淺談智能家電的產品安全的風險管理

鮑建科

松下家電研究開發（杭州）有限公司 浙江杭州 310018

1 引言

每個人的生活都離不開家庭，離不開家電，高速發展的現代化生活促使原本單一的生活方式走向智能化。智能家電系統為人們提供方便舒適生活的同時，也要保障使用者的生命財產安全，安全系數低的智能家電系統無疑是在家中埋下的一顆炸彈，廠商在開發新穎的智能家居系統的同時更要注重智能家居系統的安全性。其實家電產品的安全問題一直存在，不過隨著智能化技術的引入，家電在接入網絡之后，除了“傳統”的電器安全（Safety）之外，又多了一個產品安全（Security）問題。

2017年以來，智能家電站在了行業的風口。十九大報告指出，我國社會主要矛盾已經轉化為人民日益增長的對美好生活需要和不平衡不充分的發展之間的矛盾。智能家電能夠為人們提供憧憬的生活需求，將迎來高速擴張期，而網絡安全也將成為其最大的問題之一。

2 智能家電系統安全的新挑戰

2.1 智能家電系統的構成

當前智能家電系統主流是由云服務器、寬帶路由器、智能手機以及無線模塊等連接智能家電而構成的，如圖1所示。在系統使用時，給用戶統一特定的客戶ID，進行智能家電的登錄，客戶登入的ID與家電和使用履歷等情報綁定。另外，家電情報等信息是通過無線模塊和無線網關，從網絡供應商網那里向服務器發送信息。像上述那樣，在用戶無意識的情況下進行家電情報的收集和積累。通過空氣發送和接收數據，使用無線電波傳輸數據信號，比較容易受到外界的干擾。數據包在傳送的過程中都可能被外界檢測或接收，信息安全是個隱患，雖然數據可以經過加密后傳輸，但在數據包足夠多的情況下，仍有被黑客破解的可能。

2.2 智能家電系統的安全隱患

同過去在家中使用的單品家電產品相比，通過IP網絡、無線、USB等接口和外設連接的產品安全的對象產品，由于能夠接入網絡，其內部保存的個人信息、受著作權保護的內容、服務的密碼等存在很大的安全風險。因此如果不采取充分的安全對策，當不法訪問或者信息泄露等發生時，將給顧客帶來很大的麻煩，也會導致家電廠商的品牌形象下滑。

此外，由于使用者對家電品牌的質量抱有很高的期望，即使是PC等電腦產品所能允許的安全事故也會嚴格要求家電品牌。與此同時，和電腦產品相比家電產品的使用者更多，平均的技術水平比較低，威脅發生的可能性也就更高。保護因為技術水平低而在網絡上成為弱者的消費者，是家電品牌廠商的重要責任。可能發生的威脅比如以下幾種：產品使用者個人信息的泄露；廢棄、修理時的處理不當導致使用者個人信息的泄露；具有惡意的第三者對產品的不正當操作；妨礙產品的正常功能。

2.3 新的安全問題的原因分析

智能家電系統將面臨產品安全新的挑戰，黑客可選擇的攻擊數量多、涉及面更廣。數量多，意味著漏洞多，攻擊資源多；面更廣，意味著各種傳感器的多種交互通道，攻擊面積大。通信、終端、云端都存在安全風險，任何一點被攻破都有可能影響整個IOT生態；產業鏈更長，芯片、模組、設備、應用、云服務各生產環節都可能被攻擊，涉及領域遠超過去，威脅領域擴散時關聯更多關鍵行業；更加貼近用戶，功能更豐富，也更敏感致命；缺少基礎安全服務，漏洞利用成本低，黑客更容易入侵。

如上所述，和過去相比，智能家電系統涉及到的企業和領域更多，需要做的工作更多，相互依賴性更強，關系更復雜，可是家電廠商的物聯網開發經驗和能力較少，因此有必要通過生態的方式互相協作與支持。而建立物聯網安全生態也存在若干課題：首先，安全成本高，中小創新廠商多，而新產品增加安全方案導致成本過高；其次，標準化程度低，產業合作成本高，方案碎片化，缺少產品安全開發指引；另外，安全方案規模化成本高，建立安全基礎服務難，垂直領域的安全方案較少。現階段智能家電安全生態建立的首要對策是整個智能家電行業的共建標準，實現互通，指引安全開發；搭建安全測試等基礎安全服務，為物聯網生態發展保駕護航。但是，作為家電廠商自己，其內部必須要有完善的、加入了產品安全內容的商品開發流程。

3 家電廠商的產品安全風險管理

作為家電廠商，制造出安全風險為零的產品是理想的，但是在軟件產品中制造出這樣的產品是非常困難的，不可能有安全風險為零的產品。為了保證安全風險在實用時不會出現，進行產品的整個生命周期安全的風險管理是必要的。這里的產品的安全周期分為企劃、設計、制造、測試、出貨后。支撐產品安全有兩個支柱，一是風險的最小化，二是意外事件的對應，如圖2所示。

