物聯(lián)網(wǎng)安全和通用標(biāo)準(zhǔn)框架
物聯(lián)網(wǎng)(IoT)已進(jìn)入家庭。隨著云技術(shù)不斷擴(kuò)大其市場(chǎng)范圍,基于云的應(yīng)用開始在消費(fèi)市場(chǎng)上引起轟動(dòng)。如今,可以購(gòu)買到許多具有IoT功能的移動(dòng)電話,臺(tái)式機(jī)和電視應(yīng)用。結(jié)合已經(jīng)使用的行業(yè)專用平臺(tái)的強(qiáng)勁市場(chǎng),很明顯,數(shù)字融合到日常生活的未來(lái)將來(lái)自物聯(lián)網(wǎng)的發(fā)展。
但是,基于物聯(lián)網(wǎng)的產(chǎn)品的開發(fā)和實(shí)施絕非無(wú)風(fēng)險(xiǎn)領(lǐng)域。許多風(fēng)險(xiǎn)比比皆是,特別是在安全性方面。使用物聯(lián)網(wǎng)設(shè)備的人越多,就需要有一個(gè)明確定義的認(rèn)證流程,以確保產(chǎn)品的質(zhì)量和監(jiān)督保護(hù)政策的到位。
有了強(qiáng)大的安全基礎(chǔ)設(shè)施,就可以防止黑客攻擊和其他形式的網(wǎng)絡(luò)犯罪。鑒于這些緊迫的問(wèn)題,物聯(lián)網(wǎng)產(chǎn)品的認(rèn)證過(guò)程必須是嚴(yán)密且高效的。
在每個(gè)行業(yè)中,制定標(biāo)準(zhǔn)和規(guī)范都很困難,因?yàn)檫@需要一套客觀的標(biāo)準(zhǔn)和強(qiáng)大的第三方干預(yù)。在物聯(lián)網(wǎng)中,安全框架特別具有挑戰(zhàn)性,因?yàn)楝F(xiàn)有的標(biāo)準(zhǔn)很少。
通用標(biāo)準(zhǔn)框架
用于實(shí)現(xiàn)安全認(rèn)證的通用標(biāo)準(zhǔn)框架已從傳統(tǒng)的IT安全保證中繼承而來(lái)。CC是用于驗(yàn)證IT安全性的國(guó)際標(biāo)準(zhǔn),盡管它是逐個(gè)案例定義的詳盡驗(yàn)證過(guò)程。共有七個(gè)安全保證級(jí)別。
在防火墻、交換機(jī)和路由器之類的傳統(tǒng)IT中,新產(chǎn)品要經(jīng)過(guò)通用標(biāo)準(zhǔn)(CC)評(píng)估。在CC下,企業(yè)可以列出安全目標(biāo)內(nèi)的安全功能要求(SFR)。由于每種產(chǎn)品的設(shè)計(jì)可以有所不同,并且總是在開發(fā)新產(chǎn)品,因此已經(jīng)為常見產(chǎn)品(例如防火墻系統(tǒng))創(chuàng)建了保護(hù)配置文件(PP)。
PP在產(chǎn)品質(zhì)量和安全性方面充當(dāng)基準(zhǔn)。這意味著,如果企業(yè)要向防火墻引入新的安全功能,則可以使用標(biāo)準(zhǔn)產(chǎn)品的PP來(lái)與他們的新產(chǎn)品進(jìn)行比較。一旦由第三方驗(yàn)證,證書將由各國(guó)政府頒發(fā)并獲得國(guó)際社會(huì)的認(rèn)可。
這是傳統(tǒng)的IT和云企業(yè)必須努力獲得任何新產(chǎn)品或新產(chǎn)品更新的安全認(rèn)證的框架。盡管這是一個(gè)繁瑣的系統(tǒng),但它確實(shí)提供了強(qiáng)大的第三方安全標(biāo)準(zhǔn)。
智能電視和CC框架
直到最近幾年,物聯(lián)網(wǎng)公司才成功地通過(guò)了CC框架。 2016年,三星為其智能電視實(shí)現(xiàn)了評(píng)估保證水平(EAL)1。然后在2017年4月,LG又邁出了一步,為其智能電視產(chǎn)品實(shí)現(xiàn)了EAL 2。該公司發(fā)布了一份研究報(bào)告,詳細(xì)介紹了其認(rèn)證流程,以下是兩個(gè)重要的要點(diǎn):
認(rèn)證流程
為了達(dá)到2級(jí)等級(jí),LG必須確保Smart TV后端能夠平穩(wěn)運(yùn)行并內(nèi)置強(qiáng)大的安全性。
步驟1:運(yùn)作能力
企業(yè)有責(zé)任提供充分的證據(jù)證明其產(chǎn)品能夠抵抗惡意軟件或外部攻擊。 LG通過(guò)一系列測(cè)試對(duì)Smart TV底層軟件進(jìn)行了測(cè)試,以顯示其運(yùn)行能力。
步驟2:安全性要求
在沒有用于智能電視的PP的情況下,LG基于類似的PP為內(nèi)核、移動(dòng)設(shè)備、數(shù)字版權(quán)管理(DRM)和智能電視的應(yīng)用創(chuàng)建了安全目標(biāo)。
LG達(dá)到的安全標(biāo)準(zhǔn)比迄今為止市場(chǎng)上出售的任何其他IoT產(chǎn)品都更加徹底。
總結(jié)
為了達(dá)到EAL 2的狀態(tài),LG設(shè)計(jì)了內(nèi)部CC就緒的IoT安全保證框架,并證明CC是提高IoT產(chǎn)品安全性和可靠性的最佳可用認(rèn)證流程之一。確實(shí),如果專門針對(duì)安全性實(shí)驗(yàn)室的支持而針對(duì)物聯(lián)網(wǎng)技術(shù)和商業(yè)約束量身定制,CC是全球許多國(guó)家公認(rèn)的唯一現(xiàn)有認(rèn)證框架,它提供靈活的保證級(jí)別,涵蓋了廣泛的IT / IoT產(chǎn)品類型,最后提供正式和客觀的結(jié)果。
盡管它仍然是一個(gè)相對(duì)昂貴且耗時(shí)的過(guò)程,但對(duì)于某些特定產(chǎn)品和市場(chǎng)來(lái)說(shuō),它仍然是最佳選擇,而LG已證明它在很大程度上具有強(qiáng)大的價(jià)值。
