物联网设备标准挑战

欧盟的《网络安全法案》(第2019/881号条例)已经生效，它有两个主要目标。首先，加强欧盟网络安全机构(ENISA)的授权，这有助于制定网络政策;增强产品、服务、运营合作的可信度;并促进知识。第二，建立欧盟范围内的网络安全框架。

在欧洲，最近宣布《无线电设备指令》第3.3(d)(e)和(f)条已被官方刊物(OJEC)引用，为进一步的网络安全标准化铺平了道路。虽然目前正在进行审查，但最有可能的方法是制定一些通用标准，以及补充的特定产品标准，这些标准将涵盖网络保护、数据隐私和防止欺诈。

然而，目前有两份重要的文件，专门与物联网设备有关。第一个是NIST的指导文件。IR 8259 (US)和ETSI标准EN 303 645 (EU)。

EN 303 645涵盖消费品，而NIST的范围。IR 8259并不局限于消费产品，因此其一般原则可用于帮助演示任何物联网产品的网络安全保护基线。

虽然进一步的标准仍在制定中，但可以使用EN 303 645标准进行评估。附带的文件TS 103 701提供了使用的测试方法。然而，标准的组合可能会增加。

现在英国已经离开欧盟，它正在准备从EN 303 645标准衍生出的新立法，最近推出的产品安全和电信基础设施法案(PSTI)加强了这一点，该法案最初可能仅限于三个安全要求:

• 禁止在消费智能产品中使用通用默认密码。
• 管理漏洞报告的方法的实现。
• 产品将在多长时间内接收安全更新的透明度。

还有其他现有标准旨在提高网络基础设施和相关设备的安全性。例如，工业物联网设备或系统可以根据IEC 62443系列标准进行认证，作为大型安装的一部分。本系列标准涉及工业自动化和控制系统(IACS)的安全性。

覆盖范围差距

尽管网络安全标准的覆盖范围仍有许多差距，但现有标准至少提供了防范网络攻击的第一道防线。然而，机械制造商也应该考虑他们自己的网络安全计划，因为在现有标准之外还有其他选择。这包括更严格的定制测试或“渗透测试”，以及从一开始就考虑“设计安全”的必要性，并通过识别攻击是“何时，而不是是否”来采取主动的网络安全方法。

威胁恢复和检测应始终被视为一项连续的任务。人们常说，安全是一个移动的目标，当人们考虑到并非所有的威胁都可能在第一次评估中被发现时，这一点就更加明显了。事实上，这些威胁中的一些甚至可能不知道存在——所谓的“零日”漏洞。因此，对工厂的“网络抵抗”状态进行适当、持续和定期的审查，以确保保持网络健康是非常重要的。资产所有者必须寻找所有的漏洞，而罪犯只需要找到一个。

随着网络犯罪分子迅速发展出新的攻击形式，对网络安全的持续投资对于跟上技术发展至关重要。应对网络安全风险问题，只能通过全面规划、定期评估、更新和监测来实现。这必须持续进行，从设计到报废。

-这最初出现在欧洲控制工程网站．由网页内容经理克里斯·瓦夫拉编辑，控制工程， CFE媒体与技术，cvavra@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。