电动工具产品网络安全的探讨

顾菁

（上海电动工具研究所（集团）有限公司，上海 200233）

数字时代软件应用的扩展增加了产品对互联网的依赖。产品连接到公共网络的能力提升了其在可用寿命内对消费者的价值。看似传统产业的电动工具产业也运用现代科技的力量，正以崭新的模式实现转型，借助网络提供更智能化的服务。但与此同时风险也被一并引入，因此电动工具产品的设计必须确保其连接到公共网络后不会损害产品本应具备的安全。由于目前电动工具有关的标准中尚未纳入网络安全内容，本文借鉴了信息安全、家用电器等相关领域的内容，为电动工具连接到公共网络的安全提供了参考。

1 公共网络和远程通信的安全

IEC 60335-1:2020《家用和类似用途电器的安全 第一部分：通用要求》将“公共网络”定义为“任何承载数字数据或模拟信号或两者兼具的网络，且对数据和信号的访问不受家用或类似器具使用环境的物理空间的限制”[1]。如果产品可以与外部实体通信，那么该通信会面临一定的威胁，无论是通过Wi-Fi 调制解调器还是通过智能手机的蓝牙连接，都是属于公共网络上的通信，所受的威胁是相同的。

当然，某些通信技术对未经授权的访问或数据传输的操纵风险较小，比如这些产品的通信范围有限（例如NFC，近场通信），只能通过现场线路进行通信，或者采用硬接线，因此没有与公共网络的物理连接。但是，如果手机通过NFC 与产品通信，随后通过Wi-Fi 下载新的安全相关软件包，则这样的配置仍被视为公共网络。

产品可以使用多种远程通信技术。无论是哪种，它们都有各自的规则或标准（也称为协议），用于定义对通信和错误恢复方式的语法、语义和同步性。

当实体之间的通信，包括数据交换或软件下载可能会损害产品本身应具备的安全时，则为了确保公共网络上通信的安全，通常采用以下的应对方式：

（1）当有未经授权的访问时：仅允许受信任和授权的通信伙伴与产品通信。

（2）当存在故意破坏数据时：采用加密程序、数字签名等。

（3）当出现随机传输故障/错误时：使用标准化通信/传输协议，并进行错误处理或纠正。

制造商或其信任的第三方通过公共网络远程通信提供的数据交换或软件下载和安装必须得到保护。对硬件和软件的随机故障分析进行安全评估应扩展到包括黑客攻击和数据操纵等故意的威胁，这些方法和等级类似于“信息安全”系列标准中的规定。

2 电动工具的网络安全

根据GB/T 40211-2021《工业通信网络 网络和系统安全术语、概念和模型》的规定，网络安全是指用于防止关键系统或者信息类资产的非授权使用、拒绝服务、修改、泄漏、财政损失和系统损害的行为。确保网络安全的目标是降低风险，这些风险包括人身伤害、威胁公共健康等。网络安全关系远程通信的完整性和真实性，以便产品和软件应用程序知道与谁通信，并且使消息在发送时被接收[2]。

电动工具的网络安全旨在解决与物联网（IoT）技术相关的安全风险，同时包括产品安全评估在内的全面要求，即与信息安全相关的附加要求应不影响产品的安全。考虑到云计算的未来趋势，在公共网络中出现连接丢失、延迟或带宽较低/不足的情况下，产品仍应保持安全，并符合安规标准中的所有要求。尽管确保产品安全仅依赖于实现完整性和真实性的安全目标，但制造商也可以实施其他措施以确保其数字服务的可靠性和性能。因此，针对网络安全提出合理完善的标准要求，可以解决通过公共网络进行远程通信的威胁和相关风险问题，例如，在软件更新的情况下，“新”软件的合规性水平将与制造投放市场时安装在产品中的软件的合规性水平相同。

2.1 通过公共网络进行包括软件下载或数据传输的远程通信不应影响安全

该要求包含两方面，即满足软件评估要求的保护软件处于故障条件下是否仍可以确保安全，以及在正常情况下可能会损害安全的功能、应用和过程软件等均不应影响安全。

如果可编程保护电子电路中使用的软件（即功能安全软件）可被下载并安装，则需要满足网络安全的要求。此外，如果软件算法是固定的，但这些算法使用的限值或参数集可通过一组功能安全常数进行配置，则网络安全的要求也适用于该类情况。就园林式电动工具智能草坪割草机而言，如果被按照规定速率垂直抬起时，最低点距离地面超过10 mm，则应引发抬起传感器动作，从而触发切割器件制动。如果该值通过远程通信被破坏，产品的安全会受到影响。

如果控制正常运行的软件在损坏时可能损害满足安全的要求，则网络安全的要求也适用。此类示例包括软件中的常数、算法、定时器或下载的软件或参数集用于调节或限制规定的最大正常温升。不影响安全的示例包括电动工具产品上视觉或听觉的指示装置，或者诸如电剪刀等作业部分风险较低产品所带有的任何限速装置。

