建設(shè)智能家居安全體系

文｜馮承文 王鋼 孫

隨著網(wǎng)絡(luò)技術(shù)和智能技術(shù)的發(fā)展，各種各樣的智能家居產(chǎn)品已進入到尋常百姓家，提升了用戶使用體驗并提供了更為便捷舒適的生活。

智能家居作為智能社區(qū)和智慧城市的組成單元，與智能社區(qū)系統(tǒng)和智慧城市系統(tǒng)相互連接。其所匯聚產(chǎn)生的信息和數(shù)據(jù)被誰使用、如何使用、如何轉(zhuǎn)移等等，成為了很難預(yù)知的問題。探索解決智能家居的信息安全、數(shù)據(jù)安全以及其所帶來的隱私安全，建設(shè)智能家居安全體系，成為行業(yè)第一要務(wù)。

智能家居安全問題原因

1.智能家居終端功能升級引發(fā)安全風(fēng)險

智能家居終端產(chǎn)品涉及到多個行業(yè)的產(chǎn)品，如：家電、音視頻產(chǎn)品、安防產(chǎn)品、信息產(chǎn)品、家居家具等，這些產(chǎn)品升級成為智能家居終端并互聯(lián)組成智能家居系統(tǒng)時，由智能控制、網(wǎng)絡(luò)連接、平臺系統(tǒng)管理等帶來新的安全風(fēng)險。另外，由于一些智能家居終端，特別功能比較單一的傳感器產(chǎn)品，相對比較簡單的智能控制面板等，因其成本控制和配置及使用便利性等方面的考慮，往往對信息安全不夠重視，會成為整個智能家居系統(tǒng)的安全薄弱環(huán)節(jié)，成為主要的安全風(fēng)險點。智能家居終端可使用操作系統(tǒng)和各種應(yīng)用程序，同樣會增加應(yīng)用程序、操作系統(tǒng)及其所運行的硬件系統(tǒng)的漏洞帶來的安全風(fēng)險。

2.多級系統(tǒng)互聯(lián)加劇智能家居安全風(fēng)險

智能家居系統(tǒng)是個多級互聯(lián)的系統(tǒng)：第一級，智能家居是家電、信息、音視頻、醫(yī)療、安防等多個家庭子系統(tǒng)互聯(lián)互通而成的家庭網(wǎng)絡(luò)系統(tǒng)；第二級，智能家居系統(tǒng)由智能家居終端、控制終端、智能家居網(wǎng)關(guān)、應(yīng)用服務(wù)平臺等共同組成；第三級，智能家居系統(tǒng)會與智慧社區(qū)系統(tǒng)、智慧城市系統(tǒng)進行網(wǎng)絡(luò)和應(yīng)用的互聯(lián)互通。這些多級互聯(lián)造成了智能家居安全風(fēng)險大大增加。

3.智能分析導(dǎo)致安全風(fēng)險提升

智能家居系統(tǒng)會在其生命周期中產(chǎn)生各種數(shù)據(jù)和信息，由于缺乏對數(shù)據(jù)獲取和流轉(zhuǎn)的嚴格管控，出于利益的考慮，導(dǎo)致許多數(shù)據(jù)和信息進入到各種大數(shù)據(jù)分析系統(tǒng)，被其他系統(tǒng)和用戶使用，這些數(shù)據(jù)和結(jié)果的濫用大大增加了用戶個人數(shù)據(jù)信息被泄露的安全風(fēng)險。

智能家居系統(tǒng)中應(yīng)用了大量的智能化技術(shù)使其成為具有智能化能力/功能的終端，且整個系統(tǒng)的控制和管理也使用了各種智能決策的算法，導(dǎo)致了系統(tǒng)控制執(zhí)行結(jié)果不再是固定的、可預(yù)知的，而是會根據(jù)家居整體運行環(huán)境、應(yīng)用場景等進行合理的智能推理和決策，變?yōu)榱瞬豢煽匾蛩亍?/p>

