2015年3月11日下午,为期两天的Green Lighting 2015中国(上海)国际半导体照明应用技术论坛在上海虹桥金古源豪生大酒店隆重召开,来自海内外专家学者、行业精英及政府主管部门、设计院所、产业研究机构及行业性组织;LED照明中上游企业高管、研发人员代表;照明应用企业高管及相关配套企业代表;工程商、经销代理商代表;终端用户单位代表等国内外知名企业高管齐聚论坛,共同畅谈“新常态下半导体照明的价值提升于创新应用”。
会上,来自德凯质量认证(上海)有限公司战略组合发展与创新全球总监Beat Kreuter先生与各位代表分享了《智能照明网络安全的新挑战》主题报告。
德凯质量认证(上海)有限公司战略组合发展与创新全球总监Beat Kreuter先生做主题发言
Beat Kreuter先生表示,我们今天要讨论智能照明的问题,就要谈论网络安全问题。智能是什么意思呢?智能首先意味着这些产品不仅仅提供单纯的照明,同时也提供其他的功能。比如说这里面展示了在LED里面内置的音响,里面内置的摄象头,同时你可以使用LED的灯泡在交流和沟通上面。所以LED不仅仅是一个光源的提供者,同时也是这个交流和沟通的工具,同时也意味着在灯泡的内部提供了智能方案。
因为LED里面内置芯片,这个就引出了今天的话题,网络安全。在今天,一种新兴的照明用于家庭,同时也应用工业和商业,不仅仅是提供光源,也有安全功能。这里面有一点,他们相互之间是联系的,他们可能是通过互联网,也就是物联网来进行联系。同时也意味着这些设备是所有人开放的。
但是从智能照明这些动因不一样,黑客之所以要发起攻击,比如说有时候是想要吓吓你,或者有时候想要窃取密码。另外有时候他们是恶作剧,是建立自己黑客的品牌。另外一方面,他可能在内部装一些摄象头一样,他可能做更下一步跟踪。
我们看一下物联网时代十大威胁,1. 不安全的网页界面;2. 不充足的认证;3. 不安全的网络服务4. 缺乏传输加密;5. 隐私问题;6. 不安全的云界面;7. 不安全的移动端界面;8. 不充足的安全配置;9. 不安全的软件;10. 物理安全性差。
面对这些隐藏的威胁,我们会怎么想呢?首先很多年以前出现这样的报告的时候,政府就开始引入安全法规。当出现这些法规之后,或者我们如何做到合规,合规之外更重要的是什么,我们如何满足所有和安全性有关的,无论是系统还是产品的要求,这里就需要建立标准,我要强调标准化。标准化在几乎所有的高科技的应用当中都扮演者至关重要的角色,无论是什么样的产品。这些工业标准,行业标准能够实现更好的全球贸易,更为自由的,或者能够克服一些壁垒,而且能够克服跨文化的壁垒和影响。
目前为止,我们主要的标准有哪些,对于信息网络安全,我们列出了其中一部分。首先这些标准会关注安全技术,安全要求包括通用的产品,与此同时的,这些标准也会具体的关注到安全性层面电子件,包括电子件的安全。
另外,这里还有一个安全纬度。第一个完整要求的组合,适用于智能照明的组合,无论是商用的还是工业使用,ISE26443是通用网络,也是网络和系统安全的要求ISE26443的标准。
第二是代表你的社群,第三是你的安全性必须要确保不会出现窃取的情况。第四是数据的保密性,第三是通讯的安全性,第六是信息完整性,第七是资源可获得性,最后一条隐私。所有的八条纬度都很重要。有时候一些制造商,比如说智能照明对他进行相应的测量,我要保证这8条安全相关的纬度都得到了满足。
分享一下前面提到的IEC62443的标准,把他架构列出来。这其中有一系列标准,他们分配描述的是不同的领域。首先有整体性的标准,这些整体性的或者比较一般性的标准,第一部分包括术语的讨论,包括其他的模型概念。中间部分包括政策和程序,其中包括管理体系和整个系统管理。第三部分是关注了整个通信系统,或者系统工程本身的安全性,包括技术的要求。第四部分会进入到一个比较细节组件设备层面的技术要求,比如说智能照明设备,智能照明产品。
目前,国际电工委员会--一致性评估组委会 WG 17(IEC CAB WG 17)正在积极地调研有关产品与流程的安全标准的一致性评估问题。智能应用、智能电网、医学器材及其他产品类别均在调研范围之列。
Beat Kreuter先生表示,对于不同类型的标准,要有分别适用于不同的供应链当中的企业。这样整个供应链当中,各个利益相关方要分别满足各自的要求。
为了向这些开发商支持提供,在这里向大家推介做一些安全性测试。其中包括,安全性风险评估、 安全性功能性测试、 绩效/误用测试、 稳健性/扰乱测试、渗透性测试、 研究报告、认证等等。这些数据库提供了大量信息,这些信息针对不同的系统提供不同的解决方案,这一的信息也可以帮助我们客户提高他们的产品。通过这些测试提升软件的质量。为了提升质量,80%是针对软件的测试,20%是针对硬件的测试,这是我要介绍的内容,非常谢谢。