2.2 未涵盖的软件部分也不应影响安全的情况

主要针对包括软件下载或数据传输的远程通信时2.1 中未涵盖的软件部分。造成该情况是由于2.1 中的软件或数据分离或分区不当，看似未涉及软件下载或数据传输，却实际隐含数据或模块的更新，可能会损害对安全的保障。这主要取决于产品中使用的软件的架构。例如，对于有些产品，在生产过程中被编程的软件可能是一个图像文件，其中包含合并的代码模块，因此只有这一个文件被编程到产品中。如果这与远程软件更新使用的方法相同，即使这些软件模块或数据未作为软件更新的一部分而被修改，也无法避免可能覆盖原来的安全相关软件或数据。

2.3 无需进行网络安全考核的情况

（1）所有符合标准的措施均独立于软件的产品。例如，电钻配备的经过调节的离合器可以在手柄上的反扭矩达到一定程度时脱口，从而能满足标准对最大反扭矩的要求。

（2）仅通过公共网络的远程通信进行数据发送的产品。仅数据发送进行传输指的是以规定的时间间隔传输一组规定的数据。例如，螺丝刀发送的每分钟拧紧的螺钉个数及其对应的扭矩值。

（3）仅提供事件驱动消息或推送远程监控的产品。虽然这与上一条相似，但在“按需传输”方面有所不同。事件驱动消息是基于预定任务的完成或产品状态的变化而发送的消息，例如规定的螺丝刀拧紧螺钉个数已完成或砂光机已完成规定的砂磨厚度的自动通知。远程监控推送是指主动请求设备提供信息，例如程序剩余时间、剩余需要拧紧的螺钉个数或砂光机已经砂磨的实际厚度。在该情况下，制造商应证明产品的软件架构不会影响对安全区域的控制。而这部分内容会涉及一个“分离”的要求，即将和安全相关的功能安全软件与其他应用软件进行划分，甚至包括功能、应用程序、过程软件与实现通信的软件之间都要进行逻辑和/或物理的分离。当然，并不是说通信模块只能使用硬件分离来实现事件驱动或推送远程监控功能。

（4）借助于软件下载和安装对软件进行修改。出于多种原因，产品需要具备一定的软件下载能力。例如，可能需要更新通信模块的通信协议或安全措施，以便它们能够继续与公共网络进行实体通信。这些更新是自动且必要的，以便通过公共网络的服务和通信确保设备的持续“可用性”。“可用性”不会直接影响设备本身的安全性，因此不需要对其进行网络安全的考核，但是，对于消费者来说，持续的“可用性”仍然是一个重要问题，是对通信模块或路由器等通信支持组件进行软件更新的潜在原因。再例如，由于消费者需求的变化，在产品安装并使用一段时间后，期望更新产品的服务。此外，下载用于维护和维修操作的软件错误修复程序可以增强产品的正常运行，减少服务人员实际访问的需要。由于软件越来越复杂，软件从一个实体转移到另一个实体有可能发生损坏或未经授权的修改，产品下载软件必须采用防护措施，以确保在安装新软件期间或之后依旧满足安全的需求。

如果实施了软件修改，则应在批准下载到产品之前对更新后的软件进行审查，该审查应与用于新设备和设计的传统工厂软件安装的方式相同，重复评估并进行相关测试以确保修改不会影响安全。这种软件开发和测试方法称为V 型，在IEC 60730 的附录H 中进行了描述和说明，这也是针对可编程保护电子电路中的软件所采用的方法。在部署新的软件或固定软件版本之前，制造商应确保已保存技术文件，以证明更改不会影响产品的安全性或一致性。

通过远程通信进行的一般软件更新过程可概括为以下步骤，如图1 所示。

图1 通过远程通信进行的一般软件更新过程

其中的一个关键点是应采取措施确保制造商提供并通过远程通信传输至产品的软件更新在安装前得到验证。“安装前验证”取决于产品中使用的软件体系结构和用于验证的方法。“安装前验证”并不意味着需要冗余内存，即不需要在刷新和替换当前可执行代码之前，首先下载所有软件，然后验证其正确性和完整性。如果验证检查能够在使用前，或在微处理器的初始化阶段检测到传输软件中的不兼容或故障，这样就满足要求了。在这种情况下，产品可能会恢复到以前的软件版本以保持在安全状态。

此外，在真实性方面，应只有受信任和授权的实体才有能力交换数据或提供软件，因此通信合作伙伴的识别非常关键。IEC 60730 提供了指南以及识别程序示例[3]：

（1）双向识别：在有返回通信的情况下，信息发送方和接收方之间的源和目的地标识符交换可用于提供额外的保证，即通信实际上是在预期双方之间进行。

（2）动态识别：发送方和接收方之间存在动态信息交换，包括从接收方到发送方的反馈信息转换。可以保证通信双方不仅声称拥有正确的身份，而且以预期的方式行事。这种类型的动态识别程序可用于在通信安全相关过程之间进行信息传输，和/或在信息传输过程中使用。

3 结束语

本文结合实例分析了电动工具连接至公共网络应具备的安全要求，并给出了部分无需纳入考核范围的情况，旨在确保在任何状态下使用电动工具都不会危及人身安全。当然，对于安全的要求也会因电动工具产品技术与网络技术的发展而不断迭代更新，需要不断去适应与解决新的矛盾。

随着互联网技术不断发展，新常态下的网络安全形势愈加严峻，网络安全需求也在快速暴发。电动工具领域内对网络安全的考虑也须符合数字化转型的进一步加快和新技术的深度应用，相信在未来，网络安全将成为数字经济的坚实底座、数字信任的核心要求。