制度管理乃至于執(zhí)行落實(shí)都兼顧與把關(guān)的全面性標(biāo)準(zhǔn)。
標(biāo)準(zhǔn)設(shè)立出來(lái)之后 要怎么檢測(cè)
在標(biāo)準(zhǔn)都設(shè)立好之后,軟體安全就是第一關(guān),檢測(cè)主要分成三大方向:“系統(tǒng)弱點(diǎn)與破解”、“軟體弱點(diǎn)掃描”和“安全控制”。
首先是“系統(tǒng)弱點(diǎn)與破解”的測(cè)試,可透過(guò)指令模糊化,給予軟體一個(gè)模糊化的指令,觀察系統(tǒng)是否能做出正確反應(yīng);另由于軟體日漸龐大復(fù)雜,許多撰寫程式者時(shí)會(huì)利用公開(kāi)的軟體模組資料庫(kù),然而如果這些模組本身就存在著安全漏洞,組成系統(tǒng)后漏洞可能不會(huì)消失,因此UL在測(cè)試時(shí)便會(huì)用許多已知漏洞去檢測(cè)軟體系統(tǒng)的安全,另外也會(huì)再透過(guò)滲透測(cè)試與對(duì)如木馬程式的惡意程式測(cè)試,確認(rèn)軟體系統(tǒng)的基本安全防護(hù)。
完成了“系統(tǒng)弱點(diǎn)與破解”項(xiàng)目的檢測(cè)后,仍有可能因?yàn)檐涹w本身的弱點(diǎn)而遭到入侵,“軟體弱點(diǎn)掃描”也成了檢測(cè)的重要項(xiàng)目。包含測(cè)試軟體原始碼的安全性與和編譯過(guò)后的二進(jìn)位碼安全性等,確保不會(huì)因?yàn)檐涹w本身編碼問(wèn)題而造成安全的漏洞。。
最后,“安全控制”項(xiàng)目則檢測(cè)軟體的存取權(quán)限,確保軟體不會(huì)受到未經(jīng)正當(dāng)授權(quán)的存取或者更改;關(guān)鍵之一是登入或修改權(quán)限所需的密碼模組保存機(jī)制,另外連線管理以及更新管理安全也必須考量,譬如有利用“釣魚”的方式誘使使用者更新密碼,或者透過(guò)假更新版本往往造成安全越補(bǔ)越大洞。全世界有超過(guò)一百萬(wàn)株的各種各樣的電腦病毒,因此檢測(cè)系統(tǒng)漏洞時(shí)也耗時(shí)傷本,然而許多企業(yè)往往因成本不貲而作罷,但這樣的決定與相對(duì)面臨的風(fēng)險(xiǎn)下,其實(shí)是有待商榷的。
根據(jù)Gartner 的報(bào)告指出,目前物聯(lián)網(wǎng)仍處在“創(chuàng)新觸發(fā)(InnovaTIon Trigger)”的階段,許多產(chǎn)品尚未普及且技術(shù)尚未成熟,物聯(lián)網(wǎng)的商機(jī)發(fā)展必定推促許多相關(guān)企業(yè)的如雨后春筍般出現(xiàn),產(chǎn)業(yè)可能產(chǎn)生過(guò)度膨脹,而在日益競(jìng)爭(zhēng)的情況下,體質(zhì)不良或出現(xiàn)安全問(wèn)題的企業(yè)也將可能陸續(xù)在市場(chǎng)中被淘汰。為了讓企業(yè)能夠捱過(guò)過(guò)度競(jìng)爭(zhēng)的市場(chǎng)危機(jī),取得安全方為站穩(wěn)腳步的長(zhǎng)遠(yuǎn)之計(jì)。
相關(guān)資訊
- 民用建筑電氣設(shè)計(jì)標(biāo)準(zhǔn)GB51348-2019 照明供電與控制篇
- 軌道交通地鐵車站智能照明系統(tǒng)設(shè)計(jì)方案和功能
- ECS-7000MZM園區(qū)照明節(jié)能智慧用電系統(tǒng)
- SEMS-CC08 8路集中控制器 單雙燈調(diào)光控制器
- SA/S12.16.1燈光智能控制驅(qū)動(dòng)器SA/S 2.16.6.1
- ZC-LCS-RM04智能照明調(diào)光模塊ZC-GW100智能IP網(wǎng)關(guān)
最新產(chǎn)品
智能照明監(jiān)控管理系統(tǒng) 智慧路燈監(jiān)控終端
智能路燈控制器 GPRS經(jīng)緯度天文鐘
智能路燈監(jiān)控終端 電纜防盜監(jiān)測(cè) 電流電壓讀取
ZigBee 無(wú)線智能路燈解決方案 無(wú)線單燈控制器
同類文章排行
- 路燈三遙控制系統(tǒng)
- TLYZK-L6/20智能照明模塊TLYZK-L12/16
- CHK-L/30/4/2 4路智能照明控制器
- 浙江巨川GS-A820智能照明模塊
- 巨川電氣--高桿照明設(shè)施技術(shù)條件
- 酒店智能照明控制系統(tǒng)的應(yīng)用
- PT2007C 智能路燈控制器技術(shù)參數(shù)
- 巨川電氣智能照明模塊型號(hào)
- 巨川電氣PXPM-P100消防設(shè)備電源監(jiān)控主機(jī)系統(tǒng)
- ASF.RL.6.20AZSF開(kāi)關(guān)控制模塊ASF.TM.8定時(shí)器
最新資訊文章
- 民用建筑電氣設(shè)計(jì)標(biāo)準(zhǔn)GB51348-2019 照明供電與控制篇
- 軌道交通地鐵車站智能照明系統(tǒng)設(shè)計(jì)方案和功能
- ECS-7000MZM園區(qū)照明節(jié)能智慧用電系統(tǒng)
- SEMS-CC08 8路集中控制器 單雙燈調(diào)光控制器
- SA/S12.16.1燈光智能控制驅(qū)動(dòng)器SA/S 2.16.6.1
- ZC-LCS-RM04智能照明調(diào)光模塊ZC-GW100智能IP網(wǎng)關(guān)
- YG-YJ06路燈監(jiān)控終端YL-YJ01智能遠(yuǎn)程監(jiān)控系統(tǒng)
- WJ3005C無(wú)線智能照明控制器 路燈防盜終端
- DR620-LC-S照明開(kāi)關(guān)模塊說(shuō)明書DR920-LC-S
- DIN-8SW8 8路強(qiáng)電繼電器模塊DIN-1DIM4調(diào)光系統(tǒng)