账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
物联网安全方兴未艾
台湾业者宜加速脚步

【作者: 姚嘉洋】2016年09月07日 星期三

浏览人次:【13919】


物联网这个议题的相关探讨,已经有相当长的一段时间,在近期,产业界兴起了对于「物联网安全」的讨论。我们都知道,物联网涵盖的范围之广,几近涵盖所有的科技产业应用,而考量到资讯的重要性,不论是个人或是企业,一旦被窃取,造成的损失可大可小,再加上苹果这两年,陆续推出指纹辨识与行动支付等功能,也让市场对于资讯安全的重视程度开始有所提升。


资讯与功能安全分类 成业界共识

综观整个产业的发展状况,大体上,诸多业者都同意,对于物联网安全可以分为「资讯安全」(Security)与「功能性安全」(Safety)两大面向来进行讨论,但即便如此,业者彼此之间的看法,仍然还是有些不同的地方。 UL能源暨电力科技部事业发展经理陈立闵从UL的角度切入谈到,或许有些业者认为,资讯安全与功能安全各自独立,市场的重视程度也有所不同,但UL的看法,则是资讯安全可被归类在功能安全的一环。


陈立闵解释,UL思考的是,在系统运作的情况下,如何定义「失效场景」,进一步思考发生的成因,透过风险程度或是造成伤害程度上的不同,来界定不同的安全等级,所以一旦系统的安全机制被攻破或是造成负面影响,对于系统的功能安全就是失效的成因之一。换言之,资讯安全与功能安全两者之间的关系密不可分。


陈立闵举例,当资讯(或是指令)传递出现延迟的情况,乍看之下,对于某些应用场景可能没什么太大的问题,但如果是在车用领域,光是「踩煞车」的行为,危险程度就很高了。陈立闵进一步剖析,从眼睛看到、脚踩煞车、踩下煞车后的讯号传递、再到煞车系统的指令执行,煞车系统如何判断煞车力道要有多大、感测系统同时也要侦测车辆与前方物体的距离,这些因素的总和才能避免碰撞情况的发生。若有资讯传递延迟的情况出现,就有可能造成乘客与驾驶生命安全的疑虑。


「试想一个情况,如果你怕家里被偷,所以加上比较多的门锁或是提升门锁的复杂度,那么带来的结果会是什么?」陈立闵问。



图1 : UL能源及电力科技部事业发展经理陈立闵(摄影:姚嘉洋)
图1 : UL能源及电力科技部事业发展经理陈立闵(摄影:姚嘉洋)

结果就是增加了开门的时间,对于使用者来说,就牺牲了便利性。


陈立闵直言,若将这样的概念放大到整个物联网的环境,这掐死了物联网的发展。考量到资讯传递能否及时,又要考虑到加解密等安全性的问题,对于物联网硬体就会是一大考验,进一步的说,若能带动物联网的硬体规格上能有所更新,才有办法同时应付资讯安全与使用便利性的应用场景。所以,基于这样的背景,陈立闵也说,市场出现了如LoRa或是SIGFOX这类以广域传输、资料量小,但传输速度相当快的作法,就是要骇客在还没渗透进网路之前,就能立即将资料传输完毕。



图2 : 若将汽车视为物联网的一环,其煞车系统若被骇客入侵,将是相当严重的安全问题。 (Source:forbes.com)
图2 : 若将汽车视为物联网的一环,其煞车系统若被骇客入侵,将是相当严重的安全问题。 (Source:forbes.com)

大方向已有共识 然细节仍有不同之处

不过,陈立闵透露,就目前UL与产业界接触的状况来看,产业界对于Security一词的认知或是定义,还是相当混乱。一般而言,「资讯安全」偏重的是资料是否会被窃取或是遭到窜改,而网路安全则是以网路层为依归,在这个领域也有自己的安全要求在。再者,网路安全也可以区分成「内网」与「外网」,但大部份的人的认知,也仅将网路安全停留在外网层面,对于内网并没有太多的讨论。陈立闵认为,或许物联网的Security一词,应该可用​​「Cyber​​ Security」会较为精确,但中文翻译如何翻得到位,就实务的讨论到进而解决问题,仍然会面临不少的挑战,产业界也没有达到一定的共识。


然而,对于资讯安全与功能安全,除了UL有其自己的看法外,其他业者也有各自的见解。


「在谈到物联网安全之前,早资通讯产业发展之时,对于所谓的资讯或是网路安全,产业界其实就已经有不少的探讨与著墨。」英飞凌智能卡与保密晶片业务事业处经理田沛灏说。


田沛灏表示,从英飞凌的角度切入,资讯安全与功能安全在概念上,有部份的重叠性在。顾名思义,资讯安全偏重个资与重要资讯的保护,而功能安全则是确保功能执行上是否稳定。概念上,一般资讯传递的过程中,会透过终端装罝进行资讯传输到后端的伺服器上进行储存或是分析,所以可以拆解为:终端装置、传输过程,以及伺服器。除了传输过程会被归类在资讯安全外,终端装置与伺服器皆被英飞凌归类在功能安全中。



