淺談智能家電的產(chǎn)品安全的風(fēng)險管理

鮑建科

松下家電研究開發(fā)（杭州）有限公司 浙江杭州 310018

1 引言

每個人的生活都離不開家庭，離不開家電，高速發(fā)展的現(xiàn)代化生活促使原本單一的生活方式走向智能化。智能家電系統(tǒng)為人們提供方便舒適生活的同時，也要保障使用者的生命財產(chǎn)安全，安全系數(shù)低的智能家電系統(tǒng)無疑是在家中埋下的一顆炸彈，廠商在開發(fā)新穎的智能家居系統(tǒng)的同時更要注重智能家居系統(tǒng)的安全性。其實(shí)家電產(chǎn)品的安全問題一直存在，不過隨著智能化技術(shù)的引入，家電在接入網(wǎng)絡(luò)之后，除了“傳統(tǒng)”的電器安全（Safety）之外，又多了一個產(chǎn)品安全（Security）問題。

2017年以來，智能家電站在了行業(yè)的風(fēng)口。十九大報告指出，我國社會主要矛盾已經(jīng)轉(zhuǎn)化為人民日益增長的對美好生活需要和不平衡不充分的發(fā)展之間的矛盾。智能家電能夠?yàn)槿藗兲峁┿裤降纳钚枨?，將迎來高速擴(kuò)張期，而網(wǎng)絡(luò)安全也將成為其最大的問題之一。

2 智能家電系統(tǒng)安全的新挑戰(zhàn)

2.1 智能家電系統(tǒng)的構(gòu)成

當(dāng)前智能家電系統(tǒng)主流是由云服務(wù)器、寬帶路由器、智能手機(jī)以及無線模塊等連接智能家電而構(gòu)成的，如圖1所示。在系統(tǒng)使用時，給用戶統(tǒng)一特定的客戶ID，進(jìn)行智能家電的登錄，客戶登入的ID與家電和使用履歷等情報綁定。另外，家電情報等信息是通過無線模塊和無線網(wǎng)關(guān)，從網(wǎng)絡(luò)供應(yīng)商網(wǎng)那里向服務(wù)器發(fā)送信息。像上述那樣，在用戶無意識的情況下進(jìn)行家電情報的收集和積累。通過空氣發(fā)送和接收數(shù)據(jù)，使用無線電波傳輸數(shù)據(jù)信號，比較容易受到外界的干擾。數(shù)據(jù)包在傳送的過程中都可能被外界檢測或接收，信息安全是個隱患，雖然數(shù)據(jù)可以經(jīng)過加密后傳輸，但在數(shù)據(jù)包足夠多的情況下，仍有被黑客破解的可能。

2.2 智能家電系統(tǒng)的安全隱患

同過去在家中使用的單品家電產(chǎn)品相比，通過IP網(wǎng)絡(luò)、無線、USB等接口和外設(shè)連接的產(chǎn)品安全的對象產(chǎn)品，由于能夠接入網(wǎng)絡(luò)，其內(nèi)部保存的個人信息、受著作權(quán)保護(hù)的內(nèi)容、服務(wù)的密碼等存在很大的安全風(fēng)險。因此如果不采取充分的安全對策，當(dāng)不法訪問或者信息泄露等發(fā)生時，將給顧客帶來很大的麻煩，也會導(dǎo)致家電廠商的品牌形象下滑。

此外，由于使用者對家電品牌的質(zhì)量抱有很高的期望，即使是PC等電腦產(chǎn)品所能允許的安全事故也會嚴(yán)格要求家電品牌。與此同時，和電腦產(chǎn)品相比家電產(chǎn)品的使用者更多，平均的技術(shù)水平比較低，威脅發(fā)生的可能性也就更高。保護(hù)因?yàn)榧夹g(shù)水平低而在網(wǎng)絡(luò)上成為弱者的消費(fèi)者，是家電品牌廠商的重要責(zé)任?？赡馨l(fā)生的威脅比如以下幾種：產(chǎn)品使用者個人信息的泄露；廢棄、修理時的處理不當(dāng)導(dǎo)致使用者個人信息的泄露；具有惡意的第三者對產(chǎn)品的不正當(dāng)操作；妨礙產(chǎn)品的正常功能。

2.3 新的安全問題的原因分析

智能家電系統(tǒng)將面臨產(chǎn)品安全新的挑戰(zhàn)，黑客可選擇的攻擊數(shù)量多、涉及面更廣。數(shù)量多，意味著漏洞多，攻擊資源多；面更廣，意味著各種傳感器的多種交互通道，攻擊面積大。通信、終端、云端都存在安全風(fēng)險，任何一點(diǎn)被攻破都有可能影響整個IOT生態(tài)；產(chǎn)業(yè)鏈更長，芯片、模組、設(shè)備、應(yīng)用、云服務(wù)各生產(chǎn)環(huán)節(jié)都可能被攻擊，涉及領(lǐng)域遠(yuǎn)超過去，威脅領(lǐng)域擴(kuò)散時關(guān)聯(lián)更多關(guān)鍵行業(yè)；更加貼近用戶，功能更豐富，也更敏感致命；缺少基礎(chǔ)安全服務(wù)，漏洞利用成本低，黑客更容易入侵。

