當(dāng)前位置:首頁(yè) > 物聯(lián)網(wǎng) > 物聯(lián)網(wǎng)技術(shù)文庫(kù)
[導(dǎo)讀] 我們最近研究了一些來(lái)自家庭中智能或連網(wǎng)設(shè)備的安全威脅,以及我們可以采用的解決方案。這些威脅之所以出現(xiàn),是因?yàn)楫?dāng)我們購(gòu)買(mǎi)這些設(shè)備時(shí),它們通常是不安全的。解決方案似乎是顯而易見(jiàn)的——確保設(shè)備在到達(dá)我

我們最近研究了一些來(lái)自家庭中智能或連網(wǎng)設(shè)備的安全威脅,以及我們可以采用的解決方案。這些威脅之所以出現(xiàn),是因?yàn)楫?dāng)我們購(gòu)買(mǎi)這些設(shè)備時(shí),它們通常是不安全的。解決方案似乎是顯而易見(jiàn)的——確保設(shè)備在到達(dá)我們手里之前是安全的。

因此,需要立法。

我們將物聯(lián)網(wǎng)設(shè)備分為三大類(lèi):商業(yè)物聯(lián)網(wǎng)(物聯(lián)網(wǎng),作為商業(yè)IT的一部分使用)、工業(yè)物聯(lián)網(wǎng)(IIOT,作為工業(yè)運(yùn)營(yíng)的一部分使用)、消費(fèi)類(lèi)物聯(lián)網(wǎng)(我們?cè)诩依锸褂玫闹悄茉O(shè)備)。

好消息是,世界上許多標(biāo)準(zhǔn)組織都在致力于制定物聯(lián)網(wǎng)標(biāo)準(zhǔn)。壞消息是,只有兩個(gè)立法機(jī)構(gòu)在認(rèn)真試圖保護(hù)消費(fèi)者的物聯(lián)網(wǎng)安全,他們是加利福尼亞州和英國(guó)。

時(shí)任加州州長(zhǎng)杰里·布朗于2018年9月簽署了一項(xiàng)網(wǎng)絡(luò)安全法案,即連網(wǎng)設(shè)備安全法案(嚴(yán)格來(lái)說(shuō),是SB327),它將于2020年1月生效。但是,盡管該法案對(duì)密碼的要求受到了贊揚(yáng),但該法案的其他部分被認(rèn)為是薄弱的。

法案要求每個(gè)生產(chǎn)的設(shè)備都有唯一的密碼,并且要求用戶(hù)在首次獲得設(shè)備訪問(wèn)權(quán)限之前生成新的身份驗(yàn)證方法。此外,對(duì)“合理”和“適當(dāng)”安全特性的要求被認(rèn)為實(shí)際上毫無(wú)意義,因?yàn)?u>制造商可能不知道這兩個(gè)詞的真正含義。

計(jì)劃中的英國(guó)立法

這只是計(jì)劃中的英國(guó)立法。如果可行,它將提高英國(guó)及其他地區(qū)智能設(shè)備的安全性。此外,如果可行的話,它還可以為其他國(guó)家的類(lèi)似立法提供一個(gè)藍(lán)圖,就像歐盟的一般數(shù)據(jù)保護(hù)條例(GDPR)正在為新的隱私立法提供全球藍(lán)圖一樣。

在本文中,我們將研究擬議中的立法,并考慮其是否有效。

立法

英國(guó)有傳統(tǒng)的商業(yè)立法方法。它首先要求自愿遵守可接受的行為準(zhǔn)則,通常會(huì)明確警告說(shuō),如果不自愿采取行動(dòng),立法將使其成為強(qiáng)制性的。

2018年10月,數(shù)字、文化、媒體和體育部(DCMS)發(fā)布了《消費(fèi)類(lèi)物聯(lián)網(wǎng)設(shè)備行為安全準(zhǔn)則》。它包括13條獨(dú)立的建議,以確保智能設(shè)備的安全性,從沒(méi)有默認(rèn)密碼到漏洞披露策略,以及方便消費(fèi)者刪除個(gè)人數(shù)據(jù)等。

這些建議的目的是針對(duì)結(jié)果的,而不是規(guī)定性的——它們描述了應(yīng)該實(shí)現(xiàn)什么,但沒(méi)有描述應(yīng)該如何實(shí)現(xiàn)。但是,它們比加利福尼亞州立法的要求更為明確。

制造商在很大程度上忽視了英國(guó)的自愿行為準(zhǔn)則。在商業(yè)上,如果不需要,他們就不會(huì)做。今年5月,英國(guó)政府開(kāi)始從自愿向強(qiáng)制過(guò)渡。DCMS就政府關(guān)于消費(fèi)者物聯(lián)網(wǎng)安全的監(jiān)管建議發(fā)布了一份咨詢(xún)意見(jiàn)。

