10月30日, 2018年中國家用電器技術大會全體大會在寧波召開. 會上, 海爾家電產業集團副總裁王曄指出, 安全是貫穿智能技術發展始終的一條中心線; 同樣, 其他演講者也一再強調資訊安全的重要性. 數據機構HIS預測, 隨著物聯網技術的發展, 2018年全球物聯網設備數量 將達到231.4億, 而到2025年, 這一數量或可達到754.4億. 目前, 智能家電物聯網技術仍處於起步階段, 但在可預見的5-10年內, 智能終端設備將進入紅利期. 隨之而來產生的數據, 連接將更廣泛, 資訊安全問題的隱患也隨之擴大.
為了應對智能家電物聯網時代的安全隱患, 2018年4月, 由中國家用電器協會發起的 '云云互聯資訊安全小組' 正式成立, 由 '塗鴉智能' 任組長單位, 包括博西家電, 長虹, 創維, 格蘭仕, 海爾, 海信, 惠而浦, 康佳, 聯想, 美的, 三星, TCL, 雲智易在內的企業積极參与其中.
在本屆技術大會上, 來自 '云云互聯資訊安全小組' 的高級安全專家劉龍威對小組成立後所做的工作進行了彙報.
云云互聯資訊安全小組高級安全專家 劉龍威
劉龍威指出, 隨著智能家電紅利期的來臨, 廣泛產生的數據與連接放大了資訊安全問題. 目前, 物聯網發展模式仍以智能終端對用戶資訊的收集為主, 隨著智能終端切入更多應用場景, 雲端的數據安全與設計缺陷會集中暴露, 增加不穩定因素. 一旦雲端出現問題, 平台上的大量用戶都將面臨極大的不安全性.
目前, 國內外存在眾多物聯網通信協議, 但尚未形成統一的技術標準與安防手段, 通信協議也缺乏規範性. '目前, 很多安防公司都在使用自己的安防協議, 但這些協議並未得到驗證, 如果協議沒有經過加密或授權, 用戶的數據便容易被監聽, 篡改, 甚至惡意控制. 在互聯網時代, 只有手機, 電腦等會受影響; 但物聯網時代, 智能終端深入家家戶戶, 深入公共領域, 一旦產生安全漏洞, 影響將十分惡劣, 如造成用電安全, 甚至帶來用戶人身安全的隱患. '
此外, 目前智能物聯網的應用有企業自己做的系統, 有嵌入利用他人的平台和系統, 多而雜的傳輸通道, 使得終端更容易受到物理攻擊, 漏洞無法有效更新, 增加升級成本. 由此, 統一的技術標準與隱私安全標準勢在必行.
劉龍威曆數了2017年發生的物聯網安全事件, 如3月份, Spiral Toys智能玩具泄露了200萬父母與兒童的語音資訊; 4月, 三星Tizen作業系統被披露存在40多個嚴重安全漏洞, 涉及三星智能電視, 智能手錶等設備, 超4000萬設備受到影響; 同月, 無人機多次入侵成都雙流機場, 百餘航班遭遇迫降或返航; 7月, Avanti Markets自動售貨機泄露用戶數據, 160萬用戶個人資訊被泄露; 8月, 深圳某公司製造的17.5萬台安防攝像頭被爆漏洞; 8月, 超1700對台IOT設備Telnet密碼列表遭泄露; 9月, 藍芽協議爆出嚴重安全漏洞, 影響全球53億設備……
大規模數據隱私, 安全漏洞的暴露, 在近年來導致智能設備被惡意攻擊, 控制的問題日益嚴重, '未來, 我們所見到的安全報告所影響的將不再是百萬級, 而是千萬, 億級規模. '
劉龍威認為, 由於存在海量的設備與多種技術手段, 目前物聯網安全技術發展呈現碎片化與無序狀態, 倒逼規範將其納入正軌. 這也成為云云互聯資訊安全小組成立的基礎. '所謂云云互聯, 實質是企業雲端對雲端的開放. 比如, 以前閉環系統中, 海爾的平台只能控制海爾的產品, 美的的平台只能控制美的產品. 但互聯互通後, 海爾的軟體也可以控制美的的產品, 這對用戶而言是極其友好方便的. 但隨著雲端邊界的擴大, 風險入口也在增加, 資訊系統管理體系的風險在增加, 數據和隱私安全的威脅也在增加. 當一個雲端平台受到影響, 它會將這種影響傳導給其他平台的設備. 這就提出了以下互聯安全需求: 提高資訊安全准入門檻, 統一安全技術標準與方案, 標準化的資訊安全管理, 數據和隱私的安全保護. '
據劉龍威介紹, 目前國內外尚無被統一認可的資訊安全標準與法規, 但各國都在針對類似標規積極制定中. 如國內的 '中國網路安全等級保護' , '可信雲服務認證' , '資訊技術安全性評估標準' 等; 國際上的ISO資訊安全標準, ISO2017雲服務安全標準等. '目前的資訊安全標準缺乏對物聯網特有場景的關注, 不過隱私安全逐步有了清晰的法律要求, 如歐盟發布的 '一般數據保護條例 (GDRP) ' , 是世界上首個對數據安全的法律界定, 目前包括美國等國家都在積極制定類似法律. 我們相信隨著物聯網的發展, 將有越來越多法律來規範資訊安全的落地. '
在這種大背景下, 云云互聯資訊安全小組的誕生恰逢其時. '從4月份小組成立後, 會員單位每1-2周便會進行一次電話會議. 在4, 5月份敲定了標準大綱, 之後便開始了標準的起草和不斷修訂; 8月開始, 形成了標準版討論稿《智能家電云云互聯互通標準 第2部分: 資訊安全 (徵求意見稿) 》. 目前, 我們處於對外徵求意見期間. '
劉龍威介紹說, '制定該資訊安全標準的目的是幫助互聯互通的企業達成一致的資訊安全規範, 保障雙方權益, 遏制因共用而產生的安全風險. 該標準的第一部分主要圍繞互聯互通介面安全規範, 針對不同企業雲端的介面技術安全進行了規範, 包括介面的使用權, 安全協議, 認證授權, 後續服務等; 第二部分涉及安全事件管理要求, 規範了安全事件的協同管理, 規範了哪些是個體責任, 哪些是大家共同承擔的責任, 以及在治理過程中的服務條款等; 第三部分涉及數據與隱私保護建議, 針對智能終端產品在研發, 製造, 物流, 服務, 使用到銷毀整個生命周期過程中的數據隱私安全, 規範了統一的技術手段和相應保障. '
會上, 劉龍威還對該標準大綱進行了宣貫, 其中, 介面安全部分包括通訊安全, 認證與授權, 數據過濾, 錯誤資訊處理, 服務穩定性和日誌審計; 安全事件管理包括安全事件管理和分級, 責任模型, 服務條款, 應急響應, 時間通告, 持續改進等; 而隱私安全部分主要包括數據產生和收集, 數據傳輸, 使用, 保存和銷毀.
目前, 大家可登陸www.cheaa.org 對該標準意見稿進行資訊反饋, 以期更好地促進智能家電安全發展.