智能家居安全解決方案

1.補充現(xiàn)行法律法規(guī)實施細則和落地標準制定

隨著《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》的相繼制定、發(fā)布和實施，對智能家居行業(yè)產(chǎn)生了深刻的影響。智能家居作為一個跨領(lǐng)域的綜合行業(yè)應(yīng)用，首先應(yīng)符合國家的法律法規(guī)；其次由于其行業(yè)的特殊性，應(yīng)在符合法律法規(guī)的基本原則框架下，對網(wǎng)絡(luò)安全、個人信息以及相關(guān)數(shù)據(jù)安全的隱患進行具體實施細則補充，以方便整個行業(yè)更好的實施。

隨著法律法規(guī)的實施，相關(guān)配套實施的標準就提到了日程上。在信息領(lǐng)域GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》、GB/T 34978《信息安全技術(shù) 移動智能終端個人信息保護技術(shù)要求、GB/T 22239《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》等一系列國家標準都已發(fā)布并實施，但針對智能家居行業(yè)還未有正式發(fā)布實施的國家行業(yè)標準，建立高效安全的智能家居系統(tǒng)安全的標準體系和關(guān)鍵技術(shù)標準的制定，是亟待解決的事宜。

針對智能家居系統(tǒng)、終端、數(shù)據(jù)、個人信息、管理流程等多個方面制定安全標準，以確保智能家居在整個生命周期內(nèi)安全運行。標準體系如圖1所示。

圖1 智能家居安全標準體系框架

智能家居系統(tǒng)的安全標準可分為通用標準和專用標準。通用標準以當(dāng)前國家法律法規(guī)和與安全相關(guān)的國家標準為基本依據(jù)，根據(jù)智能家居的特殊性進行智能家居行業(yè)的特殊規(guī)定，而針對智能家居中各子系統(tǒng)可以進行領(lǐng)域內(nèi)的特殊要求則歸為專用標準，如安防系統(tǒng)的安全特殊要求、健康系統(tǒng)的安全特殊要求等。

通用標準里包括了智能家居系統(tǒng)信息安全通用技術(shù)要求和測試方法、智能家居系統(tǒng)數(shù)據(jù)和用戶權(quán)限分類、智能家居系統(tǒng)個人信息保護技術(shù)要求和測試方法、智能家居系統(tǒng)安全管理平臺技術(shù)要求、智能家居系統(tǒng)安全管理指南、智能家居系統(tǒng)風(fēng)險評估和管理指南。

《智能家居系統(tǒng)信息安全通用技術(shù)要求和測試方法》主要規(guī)定了智能家居終端、控制終端、智能家居網(wǎng)關(guān)、服務(wù)平臺以及各種應(yīng)用服務(wù)等組成的智能家居系統(tǒng)在信息安全方面的特殊要求和相應(yīng)的測試方法，是智能家居行業(yè)的通用安全要求。

《智能家居系統(tǒng)數(shù)據(jù)和用戶權(quán)限分類》主要規(guī)定了智能家居系統(tǒng)內(nèi)部產(chǎn)生和使用的各種各樣數(shù)據(jù)信息的分類和用戶角色權(quán)限的對應(yīng)關(guān)系，詳細的數(shù)據(jù)和信息的分類也是一個非常重要的安全手段和基礎(chǔ)，對數(shù)據(jù)和信息的分類越詳細、越準確就會對智能家居的安全起到更好的保護。分類可以按照極重要數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)、用戶個人信息、用戶隱私等類型劃分。同時還包括這些數(shù)據(jù)的所有者和使用者的權(quán)限劃分以及數(shù)據(jù)在獲取、保存、使用、刪除、轉(zhuǎn)移等方面的規(guī)定。

《智能家居系統(tǒng)個人信息保護技術(shù)要求》主要規(guī)定了智能家居在使用過程中的相關(guān)的個人信息以及隱私的詳細描述，對個人信息進行安全分類分級，并對智能家居系統(tǒng)中個人信息以及隱私的歸屬權(quán)、使用權(quán)、存儲權(quán)、轉(zhuǎn)移權(quán)、刪除權(quán)等增加相應(yīng)的技術(shù)要求，建立健全的個人信息保護的問責(zé)制度，推動智能家居的個人信息安全符合相應(yīng)國家法律法規(guī)要求。

