美国能源部已发布了一项 研究 检查连接照明系统(CLS)中的身份验证漏洞。特别是随着新兴的CLS集成了分布式智能,网络接口和传感器,它们可以用作数据收集平台,从而实现各种有价值的新功能,并在建筑物和城市中节省更多能源。但是,CLS技术目前正处于开发的早期阶段,其增强的连接性会带来照明行业新的网络安全风险,必须成功解决网络安全风险,才能与其他系统成功集成。

现有许多评估网络安全漏洞的框架和指南,例如 美国国家标准技术研究院(NIST)网络安全框架 NIST 800系列 包括 超过150种资源国际电工委员会(IEC)62443系列,国际标准化组织27001和27002,  统一设施标准(UFC)4-010-06UL 2900-1。此外,还有广泛的测试资源,包括 开放式Web应用程序安全项目(OWASP)测试指南。尽管这些框架,指南和测试可能全部或部分适用于CLS,但目前对网络安全测试或认证没有强制性要求。

多个连接的照明系统的概念表示,显示常见的系统体系结构变体和技术实现。

包括技术开发人员和规范组织在内的照明行业目前正在评估CLS现有框架和指南的适用性。为了支持这些努力,太平洋西北国家实验室(PNNL)进行了一系列研究,目的是教育照明行业的利益相关者特定的网络安全实践,并通过各种系统架构,网络通信技术和学位对商业化的CLS中的实施进行表征。成熟。

第一项研究探讨了身份验证实践及其在多个CLS中的实现。 UL共开发了18个测试,并在PNNL的测试中进行了测试 连接照明测试台 (CLTB)。这些测试探索了基本身份验证最佳实践以及已知的特定于技术的最佳实践的实现。结果,并非所有测试都适用于所有CLS。

72个潜在测试中的40个(4个CLS,每个18个潜在测试)适用于4个已评估的CLS,并且CLS总共通过了40个测试中的26个(65%)。通过/失败率是报告测试结果的一种简单方法,但它并不是真正的相关指标。网络安全漏洞测试是一种风险分析实践;最好通过评估与特定实施中与该漏洞相关的风险的评估来评估通过或未通过某个测试的相关性。尽管如此,通过/失败的比率仍然可以表明市场上CLS的性能范围。

基于这项研究的有限结果,看来投放市场的CLS具有不同级别的身份验证漏洞。希望这些评估将支持并可能加速有关特定安全漏洞风险的行业讨论,开发中特定于照明的最佳实践应解决哪些漏洞,以及是否应将此类实践纳入自愿性照明标准中。

PNNL计划进行更多的身份验证测试,并与UL和其他网络安全专家合作,探索授权漏洞。 PNNL将把这些结果带给ANSI C137照明系统特设工作组,该工作组专注于网络安全漏洞,在创建和开发新标准时予以考虑。

单击此处获取报告。