图3 : 英飞凌智能卡与保密晶片业务事业处经理田沛灏(摄影:姚嘉洋)
图3 : 英飞凌智能卡与保密晶片业务事业处经理田沛灏(摄影:姚嘉洋)

而明导国际嵌入式系统大中华暨南亚区区域经理徐志亮则是认为,功能安全主要是让装置本身在不受干扰的情况下,进而让装置不去伤害外界的人事物。而资讯安全则是保护装置本身及其内建的重要资料,简言之,这两者是两件不同的事,发展方向也完全相反。


归纳来看,物联网安全这个议题在近期有着不低的讨论度,但不论是从软体、晶片,亦或是认证实验室,对于物联网安全的定义,多少仍有不同的地方,但就大方向来说,将物联网安全分为资讯安全与功能安全,至少已经是产业界的共识。


物联网安全方兴末艾 台湾脚步要跟上

尽管物联网安全的分类上,产业界已有初步的共识,其重要性也不言可喻,但台湾业者是否能从差异化或是提升竞争利基,进一步投入安全机制的系统设计,或许是接下来可以发展的方向。

尽管安全议题在近期已经成物联网产业成为重要的探讨与努力方向,不过,台湾科技产业对此,并没有太多积极的动作。


田沛灏表示,以伺服器与商用PC来说,这方面的讨论约莫就有十三年左右的时间,那时候就有在讨论TPM(Trust Platform Module)的导入,此外,针对安全标准的制定,也有TCG(Trusted Computing Group)这个联盟来主导,目前标准的进度已经来到了TPM 2.0,微软也于近日宣布,所有搭载微软的产品线,皆必须符合TPM 2.0的要求,显见该公司对于资讯安全的重要性,而微软的公开要求,也促使了另一家合作伙伴英特尔跟进,以硬体方式,来因应TPM 2.0。但是,尽管已有TCG这个组织来制定安全机制的相关规范,现阶段,仍然没有看到台湾两大电脑品牌厂成为该组织的成员之一。


田沛灏透露,导入安全机制,并不只是加装软硬体那样简单,除了既有的成本之外,背后还包含了研发的成本、时间的投入与长期的维护与更新,大体上来说,整体成本其实所费不赀,台湾的OEM与ODM业者,因应成本考量,对于安全机制的导入,可以说是能省则省,除非客户有要求的情况下,否则对于这类的功能可说是完全不介意。她直言,一般的NB机种也不会把资讯安全作为主要的市场诉求,消费者也不会在意这种事情,消费者在乎的,不外乎是效能与性价比的表现,所以资讯安全的重要性在台湾市场,需要再加强。


「个人资料是否重要真的重要?消费者是否愿意花钱?又会花多少钱来满足个资保护需求?这是市场必须要思考的课题。」田沛灏说。



图4 : 个资保护的重要性,因人而异,即便消费者意识到重要性,但会花多少费用来满足其需求,又是另一个重点。 (Source:www.euractiv.com)
图4 : 个资保护的重要性,因人而异,即便消费者意识到重要性,但会花多少费用来满足其需求,又是另一个重点。 (Source:www.euractiv.com)

明导国际软体架构师刘家荣则是呼应了田沛灏的看法,物联网导入安全机觉的观念,这几年的确有很多厂商在谈,但台湾公司大多数都还是抱持观望的心态,一方面是市场就算有规范存在,但这类规范没有强制力可言,厂商可以选择不要进入,若选择导入满足安全机制的作法,随之而来的,就是垫高了整体的成本。


徐志亮指出,以车厂的功能安全规范:ISO 26262来说,并不是只有软硬体满足其标准那样的简单,像是生产流程、各系统底的驱动程式、人机介面与显示功能,都要满足其规范要求。刘家荣也表示,即便是ISO 26262的ASIL B等级,其难度已经远低于ASIL D,但要过关,仍有相当高的难度在。徐志亮不讳言,ISO 26262这个名词虽然出现在台湾至少已有三、四年左右的时间,但巨大的成本与时间,成了台湾业者不愿投入的主要原因。


陈立闵认为,是否愿意导入安全机制的动机背后,说穿了就是企业本身风险承担的能力有多大,为了风险愿意投入多少成本来因应。陈立闵解释,这其实就是保险公司过去所累积的资料与建立的模型来进行风险控管,像是车祸发生之后,依据不同的人体受伤与车辆受损的程度给予不同的赔偿,而认证实验室便能以程度上的不同,给予失效场景不同的认证测试流程。


**刊头图片来源(Source:Nest)


相关文章
全球标准如何促进物联网发展
五大策略 提升企业物联网竞争力
为什麽安全是物联网的关键?
打通汽车电子系统即时运算的任督二脉
空中观察:指挥中心如何加强安全服务
comments powered by Disqus
相关讨论
  相关新闻
» 帆宣与隹世达合组「达宣智慧」公司 启动智慧医疗引擎
» 镭洋叁与美国华盛顿卫星展 展示立方卫星成果和地面设备追星技术
» IDC:2023年亚太区PC市场衰退16.1%
» InnoVEX 2024创新竞赛奖值达10万美元 聚焦AI、生医、智慧移动
» Cadence收购BETA CAE 进军结构分析领域


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83J831CISSTACUKB
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw