顧菁

（上海電動(dòng)工具研究所（集團(tuán)）有限公司，上海 200233）

數(shù)字時(shí)代軟件應(yīng)用的擴(kuò)展增加了產(chǎn)品對互聯(lián)網(wǎng)的依賴。產(chǎn)品連接到公共網(wǎng)絡(luò)的能力提升了其在可用壽命內(nèi)對消費(fèi)者的價(jià)值?？此苽鹘y(tǒng)產(chǎn)業(yè)的電動(dòng)工具產(chǎn)業(yè)也運(yùn)用現(xiàn)代科技的力量，正以嶄新的模式實(shí)現(xiàn)轉(zhuǎn)型，借助網(wǎng)絡(luò)提供更智能化的服務(wù)。但與此同時(shí)風(fēng)險(xiǎn)也被一并引入，因此電動(dòng)工具產(chǎn)品的設(shè)計(jì)必須確保其連接到公共網(wǎng)絡(luò)后不會(huì)損害產(chǎn)品本應(yīng)具備的安全。由于目前電動(dòng)工具有關(guān)的標(biāo)準(zhǔn)中尚未納入網(wǎng)絡(luò)安全內(nèi)容，本文借鑒了信息安全、家用電器等相關(guān)領(lǐng)域的內(nèi)容，為電動(dòng)工具連接到公共網(wǎng)絡(luò)的安全提供了參考。

1 公共網(wǎng)絡(luò)和遠(yuǎn)程通信的安全

IEC 60335-1:2020《家用和類似用途電器的安全 第一部分：通用要求》將“公共網(wǎng)絡(luò)”定義為“任何承載數(shù)字?jǐn)?shù)據(jù)或模擬信號或兩者兼具的網(wǎng)絡(luò)，且對數(shù)據(jù)和信號的訪問不受家用或類似器具使用環(huán)境的物理空間的限制”[1]。如果產(chǎn)品可以與外部實(shí)體通信，那么該通信會(huì)面臨一定的威脅，無論是通過Wi-Fi 調(diào)制解調(diào)器還是通過智能手機(jī)的藍(lán)牙連接，都是屬于公共網(wǎng)絡(luò)上的通信，所受的威脅是相同的。

當(dāng)然，某些通信技術(shù)對未經(jīng)授權(quán)的訪問或數(shù)據(jù)傳輸?shù)牟倏v風(fēng)險(xiǎn)較小，比如這些產(chǎn)品的通信范圍有限（例如NFC，近場通信），只能通過現(xiàn)場線路進(jìn)行通信，或者采用硬接線，因此沒有與公共網(wǎng)絡(luò)的物理連接。但是，如果手機(jī)通過NFC 與產(chǎn)品通信，隨后通過Wi-Fi 下載新的安全相關(guān)軟件包，則這樣的配置仍被視為公共網(wǎng)絡(luò)。

產(chǎn)品可以使用多種遠(yuǎn)程通信技術(shù)。無論是哪種，它們都有各自的規(guī)則或標(biāo)準(zhǔn)（也稱為協(xié)議），用于定義對通信和錯(cuò)誤恢復(fù)方式的語法、語義和同步性。

當(dāng)實(shí)體之間的通信，包括數(shù)據(jù)交換或軟件下載可能會(huì)損害產(chǎn)品本身應(yīng)具備的安全時(shí)，則為了確保公共網(wǎng)絡(luò)上通信的安全，通常采用以下的應(yīng)對方式：

（1）當(dāng)有未經(jīng)授權(quán)的訪問時(shí)：僅允許受信任和授權(quán)的通信伙伴與產(chǎn)品通信。

（2）當(dāng)存在故意破壞數(shù)據(jù)時(shí)：采用加密程序、數(shù)字簽名等。

（3）當(dāng)出現(xiàn)隨機(jī)傳輸故障/錯(cuò)誤時(shí)：使用標(biāo)準(zhǔn)化通信/傳輸協(xié)議，并進(jìn)行錯(cuò)誤處理或糾正。

制造商或其信任的第三方通過公共網(wǎng)絡(luò)遠(yuǎn)程通信提供的數(shù)據(jù)交換或軟件下載和安裝必須得到保護(hù)。對硬件和軟件的隨機(jī)故障分析進(jìn)行安全評估應(yīng)擴(kuò)展到包括黑客攻擊和數(shù)據(jù)操縱等故意的威脅，這些方法和等級類似于“信息安全”系列標(biāo)準(zhǔn)中的規(guī)定。

2 電動(dòng)工具的網(wǎng)絡(luò)安全

根據(jù)GB/T 40211-2021《工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全術(shù)語、概念和模型》的規(guī)定，網(wǎng)絡(luò)安全是指用于防止關(guān)鍵系統(tǒng)或者信息類資產(chǎn)的非授權(quán)使用、拒絕服務(wù)、修改、泄漏、財(cái)政損失和系統(tǒng)損害的行為。確保網(wǎng)絡(luò)安全的目標(biāo)是降低風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)包括人身傷害、威脅公共健康等。網(wǎng)絡(luò)安全關(guān)系遠(yuǎn)程通信的完整性和真實(shí)性，以便產(chǎn)品和軟件應(yīng)用程序知道與誰通信，并且使消息在發(fā)送時(shí)被接收[2]。

電動(dòng)工具的網(wǎng)絡(luò)安全旨在解決與物聯(lián)網(wǎng)（IoT）技術(shù)相關(guān)的安全風(fēng)險(xiǎn)，同時(shí)包括產(chǎn)品安全評估在內(nèi)的全面要求，即與信息安全相關(guān)的附加要求應(yīng)不影響產(chǎn)品的安全?？紤]到云計(jì)算的未來趨勢，在公共網(wǎng)絡(luò)中出現(xiàn)連接丟失、延遲或帶寬較低/不足的情況下，產(chǎn)品仍應(yīng)保持安全，并符合安規(guī)標(biāo)準(zhǔn)中的所有要求。盡管確保產(chǎn)品安全僅依賴于實(shí)現(xiàn)完整性和真實(shí)性的安全目標(biāo)，但制造商也可以實(shí)施其他措施以確保其數(shù)字服務(wù)的可靠性和性能。因此，針對網(wǎng)絡(luò)安全提出合理完善的標(biāo)準(zhǔn)要求，可以解決通過公共網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程通信的威脅和相關(guān)風(fēng)險(xiǎn)問題，例如，在軟件更新的情況下，“新”軟件的合規(guī)性水平將與制造投放市場時(shí)安裝在產(chǎn)品中的軟件的合規(guī)性水平相同。

2.1 通過公共網(wǎng)絡(luò)進(jìn)行包括軟件下載或數(shù)據(jù)傳輸?shù)倪h(yuǎn)程通信不應(yīng)影響安全

該要求包含兩方面，即滿足軟件評估要求的保護(hù)軟件處于故障條件下是否仍可以確保安全，以及在正常情況下可能會(huì)損害安全的功能、應(yīng)用和過程軟件等均不應(yīng)影響安全。

如果可編程保護(hù)電子電路中使用的軟件（即功能安全軟件）可被下載并安裝，則需要滿足網(wǎng)絡(luò)安全的要求。此外，如果軟件算法是固定的，但這些算法使用的限值或參數(shù)集可通過一組功能安全常數(shù)進(jìn)行配置，則網(wǎng)絡(luò)安全的要求也適用于該類情況。就園林式電動(dòng)工具智能草坪割草機(jī)而言，如果被按照規(guī)定速率垂直抬起時(shí)，最低點(diǎn)距離地面超過10 mm，則應(yīng)引發(fā)抬起傳感器動(dòng)作，從而觸發(fā)切割器件制動(dòng)。如果該值通過遠(yuǎn)程通信被破壞，產(chǎn)品的安全會(huì)受到影響。

如果控制正常運(yùn)行的軟件在損壞時(shí)可能損害滿足安全的要求，則網(wǎng)絡(luò)安全的要求也適用。此類示例包括軟件中的常數(shù)、算法、定時(shí)器或下載的軟件或參數(shù)集用于調(diào)節(jié)或限制規(guī)定的最大正常溫升。不影響安全的示例包括電動(dòng)工具產(chǎn)品上視覺或聽覺的指示裝置，或者諸如電剪刀等作業(yè)部分風(fēng)險(xiǎn)較低產(chǎn)品所帶有的任何限速裝置。

2.2 未涵蓋的軟件部分也不應(yīng)影響安全的情況

主要針對包括軟件下載或數(shù)據(jù)傳輸?shù)倪h(yuǎn)程通信時(shí)2.1 中未涵蓋的軟件部分。造成該情況是由于2.1 中的軟件或數(shù)據(jù)分離或分區(qū)不當(dāng)，看似未涉及軟件下載或數(shù)據(jù)傳輸，卻實(shí)際隱含數(shù)據(jù)或模塊的更新，可能會(huì)損害對安全的保障。這主要取決于產(chǎn)品中使用的軟件的架構(gòu)。例如，對于有些產(chǎn)品，在生產(chǎn)過程中被編程的軟件可能是一個(gè)圖像文件，其中包含合并的代碼模塊，因此只有這一個(gè)文件被編程到產(chǎn)品中。如果這與遠(yuǎn)程軟件更新使用的方法相同，即使這些軟件模塊或數(shù)據(jù)未作為軟件更新的一部分而被修改，也無法避免可能覆蓋原來的安全相關(guān)軟件或數(shù)據(jù)。

2.3 無需進(jìn)行網(wǎng)絡(luò)安全考核的情況

（1）所有符合標(biāo)準(zhǔn)的措施均獨(dú)立于軟件的產(chǎn)品。例如，電鉆配備的經(jīng)過調(diào)節(jié)的離合器可以在手柄上的反扭矩達(dá)到一定程度時(shí)脫口，從而能滿足標(biāo)準(zhǔn)對最大反扭矩的要求。

（2）僅通過公共網(wǎng)絡(luò)的遠(yuǎn)程通信進(jìn)行數(shù)據(jù)發(fā)送的產(chǎn)品。僅數(shù)據(jù)發(fā)送進(jìn)行傳輸指的是以規(guī)定的時(shí)間間隔傳輸一組規(guī)定的數(shù)據(jù)。例如，螺絲刀發(fā)送的每分鐘擰緊的螺釘個(gè)數(shù)及其對應(yīng)的扭矩值。

（3）僅提供事件驅(qū)動(dòng)消息或推送遠(yuǎn)程監(jiān)控的產(chǎn)品。雖然這與上一條相似，但在“按需傳輸”方面有所不同。事件驅(qū)動(dòng)消息是基于預(yù)定任務(wù)的完成或產(chǎn)品狀態(tài)的變化而發(fā)送的消息，例如規(guī)定的螺絲刀擰緊螺釘個(gè)數(shù)已完成或砂光機(jī)已完成規(guī)定的砂磨厚度的自動(dòng)通知。遠(yuǎn)程監(jiān)控推送是指主動(dòng)請求設(shè)備提供信息，例如程序剩余時(shí)間、剩余需要擰緊的螺釘個(gè)數(shù)或砂光機(jī)已經(jīng)砂磨的實(shí)際厚度。在該情況下，制造商應(yīng)證明產(chǎn)品的軟件架構(gòu)不會(huì)影響對安全區(qū)域的控制。而這部分內(nèi)容會(huì)涉及一個(gè)“分離”的要求，即將和安全相關(guān)的功能安全軟件與其他應(yīng)用軟件進(jìn)行劃分，甚至包括功能、應(yīng)用程序、過程軟件與實(shí)現(xiàn)通信的軟件之間都要進(jìn)行邏輯和/或物理的分離。當(dāng)然，并不是說通信模塊只能使用硬件分離來實(shí)現(xiàn)事件驅(qū)動(dòng)或推送遠(yuǎn)程監(jiān)控功能。

（4）借助于軟件下載和安裝對軟件進(jìn)行修改。出于多種原因，產(chǎn)品需要具備一定的軟件下載能力。例如，可能需要更新通信模塊的通信協(xié)議或安全措施，以便它們能夠繼續(xù)與公共網(wǎng)絡(luò)進(jìn)行實(shí)體通信。這些更新是自動(dòng)且必要的，以便通過公共網(wǎng)絡(luò)的服務(wù)和通信確保設(shè)備的持續(xù)“可用性”?！翱捎眯浴辈粫?huì)直接影響設(shè)備本身的安全性，因此不需要對其進(jìn)行網(wǎng)絡(luò)安全的考核，但是，對于消費(fèi)者來說，持續(xù)的“可用性”仍然是一個(gè)重要問題，是對通信模塊或路由器等通信支持組件進(jìn)行軟件更新的潛在原因。再例如，由于消費(fèi)者需求的變化，在產(chǎn)品安裝并使用一段時(shí)間后，期望更新產(chǎn)品的服務(wù)。此外，下載用于維護(hù)和維修操作的軟件錯(cuò)誤修復(fù)程序可以增強(qiáng)產(chǎn)品的正常運(yùn)行，減少服務(wù)人員實(shí)際訪問的需要。由于軟件越來越復(fù)雜，軟件從一個(gè)實(shí)體轉(zhuǎn)移到另一個(gè)實(shí)體有可能發(fā)生損壞或未經(jīng)授權(quán)的修改，產(chǎn)品下載軟件必須采用防護(hù)措施，以確保在安裝新軟件期間或之后依舊滿足安全的需求。

