隨著科技的日新月異，實施聯(lián)網(wǎng)安全任務也變得更加復雜，電子產(chǎn)品除了最基本的機電防火安全即必須固守外，在必須同時確保最關鍵的軟體與網(wǎng)路安全下，另亦需維持一定的性能（品質(zhì)）表現(xiàn)；而在今日坊間充斥各式各樣行銷語言的情況下，企業(yè)在行銷商品時各說各話，則突顯透過第三方單位執(zhí)行“行銷宣告檢測驗證”的重要性，才可確保購買者權益。

　　物聯(lián)網(wǎng)裝置種類繁多，唯有取得獲政府認可的第三方安全認證，才是站穩(wěn)市場的長遠之計。

　　上述的網(wǎng)路安全（Cybersecurity）、產(chǎn)品機電與防火安全（Safety）、性能/品質(zhì)（Performance/Quality）及行銷宣告檢測驗證（MarkeTIng Claim VerificaTIon），再加之當前市場正極力鼓吹的產(chǎn)品可持續(xù)性（Sustainability）與企業(yè)運作（供應鏈）透明度（Transparency），即是所謂的六大基石。

　　科技始終來自于人性 IoT的發(fā)展之路怎么走

　　大家對于科幻電影的場景肯定不陌生，人們對于未來世界的憧憬因此加速了智慧家庭的發(fā)展，而如今的科技真的能為大家完成夢想嗎？

　　UL能源暨電力科技部事業(yè)發(fā)展經(jīng)理陳立閔指出，在所謂物聯(lián)網(wǎng)的時代，智慧家庭與智慧家電是主要核心。現(xiàn)今常采用的智慧功能，其中“語音辨識”被視為第一步，如今許多智慧型手機已大量內(nèi)建語音功能，我們得以透過語音辨識搜尋資料、使用地圖導航，更甚者可以直接進行同步翻譯；接下來為“人臉辨識”，每個人獨一無二的生理特征，透過掃描辨識，像是經(jīng)過眨眼、挑眉等較細微的臉部變化來下達指令，雖然此技術才剛剛起步，但其未來發(fā)展著實令人期待；第三步則是“動作辨識”，透過不論是正面?zhèn)让娴闹w移動，智慧家電的感測系統(tǒng)便能夠判斷其動作，因此在偵測后即能預測人類的下一步動作并解讀其行為需求；最后的“行為辨識”，可望藉由行為模式的辨認與累積，達到自我學習的目的，并可由人類某些行為或肢體語言來進行偵測等。

　　無論何種可實現(xiàn)智慧景貌的功能，所有的設計初衷皆始于人性的需求。換言之，物聯(lián)網(wǎng)的蓬勃發(fā)展，被賦予可讓生活更聰明美好的智慧家電一一陪伴在每個人生活空間中絕非夢事。

　　智慧家庭的發(fā)展之路被誰擋住了

　　陳立閔認為，雖然目前我們所見的智慧家庭產(chǎn)品似乎離真正的人工智慧都還有一段距離，但其實“動作辨識”的某些技術已經(jīng)可以接近“行為辨識”的水平，只是其安全漏洞往往可能造成辨識錯誤以及背后更大的安全隱憂。例如車輛電子與智慧化的需求，電腦和多功能媒體系統(tǒng)逐漸成為標準配備，原本在網(wǎng)際網(wǎng)路的駭客問題也伴隨成為更急迫的挑戰(zhàn)。另外，竊取使用者的產(chǎn)品內(nèi)相關個人資料與敏感資料并不再是駭客唯一的破壞手法，透過網(wǎng)路漏洞綁架其操作系統(tǒng)或相關資料，像是鎖住手機、電腦或重要文件，進而索取勒贖金的案例在全球亦層出不窮。

　　再進一步觀察，其實并非設定有聯(lián)網(wǎng)功能的產(chǎn)品才會面臨網(wǎng)路的風險，2009年在美國就曾經(jīng)發(fā)生無聯(lián)網(wǎng)功能的瓦斯爐因設計不當導致遭PDA手機無預警啟動的意外，該產(chǎn)品僅因受到手機鈴響時產(chǎn)生的電磁突波干擾即意外觸發(fā)點火的指令。由此見在透過其他相關的因素下，不難預見原本設有聯(lián)網(wǎng)功能產(chǎn)品的不安全疑慮將更形復雜。

