張艷 國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心 智能互聯(lián)安全測(cè)評(píng)實(shí)驗(yàn)室主任
分享的內(nèi)容主要包括三個(gè)方面,,主要還是安全現(xiàn)狀的介紹,,然后還有我們針對(duì)智能鎖目前存在的安全風(fēng)險(xiǎn),我們可以采取哪些應(yīng)對(duì)措施,?第三個(gè)針對(duì)標(biāo)準(zhǔn)化的工作進(jìn)行一個(gè)簡單的介紹。
目前隨著我們國家智慧城市建設(shè)和平安中國,,以及國家提出的智能制造2025實(shí)施的要求,,目前安防類市場的需求非常的旺盛,技術(shù)發(fā)展也是非常的快速,。呈現(xiàn)出兩個(gè)方面的趨勢(shì),,一個(gè)就是智能化水平越來越高,,聯(lián)網(wǎng)的范圍也是越來越大。剛才的長虹專家也介紹,,整個(gè)智能家居,,包括智能安防、智慧醫(yī)療,、智慧警務(wù)等等各個(gè)方面終端的設(shè)備聯(lián)網(wǎng)的趨勢(shì)和范圍都是越來越大的,。同時(shí),伴隨著這些技術(shù)的發(fā)展,,還有人工智能技術(shù)的發(fā)展,,目前中國的智能家居行業(yè)也是在快速發(fā)展的一個(gè)狀態(tài)。
以這個(gè)智能家居的入口及產(chǎn)品,,還有就是智能安防產(chǎn)品的核心單品來說,,我們大家生活中會(huì)接觸到的一個(gè)智能門鎖。智能門鎖前面楊主任也提到,,根據(jù)市場的調(diào)研情況,,在去年的年銷量達(dá)到了近兩千萬套的規(guī)模,根據(jù)權(quán)威的調(diào)查到2020年這個(gè)數(shù)字會(huì)達(dá)到4000萬套的規(guī)模,,從經(jīng)濟(jì)效益上來說超過400億元的市場規(guī)模,,因?yàn)橹悄荛T鎖的市場前景非常的好,越來越多的企業(yè)也是加入到這個(gè)智能門鎖的技術(shù)研發(fā),,還有一些相應(yīng)的安全防護(hù)產(chǎn)品的研發(fā)這個(gè)領(lǐng)域當(dāng)中來,。
智能門鎖大家都知道是以傳統(tǒng)的機(jī)械鎖為基礎(chǔ)進(jìn)行改進(jìn)的,也是在用戶的安全性,、識(shí)別性和管理性方面更加的智能化和便捷化的鎖具,。智能鎖目前也是智能家居整個(gè)生態(tài)鏈上不可或缺的核心地位的作用。
國家方面也是對(duì)于智能安防,、交通早在2012年提出了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》當(dāng)中包括智能家居領(lǐng)域的在智慧城市建設(shè)當(dāng)中的基礎(chǔ)定位,,也是提出了重點(diǎn)發(fā)展的要求,包括工信部等各大部委對(duì)于物聯(lián)網(wǎng)的發(fā)展規(guī)劃提出了相應(yīng)的要求,。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的數(shù)據(jù)來看,,早在2017年底的時(shí)候,全國智能門鎖相關(guān)的企業(yè)數(shù)量達(dá)到了1300多家,,智能門鎖的品牌達(dá)到2800個(gè)的數(shù)據(jù)規(guī)模,。
下面看一下智能門鎖的構(gòu)成,智能門鎖的物理構(gòu)成主要分為三個(gè)部分,,包括前面板,、鎖體和后面板,前面板承載的是:主芯片,、密碼按鍵,、指紋頭模塊,、前把手、電機(jī),、藍(lán)牙模塊,、顯示屏、滑蓋,。后面板承載的是:通訊模塊,、電池槽、后把手等等這些組件,。