《智能家居系統(tǒng)安全管理服務(wù)平臺技術(shù)要求》主要規(guī)定了在智能家居行業(yè)里建立起的公共安全管理服務(wù)平臺的技術(shù)要求，該服務(wù)平臺服務(wù)于整個智能家居企業(yè)，為智能家居企業(yè)提供鑒權(quán)、加解密、安全監(jiān)控運維、漏洞掃描、系統(tǒng)升級服務(wù)、數(shù)據(jù)清洗和脫敏等一系列安全服務(wù)。

《智能家居系統(tǒng)安全管理指南》主要規(guī)定了整個智能家居在生命周期內(nèi)的安全管理，為智能家居企業(yè)提供技術(shù)性和流程性的指導(dǎo)。智能家居在安裝、使用、維修過程中會遇到多種情況，這些狀況未必能夠全部提前預(yù)料到會產(chǎn)生安全風(fēng)險。因此，應(yīng)當(dāng)從全生命周期考慮功能安全，從安裝、配置（調(diào)試）、使用、維護和修理、報廢等過程中分析安全影響因素，以確定過程中可能發(fā)生的所有危險情況，在設(shè)計、生產(chǎn)、安裝、配置、使用、維護過程中采取相應(yīng)措施避免安全隱患。根據(jù)該標準的內(nèi)容指導(dǎo)智能家居企業(yè)、系統(tǒng)集成商、軟件服務(wù)提供商等在企業(yè)內(nèi)部建立起完善的智能家居安全保護管理體系，建立健全信息安全事件和安全漏洞的管理和響應(yīng)機制，以適應(yīng)當(dāng)前政策和法規(guī)的變化，利用制度彌補技術(shù)的短板。

《智能家居系統(tǒng)風(fēng)險評估和管理指南》主要規(guī)定了系統(tǒng)安全的評估方法和整改措施。由于智能家居涉及到的產(chǎn)品品類眾多，使用環(huán)境、應(yīng)用場景復(fù)雜，使得智能家居很難做到百分百的安全。因此，可以通過風(fēng)險評估的方法，對智能家居整體所面臨的安全風(fēng)險進行風(fēng)險評估，只有當(dāng)風(fēng)險等級降低到可控、可接受的程度時將會被允許銷售和使用。同時，在智能家居的生命周期各階段中不停發(fā)生需求變化，其安全措施不再是一成不變的，需要智能家居系統(tǒng)在過程中根據(jù)變化進行安全風(fēng)險評估，根據(jù)評估調(diào)整安全措施，相應(yīng)的安全機制和安全策略也會隨之發(fā)生改變，對智能家居系統(tǒng)進行在線更新升級，通過軟硬件的更新和修正，使智能家居系統(tǒng)保證安全運行。

2.建立行業(yè)安全服務(wù)平臺

由于智能家居企業(yè)和產(chǎn)品非常分散，需要建立起可信的智能家居行業(yè)安全服務(wù)平臺，通過該平臺服務(wù)于整個智能家居企業(yè)，為全行業(yè)的智能家居企業(yè)提供鑒權(quán)、加解密、安全監(jiān)控運維、漏洞掃描、系統(tǒng)升級服務(wù)、數(shù)據(jù)清洗和脫敏等一系列安全服務(wù)，以保證智能家居在運營期間的安全。

智能家居比傳統(tǒng)家居更為復(fù)雜，遇到的安全問題也更為復(fù)雜，需引入更多的安全基本原則。相對于智能家居來說，安全問題是系統(tǒng)性問題，應(yīng)盡可能在設(shè)計階段將安全風(fēng)險最小化，在運行過程中意外事件發(fā)生后，要有適當(dāng)?shù)膽?yīng)對措施，盡可能的將危害降低到最小，才能保證智能家居的安全。智能家居的安全是一個長期并隨著使用時間和場景不斷發(fā)生變化的問題，因此，需要基于風(fēng)險評估，采取適當(dāng)?shù)陌踩胧?，確保智能家居和用戶的安全，降低不利影響的風(fēng)險。同時，建議在國家標準層面上補充相應(yīng)的安全標準，引導(dǎo)智能家電行業(yè)的健康發(fā)展。