從智能家居淺談網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策

安創(chuàng)文 劉祥 余旖

深圳市計(jì)量質(zhì)量檢測(cè)研究院 廣東 深圳 518055

引言

近年來(lái)，家居產(chǎn)品普及率及滲透率逐年增加，且安全問(wèn)題與公民的人體健康和人身、財(cái)產(chǎn)安全息息相關(guān)，通過(guò)智能家居調(diào)研數(shù)據(jù)能夠很大程度上反映出我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀及風(fēng)險(xiǎn)隱患。

1 智能家居概述

1.1 智能家居的定義

智能家居可以定義為一個(gè)目標(biāo)或者一個(gè)系統(tǒng)。利用先進(jìn)的計(jì)算機(jī)、網(wǎng)絡(luò)通信、自動(dòng)控制等技術(shù)，將與家庭生活有關(guān)的各種應(yīng)用子系統(tǒng)有機(jī)地結(jié)合在一起，通過(guò)綜合管理，讓家庭生活更舒適、安全、有效和節(jié)能。智能家居不僅具有傳統(tǒng)的居住功能，還能提供舒適安全、高效節(jié)能、具有高度人性化的生活空間；將一批原來(lái)被動(dòng)靜止的家居設(shè)備轉(zhuǎn)變?yōu)榫哂小爸腔邸钡墓ぞ?，提供全方位的信息交換功能，幫助家庭與外部保持信息交流暢通，優(yōu)化人們的生活方式，幫助人們有效地安排時(shí)間，增強(qiáng)家庭生活的安全性，并為家庭節(jié)省能源費(fèi)用等。

智能家居可實(shí)現(xiàn)的主要功能與服務(wù)如表1。

表1 智能家居可實(shí)現(xiàn)的功能與服務(wù)

1.2 智能家居的發(fā)展

智能家居作為一個(gè)新生產(chǎn)業(yè)，處于一個(gè)導(dǎo)入期與成長(zhǎng)期的臨界點(diǎn)，市場(chǎng)消費(fèi)觀念還未形成，但隨著智能家居市場(chǎng)推廣普及的進(jìn)一步落實(shí)，培養(yǎng)起消費(fèi)者的使用習(xí)慣，智能家居市場(chǎng)的消費(fèi)潛力必然是巨大的。正因?yàn)槿绱?，?guó)內(nèi)優(yōu)秀的智能家居生產(chǎn)企業(yè)愈來(lái)愈重視對(duì)行業(yè)市場(chǎng)的研究，特別是對(duì)企業(yè)發(fā)展環(huán)境和客戶需求趨勢(shì)變化的深入研究。

家電廠商轉(zhuǎn)型升級(jí)不單是擁抱互聯(lián)網(wǎng)，首先要做的是以全新的物聯(lián)網(wǎng)、通信、云計(jì)算等技術(shù)迎接機(jī)遇和挑戰(zhàn)，在智能方面，家電廠商面臨三大關(guān)鍵問(wèn)題。

1.2.1 技術(shù)攻克。一臺(tái)智能家電的“智能”方面，應(yīng)有功能和功能觸發(fā)方式兩部分，前者包括監(jiān)測(cè)、感知、學(xué)習(xí)、分析、判斷等能力，后者則是指人機(jī)交互的形式或方法，如本地控制、移動(dòng)端（手機(jī)、平板、手環(huán)、戒指等）控制、語(yǔ)音控制、手勢(shì)控制、全息管理等。家電廠商大多有一定的自動(dòng)化技術(shù)積累，但傳感技術(shù)和控制技術(shù)或成短板，需增大投入與不斷積攢。

1.2.2 標(biāo)準(zhǔn)缺乏。在“互聯(lián)網(wǎng)+”的背景下，家電廠商要智能升級(jí)，首先需要解決連接的問(wèn)題，包括聯(lián)網(wǎng)和連物，所以它們應(yīng)該掌握“+互聯(lián)網(wǎng)”，并且擁有“物聯(lián)網(wǎng)思維”，結(jié)合二者的方法論構(gòu)建設(shè)備之間的聯(lián)系。目前，家電廠商的主要策略是在家電中植入通信模塊（如Wi-Fi），實(shí)現(xiàn)多款家電同一應(yīng)用軟件控制，但物物相聯(lián)的標(biāo)準(zhǔn)仍懸而未決，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)供廠商參考與規(guī)范。