從它的技術(shù)層面來說主要包括三個(gè)部分,包括它的機(jī)械結(jié)構(gòu)方面,、識(shí)別控制技術(shù)方面,,還有通信服務(wù)方面。識(shí)別控制技術(shù)這塊主要是一些生物特征的識(shí)別技術(shù),,還有智能終端,、密碼等等相關(guān)的技術(shù),通信服務(wù)這塊更多的涉及到安全芯片,、智能門鎖應(yīng)用軟件,,以及云平臺(tái)云端的服務(wù)平臺(tái),還有就是涉及到我們經(jīng)常在智能門鎖應(yīng)用當(dāng)中可以看到的,,包括WIFI,、藍(lán)牙、FID,、NB-IOT等等通信協(xié)議的技術(shù),。
智能門鎖的組網(wǎng)方式來說是典型的物聯(lián)網(wǎng)三層結(jié)構(gòu),包括了感知層,、傳輸層,、應(yīng)用層三個(gè)層面。感知層在智能門鎖這塊包括了門鎖,、智能終端這個(gè)層面,,在傳輸層這塊更多的涉及到常見的家庭智能網(wǎng)關(guān),就是用于門鎖的智能接入,,還有移動(dòng)通信基站等等,,應(yīng)用層層面用于后端的控制管理和控制指令下發(fā)的云服務(wù)平臺(tái),云平臺(tái)負(fù)責(zé)智能鎖的身份認(rèn)證,、設(shè)備接入,、邏輯控制、數(shù)據(jù)內(nèi)容展示等等,。
我這邊列舉了幾個(gè)智能門鎖常見的開鎖模式,,基本上就是囊括了目前市場上見到的智能門鎖應(yīng)用的方式,,包括固定的口令密碼開鎖,還有一些臨時(shí)性的密碼,,這個(gè)主要是應(yīng)用于比如說有訪客到訪,,或者是酒店式公寓等等的應(yīng)用場景當(dāng)中,可能是由手機(jī)端進(jìn)行門鎖的密碼獲取操作,,然后會(huì)分發(fā)一個(gè)當(dāng)前時(shí)段的臨時(shí)密碼到手機(jī)終端上,,用戶發(fā)送給訪客進(jìn)行開鎖的流程。還有生物特征方面主要包括了指紋,、人臉,、虹膜等等這些生物特征的開鎖方式。智能卡鑰匙這塊更多的是門禁卡,、FID,、CPU卡等等智能卡鑰匙的方式。手機(jī)APP應(yīng)該說是目前應(yīng)用最典型的智能門鎖開鎖的方式,。
正是因?yàn)橹悄荛T鎖聯(lián)網(wǎng)的方式,,經(jīng)過歸納存在五個(gè)方面的安全風(fēng)險(xiǎn)。首先是門鎖方面的,,主要針對(duì)智能門鎖的設(shè)備攻擊威脅,,因?yàn)樽鳛橐粋€(gè)智能聯(lián)網(wǎng)產(chǎn)品,智能產(chǎn)品面臨的安全風(fēng)險(xiǎn)在門鎖這塊都是存在的,。其次在智能手機(jī)的APP應(yīng)用方面的一些攻擊威脅,,因?yàn)槌R姷腁PP存在的包括能夠進(jìn)行逆向分析、數(shù)據(jù)截獲等等,,對(duì)于智能門鎖的應(yīng)用安全方面都是存在的,。還有針對(duì)WIFI、Zigbee,、藍(lán)牙等等的攻擊,。第四個(gè)方面針對(duì)網(wǎng)絡(luò)傳輸方面,數(shù)據(jù)傳輸過程,、通信連接過程當(dāng)中的智能網(wǎng)關(guān)和攔截的風(fēng)險(xiǎn),。最后針對(duì)云平臺(tái)方面的,包括web應(yīng)用方面,,還有數(shù)據(jù)隱私泄露等等這兩方面的應(yīng)用安全的風(fēng)險(xiǎn),。
