近年來(lái)，智能硬件產(chǎn)業(yè)蓬勃發(fā)展，預(yù)計(jì)到2018年，我國(guó)智能硬件終端和服務(wù)市場(chǎng)規(guī)模將超5000億元，2020年可達(dá)萬(wàn)億元規(guī)模。

智能硬件產(chǎn)業(yè)蓬勃發(fā)展2018年將達(dá)5千億規(guī)模

在如此龐大的規(guī)模之下，智能硬件安全問(wèn)題也越來(lái)越多的暴露在公眾面前。概括的講，有八大類智能硬件安全問(wèn)題值得關(guān)注：數(shù)據(jù)存儲(chǔ)不安全、服務(wù)端控制措施部署不當(dāng)、傳輸過(guò)程中沒(méi)有加密、手機(jī)客戶端的注入、身份認(rèn)證措施不當(dāng)、密鑰保護(hù)措施不當(dāng)、會(huì)話處理不當(dāng)、敏感數(shù)據(jù)泄露。這其中的種種問(wèn)題，不僅僅影響到個(gè)人信息安全，更直接影響到我們的人身安全，甚至影響到社會(huì)安全和國(guó)家安全。因此，智能硬件安全必須引起高度重視。

基于此，近期，中國(guó)信息通信研究院發(fā)布了《智能硬件安全白皮書》，白皮書指出，目前智能硬件總出貨量非常大，但是針對(duì)智能硬件安全的支出量卻非常小，在2017年，全球在相關(guān)方面的支出是3.48億美元，2018年預(yù)計(jì)會(huì)有5.47億美元。可以看出，數(shù)字雖然非常小，但是增長(zhǎng)率較高，這也反映了業(yè)界對(duì)于智能硬件關(guān)注越來(lái)越強(qiáng)烈。

多重安全技術(shù)指引硬件廠商前行

中國(guó)信息通信研究院智能硬件專家、移動(dòng)智能終端技術(shù)創(chuàng)新與產(chǎn)業(yè)聯(lián)盟智能硬件組組長(zhǎng)崔偉男在接受飛象網(wǎng)采訪時(shí)表示，智能硬件安全相較于傳統(tǒng)硬件安全有兩個(gè)特點(diǎn)，一個(gè)是智能硬件需求差異比較大，二是應(yīng)用場(chǎng)景安全需求等級(jí)不同?！八葬槍?duì)于智能硬件新的特征，也希望產(chǎn)業(yè)界采取一些新的措施和新的技術(shù)，來(lái)應(yīng)對(duì)目前的挑戰(zhàn)?！?/p>

就智能硬件安全技術(shù)分析方面，崔偉男表示，白皮書在系統(tǒng)安全上提出了一個(gè)概念：信息安全基線是一個(gè)信息系統(tǒng)最小安全保障，即該信息系統(tǒng)最基本需要滿足的安全要求，信息安全基線是實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)的前提和基礎(chǔ)。

“我們提出安全度量模型，主要分兩部分，一部分評(píng)估智能硬件系統(tǒng)是否實(shí)施了安全保護(hù)，另外是采取安全防護(hù)技術(shù)強(qiáng)度，通過(guò)計(jì)算，給出安全防護(hù)分?jǐn)?shù)，對(duì)安全進(jìn)行度量。另一方面，我們建議廠商也要注重嵌入系統(tǒng)完整性和測(cè)量，可以提供一些用于檢測(cè)系統(tǒng)更改的工具和接口?！?/p>

在網(wǎng)絡(luò)訪問(wèn)安全控制技術(shù)方面，白皮書建議智能硬件廠商采用訪問(wèn)控制列表，保證云端各服務(wù)組件之間的網(wǎng)絡(luò)訪問(wèn)控制和對(duì)外強(qiáng)制隔離。

崔偉男指出，設(shè)備接入技術(shù)上，智能硬件網(wǎng)關(guān)接入設(shè)計(jì)應(yīng)該保護(hù)業(yè)務(wù)的質(zhì)量和安全。因此有三大功能可以把協(xié)議轉(zhuǎn)換，同時(shí)可以實(shí)現(xiàn)移動(dòng)通信網(wǎng)和互聯(lián)網(wǎng)間的信息轉(zhuǎn)換。一是接入網(wǎng)關(guān)可以提供基礎(chǔ)的管理服務(wù)，二是終端設(shè)備提供身份認(rèn)證，訪問(wèn)控制等安全管控服務(wù)，三是將各種網(wǎng)絡(luò)進(jìn)行互聯(lián)整合，可以借助安全接入網(wǎng)關(guān)平臺(tái)，迅速開(kāi)展網(wǎng)絡(luò)安全應(yīng)用。

目前智能設(shè)備越來(lái)越廣泛地應(yīng)用于商務(wù)、金融和娛樂(lè)行業(yè)，基于遠(yuǎn)程互聯(lián)網(wǎng)服務(wù)器的用戶鑒權(quán)是許多應(yīng)用程序或云服務(wù)的第一個(gè)環(huán)節(jié)，需要采用強(qiáng)身份鑒權(quán)機(jī)制。另外智能硬件會(huì)用到對(duì)稱加密和非對(duì)稱加密項(xiàng)下所有加密技術(shù)，如AES和SSL，但是由于智能硬件自身特點(diǎn)，在選擇加密算法的時(shí)候，必須考慮占有系統(tǒng)資源少或者輕型加密算法來(lái)控制功耗和設(shè)備，“因?yàn)橹悄苡布w型較小，資源比較受限，我們建議智能硬件生產(chǎn)廠商在采用加密算法的時(shí)候要考慮加密技術(shù)。另外對(duì)于多渠道日志，統(tǒng)一進(jìn)行收集存儲(chǔ)，通過(guò)實(shí)施告警和聯(lián)動(dòng)安全防御策略，及時(shí)發(fā)現(xiàn)并處理安全風(fēng)險(xiǎn)，進(jìn)一步提升智能硬件整體安全?！?/p>

