智慧家電即將進入紅利期 云云互聯資訊保安標準意見徵求中
10月30日,2018年中國家用電器技術大會全體大會在寧波召開。會上,海爾家電產業集團副總裁王曄指出,安全是貫穿智慧技術發展始終的一條中心線;同樣,其他演講者也一再強調資訊保安的重要性。資料機構HIS預測,隨著物聯網技術的發展,2018年全球物聯網裝置數量將達到231.4億,而到2025年,這一數量或可達到754.4億。目前,智慧家電物聯網技術仍處於起步階段,但在可預見的5-10年內,智慧終端裝置將進入紅利期。隨之而來產生的資料、連線將更廣泛,資訊保安問題的隱患也隨之擴大。
為了應對智慧家電物聯網時代的安全隱患,2018年4月,由中國家用電器協會發起的云云互聯資訊保安小組正式成立,由塗鴉智慧任組長單位,包括博西家電、長虹、創維、格蘭仕、海爾、海信、惠而浦、康佳、聯想、美的、三星、TCL、雲智易在內的企業積極參與其中。
在本屆技術大會上,來自云云互聯資訊保安小組的高階安全專家劉龍威對小組成立後所做的工作進行了彙報。
云云互聯資訊保安小組高階安全專家 劉龍威
劉龍威指出,隨著智慧家電紅利期的來臨,廣泛產生的資料與連線放大了資訊保安問題。目前,物聯網發展模式仍以智慧終端對使用者資訊的收集為主,隨著智慧終端切入更多應用場景,雲端的資料安全與設計缺陷會集中暴露、增加不穩定因素。一旦雲端出現問題,平臺上的大量使用者都將面臨極大的不安全性。
目前,國內外存在眾多物聯網通訊協議,但尚未形成統一的技術標準與安防手段,通訊協議也缺乏規範性。目前,很多安防公司都在使用自己的安防協議,但這些協議並未得到驗證,如果協議沒有經過加密或授權,使用者的資料便容易被監聽、篡改、甚至惡意控制。在網際網路時代,只有手機、電腦等會受影響;但物聯網時代,智慧終端深入家家戶戶,深入公共領域,一旦產生安全漏洞,影響將十分惡劣,如造成用電安全,甚至帶來使用者人身安全的隱患。
此外,目前智慧物聯網的應用有企業自己做的系統,有嵌入利用他人的平臺和系統,多而雜的傳輸通道,使得終端更容易受到物理攻擊,漏洞無法有效更新,增加升級成本。由此,統一的技術標準與隱私安全標準勢在必行。
劉龍威歷數了2017年發生的物聯網安全事件,如3月份,Spiral Toys智慧玩具洩露了200萬父母與兒童的語音資訊;4月,三星Tizen作業系統被披露存在40多個嚴重安全漏洞,涉及三星智慧電視、智慧手錶等裝置,超4000萬裝置受到影響;同月,無人機多次入侵成都雙流機場,百餘航班遭遇迫降或返航;7月,Avanti Markets自動售貨機洩露使用者資料,160萬用戶個人資訊被洩露;8月,深圳某公司製造的17.5萬檯安防攝像頭被爆漏洞;8月,超1700對臺IOT裝置Telnet密碼列表遭洩露;9月,藍芽協議爆出嚴重安全漏洞,影響全球53億裝置
大規模資料隱私、安全漏洞的暴露,在近年來導致智慧裝置被惡意攻擊、控制的問題日益嚴重,未來,我們所見到的安全報告所影響的將不再是百萬級,而是千萬、億級規模。
劉龍威認為,由於存在海量的裝置與多種技術手段,目前物聯網安全技術發展呈現碎片化與無序狀態,倒逼規範將其納入正軌。這也成為云云互聯資訊保安小組成立的基礎。所謂云云互聯,實質是企業雲端對雲端的開放。比如,以前閉環系統中,海爾的平臺只能控制海爾的產品,美的的平臺只能控制美的產品。但互聯互通後,海爾的軟體也可以控制美的的產品,這對使用者而言是極其友好方便的。但隨著雲端邊界的擴大,風險入口也在增加,資訊系統管理體系的風險在增加,資料和隱私安全的威脅也在增加。當一個雲端平臺受到影響,它會將這種影響傳導給其他平臺的裝置。這就提出了以下互聯安全需求:提高資訊保安准入門檻,統一安全技術標準與方案,標準化的資訊保安管理,資料和隱私的安全保護。
據劉龍威介紹,目前國內外尚無被統一認可的資訊保安標準與法規,但各國都在針對類似標規積極制定中。如國內的中國網路安全等級保護、可信雲服務認證、資訊科技安全性評估標準等;國際上的ISO資訊保安標準、ISO2017雲服務安全標準等。目前的資訊保安標準缺乏對物聯網特有場景的關注,不過隱私安全逐步有了清晰的法律要求,如歐盟釋出的一般資料保護條例(GDRP)’,是世界上首個對資料安全的法律界定,目前包括美國等國家都在積極制定類似法律。我們相信隨著物聯網的發展,將有越來越多法律來規範資訊保安的落地。
在這種大背景下,云云互聯資訊保安小組的誕生恰逢其時。從4月份小組成立後,會員單位每1-2周便會進行一次電話會議。在4、5月份敲定了標準大綱,之後便開始了標準的起草和不斷修訂;8月開始,形成了標準版討論稿《智慧家電云云互聯互通標準 第2部分:資訊保安(徵求意見稿)》。目前,我們處於對外徵求意見期間。
劉龍威介紹說,制定該資訊保安標準的目的是幫助互聯互通的企業達成一致的資訊保安規範,保障雙方權益,遏制因共享而產生的安全風險。該標準的第一部分主要圍繞互聯互通介面安全規範,針對不同企業雲端的介面技術安全進行了規範,包括介面的使用權、安全協議、認證授權、後續服務等;第二部分涉及安全事件管理要求,規範了安全事件的協同管理,規範了哪些是個體責任,哪些是大家共同承擔的責任,以及在治理過程中的服務條款等;第三部分涉及資料與隱私保護建議,針對智慧終端產品在研發、製造、物流、服務、使用到銷燬整個生命週期過程中的資料隱私安全,規範了統一的技術手段和相應保障。
會上,劉龍威還對該標準大綱進行了宣貫,其中,介面安全部分包括通訊安全、認證與授權、資料過濾、錯誤資訊處理、服務穩定性和日誌審計;安全事件管理包括安全事件管理和分級、責任模型、服務條款、應急響應、時間通告、持續改進等;而隱私安全部分主要包括資料產生和收集、資料傳輸、使用、儲存和銷燬。
目前,大家可登陸www.cheaa.org 對該標準意見稿進行資訊反饋,以期更好地促進智慧家電安全發展。