正是基于這么多的安全風(fēng)險(xiǎn),也是因?yàn)橹悄荛T鎖的安全質(zhì)量和老百姓的人身財(cái)產(chǎn)安全是密切相關(guān)的,,所以國家包括國務(wù)院在《開展質(zhì)量提升行動(dòng)的指導(dǎo)意見》當(dāng)中,,對(duì)于國家質(zhì)量標(biāo)準(zhǔn)、檢測(cè)檢驗(yàn),、認(rèn)證認(rèn)可機(jī)構(gòu)的能效運(yùn)行,,說白了是對(duì)于智能門鎖安全檢測(cè)認(rèn)證這塊提出了要求,,還有強(qiáng)化設(shè)備智能門鎖的隱私安全和保護(hù)的安要求,以及提高自身產(chǎn)品安全,、環(huán)保,、可靠性等要求和標(biāo)準(zhǔn)。
在總體的指導(dǎo)意見提出之后,,國家這邊通過市場監(jiān)管總局各大部委對(duì)于智能門鎖開展了一系列的風(fēng)險(xiǎn)監(jiān)測(cè)的活動(dòng),,去年年底的時(shí)候國家質(zhì)檢總局針對(duì)三個(gè)省市的,包括北京,、廣東,、浙江三個(gè)省份的34個(gè)批次的智能門鎖開展了風(fēng)險(xiǎn)監(jiān)測(cè)和安全性方面的測(cè)試,總共抽查了34個(gè)批次,,對(duì)于這個(gè)信息保存和務(wù)實(shí)率,、防破壞報(bào)警、泄露電流等等11項(xiàng)指標(biāo)進(jìn)行了驗(yàn)證和檢測(cè),,主要發(fā)現(xiàn)了智能門鎖在遠(yuǎn)程控制方面和人臉識(shí)別、指紋識(shí)別方面的威脅是比較高的一個(gè)風(fēng)險(xiǎn),。在感應(yīng)卡的識(shí)別的隱患也比較多,,另外在密碼邏輯的安全方面、抗電磁干擾,、指紋識(shí)別等存在不同程度的安全風(fēng)險(xiǎn),。
下面簡單介紹一下,第一個(gè)關(guān)于小黑盒攻擊測(cè)試,,這個(gè)大家在新聞互聯(lián)網(wǎng)上看到了很多,,去年5月份第九屆中國永康國際門業(yè)博覽會(huì)上,有人用特斯拉線圈裝置最快在3秒之內(nèi)開智能門鎖門禁的效果,,很多款不同品牌的門鎖在現(xiàn)場進(jìn)行了演示,,這樣的攻擊演示引起了社會(huì)上廣泛的關(guān)注。它的原理主要是利用智能門鎖電路的配電系統(tǒng)驅(qū)動(dòng)電流開啟門鎖,,另外一種因?yàn)樘厮估€圈產(chǎn)生比較強(qiáng)的電磁脈沖之后攻擊智能門鎖的芯片可以造成芯片的死機(jī)并且重啟,,很多的智能門鎖在這個(gè)機(jī)制方面默認(rèn)芯片重啟之后就會(huì)開鎖,所以實(shí)現(xiàn)了攻擊后開鎖的效果,。
第二個(gè)方面是生物特征識(shí)別方面的風(fēng)險(xiǎn),,前面提到的一個(gè)風(fēng)險(xiǎn)監(jiān)測(cè)活動(dòng)當(dāng)中有10個(gè)批次的智能門鎖都被發(fā)現(xiàn)存在指紋識(shí)別、人臉識(shí)別方面的安全威脅,,在指紋識(shí)別區(qū)受到類似于頭發(fā)絲,、金屬絲、膠帶等等,,或者出現(xiàn)裂紋的時(shí)候產(chǎn)生效果,,任何的指紋都可以進(jìn)行開鎖的實(shí)現(xiàn),。經(jīng)過分析,智能門鎖并沒有區(qū)分非指紋圖像和指紋圖像的情況下,,有的智能門鎖會(huì)把這些帶有裂紋所形成的圖像存在了庫里的模板當(dāng)中,,就會(huì)導(dǎo)致在下一次使用的時(shí)候可能會(huì)把裂紋圖像進(jìn)行一個(gè)匹配,或者是非指紋圖像作為一個(gè)標(biāo)準(zhǔn)的鑒別信息,,從而能夠?qū)崿F(xiàn)智能門鎖開啟的效果,。還有就是在人臉識(shí)別的功能智能門鎖也會(huì)存在相應(yīng)的問題,主要是不能夠區(qū)分真實(shí)的人臉信息和照片的區(qū)別,。
