【中國安防展覽網(wǎng) 視點(diǎn)跟蹤】近年來�����,智能硬件產(chǎn)業(yè)蓬勃發(fā)展��,預(yù)計(jì)到2018年�,我國智能硬件終端和服務(wù)市場規(guī)模將超5000億元�,2020年可達(dá)萬億元規(guī)模。
在如此龐大的規(guī)模之下��,智能硬件安全問題也越來越多的暴露在公眾面前。概括的講��,有八大類智能硬件安全問題值得關(guān)注:數(shù)據(jù)存儲不安全�、服務(wù)端控制措施部署不當(dāng)、傳輸過程中沒有加密�、手機(jī)客戶端的注入、身份認(rèn)證措施不當(dāng)��、密鑰保護(hù)措施不當(dāng)�、會話處理不當(dāng)、敏感數(shù)據(jù)泄露�����。這其中的種種問題�����,不僅僅影響到個(gè)人信息安全�,更直接影響到我們的人身安全,甚至影響到社會安全和國家安全�����。因此��,智能硬件安全必須引起高度重視。
基于此��,近期����,中國信息通信研究院發(fā)布了《智能硬件安全白皮書》,白皮書指出��,目前智能硬件總出貨量非常大���,但是針對智能硬件安全的支出量卻非常小�,在2017年��,在相關(guān)方面的支出是3.48億美元���,2018年預(yù)計(jì)會有5.47億美元�?����?梢钥闯?�,數(shù)字雖然非常小��,但是增長率較高����,這也反映了業(yè)界對于智能硬件關(guān)注越來越強(qiáng)烈。
多重安全技術(shù)指引硬件廠商前行
中國信息通信研究院智能硬件專家��、移動智能終端技術(shù)創(chuàng)新與產(chǎn)業(yè)聯(lián)盟智能硬件組組長崔偉男在接受飛象網(wǎng)采訪時(shí)表示�����,智能硬件安全相較于傳統(tǒng)硬件安全有兩個(gè)特點(diǎn)�����,一個(gè)是智能硬件需求差異比較大����,二是應(yīng)用場景安全需求等級不同。“所以針對于智能硬件新的特征����,也希望產(chǎn)業(yè)界采取一些新的措施和新的技術(shù),來應(yīng)對目前的挑戰(zhàn)�����。”
就智能硬件安全技術(shù)分析方面,崔偉男表示��,白皮書在系統(tǒng)安全上提出了一個(gè)概念:信息安全基線是一個(gè)信息系統(tǒng)小安全保障�����,即該信息系統(tǒng)基本需要滿足的安全要求��,信息安全基線是實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)的前提和基礎(chǔ)���。
“我們提出安全度量模型�,主要分兩部分�,一部分評估智能硬件系統(tǒng)是否實(shí)施了安全保護(hù),另外是采取安全防護(hù)技術(shù)強(qiáng)度����,通過計(jì)算,給出安全防護(hù)分?jǐn)?shù)����,對安全進(jìn)行度量。另一方面��,我們建議廠商也要注重嵌入系統(tǒng)完整性和測量���,可以提供一些用于檢測系統(tǒng)更改的工具和接口����。”
在網(wǎng)絡(luò)訪問安全控制技術(shù)方面�,白皮書建議智能硬件廠商采用訪問控制列表,保證云端各服務(wù)組件之間的網(wǎng)絡(luò)訪問控制和對外強(qiáng)制隔離��。
崔偉男指出��,設(shè)備接入技術(shù)上����,智能硬件網(wǎng)關(guān)接入設(shè)計(jì)應(yīng)該保護(hù)業(yè)務(wù)的質(zhì)量和安全。因此有三大功能可以把協(xié)議轉(zhuǎn)換�,同時(shí)可以實(shí)現(xiàn)移動通信網(wǎng)和互聯(lián)網(wǎng)間的信息轉(zhuǎn)換。一是接入網(wǎng)關(guān)可以提供基礎(chǔ)的管理服務(wù)����,二是終端設(shè)備提供身份認(rèn)證,訪問控制等安全管控服務(wù)����,三是將各種網(wǎng)絡(luò)進(jìn)行互聯(lián)整合,可以借助安全接入網(wǎng)關(guān)平臺��,迅速開展網(wǎng)絡(luò)安全應(yīng)用。
目前智能設(shè)備越來越廣泛地應(yīng)用于商務(wù)�、金融和娛樂行業(yè),基于遠(yuǎn)程互聯(lián)網(wǎng)服務(wù)器的用戶鑒權(quán)是許多應(yīng)用程序或云服務(wù)的個(gè)環(huán)節(jié)����,需要采用強(qiáng)身份鑒權(quán)機(jī)制。另外智能硬件會用到對稱加密和非對稱加密項(xiàng)下所有加密技術(shù)�,如AES和SSL,但是由于智能硬件自身特點(diǎn)�,在選擇加密算法的時(shí)候,必須考慮占有系統(tǒng)資源少或者輕型加密算法來控制功耗和設(shè)備�,“因?yàn)橹悄苡布w型較小,資源比較受限�,我們建議智能硬件生產(chǎn)廠商在采用加密算法的時(shí)候要考慮加密技術(shù)。另外對于多渠道日志����,統(tǒng)一進(jìn)行收集存儲,通過實(shí)施告警和聯(lián)動安全防御策略�����,及時(shí)發(fā)現(xiàn)并處理安全風(fēng)險(xiǎn)�,進(jìn)一步提升智能硬件整體安全。”
