Am 30. Oktober fand in Ningbo die China Household Electrical Appliances Technology Conference 2018 statt, auf der Wang Hao, Vizepräsident der Industry Group Haier Home Appliances, feststellte, dass Sicherheit eine zentrale Linie für die Entwicklung intelligenter Technologien ist Hervorhebung der Bedeutung der Informationssicherheit: Die Datenorganisation HIS prognostiziert, dass mit der Entwicklung der Internet of Things-Technologie die Anzahl der globalen IoT-Geräte im Jahr 2018 steigt Sie wird 23,14 Milliarden erreichen, und bis 2025 könnte die Zahl 75,44 Milliarden betragen. Derzeit steckt die Smart-Home-Technologie Internet of Things noch in den Kinderschuhen, aber in den absehbaren 5-10 Jahren werden intelligente Terminals in die Dividendenperiode eintreten. Infolgedessen werden die Daten stärker miteinander verknüpft, und die versteckten Gefahren von Informationssicherheitsproblemen werden ebenfalls größer.
Um den Sicherheitsrisiken in der Ära der intelligenten Haushaltsgeräte Internet of Things zu begegnen, wurde im April 2018 das von der China Household Electrical Appliances Association initiierte "Yunyun Internet Information Security Team" formell gegründet, und die "Graffiti Intelligence" war die führende Einheit, einschließlich Bosi Home Appliances in Changhong. Skyworth, Galanz, Haier, Hisense, Whirlpool, Konka, Lenovo, Midea, Samsung, TCL und Yunzhiyi sind aktiv beteiligt.
Bei dieser technischen Konferenz berichtete Liu Longwei, ein hochrangiger Sicherheitsexperte der "Internet Information Security Group" von Yunyun, über die nach der Gründung der Gruppe geleistete Arbeit.
Leitender Sicherheitsspezialist der Yunyun Internet Information Security Group Liu Longwei
Liu Longwei wies darauf hin, dass mit dem Aufkommen der Smart-Appliance-Dividendenperiode die weit verbreiteten Daten und Verbindungen das Informationssicherheitsproblem verstärkt haben. Derzeit konzentriert sich das Internet of Things-Entwicklungsmodell immer noch auf die Sammlung von Benutzerinformationen durch intelligente Terminals und mehr Anwendungen für intelligente Terminals. Szenarien, Cloud-Datensicherheit und Design-Fehler werden aufgedeckt und die Instabilität erhöht: Sobald ein Problem in der Cloud auftritt, ist eine große Anzahl von Benutzern der Plattform mit großer Unsicherheit konfrontiert.
Gegenwärtig gibt es viele Kommunikationsprotokolle von Internet of Things im In- und Ausland, aber es wurden keine einheitlichen technischen Standards und Sicherheitsmaßnahmen gebildet, und Kommunikationsprotokolle sind ebenfalls nicht normativ. “Derzeit verwenden viele Sicherheitsunternehmen ihre eigenen Sicherheitsprotokolle, aber diese Protokolle wurden nicht verifiziert. Wenn das Protokoll nicht verschlüsselt oder autorisiert ist, können die Daten des Benutzers leicht überwacht, manipuliert oder sogar böswillig kontrolliert werden: In der Internet-Ära sind nur Mobiltelefone, Computer usw. betroffen, während in der Internet of Things-Ära intelligente Terminals in Haushalte und öffentliche Bereiche eindrangen. Sobald eine Sicherheitsverletzung auftritt, werden die Auswirkungen sehr schwerwiegend sein, beispielsweise die Sicherheit der Elektrizität und sogar die verborgenen Gefahren für die persönliche Sicherheit des Benutzers.
Außerdem hat die derzeitige Anwendung des intelligenten Internets der Dinge ein eigenes System, eingebettete Plattformen und Systeme, die andere verwenden, und viele Übertragungskanäle, wodurch das Endgerät anfälliger für physische Angriffe wird. Die Sicherheitsanfälligkeit kann nicht effektiv aktualisiert werden, und die Upgrade-Kosten steigen. 4. Einheitliche technische Standards und Datenschutzstandards sind unerlässlich.
Liu Longwei zählte die Sicherheitsvorfälle im Internet der Dinge im Jahr 2017. Zum Beispiel enthüllte Spiral Toys im März 2 Millionen Sprachnachrichten von Eltern und Kindern. Im April wurde das Betriebssystem Samsung Tizen mit mehr als 40 schwerwiegenden Sicherheitslücken im Zusammenhang mit Samsung aufgedeckt. Smart TV, Smartwatches und andere Ausrüstungen, mehr als 40 Millionen Geräte waren betroffen: Im selben Monat drangen wiederholt Drohnen in den Flughafen Chengdu Shuangliu ein, mehr als 100 Flüge wurden gezwungen gelandet oder zurückgegeben. Im Juli durchliefen die Automaten von Avanti Markets Benutzerdaten mit 1,6 Millionen Nutzern Persönliche Informationen wurden durchgesickert: Im August wurden 175.000 Sicherheitskameras, die von einem Unternehmen in Shenzhen hergestellt wurden, durchgesickert, im August wurde die Liste der Telnet-Kennwörter für über 1700 IOT-Geräte durchgesickert, und im September brach das Bluetooth-Protokoll einen schwerwiegenden Sicherheitsverstoß, der die Welt betrifft Milliardenausstattung ...