第三個(gè)是感應(yīng)卡方面的安全風(fēng)險(xiǎn),,同樣在30個(gè)批次風(fēng)險(xiǎn)監(jiān)測(cè)的智能門鎖當(dāng)中都具備了感應(yīng)卡開鎖的功能,30款當(dāng)中有20款的智能門鎖存在智能卡方面的安全風(fēng)險(xiǎn),,表現(xiàn)就是它能夠支持用戶錄入自己其他的一些智能卡,,包括公交卡、門禁卡,、飯卡等等作為開鎖工具,,這些門鎖使用了感應(yīng)卡并沒有加密的區(qū)塊,這部分可以通過手機(jī)和解密的讀卡器讀取到相關(guān)信息,,攻擊者對(duì)于這些區(qū)域進(jìn)行寫入操作,。同樣的關(guān)聯(lián)問題可以體現(xiàn)在FID技術(shù)的門禁卡當(dāng)中,F(xiàn)ID卡在智能門鎖應(yīng)用當(dāng)中會(huì)存儲(chǔ)代表持卡人身份信息的字符串,,通常FID卡中會(huì)對(duì)信息進(jìn)行明文存儲(chǔ),,或者經(jīng)過簡單處理之后的存儲(chǔ),攻擊者只要通過常用的讀卡器就能夠讀取存儲(chǔ)的字符串信息,,再進(jìn)行新的FID卡信息的寫入獲取權(quán)限實(shí)現(xiàn)正常開鎖的效果,。
第四個(gè)是遠(yuǎn)程控制方面的安全風(fēng)險(xiǎn),這個(gè)也同樣是在風(fēng)險(xiǎn)監(jiān)測(cè)那次活動(dòng)中發(fā)現(xiàn)的比較重要的一個(gè)安全風(fēng)險(xiǎn)類型,,抽查的批次產(chǎn)品當(dāng)中有10個(gè)批次都是支持移動(dòng)應(yīng)用的遠(yuǎn)程控制,、遠(yuǎn)程開鎖,以及查卡門禁開啟記錄的功能,,其中有8個(gè)存在相應(yīng)的問題,。很多的問題主要是APP自身的問題,比如說同樣加解密鑰的使用,,一些APP代碼沒有經(jīng)過加固過,,密鑰進(jìn)行逆向分析,分析出和門鎖當(dāng)中的交互信息,。程序員在代碼編輯的時(shí)候存在bug問題,,還有就是終端本身存在相應(yīng)的漏洞,植入惡意代碼之后進(jìn)行智能門鎖的攻擊,第五個(gè)方面就是在手機(jī)的APP和門鎖,,或者是智能的安全接入網(wǎng)關(guān)之間的認(rèn)證問題導(dǎo)致中間人攻擊,,這個(gè)都是在智能門鎖遠(yuǎn)程控制當(dāng)中的安全風(fēng)險(xiǎn)。
第六個(gè)是關(guān)于WIFI信號(hào)劫持方面實(shí)現(xiàn)開門操作的威脅,,同樣是因?yàn)殚T鎖和APP很多通過WIFI接入到互聯(lián)網(wǎng),,比如用戶的手機(jī)在家里的時(shí)候也是通過WIFI連到家里的路由器,如果攻擊者通過攻擊WIFI路由器,、智能家居網(wǎng)關(guān)劫持信號(hào)可以分析定位出當(dāng)中交互的數(shù)據(jù)包進(jìn)行相應(yīng)的截獲和重放,,通過重放攻擊的方式實(shí)現(xiàn)對(duì)于門鎖的控制。
其他方面包括智能門鎖存儲(chǔ)的固定密碼,,可能很多的時(shí)候使用這些默認(rèn)密碼,,還有密碼邏輯漏洞、短密碼等等,,復(fù)雜度不夠的問題,,以及密碼泄露等等的情況,這個(gè)是固定密碼相關(guān)的威脅,。另一方面,,更多體現(xiàn)在云服務(wù)平臺(tái)方面的問題,包括用戶身份鑒別機(jī)制,、訪問控制方面的漏洞,,以及前面提到過的云管理平臺(tái)web安全方面的問題,還有敏感信息泄露等等這些已知的漏洞情況都會(huì)導(dǎo)致云平臺(tái)的安全風(fēng)險(xiǎn)給智能門鎖的應(yīng)用帶來相應(yīng)的威脅,。