如上所述，和過去相比，智能家電系統(tǒng)涉及到的企業(yè)和領(lǐng)域更多，需要做的工作更多，相互依賴性更強(qiáng)，關(guān)系更復(fù)雜，可是家電廠商的物聯(lián)網(wǎng)開發(fā)經(jīng)驗(yàn)和能力較少，因此有必要通過生態(tài)的方式互相協(xié)作與支持。而建立物聯(lián)網(wǎng)安全生態(tài)也存在若干課題：首先，安全成本高，中小創(chuàng)新廠商多，而新產(chǎn)品增加安全方案導(dǎo)致成本過高；其次，標(biāo)準(zhǔn)化程度低，產(chǎn)業(yè)合作成本高，方案碎片化，缺少產(chǎn)品安全開發(fā)指引；另外，安全方案規(guī)模化成本高，建立安全基礎(chǔ)服務(wù)難，垂直領(lǐng)域的安全方案較少?，F(xiàn)階段智能家電安全生態(tài)建立的首要對策是整個智能家電行業(yè)的共建標(biāo)準(zhǔn)，實(shí)現(xiàn)互通，指引安全開發(fā)；搭建安全測試等基礎(chǔ)安全服務(wù)，為物聯(lián)網(wǎng)生態(tài)發(fā)展保駕護(hù)航。但是，作為家電廠商自己，其內(nèi)部必須要有完善的、加入了產(chǎn)品安全內(nèi)容的商品開發(fā)流程。

3 家電廠商的產(chǎn)品安全風(fēng)險管理

作為家電廠商，制造出安全風(fēng)險為零的產(chǎn)品是理想的，但是在軟件產(chǎn)品中制造出這樣的產(chǎn)品是非常困難的，不可能有安全風(fēng)險為零的產(chǎn)品。為了保證安全風(fēng)險在實(shí)用時不會出現(xiàn)，進(jìn)行產(chǎn)品的整個生命周期安全的風(fēng)險管理是必要的。這里的產(chǎn)品的安全周期分為企劃、設(shè)計、制造、測試、出貨后。支撐產(chǎn)品安全有兩個支柱，一是風(fēng)險的最小化，二是意外事件的對應(yīng)，如圖2所示。

3.1 最小化風(fēng)險

為實(shí)現(xiàn)最小化風(fēng)險，首先威脅分析應(yīng)在產(chǎn)品的企劃階段開始，切實(shí)地反映到產(chǎn)品中。并且，在開始威脅分析的企劃階段，預(yù)想了產(chǎn)品的功能等未確定的事項(xiàng)。因此，威脅分析并不是只在企劃階段實(shí)施一回，在產(chǎn)品開發(fā)到結(jié)束的期間內(nèi)，產(chǎn)品的功能確定時，以及功能變更等情況下，有必要進(jìn)行多回修改，以符合產(chǎn)品的實(shí)際狀態(tài)。其次，在設(shè)計階段實(shí)施安全性設(shè)計，對危險分析討論的對策進(jìn)行詳細(xì)化，將安全性的詳細(xì)需求反映到模塊和系統(tǒng)的設(shè)計中。編碼階段，要按照編碼規(guī)約作成代碼，實(shí)施安全編碼，通過工具檢查出違反編碼規(guī)約的問題以及脆弱性，實(shí)施靜態(tài)解析。最后，在測試階段驗(yàn)證安全性，主要目的是要確認(rèn)安全設(shè)計階段的設(shè)計活動，抽出編碼階段引入的脆弱性并修改，可以通過使用和攻擊者同樣的手法、工具對產(chǎn)品進(jìn)行攻擊驗(yàn)證。

最小化風(fēng)險的措施中有各種各樣的內(nèi)容，但是作為最基本的產(chǎn)品措施，實(shí)施下面的內(nèi)容是有必要的：（1）關(guān)于全體軟件，產(chǎn)品中裝載的軟件成為可能更新的結(jié)構(gòu)；使用開放源代碼軟件時使用最新穩(wěn)定安裝版；（2）關(guān)于認(rèn)證信息，ID、密碼等重要信息在代碼中不能寫死，不原封不動的保存密碼字符串（施行散列化等）；（3）關(guān)于診斷，產(chǎn)品發(fā)布前，需要根據(jù)漏洞工具實(shí)施診斷，確認(rèn)沒有問題。