1.2.3 安全保障。家居產(chǎn)品除傳統(tǒng)安全標(biāo)準(zhǔn)需遵循外，又多了一項(xiàng)網(wǎng)絡(luò)信息安全問(wèn)題，網(wǎng)絡(luò)信息安全隱患是物聯(lián)網(wǎng)行業(yè)的難題，家電廠商需要謹(jǐn)慎對(duì)待。智能硬件安全問(wèn)題頻繁曝出，無(wú)人機(jī)、網(wǎng)絡(luò)攝像頭、汽車、洗衣機(jī)、烤箱等多款智能硬件無(wú)一幸免，全部淪為黑客的攻擊對(duì)象，迅速慘遭破解。智能家居的網(wǎng)絡(luò)信息安全包括身份認(rèn)證、權(quán)限管理、通信加密、身份識(shí)別等，若發(fā)生用戶信息丟失，不僅會(huì)造成用戶隱私泄露，同時(shí)還會(huì)導(dǎo)致信息安全印發(fā)的電器安全問(wèn)題，對(duì)人身財(cái)產(chǎn)安全和個(gè)人隱私問(wèn)題都將帶來(lái)嚴(yán)重危害。

2 智能家居網(wǎng)絡(luò)安全現(xiàn)狀

智能家居產(chǎn)品種類眾多，2018年國(guó)家對(duì)智能家居產(chǎn)品的應(yīng)用軟件進(jìn)行風(fēng)險(xiǎn)監(jiān)督抽查，包括電視、音箱、空調(diào)和冰箱。應(yīng)用軟件的各類安全問(wèn)題（如身份鑒別、通信安全、數(shù)據(jù)安全、訪問(wèn)控制、運(yùn)行安全等）普遍存在，智能家居產(chǎn)品被惡意控制或用戶隱私泄露風(fēng)險(xiǎn)隨時(shí)可能發(fā)生。與傳統(tǒng)電器安全相比，智能家居產(chǎn)品的應(yīng)用軟件安全隱患更為嚴(yán)重。

2.1 智能家居網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測(cè)方法

本文對(duì)智能電視、智能空調(diào)和智能音箱三類常見(jiàn)產(chǎn)品的應(yīng)用軟件風(fēng)險(xiǎn)監(jiān)測(cè)進(jìn)行分析。抽樣原則為盡可能選擇市場(chǎng)銷量排名靠前的品牌，覆蓋不同檔次，采樣渠道包含實(shí)體店與網(wǎng)絡(luò)兩種方式。風(fēng)險(xiǎn)監(jiān)測(cè)方法主要依據(jù)標(biāo)準(zhǔn)GB/T 22239-2008、GB/T 34975-2017、GB/T 35273-2017[1-3]，風(fēng)險(xiǎn)監(jiān)測(cè)項(xiàng)目和方法見(jiàn)表2。

表2 風(fēng)險(xiǎn)監(jiān)測(cè)方法

2.2 智能家居網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)測(cè)結(jié)果

對(duì)智能電視、智能空調(diào)、智能音箱三類產(chǎn)品分別采樣15批次、15批次、21批次進(jìn)行監(jiān)測(cè)，樣品分類和采樣數(shù)量如表3-5所示。

表3 2018年智能電視應(yīng)用軟件風(fēng)險(xiǎn)監(jiān)督抽樣表

表4 2018年智能空調(diào)應(yīng)用軟件風(fēng)險(xiǎn)監(jiān)督抽樣表

表5 2018年智能音箱應(yīng)用軟件風(fēng)險(xiǎn)監(jiān)督抽樣表

按照風(fēng)險(xiǎn)影響受眾面及程度，將其分為高中低三等：后臺(tái)存在導(dǎo)致大面積用戶信息泄露或被遠(yuǎn)程控制的漏洞、影響層面涉及公眾時(shí)定義為高風(fēng)險(xiǎn)[4]；身份鑒別、通信安全、數(shù)據(jù)安全和運(yùn)行安全存在導(dǎo)致個(gè)人信息數(shù)據(jù)被泄露及惡意利用以致財(cái)產(chǎn)損失的漏洞、影響層面為個(gè)人時(shí)定義為中風(fēng)險(xiǎn)；存在用戶非敏感信息泄露、影響層面為個(gè)人時(shí)定義為低風(fēng)險(xiǎn)。

