物联网安全
29.Oct.2020
物联网设备符合网络安全标准已成定局 不只设备本身安全验证 开发流程认证也成近年焦点
近年,物联网安全议题越来越受关注,例如数字视频录像机(Digital Video Recorder, DVR)等连网设备不断遭黑客入侵攻击,越来越多的新兴物联网设备应用发展扩张,因此,导入网络信息安全标准来落实产品信息安全已成为近年备受关注的焦点。近期举办的AIoT峰会,主要针对产业网络信息安全标准作深入探讨,在会场上,专注于物联网信息安全合规解决方案的国内业者就此议题积极发表了深入的见解,业者们均从全球物联网设备信息安全标准导入与认验证的角度,进一步阐述发展现状。
目前,在物联网信息安全合规与认证的层面上,国内仍有许多企业还没做好充分准备。仲至信息CEO洪光钧先生指出,在他们多年的物联网信息安全服务经验中,发现50%的客户都是在临时抱佛脚的状况下,来咨询物联网信息安全认验证该如何做。其实前来咨询的客户,都是在产品已经完成设计规划的后期阶段,才开始意识到物联网信息安全认验证的重要性。
关于物联网信息安全认验证的发展现状,以及导入物联网信息安全标准前有哪些注意事项?洪光钧表示,首先,需了解物联网信息安全标准的分类,他总括为三大类,分别为:法规条例、品牌要求以及产业需求。
在法规条例方面,属于强制性的要求,如美国FIPS-140-3、英国CPA等;在品牌要求方面,主要是品牌商与业者要求各自的供应商,必须遵循其自订的供应商安全要求规范,如Amazon、Apple、Goolge、AT&T、Nokia及Siemins等;在产业需求方面,涵盖ISO(国际标准化组织International Standard Organization)与IECEE(国际电工委员会电工产品合格测试与认证组织)的标准,随着物联网产业发展逐渐成熟,现在此类标准的产业需求越来越大,其中包括信息通讯产品的ISO/IEC 15408,针对物联网设备的CTIA,以及工控产业的IEC 62443等。同时,还要注意产品的销售领域(如国家、区域、产业),以及销售对象(如政府、品牌与标书等)。
关于产业需求方面,洪光钧的表述引起了大家的重度关注,他强调,目前越来越多的第三方非营利组织已经发布了系列的物联网信息安全标准、认证制度及规章计划。这意味着,物联网设备符合网络信息安全标准,已成为重要的市场发展潮流趋势。
此外,洪光钧还举例表示,就物联网设备的安全认证而言,作为一个物联网产品从业者,若要将设备销往美国市场,且所销售的设备是具有无线网络功能的智慧家庭监控设备,那么就要注意遵循CTIA(美国无线通信和互联网协会)近年所推行的“物联网信息安全认证流程(IoT Cybersecurity Certification Program)”,这是可遵循的第三方标准,通过认证的时间大概是两三个月。
目前,在物联网信息安全合规与认证的层面上,国内仍有许多企业还没做好充分准备。仲至信息CEO洪光钧先生指出,在他们多年的物联网信息安全服务经验中,发现50%的客户都是在临时抱佛脚的状况下,来咨询物联网信息安全认验证该如何做。其实前来咨询的客户,都是在产品已经完成设计规划的后期阶段,才开始意识到物联网信息安全认验证的重要性。
关于物联网信息安全认验证的发展现状,以及导入物联网信息安全标准前有哪些注意事项?洪光钧表示,首先,需了解物联网信息安全标准的分类,他总括为三大类,分别为:法规条例、品牌要求以及产业需求。
在法规条例方面,属于强制性的要求,如美国FIPS-140-3、英国CPA等;在品牌要求方面,主要是品牌商与业者要求各自的供应商,必须遵循其自订的供应商安全要求规范,如Amazon、Apple、Goolge、AT&T、Nokia及Siemins等;在产业需求方面,涵盖ISO(国际标准化组织International Standard Organization)与IECEE(国际电工委员会电工产品合格测试与认证组织)的标准,随着物联网产业发展逐渐成熟,现在此类标准的产业需求越来越大,其中包括信息通讯产品的ISO/IEC 15408,针对物联网设备的CTIA,以及工控产业的IEC 62443等。同时,还要注意产品的销售领域(如国家、区域、产业),以及销售对象(如政府、品牌与标书等)。
关于产业需求方面,洪光钧的表述引起了大家的重度关注,他强调,目前越来越多的第三方非营利组织已经发布了系列的物联网信息安全标准、认证制度及规章计划。这意味着,物联网设备符合网络信息安全标准,已成为重要的市场发展潮流趋势。
此外,洪光钧还举例表示,就物联网设备的安全认证而言,作为一个物联网产品从业者,若要将设备销往美国市场,且所销售的设备是具有无线网络功能的智慧家庭监控设备,那么就要注意遵循CTIA(美国无线通信和互联网协会)近年所推行的“物联网信息安全认证流程(IoT Cybersecurity Certification Program)”,这是可遵循的第三方标准,通过认证的时间大概是两三个月。
未来将有更多的安全标准聚焦于开发流程,如工控标准已有相关的认验证规章制度
另一个我们关注的焦点,是在品牌要求方面,洪光钧还强调了一点,品牌商及厂商在产品安全的要求上,不仅要重视产品本身的安全,同时也要重视产品开发流程的安全要求,据他深入的观察,目前越来越多相关的网络安全标准都聚焦于开发流程,因此,各业者需要特别注意认证范围的确定。