圖1 智能家電系統(tǒng)的構(gòu)成

圖2 產(chǎn)品整個生命周期的安全應(yīng)對

3.2 意外事件的對應(yīng)

產(chǎn)品安全的意外事件發(fā)生時，為了把危害降低到最小，能夠迅速采取適當(dāng)?shù)膽?yīng)對措施，必須做好意外事件的對應(yīng)。其中的意外事件包括：公司的產(chǎn)品中發(fā)生的由安全問題引發(fā)的造成損失的事件；由安全性企業(yè)公布的公司產(chǎn)品的安全漏洞；通過公司外部其他渠道獲知的公司產(chǎn)品的安全漏洞。

意外事件對應(yīng)包含從初期階段的信息收集等到后期實(shí)施對策、公開為止的多個階段。另外，意外事件的對應(yīng)不僅僅是技術(shù)部門，還需要公司內(nèi)的宣傳部門等多個部門配合一起推進(jìn)。意外事件對應(yīng)基本原則有兩點(diǎn)，公開信息和向漏洞發(fā)現(xiàn)者進(jìn)行報告。

（1）應(yīng)對意外事件雖然會正常進(jìn)行，但是容易發(fā)展成對外隱藏意外事件已經(jīng)發(fā)生，內(nèi)部進(jìn)行私下處理。但是，不僅為了符合法律要求，考慮到對于利害關(guān)系人員可能存在的風(fēng)險或者意外事件產(chǎn)生的影響，積極進(jìn)行原因分析尋求并公開對策信息才是正確的處理方式。但是，公開具體的處理方式確實(shí)也會給攻擊者提供機(jī)會。因此需要和公司內(nèi)外的相關(guān)機(jī)關(guān)進(jìn)行協(xié)調(diào)，采取必要的措施進(jìn)行信息公開。

（2）對應(yīng)意外事件成立于從善意的發(fā)現(xiàn)者那里獲得通知后，沒有信賴，不會通知意外事件的發(fā)生，因此獲得發(fā)現(xiàn)者的信賴非常重要。為了獲得發(fā)現(xiàn)者的信賴，受理通知時以及公開意外事件時，必須要向發(fā)現(xiàn)者進(jìn)行報告。

為了使意外事件發(fā)生時的損失局部化、最小化，功能早期復(fù)原，首先，需要構(gòu)建意外事件對應(yīng)的體制。其次，意外事件對應(yīng)的流程如下：

（1）信息的收集，即產(chǎn)品出廠前或者出廠后，提前收集、積累各產(chǎn)品搭載的軟件（OS/庫/應(yīng)用等）信息，當(dāng)從安全性企業(yè)那里獲得漏洞信息時，能夠迅速查找到混入該漏洞的產(chǎn)品的方法。

（2）信息的流通，是指體制中的相關(guān)部門把從公司外部獲得的漏洞信息通知給公司內(nèi)技術(shù)部門，委托其進(jìn)行調(diào)查；以及技術(shù)部門將關(guān)于漏洞信息的產(chǎn)品調(diào)查結(jié)果報告給相關(guān)部門。

（3）研究對策，考慮安全漏洞的嚴(yán)重程度對應(yīng)成本后決定對策，針對影響比較大的安全漏洞，要召開上層討論會。

（4）執(zhí)行對策和公開，各部門間進(jìn)行充分的調(diào)整，統(tǒng)一對外公開對應(yīng)的時間點(diǎn)等信息。

4 結(jié)語

智能家電的產(chǎn)品安全問題是系統(tǒng)問題，需要技術(shù)、管理和法律法規(guī)協(xié)調(diào)，保障整個產(chǎn)業(yè)的健康發(fā)展。2017年6月1日施行的《網(wǎng)絡(luò)安全法》和最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，進(jìn)一步織牢了智能家電的“安全網(wǎng)”。但是，目前智能家電市場并沒有統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，芯片、模組、設(shè)備、應(yīng)用、云服務(wù)等廠商都在開發(fā)并完善智能家電系統(tǒng)的征程上努力著，安全系數(shù)高且用戶體驗(yàn)佳的智能家電系統(tǒng)必將首先扛起占領(lǐng)家電市場的大旗。

參考文獻(xiàn)

[1] 王雪嬌. 淺談智能家居系統(tǒng)的安全問題[J]. 科技廣場, 2015(7):132-136.

[2] 王小波. 智能家居物聯(lián)網(wǎng)安全問題淺析[J]. 現(xiàn)代商業(yè)，2015(8):28-29.

[3] 祁志強(qiáng). 智能家居的現(xiàn)狀及發(fā)展趨勢[J]. 智能建筑，2008(12):42-44.

[4] 劉志鋼. 基于Wi-Fi的智能家居系統(tǒng)關(guān)鍵技術(shù)研究[D]. 成都:電子科技大學(xué)，2013.