政府仍在緩慢推進(jìn),但毫無(wú)疑問(wèn)要規(guī)范向家庭銷(xiāo)售智能設(shè)備的意圖。提議遵守行為守則,從前3項(xiàng)開(kāi)始,分階段引入所有13項(xiàng)要求。這些是:

1、所有物聯(lián)網(wǎng)設(shè)備都應(yīng)該有唯一的密碼,并且不能重置為任何通用出廠默認(rèn)值。

2、制造商應(yīng)提供公共聯(lián)絡(luò)方式,作為漏洞披露政策的一部分,以便安全研究人員和其他人能夠報(bào)告問(wèn)題。

3、制造商將明確說(shuō)明產(chǎn)品接收安全更新的最短時(shí)間。

磋商,不是是否應(yīng)該執(zhí)行這項(xiàng)法律,而是應(yīng)該如何執(zhí)行。

在這里,英國(guó)面臨著所有提議監(jiān)管技術(shù)的相同問(wèn)題——如何在不妨礙產(chǎn)品創(chuàng)新和商業(yè)運(yùn)營(yíng)效率的情況下做到這一點(diǎn)?

英國(guó)政府說(shuō):“我們意識(shí)到抑制創(chuàng)新并對(duì)各種類(lèi)型制造商帶來(lái)沉重負(fù)擔(dān)的風(fēng)險(xiǎn),這就是為什么我們一直致力于根據(jù)《行為準(zhǔn)則》的前3大準(zhǔn)則,來(lái)定義基本安全的原因所在”。(來(lái)自物聯(lián)之家網(wǎng))事實(shí)上,監(jiān)管與創(chuàng)新是一種不可調(diào)和的矛盾。

但還有一個(gè)問(wèn)題需要解決:如何對(duì)海外制造商實(shí)施國(guó)家監(jiān)管?最直接的答案是,不能這樣做。因此,政府正在對(duì)英國(guó)經(jīng)銷(xiāo)商實(shí)施監(jiān)管而不是對(duì)外國(guó)制造商。

實(shí)施

目前爭(zhēng)議的焦點(diǎn)是應(yīng)采用三種實(shí)施方案中的哪一種。它們都是從制造商的產(chǎn)品安全標(biāo)簽開(kāi)始,因?yàn)榱⒎ń乖谟?guó)銷(xiāo)售沒(méi)有制造商安全標(biāo)簽的產(chǎn)品。

三種實(shí)施方案是:

選項(xiàng)一:強(qiáng)制經(jīng)銷(xiāo)商只銷(xiāo)售帶有物聯(lián)網(wǎng)安全標(biāo)簽的消費(fèi)類(lèi)物聯(lián)網(wǎng)產(chǎn)品,制造商可以自行聲明并在其消費(fèi)類(lèi)物聯(lián)網(wǎng)產(chǎn)品上張貼安全標(biāo)簽。

選項(xiàng)二:要求經(jīng)銷(xiāo)商僅銷(xiāo)售符合前3項(xiàng)要求的消費(fèi)類(lèi)物聯(lián)網(wǎng)產(chǎn)品,制造商有責(zé)任自行聲明其消費(fèi)類(lèi)物聯(lián)網(wǎng)產(chǎn)品符合《消費(fèi)類(lèi)物聯(lián)網(wǎng)設(shè)備行為安全準(zhǔn)則》前3項(xiàng)要求和ETSI TS 103 645標(biāo)準(zhǔn)。

選項(xiàng)三:要求經(jīng)銷(xiāo)商僅銷(xiāo)售帶有標(biāo)簽的消費(fèi)類(lèi)物聯(lián)網(wǎng)產(chǎn)品,該標(biāo)簽需證明符合《消費(fèi)類(lèi)物聯(lián)網(wǎng)設(shè)備行為安全準(zhǔn)則》的所有13項(xiàng)要求,制造商應(yīng)自行申報(bào),并確保標(biāo)簽出現(xiàn)在包裝上。

這就是問(wèn)題所在,所有這三個(gè)選項(xiàng)都要求制造商自行聲明安全性。換句話說(shuō),政府正在推行強(qiáng)制性的自愿立法。在其擬議的格式中,這項(xiàng)立法依靠市場(chǎng)力量來(lái)執(zhí)行。它不能強(qiáng)迫外國(guó)制造商制造安全設(shè)備,但它可以懲罰出售這些設(shè)備的英國(guó)經(jīng)銷(xiāo)商。它讓經(jīng)銷(xiāo)商有義務(wù)迫使制造商遵守法規(guī)。