如果實(shí)施了軟件修改，則應(yīng)在批準(zhǔn)下載到產(chǎn)品之前對更新后的軟件進(jìn)行審查，該審查應(yīng)與用于新設(shè)備和設(shè)計(jì)的傳統(tǒng)工廠軟件安裝的方式相同，重復(fù)評估并進(jìn)行相關(guān)測試以確保修改不會(huì)影響安全。這種軟件開發(fā)和測試方法稱為V 型，在IEC 60730 的附錄H 中進(jìn)行了描述和說明，這也是針對可編程保護(hù)電子電路中的軟件所采用的方法。在部署新的軟件或固定軟件版本之前，制造商應(yīng)確保已保存技術(shù)文件，以證明更改不會(huì)影響產(chǎn)品的安全性或一致性。

通過遠(yuǎn)程通信進(jìn)行的一般軟件更新過程可概括為以下步驟，如圖1 所示。

圖1 通過遠(yuǎn)程通信進(jìn)行的一般軟件更新過程

其中的一個(gè)關(guān)鍵點(diǎn)是應(yīng)采取措施確保制造商提供并通過遠(yuǎn)程通信傳輸至產(chǎn)品的軟件更新在安裝前得到驗(yàn)證?！鞍惭b前驗(yàn)證”取決于產(chǎn)品中使用的軟件體系結(jié)構(gòu)和用于驗(yàn)證的方法?！鞍惭b前驗(yàn)證”并不意味著需要冗余內(nèi)存，即不需要在刷新和替換當(dāng)前可執(zhí)行代碼之前，首先下載所有軟件，然后驗(yàn)證其正確性和完整性。如果驗(yàn)證檢查能夠在使用前，或在微處理器的初始化階段檢測到傳輸軟件中的不兼容或故障，這樣就滿足要求了。在這種情況下，產(chǎn)品可能會(huì)恢復(fù)到以前的軟件版本以保持在安全狀態(tài)。

此外，在真實(shí)性方面，應(yīng)只有受信任和授權(quán)的實(shí)體才有能力交換數(shù)據(jù)或提供軟件，因此通信合作伙伴的識(shí)別非常關(guān)鍵。IEC 60730 提供了指南以及識(shí)別程序示例[3]：

（1）雙向識(shí)別：在有返回通信的情況下，信息發(fā)送方和接收方之間的源和目的地標(biāo)識(shí)符交換可用于提供額外的保證，即通信實(shí)際上是在預(yù)期雙方之間進(jìn)行。

（2）動(dòng)態(tài)識(shí)別：發(fā)送方和接收方之間存在動(dòng)態(tài)信息交換，包括從接收方到發(fā)送方的反饋信息轉(zhuǎn)換?？梢员ＷC通信雙方不僅聲稱擁有正確的身份，而且以預(yù)期的方式行事。這種類型的動(dòng)態(tài)識(shí)別程序可用于在通信安全相關(guān)過程之間進(jìn)行信息傳輸，和/或在信息傳輸過程中使用。

3 結(jié)束語

本文結(jié)合實(shí)例分析了電動(dòng)工具連接至公共網(wǎng)絡(luò)應(yīng)具備的安全要求，并給出了部分無需納入考核范圍的情況，旨在確保在任何狀態(tài)下使用電動(dòng)工具都不會(huì)危及人身安全。當(dāng)然，對于安全的要求也會(huì)因電動(dòng)工具產(chǎn)品技術(shù)與網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷迭代更新，需要不斷去適應(yīng)與解決新的矛盾。

隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展，新常態(tài)下的網(wǎng)絡(luò)安全形勢愈加嚴(yán)峻，網(wǎng)絡(luò)安全需求也在快速暴發(fā)。電動(dòng)工具領(lǐng)域內(nèi)對網(wǎng)絡(luò)安全的考慮也須符合數(shù)字化轉(zhuǎn)型的進(jìn)一步加快和新技術(shù)的深度應(yīng)用，相信在未來，網(wǎng)絡(luò)安全將成為數(shù)字經(jīng)濟(jì)的堅(jiān)實(shí)底座、數(shù)字信任的核心要求。