談到這么多的安全風(fēng)險(xiǎn)之后,,我們?cè)撊绾尾扇∠鄳?yīng)的應(yīng)對(duì)措施呢,?主要從三個(gè)方面,,第一個(gè)從部分用戶的角度來說,肯定首先是要選擇相應(yīng)的比較知名的品牌有質(zhì)量保障的廠商,,其次選取具有安全功能的智能家庭網(wǎng)關(guān)設(shè)備,,比如近場通信安全監(jiān)控和流量安全監(jiān)控等相關(guān)安全功能,并且進(jìn)行策略啟用,。從智能門鎖廠商來說首先通過移動(dòng)應(yīng)用的安全質(zhì)量,,通過APP加固等常規(guī)的安全加固手段加快防逆向分析和抗分析的能力。第二個(gè)加強(qiáng)智能門鎖的安全設(shè)計(jì),,提高智能門鎖的抗攻擊能力,,包括安全芯片方面。第三個(gè)是網(wǎng)絡(luò)安全防護(hù),,主要指通信過程當(dāng)中的安全性防護(hù)措施,。第四個(gè)就是保障云端的服務(wù)安全,從物理層面、虛擬化層面,,包括從主機(jī)層,、網(wǎng)絡(luò)層、應(yīng)用層等等的全方位的對(duì)于云平臺(tái)全時(shí)段的安全監(jiān)控,,還有運(yùn)維形成網(wǎng)絡(luò)措施保障安全性,。
第三個(gè)層面從監(jiān)管,或者檢測(cè)認(rèn)證的角度,,遵從行業(yè)監(jiān)管的相關(guān)意見對(duì)智能門鎖的質(zhì)量,,或者是安全性方面進(jìn)行質(zhì)量的把關(guān)。我們這邊提供包括電子防盜鎖的GA認(rèn)證等等,,第一個(gè)主要依據(jù)了公安行業(yè)標(biāo)準(zhǔn)機(jī)械防盜鎖和電子防盜鎖的標(biāo)準(zhǔn),,還有就是指紋防盜鎖的通用技術(shù)條件作為認(rèn)證檢測(cè)依據(jù),這塊更多不是信息安全類的要求,,可能從機(jī)械安全角度和安防的角度對(duì)智能門鎖功能的安全性進(jìn)行認(rèn)證,。下面社會(huì)公共安全領(lǐng)域智能聯(lián)網(wǎng)產(chǎn)品認(rèn)證,主要是依據(jù)智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全認(rèn)證的實(shí)施規(guī)則,,以及操作了18336和通用滲透測(cè)試的檢測(cè)條件,,以及專門針對(duì)智能聯(lián)網(wǎng)產(chǎn)品制定的網(wǎng)絡(luò)安全技術(shù)規(guī)范這些技術(shù)標(biāo)準(zhǔn)實(shí)施的一個(gè)檢測(cè)和認(rèn)證。
智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全認(rèn)證涵蓋12個(gè)大類,、55個(gè)測(cè)試點(diǎn)的安全技術(shù)檢測(cè),,這個(gè)涵蓋的范圍主要包括具有聯(lián)網(wǎng)功能的,比如說攝像機(jī)等視頻監(jiān)控產(chǎn)品和智能門鎖等智能防護(hù)產(chǎn)品,,以及探測(cè)器等等,,還有樓宇對(duì)講出入口控制等等都在這個(gè)安全認(rèn)證的范圍當(dāng)中。此外,,安全控制點(diǎn)的要求后面我會(huì)介紹,,基本上涵蓋目前已知的安全漏洞和威脅。