10月30日,2018年中国家用电器技术大会全体大会在宁波召开。会上,海尔家电产业集团副总裁王晔指出,安全是贯穿智能技术发展始终的一条中心线;同样,其他演讲者也一再强调信息安全的重要性。数据机构HIS预测,随着物联网技术的发展,2018年全球物联网设备数量将达到231.4亿,而到2025年,这一数量或可达到754.4亿。目前,智能家电物联网技术仍处于起步阶段,但在可预见的5-10年内,智能终端设备将进入红利期。随之而来产生的数据、连接将更广泛,信息安全问题的隐患也随之扩大。
为了应对智能家电物联网时代的安全隐患,2018年4月,由中国家用电器协会发起的“云云互联信息安全小组”正式成立,由“涂鸦智能”任组长单位,包括博西家电、长虹、创维、格兰仕、海尔、海信、惠而浦、康佳、联想、美的、三星、TCL、云智易在内的企业积极参与其中。
在本届技术大会上,来自“云云互联信息安全小组”的高级安全专家刘龙威对小组成立后所做的工作进行了汇报。
云云互联信息安全小组高级安全专家 刘龙威
刘龙威指出,随着智能家电红利期的来临,广泛产生的数据与连接放大了信息安全问题。目前,物联网发展模式仍以智能终端对用户信息的收集为主,随着智能终端切入更多应用场景,云端的数据安全与设计缺陷会集中暴露、增加不稳定因素。一旦云端出现问题,平台上的大量用户都将面临极大的不安全性。
目前,国内外存在众多物联网通信协议,但尚未形成统一的技术标准与安防手段,通信协议也缺乏规范性。“目前,很多安防公司都在使用自己的安防协议,但这些协议并未得到验证,如果协议没有经过加密或授权,用户的数据便容易被监听、篡改、甚至恶意控制。在互联网时代,只有手机、电脑等会受影响;但物联网时代,智能终端深入家家户户,深入公共领域,一旦产生安全漏洞,影响将十分恶劣,如造成用电安全,甚至带来用户人身安全的隐患。”
此外,目前智能物联网的应用有企业自己做的系统,有嵌入利用他人的平台和系统,多而杂的传输通道,使得终端更容易受到物理攻击,漏洞无法有效更新,增加升级成本。由此,统一的技术标准与隐私安全标准势在必行。
刘龙威历数了2017年发生的物联网安全事件,如3月份,Spiral Toys智能玩具泄露了200万父母与儿童的语音信息;4月,三星Tizen操作系统被披露存在40多个严重安全漏洞,涉及三星智能电视、智能手表等设备,超4000万设备受到影响;同月,无人机多次入侵成都双流机场,百余航班遭遇迫降或返航;7月,Avanti Markets自动售货机泄露用户数据,160万用户个人信息被泄露;8月,深圳某公司制造的17.5万台安防摄像头被爆漏洞;8月,超1700对台IOT设备Telnet密码列表遭泄露;9月,蓝牙协议爆出严重安全漏洞,影响全球53亿设备……
大规模数据隐私、安全漏洞的暴露,在近年来导致智能设备被恶意攻击、控制的问题日益严重,“未来,我们所见到的安全报告所影响的将不再是百万级,而是千万、亿级规模。”
刘龙威认为,由于存在海量的设备与多种技术手段,目前物联网安全技术发展呈现碎片化与无序状态,倒逼规范将其纳入正轨。这也成为云云互联信息安全小组成立的基础。“所谓云云互联,实质是企业云端对云端的开放。比如,以前闭环系统中,海尔的平台只能控制海尔的产品,美的的平台只能控制美的产品。但互联互通后,海尔的软件也可以控制美的的产品,这对用户而言是极其友好方便的。但随着云端边界的扩大,风险入口也在增加,信息系统管理体系的风险在增加,数据和隐私安全的威胁也在增加。当一个云端平台受到影响,它会将这种影响传导给其他平台的设备。这就提出了以下互联安全需求:提高信息安全准入门槛,统一安全技术标准与方案,标准化的信息安全管理,数据和隐私的安全保护。”
据刘龙威介绍,目前国内外尚无被统一认可的信息安全标准与法规,但各国都在针对类似标规积极制定中。如国内的“中国网络安全等级保护”、“可信云服务认证”、“信息技术安全性评估标准”等;国际上的ISO信息安全标准、ISO2017云服务安全标准等。“目前的信息安全标准缺乏对物联网特有场景的关注,不过隐私安全逐步有了清晰的法律要求,如欧盟发布的‘一般数据保护条例(GDRP)’,是世界上首个对数据安全的法律界定,目前包括美国等国家都在积极制定类似法律。我们相信随着物联网的发展,将有越来越多法律来规范信息安全的落地。”
在这种大背景下,云云互联信息安全小组的诞生恰逢其时。“从4月份小组成立后,会员单位每1-2周便会进行一次电话会议。在4、5月份敲定了标准大纲,之后便开始了标准的起草和不断修订;8月开始,形成了标准版讨论稿《智能家电云云互联互通标准 第2部分:信息安全(征求意见稿)》。目前,我们处于对外征求意见期间。”
刘龙威介绍说,“制定该信息安全标准的目的是帮助互联互通的企业达成一致的信息安全规范,保障双方权益,遏制因共享而产生的安全风险。该标准的第一部分主要围绕互联互通接口安全规范,针对不同企业云端的接口技术安全进行了规范,包括接口的使用权、安全协议、认证授权、后续服务等;第二部分涉及安全事件管理要求,规范了安全事件的协同管理,规范了哪些是个体责任,哪些是大家共同承担的责任,以及在治理过程中的服务条款等;第三部分涉及数据与隐私保护建议,针对智能终端产品在研发、制造、物流、服务、使用到销毁整个生命周期过程中的数据隐私安全,规范了统一的技术手段和相应保障。”
会上,刘龙威还对该标准大纲进行了宣贯,其中,接口安全部分包括通讯安全、认证与授权、数据过滤、错误信息处理、服务稳定性和日志审计;安全事件管理包括安全事件管理和分级、责任模型、服务条款、应急响应、时间通告、持续改进等;而隐私安全部分主要包括数据产生和收集、数据传输、使用、保存和销毁。
目前,大家可登陆www.cheaa.org 对该标准意见稿进行信息反馈,以期更好地促进智能家电安全发展。