對(duì)于采樣的共計(jì)51批次智能家居產(chǎn)品，其應(yīng)用軟件均存在風(fēng)險(xiǎn)項(xiàng)，占總采樣批次51的100%。風(fēng)險(xiǎn)項(xiàng)目及對(duì)應(yīng)不符合產(chǎn)品占比數(shù)據(jù)如表6所示。

表6 風(fēng)險(xiǎn)監(jiān)測(cè)結(jié)果

各類風(fēng)險(xiǎn)項(xiàng)都將對(duì)智能家居網(wǎng)絡(luò)信息安全產(chǎn)生嚴(yán)重危害。身份鑒別防護(hù)不足可能導(dǎo)致賬號(hào)被盜用，產(chǎn)生非預(yù)期的消費(fèi)；通信安全（完整性、保密性）不符合有可能導(dǎo)致網(wǎng)絡(luò)傳輸?shù)闹匾獢?shù)據(jù)被竊取，數(shù)據(jù)安全不符合將可能導(dǎo)致用戶數(shù)據(jù)泄漏的風(fēng)險(xiǎn)；運(yùn)行安全不符合有可能導(dǎo)致終端應(yīng)用被插入惡意程序、植入病毒、盜取賬號(hào)信息，造成敏感信息泄露，控制端被非法提權(quán)等。

此外，應(yīng)用軟件安裝權(quán)限控制不嚴(yán)或?qū)?dǎo)致智能家電感染帶有病毒和木馬，進(jìn)而造成用戶信息泄露或設(shè)備被控制；對(duì)應(yīng)用軟件反編譯和二次打包防護(hù)不足將導(dǎo)致惡意偽造安裝包分布，用戶無(wú)法分辨安裝包真?zhèn)?，安裝偽造應(yīng)用軟件后用戶賬號(hào)密碼泄露并被惡意操作；操作版本較低普遍存在，系統(tǒng)存在大量已知漏洞，易被攻擊破解，從而使惡意分子能夠遠(yuǎn)程控制設(shè)備，操作設(shè)備執(zhí)行非法指令[5]。

2.3 結(jié)果分析

從2018年對(duì)智能家居應(yīng)用軟件的監(jiān)測(cè)數(shù)據(jù)可以看到，各類智能家居的應(yīng)用軟件都存在不同程度的風(fēng)險(xiǎn)，各類風(fēng)險(xiǎn)項(xiàng)都將對(duì)智能家居網(wǎng)絡(luò)信息安全都將產(chǎn)生嚴(yán)重危害。

2.3.1 身份鑒別?？赡軐?dǎo)致賬號(hào)被盜用，產(chǎn)生非預(yù)期的消費(fèi)。

2.3.2 通信安全（完整性、保密性）。有可能導(dǎo)致網(wǎng)絡(luò)傳輸?shù)闹匾獢?shù)據(jù)被竊取。

2.3.3 應(yīng)用軟件安裝權(quán)限?？刂撇粐?yán)或?qū)?dǎo)致智能家電感染帶有病毒和木馬，進(jìn)而造成用戶信息泄露或設(shè)備被控制。

2.3.4 數(shù)據(jù)安全。將可能導(dǎo)致用戶數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。

2.3.5 運(yùn)行安全。不符合有可能導(dǎo)致終端應(yīng)用被插入惡意程序、植入病毒、盜取賬號(hào)信息，造成敏感信息泄露，控制端被非法提權(quán)等。

此外，應(yīng)用軟件還存在其他方面的風(fēng)險(xiǎn)。如，應(yīng)用軟件反編譯和二次打包防護(hù)不足將導(dǎo)致惡意偽造安裝包分布，用戶無(wú)法分辨安裝包真?zhèn)?，安裝偽造應(yīng)用軟件后用戶賬號(hào)密碼泄露并被惡意操作[6]；操作版本較低普遍存在，系統(tǒng)存在大量已知漏洞，易被攻擊破解，從而使惡意分子能夠遠(yuǎn)程控制設(shè)備，操作設(shè)備執(zhí)行非法指令。

