守護(hù)你的物聯(lián)網(wǎng)數(shù)據(jù)安全，什么是 PSA 認(rèn)證設(shè)備？

幾乎每隔一段時間就會聽到安全漏洞事件。最近便有新聞報道某知名訂房網(wǎng)站疑遭黑客入侵，盜走訂房資料庫信息，以致消費者受騙而蒙受損失。安全漏洞層出不窮的大背景下，信息安全的重要性與日俱增，不再只是個徒具形式的配角。

就像我們很少會咨詢沒有醫(yī)學(xué)執(zhí)照的醫(yī)生、給孩子買一個沒有通過安全標(biāo)準(zhǔn)的玩具，或者安裝未經(jīng)認(rèn)證的熱水器。隨著 5G 即將商用，物聯(lián)網(wǎng)應(yīng)用也將擴(kuò)展到各個產(chǎn)業(yè)，各種不同規(guī)模的公司都在設(shè)計、部署和嘗試管理成千上萬個之前沒有通用標(biāo)準(zhǔn)、也沒有設(shè)置物聯(lián)網(wǎng)安全的物聯(lián)網(wǎng)設(shè)備。在沒有統(tǒng)一標(biāo)準(zhǔn)下，未來萬物聯(lián)網(wǎng)的安全性實在是令人擔(dān)憂。

物聯(lián)網(wǎng)安全挑戰(zhàn)日益嚴(yán)峻

隨著物聯(lián)網(wǎng)安全挑戰(zhàn)的增加，物聯(lián)網(wǎng)設(shè)備的部署越來越復(fù)雜，從自動駕駛到網(wǎng)絡(luò)監(jiān)控再到智能電表，一切連網(wǎng)的事物都將受到安全威脅。將機(jī)密或資料儲存在云端，也不能完全免除受到惡意攻擊的可能性。在最壞的情況下，整個物聯(lián)網(wǎng)設(shè)備可能會受到損害，形成一個巨型僵尸網(wǎng)絡(luò)。

沒有公正機(jī)構(gòu)的監(jiān)管，幾乎沒有任何物聯(lián)網(wǎng)設(shè)備需要先經(jīng)過安全測試，以至于在沒有通過安全認(rèn)證就這樣上線了。那么制造商和企業(yè)要如何保護(hù)其物聯(lián)網(wǎng)部署，以及確保它們是安全的呢？

在2018年《Arm安全宣言》中，網(wǎng)絡(luò)安全公司Cybereason的聯(lián)合創(chuàng)始人Yossi Naar 指出：“很少公司在設(shè)計產(chǎn)品的初期就加入安全功能，大部分是在產(chǎn)品開發(fā)末期才想到安全問題，以至于需要刪除或是減少部分產(chǎn)品功能，甚至延遲產(chǎn)品發(fā)表時間才能達(dá)到安全性，這將影響到銷售的結(jié)果。 如果匆促上市的產(chǎn)品不安全，那么在這種情況下對大家都沒有好處?！?/p>

為什么會造成這樣的結(jié)果呢？原因很簡單：產(chǎn)品開發(fā)人員通常缺乏專業(yè)的安全知識，造成他們無法在設(shè)備上加入安全框架，以至于開發(fā)出不安全的產(chǎn)品。因此這也加劇了人們對產(chǎn)品的安全性缺乏信任，并減緩了物聯(lián)網(wǎng)的普及。

認(rèn)證有助于建立信任

還好，當(dāng)前已有許多組織開始推廣物聯(lián)網(wǎng)標(biāo)準(zhǔn)，同時監(jiān)管機(jī)構(gòu)也意識到了物聯(lián)網(wǎng)安全的必要性與市場需求。物聯(lián)網(wǎng)需求相當(dāng)碎片化且多樣化，需要一個統(tǒng)一的標(biāo)準(zhǔn)。而只有通過業(yè)界認(rèn)可的認(rèn)證標(biāo)準(zhǔn)，才能幫助建立對物聯(lián)網(wǎng)設(shè)備的信任，并在現(xiàn)有和既有的設(shè)備中創(chuàng)造商業(yè)價值。

物聯(lián)網(wǎng)的愿景是部署大量連接的設(shè)備，這些設(shè)備都會產(chǎn)生海量的數(shù)據(jù)。對企業(yè)而言，不論在邊緣或是在云端產(chǎn)生的數(shù)據(jù)將會為企業(yè)帶來洞見，但前提是這些數(shù)據(jù)必須是可被信任的。唯有通過安全認(rèn)證的設(shè)備，所獲得的信息才是真正有價值、有保障的信息。

多級別的安全保證和穩(wěn)健性

想要達(dá)到萬億設(shè)備互聯(lián)的未來，我們需要為物聯(lián)網(wǎng)開發(fā)出一個值得信賴的框架和業(yè)界可以遵循的標(biāo)準(zhǔn)，來建立安全標(biāo)準(zhǔn)的一致性。這就是為什么 Arm 會發(fā)展出平臺安全架構(gòu)（PSA）– 這是一個獨立的框架，許多制造商已經(jīng)使用該框架，可為其物聯(lián)網(wǎng)解決方案加入令人信任的安全級別。

PSA 具有四個關(guān)鍵要素：分析、架構(gòu)、實施和認(rèn)證。 Arm 已發(fā)布了與 PSA 相關(guān)的規(guī)格、威脅模型和參考元件，同時也獲得了業(yè)界廣泛的支持與采用。

2019年年初，Arm 還宣布與 Brightsight 、中國信息通信研究院泰爾終端實驗室、Riscure 和 UL 等獨立安全測試實驗室，以及咨詢機(jī)構(gòu) Prove＆Run 聯(lián)合推出了 PSA 認(rèn)證項目（PSA Certified），以支持基于平臺安全架構(gòu)（PSA）框架的安全物聯(lián)網(wǎng)解決方案的大規(guī)模部署。通過獨立安全測試，PSA 認(rèn)證項目可幫助物聯(lián)網(wǎng)解決方案開發(fā)商和設(shè)備制造商對來自種類繁多的物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)，建立安全性和真實性。 目前已經(jīng)有多家領(lǐng)先的芯片供應(yīng)商通過了 PSA 級別 1 的認(rèn)證。

通過 PSA 認(rèn)證擴(kuò)展物聯(lián)網(wǎng)

多層次的安全認(rèn)證很重要，通過 PSA 多級別的認(rèn)證，企業(yè)可以確保其產(chǎn)品的安全級別，得到安全認(rèn)證。未來大規(guī)模的部署可信賴的物聯(lián)網(wǎng)設(shè)備才有保障。

PSA 認(rèn)證的推出是 Arm 希望通過與安全實驗室和咨詢公司合作，來解決物聯(lián)網(wǎng)設(shè)備缺乏安全認(rèn)證和碎片化問題。此認(rèn)證提供多級別的安全認(rèn)證和功能 API 認(rèn)證，來滿足不同應(yīng)用場景的安全需求，減少碎片化，縮短上市時間，加速未來物聯(lián)網(wǎng)設(shè)備的部署。