就固件安全技術(shù)方面，白皮書指出，固件安全代碼中的安全缺陷具有隱蔽性強(qiáng)、難以檢測(cè)、不易剔除、破壞性強(qiáng)等特點(diǎn)。固件安全主要涉及三個(gè)方面，一個(gè)是可信源驗(yàn)證，二是代碼安全，三是傳輸安全，建議智能硬件生產(chǎn)廠商采用阻止或環(huán)節(jié)針對(duì)設(shè)備固件安全攻擊行為途徑，包括以下幾方面：一是升級(jí)前針對(duì)原始固件進(jìn)行完整性檢查，確保固件升級(jí)服務(wù)穩(wěn)定性和不可篡改性，二是固件升級(jí)中要采用狀態(tài)機(jī)跟蹤和數(shù)據(jù)簽名，三是升級(jí)完成后進(jìn)行完整性安全檢查，建立中期性的固件和更新策略，同時(shí)采用更加安全的技術(shù)。

在客戶端安全技術(shù)方面，目前信通院了解到針對(duì)App攻擊手段較多，智能硬件廠商研發(fā)過(guò)程中也要更加注意到App安全性驗(yàn)證，加強(qiáng)App方面安全防護(hù)。

在云平臺(tái)安全技術(shù)方面，智能硬件設(shè)備的后端云服務(wù)本質(zhì)上是一種Web應(yīng)用，Web應(yīng)用所面臨的安全風(fēng)險(xiǎn)同樣出現(xiàn)在物聯(lián)網(wǎng)云平臺(tái)中。所以白皮書提醒各方多加注意。

基于以上研究，白皮書還提出了智能硬件整體安全架構(gòu)和服務(wù)框架，一是確保設(shè)備安全接入，安全接入網(wǎng)關(guān)提供設(shè)備安全接入網(wǎng)能力，覆蓋設(shè)備授權(quán)、身份鑒權(quán)、密鑰管理、加密傳輸、會(huì)話管理、數(shù)據(jù)簽名等功能，保證數(shù)據(jù)通信和完整性。二是實(shí)現(xiàn)設(shè)備安全管理。三是增強(qiáng)安全態(tài)勢(shì)感知能力。四是全生命周期安全咨詢服務(wù)。

五方面建議促智能硬件快速發(fā)展

在此之上，白皮書近一步為智能硬件產(chǎn)業(yè)安全提出應(yīng)對(duì)策略。首先是建立智能硬件安全應(yīng)急響應(yīng)機(jī)制，希望建立政府、企業(yè)、行業(yè)協(xié)會(huì)、研究機(jī)構(gòu)的聯(lián)動(dòng)機(jī)制，政府可以制定響應(yīng)機(jī)制政策，向社會(huì)公布安全風(fēng)險(xiǎn)，以及漏洞預(yù)警，企業(yè)可以上報(bào)安全風(fēng)險(xiǎn)，提供漏洞修復(fù)和風(fēng)險(xiǎn)評(píng)估。

其次，設(shè)立智能硬件安全等級(jí)體系，目前重點(diǎn)領(lǐng)域主要是包括行業(yè)應(yīng)用和個(gè)人消費(fèi)，針對(duì)個(gè)人消費(fèi)，比如手表手環(huán)可能安全要求比較低，但是行業(yè)應(yīng)用，像能源、交通等。

第三是以安全標(biāo)準(zhǔn)帶動(dòng)產(chǎn)品安全認(rèn)證機(jī)制建立，智能硬件安全較于傳統(tǒng)手機(jī)和其他信息產(chǎn)業(yè)安全，它是云管端安全都涉及到的，我們前期也做了一些工作，希望和業(yè)界專家一起推動(dòng)，不斷完善智能硬件安全系列標(biāo)準(zhǔn)，以及依據(jù)我們安全標(biāo)準(zhǔn)，進(jìn)行一些安全方面的評(píng)測(cè)。

第四，希望各方規(guī)范研發(fā)管理流程，研發(fā)生產(chǎn)安全合規(guī)。在我們開(kāi)發(fā)過(guò)程中，引入安全開(kāi)發(fā)生命周期，結(jié)合企業(yè)級(jí)安全需求和自身項(xiàng)目，來(lái)開(kāi)發(fā)流程，控制項(xiàng)目整體安全風(fēng)險(xiǎn)。這個(gè)主要是針對(duì)企業(yè)方面，我們希望企業(yè)能夠定期評(píng)審保密協(xié)議中的數(shù)據(jù)安全相關(guān)要求，以及希望企業(yè)能夠遵循一些隱私保護(hù)政策。

最后是強(qiáng)化法律監(jiān)督，提高安全意識(shí)?！皣?guó)家已經(jīng)出臺(tái)了網(wǎng)絡(luò)安全法，目前我們的信息安全有法可依，同時(shí)也希望業(yè)界不管是科研人員還是開(kāi)發(fā)人員，或者其他從業(yè)者，希望大家能夠提高風(fēng)險(xiǎn)意識(shí)，為我們智能硬件快速發(fā)展保駕護(hù)航，”崔偉男如是表示。