智慧硬體安全問題日益嚴重誰來為個人資訊保安保駕護航？

近年來，智慧硬體產業蓬勃發展，預計到2018年，我國智慧硬體終端和服務市場規模將超5000億元，2020年可達萬億元規模。

在如此龐大的規模之下，智慧硬體安全問題也越來越多的暴露在公眾面前。概括的講，有八大類智慧硬體安全問題值得關注：資料儲存不安全、服務端控制措施部署不當、傳輸過程中沒有加密、手機客戶端的注入、身份認證措施不當、金鑰保護措施不當、會話處理不當、敏感資料洩露。這其中的種種問題，不僅僅影響到個人資訊保安，更直接影響到我們的人身安全，甚至影響到社會安全和國家安全。因此，智慧硬體安全必須引起高度重視。

基於此，近期，中國資訊通訊研究院釋出了《智慧硬體安全白皮書》，白皮書指出，目前智慧硬體總出貨量非常大，但是針對智慧硬體安全的支出量卻非常小，在2017年，全球在相關方面的支出是3.48億美元，2018年預計會有5.47億美元。可以看出，數字雖然非常小，但是增長率較高，這也反映了業界對於智慧硬體關注越來越強烈。

多重安全技術指引硬體廠商前行

中國資訊通訊研究院智慧硬體專家、移動智慧終端技術創新與產業聯盟智慧硬體組組長崔偉男在接受飛象網採訪時表示，智慧硬體安全相較於傳統硬體安全有兩個特點，一個是智慧硬體需求差異比較大，二是應用場景安全需求等級不同。“所以針對於智慧硬體新的特徵，也希望產業界採取一些新的措施和新的技術，來應對目前的挑戰。”

就智慧硬體安全技術分析方面，崔偉男表示，白皮書在系統安全上提出了一個概念：資訊保安基線是一個資訊系統最小安全保障，即該資訊系統最基本需要滿足的安全要求，資訊保安基線是實現資訊保安風險評估和風險的前提和基礎。

“我們提出安全度量模型，主要分兩部分，一部分評估智慧硬體系統是否實施了安全保護，另外是採取安全防護技術強度，通過計算，給出安全防護分數，對安全進行度量。另一方面，我們建議廠商也要注重嵌入系統完整性和測量，可以提供一些用於檢測系統更改的工具和介面。”

在網路訪問安全控制技術方面，白皮書建議智慧硬體廠商採用訪問控制列表，保證雲端各服務元件之間的網路訪問控制和對外強制隔離。

崔偉男指出，裝置接入技術上，智慧硬體閘道器接入設計應該保護業務的質量和安全。因此有三大功能可以把協議轉換，同時可以實現行動通訊網和網際網路間的資訊轉換。一是接入閘道器可以提供基礎的管理服務，二是終端裝置提供身份認證，訪問控制等安全管控服務，三是將各種網路進行互聯整合，可以藉助安全接入閘道器平臺，迅速開展網路安全應用。

目前智慧裝置越來越廣泛地應用於商務、金融和娛樂行業，基於遠端網際網路伺服器的使用者鑑權是許多應用程式或雲服務的第一個環節，需要採用強身份鑑權機制。另外智慧硬體會用到對稱加密和非對稱加密項下所有加密技術，如AES和SSL，但是由於智慧硬體自身特點，在選擇加密演算法的時候，必須考慮佔有系統資源少或者輕型加密演算法來控制功耗和裝置，“因為智慧硬體體型較小，資源比較受限，我們建議智慧硬體生產廠商在採用加密演算法的時候要考慮加密技術。另外對於多渠道日誌，統一進行收集儲存，通過實施告警和聯動安全防禦策略，及時發現並處理安全風險，進一步提升智慧硬體整體安全。”

就韌體安全技術方面，白皮書指出，韌體安全程式碼中的安全缺陷具有隱蔽性強、難以檢測、不易剔除、破壞性強等特點。韌體安全主要涉及三個方面，一個是可信源驗證，二是程式碼安全，三是傳輸安全，建議智慧硬體生產廠商採用阻止或環節針對裝置韌體安全攻擊行為途徑，包括以下幾方面：一是升級前針對原始韌體進行完整性檢查，確保韌體升級服務穩定性和不可篡改性，二是韌體升級中要採用狀態機跟蹤和資料簽名，三是升級完成後進行完整性安全檢查，建立中期性的韌體和更新策略，同時採用更加安全的技術。

在客戶端安全技術方面，目前信通院瞭解到針對App攻擊手段較多，智慧硬體廠商研發過程中也要更加註意到App安全性驗證，加強App方面安全防護。

在雲平臺安全技術方面，智慧硬體裝置的後端雲服務本質上是一種Web應用，Web應用所面臨的安全風險同樣出現在物聯網雲平臺中。所以白皮書提醒各方多加註意。

基於以上研究，白皮書還提出了智慧硬體整體安全架構和服務框架，一是確保裝置安全接入，安全接入閘道器提供裝置安全接入網能力，覆蓋裝置授權、身份鑑權、金鑰管理、加密傳輸、會話管理、資料簽名等功能，保證資料通訊和完整性。二是實現裝置安全管理。三是增強安全態勢感知能力。四是全生命週期安全諮詢服務。

五方面建議促智慧硬體快速發展

在此之上，白皮書近一步為智慧硬體產業安全提出應對策略。首先是建立智慧硬體安全應急響應機制，希望建立政府、企業、行業協會、研究機構的聯動機制，政府可以制定響應機制政策，向社會公佈安全風險，以及漏洞預警，企業可以上報安全風險，提供漏洞修復和風險評估。

其次，設立智慧硬體安全等級體系，目前重點領域主要是包括行業應用和個人消費，針對個人消費，比如手錶手環可能安全要求比較低，但是行業應用，像能源、交通等。

第三是以安全標準帶動產品安全認證機制建立，智慧硬體安全較於傳統手機和其他資訊產業安全，它是雲管端安全都涉及到的，我們前期也做了一些工作，希望和業界專家一起推動，不斷完善智慧硬體安全系列標準，以及依據我們安全標準，進行一些安全方面的評測。

第四，希望各方規範研發管理流程，研發生產安全合規。在我們開發過程中，引入安全開發生命週期，結合企業級安全需求和自身專案，來開發流程，控制專案整體安全風險。這個主要是針對企業方面，我們希望企業能夠定期評審保密協議中的資料安全相關要求，以及希望企業能夠遵循一些隱私保護政策。

最後是強化法律監督，提高安全意識。“國家已經出臺了網路安全法，目前我們的資訊保安有法可依，同時也希望業界不管是科研人員還是開發人員，或者其他從業者，希望大家能夠提高風險意識，為我們智慧硬體快速發展保駕護航，”崔偉男如是表示。

本文轉自d1net（轉載）