近年來����,智能硬件產(chǎn)業(yè)蓬勃發(fā)展,預(yù)計到2018年�����,我國智能硬件終端和服務(wù)市場規(guī)模將超5000億元����,2020年可達(dá)萬億元規(guī)模���。
在如此龐大的規(guī)模之下,智能硬件安全問題也越來越多的暴露在公眾面前����。概括的講��,有八大類智能硬件安全問題值得關(guān)注:數(shù)據(jù)存儲不安全、服務(wù)端控制措施部署不當(dāng)����、傳輸過程中沒有加密、手機(jī)客戶端的注入、身份認(rèn)證措施不當(dāng)���、密鑰保護(hù)措施不當(dāng)����、會話處理不當(dāng)��、敏感數(shù)據(jù)泄露��。這其中的種種問題���,不僅僅影響到個人信息安全����,更直接影響到我們的人身安全����,甚至影響到社會安全和國家安全。因此�����,智能硬件安全必須引起高度重視����。
基于此,近期���,中國信息通信研究院發(fā)布了《智能硬件安全白皮書》��,白皮書指出����,目前智能硬件總出貨量非常大,但是針對智能硬件安全的支出量卻非常小����,在2017年,全球在相關(guān)方面的支出是3.48億美元��,2018年預(yù)計會有5.47億美元�?����?梢钥闯?��,數(shù)字雖然非常小��,但是增長率較高,這也反映了業(yè)界對于智能硬件關(guān)注越來越強(qiáng)烈�����。
多重安全技術(shù)指引硬件廠商前行
中國信息通信研究院智能硬件專家��、移動智能終端技術(shù)創(chuàng)新與產(chǎn)業(yè)聯(lián)盟智能硬件組組長崔偉男在接受飛象網(wǎng)采訪時表示����,智能硬件安全相較于傳統(tǒng)硬件安全有兩個特點(diǎn),一個是智能硬件需求差異比較大���,二是應(yīng)用場景安全需求等級不同��?!八葬槍τ谥悄苡布碌奶卣?,也希望產(chǎn)業(yè)界采取一些新的措施和新的技術(shù),來應(yīng)對目前的挑戰(zhàn)�。”
就智能硬件安全技術(shù)分析方面�����,崔偉男表示��,白皮書在系統(tǒng)安全上提出了一個概念:信息安全基線是一個信息系統(tǒng)最小安全保障���,即該信息系統(tǒng)最基本需要滿足的安全要求,信息安全基線是實(shí)現(xiàn)信息安全風(fēng)險評估和風(fēng)險的前提和基礎(chǔ)���。
“我們提出安全度量模型��,主要分兩部分,一部分評估智能硬件系統(tǒng)是否實(shí)施了安全保護(hù)��,另外是采取安全防護(hù)技術(shù)強(qiáng)度���,通過計算����,給出安全防護(hù)分?jǐn)?shù)�,對安全進(jìn)行度量。另一方面���,我們建議廠商也要注重嵌入系統(tǒng)完整性和測量���,可以提供一些用于檢測系統(tǒng)更改的工具和接口?���!?/p>
在網(wǎng)絡(luò)訪問安全控制技術(shù)方面,白皮書建議智能硬件廠商采用訪問控制列表���,保證云端各服務(wù)組件之間的網(wǎng)絡(luò)訪問控制和對外強(qiáng)制隔離���。
崔偉男指出����,設(shè)備接入技術(shù)上,智能硬件網(wǎng)關(guān)接入設(shè)計應(yīng)該保護(hù)業(yè)務(wù)的質(zhì)量和安全�。因此有三大功能可以把協(xié)議轉(zhuǎn)換,同時可以實(shí)現(xiàn)移動通信網(wǎng)和互聯(lián)網(wǎng)間的信息轉(zhuǎn)換��。一是接入網(wǎng)關(guān)可以提供基礎(chǔ)的管理服務(wù)�,二是終端設(shè)備提供身份認(rèn)證,訪問控制等安全管控服務(wù)���,三是將各種網(wǎng)絡(luò)進(jìn)行互聯(lián)整合���,可以借助安全接入網(wǎng)關(guān)平臺����,迅速開展網(wǎng)絡(luò)安全應(yīng)用����。
目前智能設(shè)備越來越廣泛地應(yīng)用于商務(wù)、金融和娛樂行業(yè)����,基于遠(yuǎn)程互聯(lián)網(wǎng)服務(wù)器的用戶鑒權(quán)是許多應(yīng)用程序或云服務(wù)的第一個環(huán)節(jié)���,需要采用強(qiáng)身份鑒權(quán)機(jī)制�。另外智能硬件會用到對稱加密和非對稱加密項(xiàng)下所有加密技術(shù),如AES和SSL����,但是由于智能硬件自身特點(diǎn),在選擇加密算法的時候�,必須考慮占有系統(tǒng)資源少或者輕型加密算法來控制功耗和設(shè)備�����,“因?yàn)橹悄苡布w型較小���,資源比較受限���,我們建議智能硬件生產(chǎn)廠商在采用加密算法的時候要考慮加密技術(shù)���。另外對于多渠道日志����,統(tǒng)一進(jìn)行收集存儲��,通過實(shí)施告警和聯(lián)動安全防御策略���,及時發(fā)現(xiàn)并處理安全風(fēng)險����,進(jìn)一步提升智能硬件整體安全�����?��!?/p>