Der umfassende Datenschutz und die Verbreitung von Sicherheitslücken haben in den letzten Jahren zu bösartigen Angriffen auf intelligente Geräte geführt. Das Problem der Kontrolle wird immer schwerwiegender. “In Zukunft werden die Sicherheitsberichte, die wir sehen, keine Millionen von Dollars mehr sein, sondern Tausende. Zehntausend Milliarden. "
Liu Longwei ist der Ansicht, dass die Entwicklung der IoT-Sicherheitstechnologie aufgrund einer großen Anzahl von Geräten und verschiedenen technischen Mitteln fragmentiert und ungeordnet ist und zwangsläufig auf den richtigen Weg gebracht werden muss, was auch zur Grundlage für die Gründung der Yunyun Internet Information Security Group wurde. Cloud- und Cloud-Interconnection stellt im Wesentlichen die Öffnung der Enterprise-Cloud für die Cloud dar. Beispielsweise kann die Plattform von Haier im bisherigen Closed-Loop-System nur die Produkte von Haier steuern, und die US-Plattform kann nur die Produkte in den USA steuern. Das Produkt ist äußerst benutzerfreundlich und praktisch für die Benutzer, aber mit der Erweiterung der Cloud-Grenze steigt auch das Risikoportal, das Risiko des Informationssystem-Verwaltungssystems steigt, und die Gefahr für die Sicherheit von Daten und der Privatsphäre nimmt zu Die Plattform ist betroffen und wird diese Auswirkungen auf andere Plattformen übertragen. Dies führt zu den folgenden Sicherheitsanforderungen für die Verbindung: Verbesserte Eintrittsbarrieren für die Informationssicherheit, vereinheitlichte Sicherheitstechnologiestandards und -lösungen, standardisiertes Informationssicherheitsmanagement, Daten und Datenschutz Sicherheitsschutz. '
Laut Liu Longwei gibt es im In- und Ausland keine einheitlichen Standards und Vorschriften für die Informationssicherheit, aber alle Länder arbeiten aktiv an ähnlichen Standards, wie zum Beispiel den inländischen „China Network Security Level Protection“ und „Trusted Cloud Service Certification“. „Sicherheitsstandards für die Informationstechnologie in Bezug auf die Informationstechnologie“ usw. Internationale ISO-Sicherheitsstandards für Informationen, ISO2017-Sicherheitsstandards für Cloud-Dienste usw. Die aktuellen Standards für die Informationssicherheit lassen die einzigartigen Szenarien des Internets der Dinge außer Acht, doch für Datenschutz und Sicherheit gelten nach und nach klare gesetzliche Anforderungen Die von der Europäischen Union herausgegebenen Allgemeinen Datenschutzbestimmungen (GDRP) stellen die weltweit erste rechtliche Definition von Datensicherheit dar. Derzeit formulieren Länder wie die Vereinigten Staaten aktiv ähnliche Gesetze. Wir glauben, dass es mit der Entwicklung des Internet der Dinge mehr geben wird Je mehr Gesetze die Landung der Informationssicherheit regeln. '
In diesem Zusammenhang wurde das Internet-Informationssicherheitsteam von Yunyun zur richtigen Zeit geboren. “Seit der Gründung der Gruppe im April werden die Mitgliedsabteilungen alle 1-2 Wochen telefonisch abgehalten. Im April und Mai wurde die Standardstruktur festgelegt. Danach begann der Standardentwurf und die fortlaufende Überarbeitung. Im August wurde eine Standardversion des Diskussionspapiers "Smart Appliances Cloud und Cloud Interconnection Standard Teil 2: Informationssicherheit (Entwurf für Kommentar)" gebildet. Derzeit suchen wir nach Kommentaren. . '
Liu Longwei sagte: "Der Zweck dieses Informationssicherheitsstandards besteht darin, verbundenen Unternehmen dabei zu helfen, eine konsistente Informationssicherheitsspezifikation zu erreichen, die Rechte und Interessen beider Parteien zu schützen und die aus dem Austausch resultierenden Sicherheitsrisiken einzudämmen. Der erste Teil des Standards konzentriert sich hauptsächlich auf die Sicherheitsspezifikation für die Zusammenschaltung. Die Sicherheit der Schnittstellentechnologie verschiedener Enterprise-Clouds ist standardisiert, einschließlich des Rechts zur Verwendung von Schnittstellen, Sicherheitsprotokollen, Authentifizierung und Autorisierung, Folgeservices usw. Der zweite Teil befasst sich mit den Anforderungen an das Sicherheitsereignis-Management, standardisiert die kollaborative Verwaltung von Sicherheitsereignissen und regelt, welche Eigenverantwortung, welche gemeinsamen Verantwortlichkeiten und Servicebedingungen im Governance-Prozess: Der dritte Teil befasst sich mit Empfehlungen zum Schutz von Daten und zum Schutz der Privatsphäre von intelligenten Terminals in Forschung und Entwicklung, Fertigung, Logistik und Dienstleistungen, um den gesamten Lebenszyklus zu zerstören Der Datenschutz in diesem Prozess ist standardisiert und die einheitlichen technischen Mittel und entsprechenden Garantien sind standardisiert. '
Während des Meetings veröffentlichte Liu Longwei auch die Standard-Gliederung: Die Sicherheitskomponente umfasst Sicherheit, Authentifizierung und Autorisierung, Datenfilterung, Fehlerinformationsverarbeitung, Dienststabilität und Protokollprüfung sowie das Management von Sicherheitsereignissen und das Verwalten von Sicherheitsereignissen. , Verantwortungsmodell, Servicebedingungen, Notfallmaßnahmen, Zeitbenachrichtigung, kontinuierliche Verbesserung usw. und die Datensicherheit umfasst hauptsächlich das Generieren und Sammeln von Daten, die Datenübertragung, die Verwendung, die Aufbewahrung und die Vernichtung.
Derzeit können Sie unter www.cheaa.org Feedback zum Normentwurf geben, um die sichere Entwicklung von intelligenten Haushaltsgeräten besser zu fördern.