“安全讓一切變得簡(jiǎn)單”賦能嵌入式開(kāi)發(fā)人員,快速實(shí)現歐盟新法合規

發(fā)布時(shí)間:2022-12-14 18:06    發(fā)布者:eechina
供稿:IAR Systems

歐盟委員會(huì )于 2022 年 9 月公布了一項新的《網(wǎng)絡(luò )韌性法案》提案,對與互聯(lián)網(wǎng)連接的智能設備(包括智能音箱、家用電器、工業(yè)控制、自動(dòng)化系統等)提出了新的網(wǎng)絡(luò )安全要求。所謂“網(wǎng)絡(luò )韌性”是指,系統從災難中快速響應,恢復到正常狀態(tài)的能力,以保證系統隨時(shí)可安全使用。這項立法涵蓋的范圍很廣,可能比五年前實(shí)施的GDPR影響更大:違者將被處以1500萬(wàn)歐元或全球年營(yíng)業(yè)額2.5%的罰款。

預計《網(wǎng)絡(luò )韌性法案》將對數字系統的設計、開(kāi)發(fā)、部署和生命周期管理產(chǎn)生重大影響,對設備制造商也提出了巨大挑戰——制造商需要對產(chǎn)品整個(gè)生命周期的安全性負責。新的《網(wǎng)絡(luò )韌性法案》適用于所有通過(guò)網(wǎng)絡(luò )連接暴露在風(fēng)險中的物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)設備:惡意攻擊者可能會(huì )對系統造成影響,進(jìn)入信息技術(shù)(IT)或運營(yíng)技術(shù)(OT)系統,然后通過(guò)勒索軟件實(shí)施控制,或竊取關(guān)鍵知識產(chǎn)權。

歐盟的《網(wǎng)絡(luò )韌性法案》提案,主要內容包括:
•        在推出帶有數字組件的產(chǎn)品或軟件時(shí),有統一的規則
•        提供一個(gè)管理產(chǎn)品規劃、設計、開(kāi)發(fā)和維護等網(wǎng)絡(luò )安全要求的框架,在價(jià)值鏈每個(gè)階段的相關(guān)方都要履行義務(wù)
•        在此類(lèi)產(chǎn)品的整個(gè)生命周期中,相關(guān)方都有義務(wù)負責到底

鑒于該法案提案在產(chǎn)品法規適用性、產(chǎn)品價(jià)值鏈和整個(gè)產(chǎn)品生命周期上設計制造商都要承擔相應的義務(wù),同時(shí)也存在著(zhù)相應的風(fēng)險。因此,中國的嵌入式系統開(kāi)發(fā)商不僅要對此予以高度重視,而且還需要借助專(zhuān)業(yè)的機構和完善的工具來(lái)幫助自己盡快、盡可能全面地實(shí)現合規。

作為全球領(lǐng)先的嵌入式系統開(kāi)發(fā)工具和服務(wù)供應商,IAR Systems很早就認識到安全性在嵌入式系統中的重要性,不僅為客戶(hù)提供了一套完整的MCU功能開(kāi)發(fā)工具,同時(shí)也為客戶(hù)提供一套完整的嵌入式安全解決方案,以快速實(shí)施網(wǎng)絡(luò )安全措施,并應對當前和未來(lái)的監管挑戰。

為此,IAR Systems也和物聯(lián)網(wǎng)安全基金會(huì )(IoT Security Foundation)緊密合作,在制定和研究“最佳實(shí)踐”方面發(fā)揮了重要作用,并且由此開(kāi)發(fā)了一個(gè)覆蓋嵌入式系統全生命周期的安全解決方案:通過(guò)“安全讓一切變得簡(jiǎn)單 (Security Made Simple)”方法理論,以及IAR嵌入式安全解決方案(如Embedded Trust和Secure Deploy),從產(chǎn)品設計之初便部署安全解決方案,幫助企業(yè)去提高開(kāi)發(fā)人員的生產(chǎn)力和實(shí)現最佳安全實(shí)踐,且對現有開(kāi)發(fā)流程、生產(chǎn)幾乎沒(méi)有影響,并支持對全生命周期的管理。

IAR Systems——今天的交付如何保障未來(lái)的安全?