对此,洪光钧先生进一步说明,就产品本身的安全性而言,认验证较单纯,若需求项目偏重于技术性方面,则安全开发流程的所涉及的范围较大,这时往往需要外部顾问公司协助,因为这可能牵扯到开发流程管理的方方面面,这甚为复杂。
洪光钧先生作为一位深耕于物联网安全的资深业者,他通过结合本身自主开发的工控系统所涉及的应用情境来做深入的阐述。该业者所创立的公司拥有完善的团队协作机制,团队职能包括开发、PM、RD、QA与售后支持等。值得一提的是,针对工控标准IEC 62443的相关认证,该业者的公司已经取得了几项认证资格,包含IEC-62443-2-4,以及3-3、4-1与4-2等。简单而言,2-4与3-3属于管理流程层面,4-1为开发流程层面,4-2则是针对产品本身安全的认证。然而此管理制度可根据成熟程度分成四个等级,他建议至少要达到2个层级以上,同时,由于这方面牵扯到内部管理措施,因此认证时间较长,取得证书所需时间大概为半年到一年。
纵观产业现状,洪光钧先生表示,对于IoT设备的业者或OEM、ODM厂商而言,最简单直接的应对之策就是,了解产品的销售对象、地区是否有强制性要求,或是客户是否有指定要求;不过,洪光钧指出,根据统计分析,目前大部分业者及厂商都没办法告诉制造商要取得什么认证,所以也无法及早与开发单位沟通。他同时感叹,若在认验证阶段发现缺失需要修正改善,这将会给取证业者带来很大的压力和挑战,经常导致取证的时间进度无法掌控。对于此类问题,业者应该注意并采取相应对策。
对此,洪光钧先生进一步说明,就产品本身的安全性而言,认验证较单纯,若需求项目偏重于技术性方面,则安全开发流程的所涉及的范围较大,这时往往需要外部顾问公司协助,因为这可能牵扯到开发流程管理的方方面面,这甚为复杂。
洪光钧先生作为一位深耕于物联网安全的资深业者,他通过结合本身自主开发的工控系统所涉及的应用情境来做深入的阐述。该业者所创立的公司拥有完善的团队协作机制,团队职能包括开发、PM、RD、QA与售后支持等。值得一提的是,针对工控标准IEC 62443的相关认证,该业者的公司已经取得了几项认证资格,包含IEC-62443-2-4,以及3-3、4-1与4-2等。简单而言,2-4与3-3属于管理流程层面,4-1为开发流程层面,4-2则是针对产品本身安全的认证。然而此管理制度可根据成熟程度分成四个等级,他建议至少要达到2个层级以上,同时,由于这方面牵扯到内部管理措施,因此认证时间较长,取得证书所需时间大概为半年到一年。
纵观产业现状,洪光钧先生表示,对于IoT设备的业者或OEM、ODM厂商而言,最简单直接的应对之策就是,了解产品的销售对象、地区是否有强制性要求,或是客户是否有指定要求;不过,洪光钧指出,根据统计分析,目前大部分业者及厂商都没办法告诉制造商要取得什么认证,所以也无法及早与开发单位沟通。他同时感叹,若在认验证阶段发现缺失需要修正改善,这将会给取证业者带来很大的压力和挑战,经常导致取证的时间进度无法掌控。对于此类问题,业者应该注意并采取相应对策。
快速掌握需求提升市场竞争力,顺应产业发展趋势推动收益增长
关于物联网产品网络信息安全标准,洪光钧强调,目前,物联网安全已演变成为产业发展的必要因素,很多欧美国际大厂都在积极推动此项工作,而国内很多企业都是欧美国家的供应商,因此我们必须要跟上国际发展的脚步。如果现在不想跟或跟不上,那么,之后这会变成一个基本门槛,无论你想进入哪个市场都必须要通过相关认验证,这也意味着,只有通过认证才有进入国际市场的资格,你的产品才有竞争优势。
针对物联网信息安全标准的导入与验证,洪光钧总结出五大注意事项,其中包括:了解物联网信息安全标准的分类、确定所需的安全标准、前期准备工作、导入或验证阶段的配合事项,以及取得商标和认证证书的好处。
最后,根据洪光钧多年的产业经验,他提出一点特别注意事项,很多客户虽然完成了前期的沟通、预算及时间进度规划,但在产品送到认验证机构时,却发现产品有缺失需要修正改善,这给客户的后续工作带来很大的障碍,因为修正与改善的时间进度根本没法掌控,很多客户需要耗费半年或一年时间来进行修正改善。因此,他建议,最好与开发单位建立有效且完善的沟通机制,以加强开发流程的安全,同时也应预留足够的时间修补产品缺失。
针对物联网信息安全标准的导入与验证,洪光钧总结出五大注意事项,其中包括:了解物联网信息安全标准的分类、确定所需的安全标准、前期准备工作、导入或验证阶段的配合事项,以及取得商标和认证证书的好处。
最后,根据洪光钧多年的产业经验,他提出一点特别注意事项,很多客户虽然完成了前期的沟通、预算及时间进度规划,但在产品送到认验证机构时,却发现产品有缺失需要修正改善,这给客户的后续工作带来很大的障碍,因为修正与改善的时间进度根本没法掌控,很多客户需要耗费半年或一年时间来进行修正改善。因此,他建议,最好与开发单位建立有效且完善的沟通机制,以加强开发流程的安全,同时也应预留足够的时间修补产品缺失。
对于物联网设备信息安全标准的导入与认验证,近年国内业者及制造商在此方面稍显欠缺,仲至信息总经理洪光钧先生指出,50%的客户都是临时抱佛脚,对此,他进一步述说物联网信息安全标准的分类并分享相关的成功经验。此外,他还表示,针对目前物联网信息安全的发展趋势,国内业者若能及时掌握取证需求,就能具备市场竞争优势。