就固件安全技術(shù)方面,白皮書指出����,固件安全代碼中的安全缺陷具有隱蔽性強(qiáng)、難以檢測���、不易剔除、破壞性強(qiáng)等特點(diǎn)�����。固件安全主要涉及三個(gè)方面����,一個(gè)是可信源驗(yàn)證,二是代碼安全����,三是傳輸安全,建議智能硬件生產(chǎn)廠商采用阻止或環(huán)節(jié)針對設(shè)備固件安全攻擊行為途徑����,包括以下幾方面:一是升級前針對原始固件進(jìn)行完整性檢查,確保固件升級服務(wù)穩(wěn)定性和不可篡改性�,二是固件升級中要采用狀態(tài)機(jī)跟蹤和數(shù)據(jù)簽名,三是升級完成后進(jìn)行完整性安全檢查����,建立中期性的固件和更新策略���,同時(shí)采用更加安全的技術(shù)。
在客戶端安全技術(shù)方面��,目前信通院了解到針對App攻擊手段較多��,智能硬件廠商研發(fā)過程中也要更加注意到App安全性驗(yàn)證��,加強(qiáng)App方面安全防護(hù)��。
在云平臺安全技術(shù)方面�����,智能硬件設(shè)備的后端云服務(wù)本質(zhì)上是一種Web應(yīng)用�,Web應(yīng)用所面臨的安全風(fēng)險(xiǎn)同樣出現(xiàn)在物聯(lián)網(wǎng)云平臺中。所以白皮書提醒各方多加注意�����。
基于以上研究�,白皮書還提出了智能硬件整體安全架構(gòu)和服務(wù)框架,一是確保設(shè)備安全接入,安全接入網(wǎng)關(guān)提供設(shè)備安全接入網(wǎng)能力�����,覆蓋設(shè)備授權(quán)�、身份鑒權(quán)、密鑰管理��、加密傳輸����、會話管理��、數(shù)據(jù)簽名等功能���,保證數(shù)據(jù)通信和完整性�。二是實(shí)現(xiàn)設(shè)備安全管理�����。三是增強(qiáng)安全態(tài)勢感知能力�����。四是全生命周期安全咨詢服務(wù)。
五方面建議促智能硬件快速發(fā)展
在此之上��,白皮書近一步為智能硬件產(chǎn)業(yè)安全提出應(yīng)對策略�����。首先是建立智能硬件安全應(yīng)急響應(yīng)機(jī)制����,希望建立政府、企業(yè)�����、行業(yè)協(xié)會����、研究機(jī)構(gòu)的聯(lián)動機(jī)制,政府可以制定響應(yīng)機(jī)制政策����,向社會公布安全風(fēng)險(xiǎn),以及漏洞預(yù)警����,企業(yè)可以上報(bào)安全風(fēng)險(xiǎn)�����,提供漏洞修復(fù)和風(fēng)險(xiǎn)評估����。
其次�����,設(shè)立智能硬件安全等級體系����,目前重點(diǎn)領(lǐng)域主要是包括行業(yè)應(yīng)用和個(gè)人消費(fèi),針對個(gè)人消費(fèi)�,比如手表手環(huán)可能安全要求比較低���,但是行業(yè)應(yīng)用�,像能源�����、交通等�����。
第三是以安全標(biāo)準(zhǔn)帶動產(chǎn)品安全認(rèn)證機(jī)制建立,智能硬件安全較于傳統(tǒng)手機(jī)和其他信息產(chǎn)業(yè)安全���,它是云管端安全都涉及到的�����,我們前期也做了一些工作�����,希望和業(yè)界專家一起推動�,不斷完善智能硬件安全系列標(biāo)準(zhǔn)�����,以及依據(jù)我們安全標(biāo)準(zhǔn)�,進(jìn)行一些安全方面的評測。
第四�,希望各方規(guī)范研發(fā)管理流程,研發(fā)生產(chǎn)安全合規(guī)����。在我們開發(fā)過程中����,引入安全開發(fā)生命周期�����,結(jié)合企業(yè)級安全需求和自身項(xiàng)目���,來開發(fā)流程���,控制項(xiàng)目整體安全風(fēng)險(xiǎn)。這個(gè)主要是針對企業(yè)方面����,我們希望企業(yè)能夠定期評審保密協(xié)議中的數(shù)據(jù)安全相關(guān)要求,以及希望企業(yè)能夠遵循一些隱私保護(hù)政策����。
后是強(qiáng)化法律監(jiān)督���,提高安全意識����。“國家已經(jīng)出臺了網(wǎng)絡(luò)安全法,目前我們的信息安全有法可依����,同時(shí)也希望業(yè)界不管是科研人員還是開發(fā)人員,或者其他從業(yè)者��,希望大家能夠提高風(fēng)險(xiǎn)意識��,為我們智能硬件快速發(fā)展保駕護(hù)航����,”崔偉男如是表示。
移動版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號