就固件安全技術(shù)方面��,白皮書指出��,固件安全代碼中的安全缺陷具有隱蔽性強(qiáng)、難以檢測、不易剔除�、破壞性強(qiáng)等特點(diǎn)���。固件安全主要涉及三個方面,一個是可信源驗(yàn)證�����,二是代碼安全,三是傳輸安全,建議智能硬件生產(chǎn)廠商采用阻止或環(huán)節(jié)針對設(shè)備固件安全攻擊行為途徑,包括以下幾方面:一是升級前針對原始固件進(jìn)行完整性檢查�,確保固件升級服務(wù)穩(wěn)定性和不可篡改性�,二是固件升級中要采用狀態(tài)機(jī)跟蹤和數(shù)據(jù)簽名����,三是升級完成后進(jìn)行完整性安全檢查���,建立中期性的固件和更新策略��,同時采用更加安全的技術(shù)����。
在客戶端安全技術(shù)方面��,目前信通院了解到針對App攻擊手段較多,智能硬件廠商研發(fā)過程中也要更加注意到App安全性驗(yàn)證�,加強(qiáng)App方面安全防護(hù)��。
在云平臺安全技術(shù)方面,智能硬件設(shè)備的后端云服務(wù)本質(zhì)上是一種Web應(yīng)用,Web應(yīng)用所面臨的安全風(fēng)險同樣出現(xiàn)在物聯(lián)網(wǎng)云平臺中��。所以白皮書提醒各方多加注意��。
基于以上研究��,白皮書還提出了智能硬件整體安全架構(gòu)和服務(wù)框架���,一是確保設(shè)備安全接入����,安全接入網(wǎng)關(guān)提供設(shè)備安全接入網(wǎng)能力,覆蓋設(shè)備授權(quán)��、身份鑒權(quán)�����、密鑰管理�、加密傳輸、會話管理����、數(shù)據(jù)簽名等功能,保證數(shù)據(jù)通信和完整性�����。二是實(shí)現(xiàn)設(shè)備安全管理�����。三是增強(qiáng)安全態(tài)勢感知能力��。四是全生命周期安全咨詢服務(wù)����。
五方面建議促智能硬件快速發(fā)展
在此之上���,白皮書近一步為智能硬件產(chǎn)業(yè)安全提出應(yīng)對策略����。首先是建立智能硬件安全應(yīng)急響應(yīng)機(jī)制����,希望建立政府、企業(yè)���、行業(yè)協(xié)會���、研究機(jī)構(gòu)的聯(lián)動機(jī)制�,政府可以制定響應(yīng)機(jī)制政策�,向社會公布安全風(fēng)險,以及漏洞預(yù)警����,企業(yè)可以上報安全風(fēng)險,提供漏洞修復(fù)和風(fēng)險評估��。
其次����,設(shè)立智能硬件安全等級體系,目前重點(diǎn)領(lǐng)域主要是包括行業(yè)應(yīng)用和個人消費(fèi)�,針對個人消費(fèi),比如手表手環(huán)可能安全要求比較低�����,但是行業(yè)應(yīng)用����,像能源、交通等�����。
第三是以安全標(biāo)準(zhǔn)帶動產(chǎn)品安全認(rèn)證機(jī)制建立��,智能硬件安全較于傳統(tǒng)手機(jī)和其他信息產(chǎn)業(yè)安全���,它是云管端安全都涉及到的�����,我們前期也做了一些工作�����,希望和業(yè)界專家一起推動���,不斷完善智能硬件安全系列標(biāo)準(zhǔn),以及依據(jù)我們安全標(biāo)準(zhǔn)�,進(jìn)行一些安全方面的評測。
第四����,希望各方規(guī)范研發(fā)管理流程����,研發(fā)生產(chǎn)安全合規(guī)�。在我們開發(fā)過程中,引入安全開發(fā)生命周期���,結(jié)合企業(yè)級安全需求和自身項(xiàng)目�,來開發(fā)流程��,控制項(xiàng)目整體安全風(fēng)險��。這個主要是針對企業(yè)方面�,我們希望企業(yè)能夠定期評審保密協(xié)議中的數(shù)據(jù)安全相關(guān)要求,以及希望企業(yè)能夠遵循一些隱私保護(hù)政策����。
最后是強(qiáng)化法律監(jiān)督,提高安全意識��?����!皣乙呀?jīng)出臺了網(wǎng)絡(luò)安全法,目前我們的信息安全有法可依����,同時也希望業(yè)界不管是科研人員還是開發(fā)人員,或者其他從業(yè)者���,希望大家能夠提高風(fēng)險意識,為我們智能硬件快速發(fā)展保駕護(hù)航��,”崔偉男如是表示����。
中研網(wǎng) 發(fā)現(xiàn)資訊的價值 
研究院 掌握產(chǎn)業(yè)最新情報 
2018南北方年夜飯有什么不同_各地年夜飯主食吃什么_飲食習(xí)俗 