因?yàn)橹悄苈?lián)網(wǎng)產(chǎn)品的分門別類,,技術(shù)實(shí)現(xiàn)方式很多,,所以在認(rèn)證技術(shù)規(guī)范的動(dòng)態(tài)調(diào)整的角度也會(huì)持續(xù)不斷地更新最新的一些安全威脅對(duì)技術(shù)規(guī)范進(jìn)行調(diào)整,能夠盡可能覆蓋到行業(yè)當(dāng)中報(bào)出來的一些新的安全問題,。這個(gè)認(rèn)證的實(shí)施也是為了促進(jìn)智能聯(lián)網(wǎng)產(chǎn)品的技術(shù)創(chuàng)新,,提高產(chǎn)品的公信力、競爭力,,同樣也是為用戶進(jìn)行甄別產(chǎn)品和網(wǎng)絡(luò)安全防護(hù)能力的需求提供有效的參照,。
對(duì)于剛才提到的智能聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全認(rèn)證的技術(shù)規(guī)范,我們這邊主要針對(duì)聯(lián)網(wǎng)產(chǎn)品面臨的一些安全威脅提出相應(yīng)的技術(shù)指標(biāo),。從安全技術(shù)要求的角度對(duì)于智能聯(lián)網(wǎng)產(chǎn)品的安全功能,,包括標(biāo)識(shí)鑒別、用戶數(shù)據(jù)保護(hù)、安全管理,、TOE訪問,、TSF保護(hù)、可信路徑性等等,,安全保障要求主要針對(duì)智能聯(lián)網(wǎng)產(chǎn)品的開發(fā),、設(shè)計(jì)、使用等全生命周期當(dāng)中的安全保障提出具體的要求,,比開發(fā)指導(dǎo)性文檔,、生命周期支持、測(cè)試等等,,同時(shí)在脆弱性攻擊加入了滲透測(cè)試的要求,,模擬黑客對(duì)于產(chǎn)品展開一定的攻擊,包括遠(yuǎn)程網(wǎng)絡(luò)攻擊,、物理接觸攻擊等等,,盡可能在檢測(cè)認(rèn)證環(huán)節(jié)能夠在第一時(shí)間發(fā)現(xiàn)產(chǎn)品存在的安全問題及早進(jìn)行修復(fù)。
標(biāo)準(zhǔn)中的安全技術(shù)要求前面提到的安全防護(hù)點(diǎn)來說,,首先標(biāo)識(shí)和鑒別包括了常規(guī)的鑒別失敗處理,、屬性定義、口令驗(yàn)證,、鑒別時(shí)效,、多重鑒別機(jī)制等等要求,這個(gè)主要為智能門鎖用戶鑒別方面的弱口令,、默認(rèn)口令,、暴力猜測(cè)、設(shè)備防爆等等方面的威脅,。第二個(gè),,用戶數(shù)據(jù)保護(hù)方面的技術(shù)要求主要是包括訪問控制、基于安全屬性的訪問控制,、信息流控制,、屬性制定,、變更修改等等這方面的要求,,主要是為了應(yīng)對(duì)智能聯(lián)網(wǎng)產(chǎn)品,包括智能門鎖在內(nèi)的用戶數(shù)據(jù)越權(quán)訪問,,以及信息泄露方面的安全風(fēng)險(xiǎn),。第三個(gè),安全管理方面的技術(shù)要求,,包括數(shù)據(jù)管理,、安全管理、功能規(guī)范、管理員角色,、時(shí)效性等等這方面的要求,,主要是為了應(yīng)對(duì)智能聯(lián)網(wǎng)產(chǎn)品管理權(quán)限和安全策略越權(quán)訪問等等方面的威脅,因?yàn)闀r(shí)間關(guān)系具體的技術(shù)條目不展開了,。第四個(gè),,TOE訪問這塊針對(duì)多重并發(fā)會(huì)話限定、鎖定,、建立等等要求,,這個(gè)主要應(yīng)對(duì)產(chǎn)品的管理權(quán)限。還有就是產(chǎn)品數(shù)據(jù)篡改,、重放攻擊,、補(bǔ)丁攻擊等等方面的威脅。