　　如上所述，除了聯(lián)網(wǎng)的軟體安全以外，因軟體失誤而導致指令錯誤而產(chǎn)生的裝置風險更讓人擔憂，其中一項就是行動智慧裝置的充電安全。如前陣子備受關注的電動平衡車在充電時意外起火造成災情，引起美國政府莫大的關注，因此下令所有入境美國的電動平衡車皆須通過UL的安全認證，如果使用智能控制充電裝置運作時產(chǎn)生了網(wǎng)路安全問題，其損害可能難以估計。

　　上述這些意外的發(fā)生皆是因為存在著不安全軟硬體和設定存在著漏洞，以下為網(wǎng)路安全相關網(wǎng)站列出的十大常見的網(wǎng)路風險可供參考：

　　? 不安全的網(wǎng)路介面 – 使用不安全的Wi-Fi便可能遭入侵

　　? 授權保護不足 – 密碼易遭破解

　　? 不安全網(wǎng)路服務 – 偽裝的網(wǎng)路服務

　　? 資料傳遞加密不足 – 資料傳遞過程不夠隱密，容易被破解與濫用

　　? 隱私?jīng)]有得到保護 – 隱私設定不足，文件檔案容易被竊取與破解

　　? 不安全的云端介面 – 云端系統(tǒng)本身的安全強度不足，成為衍生的新安全死角

　　? 安全設定本身不夠安全 – 環(huán)境本身的安全要求過低，無法達到防護的要求

　　? 不安全的軟體 – 一時貪便宜取得的免費軟體可能潛藏破壞防護的漏洞

　　? 貧乏的實體安全防護 – 軟體或許安全，實體防護不足也可透過電磁干擾破壞

　　覆蓋網(wǎng)路安全生態(tài)系的UL 2900系列標準

　　其實根據(jù)保險業(yè)者統(tǒng)計，網(wǎng)路風險事件當中駭客所造成的占比并不如一般人想像的高，案例中統(tǒng)計有超過50%的意外源自于人為因素和系統(tǒng)漏洞。軟硬體設備皆沒有問題的狀況下，風險的產(chǎn)生可能歸究于企業(yè)內(nèi)部疏于更新系統(tǒng)、或“內(nèi)神通外鬼”的情況…等?？偠灾髽I(yè)在填補這些安全漏洞時往往會花費比預期更高的成本。意識到網(wǎng)路安全漏洞不斷挑戰(zhàn)危險層級，美國白宮政府特別委托UL協(xié)同制定網(wǎng)路安全標準 ── UL 2900系列標準，其中包括鎖定軟體的UL 2900-1、針對硬體的UL 2900-2、以及分別聚焦組織與流程（執(zhí)行）的UL 2900-3與UL 2900-4等等四項各有專攻的認證服務。

　　其中值得一提的是，針對硬體所規(guī)范的UL 2900-2標準目前首推醫(yī)療設備（UL 2900-2-1）和工業(yè)控制系統(tǒng)（UL 2900-2-2），這是由于醫(yī)療物聯(lián)網(wǎng)與工業(yè)控制物聯(lián)網(wǎng)與傳統(tǒng)人聯(lián)網(wǎng)路最大的差別在于必須更加看重“分秒必爭”與“資料準確”的環(huán)節(jié)，如傳統(tǒng)的信用卡付費若因系統(tǒng)錯誤造成資料傳遞延遲，如在資料沒有被竊取的情況下其實不會帶來人身乃至國家的重大危害，但是對于醫(yī)療物聯(lián)網(wǎng)與工業(yè)控制物聯(lián)網(wǎng)的安全來說，“準時與精確”絕對是無法忽視的關鍵因素。

　　全面癱瘓電廠 手術臺也可能變行刑臺

　　舉例來說，攻擊工業(yè)控制物聯(lián)網(wǎng)的時候，可以透過讓門鎖系統(tǒng)拉長運算時間，無法及時執(zhí)行指令，便可趁機潛入竊取資料；也可以透過癱瘓系統(tǒng)達到目的，例如可以在攻擊電廠的時候提高電網(wǎng)系統(tǒng)的資訊流量，使得系統(tǒng)可能必須耗費過多的軟硬體資源進行計算、運作與執(zhí)行，導致節(jié)點與節(jié)點的失聯(lián)或是網(wǎng)路資源的過載，系統(tǒng)有可能因此進入自我防護的模式，進而導致電網(wǎng)的局部或者全面癱瘓。