2.4 智能家居網(wǎng)絡(luò)安全改善建議

在貫徹落實(shí)網(wǎng)絡(luò)強(qiáng)國(guó)思想的同時(shí)，提升網(wǎng)絡(luò)安全性能成為智能家居產(chǎn)品發(fā)展的必要部分。以下從標(biāo)準(zhǔn)、監(jiān)管、企業(yè)、公民四個(gè)角度提出改善建議。

3.1 標(biāo)準(zhǔn)統(tǒng)一

目前，智能家居產(chǎn)品就網(wǎng)絡(luò)信息安全部分的標(biāo)準(zhǔn)尚未統(tǒng)一，為提升智能家居產(chǎn)品網(wǎng)絡(luò)信息安全，應(yīng)當(dāng)梳理已有行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)，結(jié)合當(dāng)前技術(shù)發(fā)展現(xiàn)狀和趨勢(shì)，制定國(guó)家統(tǒng)一標(biāo)準(zhǔn)。

3.2 監(jiān)管實(shí)施

繼《網(wǎng)絡(luò)安全法》實(shí)施以來(lái)，監(jiān)管機(jī)構(gòu)多采取風(fēng)險(xiǎn)監(jiān)測(cè)方式進(jìn)行工作開(kāi)展，在建立智能家居統(tǒng)一標(biāo)準(zhǔn)的前提下，應(yīng)當(dāng)對(duì)智能家居產(chǎn)品從功能、易用性、可靠性、安全性等方面進(jìn)行規(guī)范與監(jiān)督[7]。

3.3 企業(yè)應(yīng)對(duì)從被動(dòng)轉(zhuǎn)向主動(dòng)

網(wǎng)絡(luò)攻擊事件層層升級(jí)，企業(yè)應(yīng)當(dāng)意識(shí)到，對(duì)網(wǎng)絡(luò)攻擊的應(yīng)對(duì)絕不應(yīng)當(dāng)存有僥幸心理。隨著《網(wǎng)絡(luò)安全法》的出臺(tái)，維護(hù)網(wǎng)絡(luò)安全成為企業(yè)的責(zé)任[8]。被動(dòng)防御是不夠的，企業(yè)應(yīng)當(dāng)建立安全保障機(jī)制，以隨時(shí)應(yīng)對(duì)各種攻擊事件。企業(yè)應(yīng)當(dāng)主動(dòng)聯(lián)系第三方安全檢測(cè)機(jī)構(gòu)，定期對(duì)其信息系統(tǒng)和應(yīng)用軟件進(jìn)行漏洞檢測(cè)，并及時(shí)修補(bǔ)。

3.4 安全意識(shí)普及

普及智能家居產(chǎn)品網(wǎng)絡(luò)安全存在的問(wèn)題，建議用戶合理設(shè)置密碼、正確使用退出機(jī)制、保護(hù)個(gè)人隱私信息、及時(shí)更新應(yīng)用軟件版本等，同時(shí)，對(duì)存在安全隱患的應(yīng)用軟件向監(jiān)管部門提出投訴建議，共同監(jiān)督智能家居網(wǎng)絡(luò)安全的健康發(fā)展。

4 結(jié)束語(yǔ)

智能家居行業(yè)蓬勃發(fā)展，網(wǎng)絡(luò)安全問(wèn)題與人們生活息息相關(guān)。隨著物聯(lián)網(wǎng)時(shí)代的到來(lái)，傳統(tǒng)工業(yè)產(chǎn)品在網(wǎng)絡(luò)安全方面的標(biāo)準(zhǔn)尚處于碎片化、待統(tǒng)一的狀態(tài)。為保障公民的人身財(cái)產(chǎn)安全和個(gè)人隱私安全，同時(shí)提升傳統(tǒng)工業(yè)順利轉(zhuǎn)型與可持續(xù)發(fā)展，本文提出四項(xiàng)建議：統(tǒng)一網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、實(shí)行強(qiáng)制監(jiān)管措施、企業(yè)主動(dòng)與第三方機(jī)構(gòu)合作檢測(cè)、提升公民網(wǎng)絡(luò)安全意識(shí)。