第五個(gè),,TFS保護(hù)方面的技術(shù)要求,,包括測(cè)試、時(shí)間戳,、重放檢測(cè),、被動(dòng)恢復(fù)、數(shù)據(jù)保密性等等方面的要求,,這個(gè)主要針對(duì)智能聯(lián)網(wǎng)產(chǎn)品的越權(quán)訪問,、設(shè)備仿冒、重放攻擊等等面臨的安全威脅,??尚哦冗@塊主要是應(yīng)對(duì)產(chǎn)品數(shù)據(jù)和控制傳輸產(chǎn)生的威脅制定的技術(shù)要求。安全審計(jì)也是常規(guī)的審計(jì)數(shù)據(jù)產(chǎn)生,,審計(jì)查閱,、數(shù)據(jù)保護(hù)、簡單攻擊探測(cè)和安全報(bào)警方面的要求,,這個(gè)主要為了應(yīng)對(duì)產(chǎn)品管理,、訪問行為不可追溯這方面存在的威脅而定義的技術(shù)要求。
第三個(gè)方面主要介紹一下智能門鎖的安全技術(shù)要求的標(biāo)準(zhǔn)化進(jìn)展,,在今年1月底,,市場監(jiān)管總局印發(fā)了2019年版的《全國重點(diǎn)工業(yè)產(chǎn)品質(zhì)量監(jiān)督目錄》,這里面明確將智能門鎖列入到重點(diǎn)的產(chǎn)品質(zhì)量安全監(jiān)管的目錄當(dāng)中,,要求結(jié)合產(chǎn)品的應(yīng)用實(shí)際進(jìn)一步突出加強(qiáng)安全評(píng)估,,以及分類監(jiān)管和動(dòng)態(tài)調(diào)整的要求,也是體現(xiàn)了國家對(duì)于智能門鎖這一類產(chǎn)品,,或者這個(gè)應(yīng)用領(lǐng)域的重點(diǎn)關(guān)注度,。
對(duì)于整個(gè)智能門鎖的行業(yè)來說,,相關(guān)的一些行業(yè)部門組織都在致力于制定比較完善的,包括安全實(shí)施標(biāo)準(zhǔn),,能夠覆蓋智能門鎖整體的體系,,從規(guī)劃、設(shè)計(jì),、開發(fā)到測(cè)試部署,,以及上線運(yùn)營等等的全部過程來強(qiáng)化整個(gè)行業(yè)的安全意識(shí),包括產(chǎn)品安全水平,。
同時(shí)也是組織制定比較完善的一些包括檢測(cè)標(biāo)準(zhǔn),、安全實(shí)施標(biāo)準(zhǔn)等等方面的行業(yè)標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn),,這個(gè)已經(jīng)成為一個(gè)行業(yè)的共識(shí),。
所以今年全國信安標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《2019年工作要點(diǎn)》當(dāng)中將智能門鎖的安全標(biāo)準(zhǔn)作為全年的重點(diǎn)工作在開展,正是基于這樣的要求,,今年4月份寧波的全國信安標(biāo)準(zhǔn)化技術(shù)委員會(huì)舉辦的標(biāo)準(zhǔn)會(huì)議中全體會(huì)議上,,也是申請(qǐng)制定智能門鎖的安全技術(shù)要求和測(cè)試評(píng)價(jià)方法,得到了與會(huì)專家,、工作組專家,、參會(huì)代表和秘書處的支持,在工作組內(nèi)已經(jīng)投票通過了,。