　　在科技發(fā)達的今日，許多醫(yī)療設備皆須透過網(wǎng)路傳遞資訊并即時做出調(diào)整，而治療過程中除了“時間”外，精確度也很重要，因此醫(yī)療物聯(lián)網(wǎng)更是駭客眼中的一塊大餅。醫(yī)療物聯(lián)網(wǎng)與傳統(tǒng)網(wǎng)路駭客事件最大的差別在于立即性的生命安危。像日前美國便發(fā)生駭客入侵手術室，控制手術室儀器，若未能及時支付贖金，所有儀器都將無法運作，而因為攸關病患的性命，即不得不就范。鑒于類似事件層出不窮且日益猖獗，因此美國食品藥物管理局（FDA）已于官方網(wǎng)頁宣布，電子化的醫(yī)療器材的認證現(xiàn)在必須增加網(wǎng)路安全的風險評估。

　　設備可靠了，那人可靠嗎？

　　在設備都通過安全認證后，最后就是管理層面與實行的把關。UL 2900-3便是針對公司與組織的架構進行安全認證，避免“內(nèi)神通外鬼”或者人機互動的系統(tǒng)漏洞，譬如要求企業(yè)是否有嚴謹?shù)拈T禁系統(tǒng)與影像紀錄，并掌握人員的動向，或者避免重要機密資訊安全流出，采取電腦活動紀錄的監(jiān)控措施，以確保重要資訊不會藉由網(wǎng)路或者人為攜帶外流。一旦企業(yè)的人機系統(tǒng)設計達到要求后，UL 2900-4便利用于制度運行時的持續(xù)執(zhí)行與落實管理。綜合言之，UL 2900系列標準是一套從軟硬體、制度管理乃至于執(zhí)行落實都兼顧與把關的全面性標準。

　　標準設立出來之后 要怎么檢測

　　在標準都設立好之后，軟體安全就是第一關，檢測主要分成三大方向：“系統(tǒng)弱點與破解”、“軟體弱點掃描”和“安全控制”。

　　首先是“系統(tǒng)弱點與破解”的測試，可透過指令模糊化，給予軟體一個模糊化的指令，觀察系統(tǒng)是否能做出正確反應；另由于軟體日漸龐大復雜，許多撰寫程式者時會利用公開的軟體模組資料庫，然而如果這些模組本身就存在著安全漏洞，組成系統(tǒng)后漏洞可能不會消失，因此UL在測試時便會用許多已知漏洞去檢測軟體系統(tǒng)的安全，另外也會再透過滲透測試與對如木馬程式的惡意程式測試，確認軟體系統(tǒng)的基本安全防護。

　　完成了“系統(tǒng)弱點與破解”項目的檢測后，仍有可能因為軟體本身的弱點而遭到入侵，“軟體弱點掃描”也成了檢測的重要項目。包含測試軟體原始碼的安全性與和編譯過后的二進位碼安全性等，確保不會因為軟體本身編碼問題而造成安全的漏洞。。

　　最后，“安全控制”項目則檢測軟體的存取權限，確保軟體不會受到未經(jīng)正當授權的存取或者更改；關鍵之一是登入或修改權限所需的密碼模組保存機制，另外連線管理以及更新管理安全也必須考量，譬如有利用“釣魚”的方式誘使使用者更新密碼，或者透過假更新版本往往造成安全越補越大洞。全世界有超過一百萬株的各種各樣的電腦病毒，因此檢測系統(tǒng)漏洞時也耗時傷本，然而許多企業(yè)往往因成本不貲而作罷，但這樣的決定與相對面臨的風險下，其實是有待商榷的。

　　根據(jù)Gartner 的報告指出，目前物聯(lián)網(wǎng)仍處在“創(chuàng)新觸發(fā)（InnovaTIon Trigger）”的階段，許多產(chǎn)品尚未普及且技術尚未成熟，物聯(lián)網(wǎng)的商機發(fā)展必定推促許多相關企業(yè)的如雨后春筍般出現(xiàn)，產(chǎn)業(yè)可能產(chǎn)生過度膨脹，而在日益競爭的情況下，體質(zhì)不良或出現(xiàn)安全問題的企業(yè)也將可能陸續(xù)在市場中被淘汰。為了讓企業(yè)能夠捱過過度競爭的市場危機，取得安全認證方為站穩(wěn)腳步的長遠之計。