3.1 最小化風險

為實現最小化風險，首先威脅分析應在產品的企劃階段開始，切實地反映到產品中。并且，在開始威脅分析的企劃階段，預想了產品的功能等未確定的事項。因此，威脅分析并不是只在企劃階段實施一回，在產品開發到結束的期間內，產品的功能確定時，以及功能變更等情況下，有必要進行多回修改，以符合產品的實際狀態。其次，在設計階段實施安全性設計，對危險分析討論的對策進行詳細化，將安全性的詳細需求反映到模塊和系統的設計中。編碼階段，要按照編碼規約作成代碼，實施安全編碼，通過工具檢查出違反編碼規約的問題以及脆弱性，實施靜態解析。最后，在測試階段驗證安全性，主要目的是要確認安全設計階段的設計活動，抽出編碼階段引入的脆弱性并修改，可以通過使用和攻擊者同樣的手法、工具對產品進行攻擊驗證。

最小化風險的措施中有各種各樣的內容，但是作為最基本的產品措施，實施下面的內容是有必要的：（1）關于全體軟件，產品中裝載的軟件成為可能更新的結構；使用開放源代碼軟件時使用最新穩定安裝版；（2）關于認證信息，ID、密碼等重要信息在代碼中不能寫死，不原封不動的保存密碼字符串（施行散列化等）；（3）關于診斷，產品發布前，需要根據漏洞工具實施診斷，確認沒有問題。

圖1 智能家電系統的構成

圖2 產品整個生命周期的安全應對

3.2 意外事件的對應

產品安全的意外事件發生時，為了把危害降低到最小，能夠迅速采取適當的應對措施，必須做好意外事件的對應。其中的意外事件包括：公司的產品中發生的由安全問題引發的造成損失的事件；由安全性企業公布的公司產品的安全漏洞；通過公司外部其他渠道獲知的公司產品的安全漏洞。

意外事件對應包含從初期階段的信息收集等到后期實施對策、公開為止的多個階段。另外，意外事件的對應不僅僅是技術部門，還需要公司內的宣傳部門等多個部門配合一起推進。意外事件對應基本原則有兩點，公開信息和向漏洞發現者進行報告。

（1）應對意外事件雖然會正常進行，但是容易發展成對外隱藏意外事件已經發生，內部進行私下處理。但是，不僅為了符合法律要求，考慮到對于利害關系人員可能存在的風險或者意外事件產生的影響，積極進行原因分析尋求并公開對策信息才是正確的處理方式。但是，公開具體的處理方式確實也會給攻擊者提供機會。因此需要和公司內外的相關機關進行協調，采取必要的措施進行信息公開。

（2）對應意外事件成立于從善意的發現者那里獲得通知后，沒有信賴，不會通知意外事件的發生，因此獲得發現者的信賴非常重要。為了獲得發現者的信賴，受理通知時以及公開意外事件時，必須要向發現者進行報告。

為了使意外事件發生時的損失局部化、最小化，功能早期復原，首先，需要構建意外事件對應的體制。其次，意外事件對應的流程如下：

（1）信息的收集，即產品出廠前或者出廠后，提前收集、積累各產品搭載的軟件（OS/庫/應用等）信息，當從安全性企業那里獲得漏洞信息時，能夠迅速查找到混入該漏洞的產品的方法。

（2）信息的流通，是指體制中的相關部門把從公司外部獲得的漏洞信息通知給公司內技術部門，委托其進行調查；以及技術部門將關于漏洞信息的產品調查結果報告給相關部門。

（3）研究對策，考慮安全漏洞的嚴重程度對應成本后決定對策，針對影響比較大的安全漏洞，要召開上層討論會。

（4）執行對策和公開，各部門間進行充分的調整，統一對外公開對應的時間點等信息。

4 結語

智能家電的產品安全問題是系統問題，需要技術、管理和法律法規協調，保障整個產業的健康發展。2017年6月1日施行的《網絡安全法》和最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，進一步織牢了智能家電的“安全網”。但是，目前智能家電市場并沒有統一的行業標準，芯片、模組、設備、應用、云服務等廠商都在開發并完善智能家電系統的征程上努力著，安全系數高且用戶體驗佳的智能家電系統必將首先扛起占領家電市場的大旗。

參考文獻

[1] 王雪嬌. 淺談智能家居系統的安全問題[J]. 科技廣場, 2015(7):132-136.

[2] 王小波. 智能家居物聯網安全問題淺析[J]. 現代商業，2015(8):28-29.

[3] 祁志強. 智能家居的現狀及發展趨勢[J]. 智能建筑，2008(12):42-44.

[4] 劉志鋼. 基于Wi-Fi的智能家居系統關鍵技術研究[D]. 成都:電子科技大學，2013.