近十年來(lái),IAR Systems 致力于參與制定重要的法規、立法和最佳實(shí)踐。作為物聯(lián)網(wǎng)安全基金會(huì )的創(chuàng )始成員,IAR Systems一直處于制定最佳實(shí)踐的前沿,這些最佳實(shí)踐已成為保障消費電子產(chǎn)品安全的法規的基礎,并已被英國政府(DCMS)、歐盟(ETSI)、美國(NIST)和全球其他國家采納為法規。毫無(wú)疑問(wèn),最佳實(shí)踐和立法的演變對安全解決方案的發(fā)展產(chǎn)生了重大影響。

IAR Systems 的安全解決方案在實(shí)現“安全讓一切變得簡(jiǎn)單”方面起到了革命性的推動(dòng)作用,這種方法突破了復雜的系統要求,使企業(yè)能夠在產(chǎn)品的設計、生產(chǎn)和生命周期管理等階段快速建立有韌性的網(wǎng)絡(luò )安全能力。

其獨特之處在于,IAR Systems 的解決方案將安全從一個(gè)“產(chǎn)品問(wèn)題”轉變?yōu)橐粋(gè)面向業(yè)務(wù)的可擴展平臺,所有利益相關(guān)者都可以通過(guò)這個(gè)平臺輕松地實(shí)施和管理安全,確保能夠保護企業(yè)、客戶(hù)和最終消費者,以抑制惡意軟件,防止知識產(chǎn)權被竊取,并為安全物聯(lián)網(wǎng)的構建打下良好基礎。

IAR Systems提供的網(wǎng)絡(luò )安全支持

IAR Systems 的安全解決方案可幫助制造商證明自己能夠承擔一套明確的義務(wù),減少工作量,支持現有的開(kāi)發(fā)和生產(chǎn)流程,以及協(xié)助完成生命周期管理任務(wù),包括更新、投用和報廢。要實(shí)現這樣的安全性合規能力,IAR Systems的工具和支持可以發(fā)揮巨大的作用,包括以下關(guān)鍵因素和方法:

覆蓋全生命周期階段

Embedded Trust 和 Secure Deploy 是 IAR 嵌入式安全解決方案的核心產(chǎn)品,旨在支持規劃、設計、開(kāi)發(fā)、生產(chǎn)、交付和維護階段的網(wǎng)絡(luò )安全。IAR Systems 已經(jīng)開(kāi)發(fā)了重要的合規性培訓方案,以支持企業(yè)了解新法案對其產(chǎn)品的潛在影響,并縮短采取行動(dòng)的時(shí)間。在關(guān)鍵的設計階段,如識別和支持信任根、安全啟動(dòng)管理器和身份識別標準,對于設計和開(kāi)發(fā)階段,IAR Systems 將提供指導,并大幅簡(jiǎn)化了創(chuàng )建一個(gè)強大安全環(huán)境的流程。

記錄網(wǎng)絡(luò )安全風(fēng)險

Embedded Trust 產(chǎn)品中包含的自動(dòng)化工具將簡(jiǎn)化識別關(guān)鍵的網(wǎng)絡(luò )安全風(fēng)險,并將對策集成到 OEM 解決方案中。通過(guò)與行業(yè)最佳實(shí)踐保持一致并實(shí)施保證框架,企業(yè)可以輕松確定整個(gè)生命周期面臨的威脅和可能的緩解措施。

及時(shí)報告漏洞和安全事件

一般來(lái)說(shuō),在產(chǎn)品的整個(gè)生命周期中都會(huì )發(fā)現漏洞,這就需要企業(yè)及時(shí)推送補丁和補救措施。因此,企業(yè)需要制定和實(shí)施適合其自身情況的漏洞報告策略。同時(shí),版本控制和健壯的發(fā)布流程也對管理生命周期和更新發(fā)布至關(guān)重要。諸如Embedded Trust和IAR Embedded Workbench等產(chǎn)品就可提供先進(jìn)的版本控制,包括版本管理、版本加密、數字簽名和防回滾,因此能夠在發(fā)布新版本后,及時(shí)退役先前的版本。