如果我們從立法歷史中學(xué)到了什么,那就是制造商和經(jīng)銷(xiāo)商都將遵循阻力最小的要求。

政府的下一步行動(dòng)將決定這項(xiàng)立法的目的是成功還是失敗。例如,DMCS聲明,“我們打算在議會(huì)時(shí)間允許的情況下制定主要立法,讓DCMS事務(wù)大臣能夠?yàn)閺?qiáng)制性標(biāo)簽計(jì)劃設(shè)定要求和/或?yàn)樵谟?guó)銷(xiāo)售的設(shè)備設(shè)定安全要求,這些要求將在二級(jí)立法中確立”。

英國(guó)的二級(jí)立法不需要議會(huì)投票——只需要相關(guān)官員的同意即可。DCMS還指出,政府的意圖是強(qiáng)制執(zhí)行《消費(fèi)類(lèi)物聯(lián)網(wǎng)設(shè)備行為安全準(zhǔn)則》的所有13項(xiàng)內(nèi)容。(來(lái)源物聯(lián)之家網(wǎng))一旦這3項(xiàng)初步要求成為法律,從理論上講,政府有可能在接下來(lái)的10個(gè)月內(nèi),每月要求一項(xiàng)(剩余的10項(xiàng)準(zhǔn)則)成為法律,或者說(shuō),任何其他被認(rèn)為相關(guān)的要求。

英國(guó)立法會(huì)讓消費(fèi)者物聯(lián)網(wǎng)更加安全嗎?

有用嗎?可能有用,也可能沒(méi)用,至少?zèng)]有希望的那么有用。

有兩個(gè)根本困難。第一是制造商的自我安全聲明。有好主意的、新的、小的制造商將繼續(xù)搶在競(jìng)爭(zhēng)對(duì)手之前把他們的產(chǎn)品推向市場(chǎng),而匆忙推向市場(chǎng)意味著產(chǎn)品功能的安全性開(kāi)發(fā)不足。

不安全的產(chǎn)品仍然會(huì)進(jìn)入市場(chǎng)——如果10臺(tái)智能設(shè)備中有9臺(tái)不讓黑客進(jìn)入,而第10臺(tái)讓黑客進(jìn)入,那么對(duì)消費(fèi)者來(lái)說(shuō),意義何在?

第二個(gè)問(wèn)題是:由誰(shuí)來(lái)認(rèn)證產(chǎn)品是否符合要求?解決此類(lèi)問(wèn)題的標(biāo)準(zhǔn)方法是引入強(qiáng)制性第三方認(rèn)證,而這可以通過(guò)二級(jí)立法輕松完成。但是,由誰(shuí)來(lái)支付必要的產(chǎn)品測(cè)試費(fèi)用?

如果由制造商來(lái)付費(fèi),那么他們可能會(huì)放棄向英國(guó)銷(xiāo)售——英國(guó)只是龐大全球市場(chǎng)中的一個(gè)而已。

如果由經(jīng)銷(xiāo)商來(lái)付費(fèi),則有可能會(huì)將物聯(lián)網(wǎng)設(shè)備趕出市場(chǎng),從而讓智能家居設(shè)備在英國(guó)市場(chǎng)上短缺。而用戶(hù)可能會(huì)通過(guò)國(guó)外網(wǎng)站購(gòu)買(mǎi)不安全、未經(jīng)測(cè)試的外國(guó)產(chǎn)品。

政府顯然意識(shí)到了這些問(wèn)題,并希望在分階段實(shí)施的同時(shí)繁榮市場(chǎng),而不是一口氣要求太多。不過(guò),也只有時(shí)間才能證明它是否成功。

但現(xiàn)實(shí)是,這項(xiàng)立法本身并不能解決這些問(wèn)題。成功的最大希望將是,如果有足夠多的其他國(guó)家政府認(rèn)為這一做法有價(jià)值,并頒布了要求采取同樣措施的立法。(來(lái)自iothome)只有這樣,才能迫使所有制造商構(gòu)建安全的消費(fèi)類(lèi)物聯(lián)網(wǎng)設(shè)備。

與此同時(shí),我們所有人都有責(zé)任采取我們所能采取的預(yù)防措施,而不是假設(shè)我們購(gòu)買(mǎi)的設(shè)備是安全的。正如Avast和斯坦福大學(xué)的最新研究表明,我們發(fā)現(xiàn)物聯(lián)網(wǎng)世界中仍有很多地方?jīng)]有受到保護(hù)。
來(lái)源;物聯(lián)網(wǎng)之家

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專(zhuān)欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車(chē)的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車(chē)技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車(chē)工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車(chē)。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車(chē) 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶(hù)希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱(chēng),數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱(chēng)"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