2022-12-01 新浪家居频道
“互联网+”时代,物联网正在深刻地改变传统产业形态和人们的生活方式。随着物联网技术的广泛应用,涉及用户隐私的数据被各种物联网设备记录,一旦这些设备存在安全漏洞,用户的隐私、人身、财产安全便会受到威胁。因此,物联网的安全问题和个人隐私保护成为各大企业和广大消费者关注的焦点,市场对于网络安全认证的需求也愈发旺盛。
作为一家拥有150历史的国际第三方检测、检验和认证机构,TÜV莱茵一直为解决人类、环境和科技互动过程中出现的挑战,提供安全、可持续的解决方案,致力于营造一个同时符合人类和环境需要的美好未来。
TÜV莱茵深耕网络安全领域二十多年,为全球企业提供网络安全管理体系认证、产品评估、渗透性测试等服务,并开发了相关技术标准,致力于以一站式的网络安全和隐私保护解决方案,协助企业发现和避免产品出现个人隐私泄露风险,并为新产品研发提供参考和指引,增强终端消费者的信任。
就企业在网络安全领域面临的挑战,以及TÜV莱茵的相关服务和经验等话题,新浪家居与TÜV莱茵大中华区工业服务与信息安全总经理赵斌进行了深度访谈。
以下为采访实录——
深耕网络安全领域二十多年,TÜV莱茵助力行业标准的制定
【新浪家居】现在企业产品在网络安全方面主要会出现哪些问题?
【赵斌】在网络安全方面,通常会出现以下四种问题:一、个人隐私的泄露;二、安全问题;三、财产损失;四、产品不能正常使用。
其中,消费者最关心的是个人隐私的泄露问题,比如家里所使用的摄像头或者麦克风是否会泄露隐私,还有身份证号码、电话号码等个人信息泄露问题。
【新浪家居】针对产品隐私安全,TÜV莱茵主要提供哪些检测服务?
【赵斌】TÜV莱茵主要提供以下两类服务:一是对企业的网络安全管理体系进行认证,二是对产品进行评估。在管理体系方面,TÜV莱茵会评估企业的整体管理能否正确地把所收集的数据进行相关处理,以保证客户的隐私。产品评估包括渗透性测试、依据EN 303645标准进行功能评估和文档评审。
比如TÜV莱茵的渗透性测试,通过漏洞的挖掘、密码的破译,或者使用某些工具来窃取数据,如模仿黑客攻击,来测试产品能否切实保障用户隐私和数据安全。另外,TÜV莱茵会制定自己的标准,因为很多网络安全标准还在开发或准备开发的阶段,很多产品缺乏对应的标准。对此,TÜV莱茵基于在网络安全领域的丰富经验,根据不同情况制定标准,对产品进行设计评审及测试,以保证产品的网络安全和隐私安全。
一站式全方位的服务,帮助企业保护用户个人隐私安全
【新浪家居】TÜV莱茵在检测之外,还会如何帮助企业实现产品隐私安全的保证?
【赵斌】TÜV莱茵致力于为企业提供一站式服务,不仅能帮助企业进行产品的网络安全和隐私安全检测,还包括对企业相关人员进行培训,通过考核可获TÜV莱茵人员资质认证证书。
此外,TÜV莱茵还推出了协助企业建立网络安全实验室的服务。目前网络安全在loT领域的实际应用较少,很多企业不清楚实验室的建设标准,所以,TÜV莱茵推出了帮助企业建立合格的网络安全实验室的相关服务,包括协助企业建设实验室,选用实验室设备、测试软件等,同时按照ISO 17025标准对实验室进行评估,以及按照相关标准,对实验室人员进行培训,让其能正常运作并按标准要求进行测试。
在家电和IoT行业,对企业检测能力、设备、人员能力符合标准的实验室进行资质认可,可以有效降低企业的成本,加速产品上市。
【新浪家居】作为国际独立第三方检测、检验和认证机构,在隐私安全业务板块,TÜV莱茵是如何保证自己的专业性以及权威性。
【赵斌】在网络安全领域,TÜV莱茵已经积累了超过25年的技术和经验,我们是最早在中国开展功能安全和网络安全的国际第三方认证机构,作为核心编委会成员参与了标准制定。从人员资质认证到管理体系认证再到产品认证,包括实验室的建设等方面,TÜV莱茵可提供一站式服务。
此外,TÜV莱茵的功能安全和网络安全服务范围不止于IoT领域,还覆盖了安防产品、工业控制、汽车、过程工业、石油化工、工业机器、核电风电、轨道交通等等,为客户提供高效专业的技术支持,以满足当下市场的需求。
【新浪家居】针对隐私安全的检测,有何难点和痛点,TÜV莱茵对此是如何处理?
【赵斌】目前的难点和痛点主要是:1、由于loT行业的网络安全标准比较新,行业专家稀缺,企业对标准不熟悉、认识不足;2、由于对标准认识不足和缺乏相关技术,企业在网络安全测试时难以一次性通过,造成时间和人员成本高;3、不少企业在研发阶段没有把标准要求纳入考虑范围,导致最终测试时问题多,整改成本高;4、没有自己的专业渗透实验室,会导致测试认证成本高。因此,TÜV莱茵建议企业建立自己的渗透性测试实验室,并且在研发阶段就要把标准融入到设计产品中,减少因不符合标准而进行整改,影响产品上市。
网络安全评估并非一次性,合作机构专业、经验丰富更有保障
【新浪家居】对于企业应该如何选择一家适合自己的检测认证机构,您作为专业人士有什么建议?
【赵斌】网络安全评估不是一次性的,产品在升级过程中会出现新的漏洞,就像手机出现Bug(程序漏洞)打补丁,需要持续进行弥补和修复。建议企业与拥有丰富经验,并且国际知名度比较高的检测认证机构进行长期合作。专业能力强、经验丰富的机构,可以帮助企业在产品设计过程中发现漏洞和潜在风险,达到网络安全标准的要求。
值得一提的是,TÜV莱茵在德国、美国、中东、东南亚以及中国都建有渗透性测试中心,通过建立组网互联系统,实现国际性合作与交流,增强全球不同地区测试的联动性。其中,位于青岛的渗透性测试实验室已顺利通过现场评审,将在年底前取得CNAS(中国合格评定国家认可委员会)实验室资质认证,将为本地企业提供更高效便捷的测试服务。