處理漏洞

如果發(fā)現并披露了漏洞,必須將補救設備的補丁和更新傳輸到設備中。這個(gè)過(guò)程有三個(gè)關(guān)鍵環(huán)節,而 IAR Systems 正好開(kāi)發(fā)了相應的解決方案以提供支持,其中包括:
•        創(chuàng )建具有正式版本控制和管理版本回滾保護的更新。這可以防止攻擊者利用社會(huì )媒介攻擊,讓用戶(hù)將設備“降級”到有已知問(wèn)題的軟件版本。此外,必須根據破壞的潛在嚴重程度來(lái)創(chuàng )建所有的更新。因此,更新的加密和簽名可能是針對整個(gè)產(chǎn)品系列的設備、低風(fēng)險的應用,或對生命有重大風(fēng)險或會(huì )造成金錢(qián)損失的個(gè)別設備,如電表。Embedded Trust 為大多數用例提供了可擴展的配置。
•        通過(guò)簡(jiǎn)單的配置選項來(lái)啟動(dòng)設備更新能力。一些開(kāi)發(fā)者希望限制更新能力來(lái)管理成本,而其他開(kāi)發(fā)者則需要更多的更新槽和恢復機制。假設更新將被加密到設備更新槽,但開(kāi)發(fā)者應該調整實(shí)現。在此過(guò)程中,簡(jiǎn)單是關(guān)鍵,而工具是否靈活也是如此。
•        鑒于數字資產(chǎn)和最終用戶(hù)配置呈現的高度分散性,如何將更新傳輸到設備成為了關(guān)鍵。這一領(lǐng)域的進(jìn)步由云連接來(lái)更新和驅動(dòng),如亞馬遜 AWS 和微軟 Azure。針對這兩種情況,IAR Systems 安全解決方案都能夠輕松集成到云服務(wù)中。這確保了設備的編程和配置具有云服務(wù)可以利用和支持更新框架的憑證。

清晰易懂的說(shuō)明

隨著(zhù)時(shí)間的推移,涌現了許多保護物聯(lián)網(wǎng)設備、IT 和 OT 安全的方法和實(shí)踐。這讓開(kāi)發(fā)者難以找到合適的解決方案。利用 IAR Systems 提供的以工具為導向方法,開(kāi)發(fā)者現在可通過(guò)實(shí)施面向統一連接的更新和管理來(lái)整合眾多方法。如此一來(lái),開(kāi)發(fā)者就能以類(lèi)似的方式處理通過(guò)以太網(wǎng)、Wi-Fi、藍牙或其他媒介提供的更新。

融入開(kāi)發(fā)流程

更新和補丁已經(jīng)成為保障數字系統安全的標準要求,因此它必須成為標準開(kāi)發(fā)流程的一個(gè)組成部分,持續發(fā)布版本。這就需要與現代工作流程配合的解決方案,來(lái)整合持續集成和持續部署技術(shù)。將安全方案與 IAR Systems 領(lǐng)先的 CI/CD 開(kāi)發(fā)工作流程相結合,可以實(shí)現靈活和長(cháng)期的補丁發(fā)布機制。

總結

通過(guò)以上的分析可以看到:歐盟新推出的《網(wǎng)絡(luò )韌性法案》提案給嵌入式系統開(kāi)發(fā)企業(yè)和開(kāi)發(fā)人員在面向歐盟市場(chǎng)開(kāi)發(fā)和推廣產(chǎn)品時(shí)帶來(lái)了新的挑戰,但是IAR Systems通過(guò)把網(wǎng)絡(luò )安全功能的開(kāi)發(fā)與嵌入式系統的開(kāi)發(fā)完美地結合在一起,并提供了完整的理論方法和實(shí)現工具,從而可以幫助開(kāi)發(fā)企業(yè)應對挑戰和實(shí)現合規。

“IAR的嵌入式安全解決方案整合了我們在網(wǎng)絡(luò )安全方面的全部經(jīng)驗和專(zhuān)業(yè)知識,我們隨時(shí)為全球客戶(hù)提供這種‘安全讓一切變得簡(jiǎn)單’,”IAR Systems首席技術(shù)官Anders Holmberg說(shuō)道!皩ξ覀兊目蛻(hù)來(lái)說(shuō),在安全工具上的投資很快就會(huì )得到回報:他們可以向最終客戶(hù)提供值得信賴(lài)的、很快上市的產(chǎn)品和應用程序,也可以更好地保護其研發(fā)投資,并以加密方式保護其寶貴的知識產(chǎn)權!

本文地址:http://selenalain.com/thread-807906-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页