目前國內(nèi)在行的標(biāo)準(zhǔn)包括國家安全標(biāo)準(zhǔn)《鎖具安全使用通用技術(shù)條件》,,更多的是對(duì)鎖具載荷、承受強(qiáng)度,、執(zhí)手靜壓力提出了規(guī)定,,還有電子通用技術(shù)應(yīng)用,以及機(jī)械防盜鎖通用技術(shù)要求,,前面提到的監(jiān)督檢查抽查都是依據(jù)這些行業(yè)標(biāo)準(zhǔn)進(jìn)行檢測(cè),。這是國內(nèi)的標(biāo)準(zhǔn)情況。
國外主要是在美國和歐洲,,對(duì)于智能門鎖的應(yīng)用市場和標(biāo)準(zhǔn)是比較成熟的,,包括在SCA263的WG3工作組制定的歐盟高安全鎖具標(biāo)準(zhǔn)。
我們申請(qǐng)制定的國家標(biāo)準(zhǔn)和現(xiàn)有的標(biāo)準(zhǔn)來說有明顯的區(qū)別,,剛才提到的鎖具相關(guān)的標(biāo)準(zhǔn)更多的對(duì)于機(jī)械安全,、電子功能提出相應(yīng)的要求,缺少的是信息安全方面的技術(shù)內(nèi)容,,已有的這些標(biāo)準(zhǔn)沒有辦法有效覆蓋,,或者來規(guī)范產(chǎn)品的信息安全方面的功能,,所以國標(biāo)的制定和實(shí)施也是為了將來能夠填補(bǔ)智能門鎖信息安全的技術(shù)要求空白,。同時(shí)這個(gè)標(biāo)準(zhǔn)的制定和實(shí)施將來也是和其他的傳統(tǒng)機(jī)械安全電子功能方面的技術(shù)標(biāo)準(zhǔn)可以協(xié)調(diào)配合來配套實(shí)施的,。這個(gè)標(biāo)準(zhǔn)的制定目標(biāo)就是為了針對(duì)智能門鎖的類別產(chǎn)品的信息安全技術(shù)要求,以及測(cè)試評(píng)價(jià)方法進(jìn)行明確,,并且能夠解決目前已經(jīng)曝出來的包括小黑盒攻擊,、生物識(shí)別身份鑒別仿冒等等這些問題,從而提升產(chǎn)品全面的安全性,,包括智能門鎖用戶安全保障能力,,智能門鎖行業(yè)的發(fā)展,以及真正最終用戶的生命財(cái)產(chǎn)安全等等,。
研究的內(nèi)容方面主要包括智能門鎖的鎖體,、接入網(wǎng)關(guān)的安全功能要求、智能門鎖管理平臺(tái),,包括云端的管理平臺(tái)的功能要求,,還有APP端功能要求,以及相應(yīng)的測(cè)試評(píng)價(jià)方法,。
前期的準(zhǔn)備工作當(dāng)中編制組囊括了各個(gè)行業(yè)的單位,,包括像三所、中國網(wǎng)絡(luò)安全審查技術(shù)和認(rèn)證中心,、國家計(jì)算機(jī)網(wǎng)絡(luò)安全研究,、信通院、中科院信通所等等網(wǎng)絡(luò)安全研究和測(cè)評(píng)機(jī)構(gòu),,包括華為,、阿里、百度,、中國電信,、中國移動(dòng)等等電信運(yùn)營商,以及業(yè)內(nèi)的知名網(wǎng)絡(luò)安全廠商,,包括奇虎科技等等,,包括APP端的愛加密等等這些廠商。更多的是以中山市的鎖業(yè)協(xié)會(huì)為代表的30家鎖具生產(chǎn)廠商從事制鎖行業(yè)的龍頭企業(yè)和地方行業(yè)協(xié)會(huì)等等,,都有相應(yīng)的跟智能門鎖,,或者鎖具相關(guān)標(biāo)準(zhǔn)編制的基礎(chǔ)。
從編制思路上來說,,主要是充分調(diào)研智能門鎖的行業(yè),,完成相應(yīng)的安全威脅的風(fēng)險(xiǎn),從而能夠建設(shè)符合這個(gè)門鎖的安全防護(hù)需求的信息安全標(biāo)準(zhǔn),。同時(shí)也是建立從自上而下的信息安全技術(shù)要求,,從最底層的鎖體安全到上層的應(yīng)用,再到云平臺(tái),、遠(yuǎn)程服務(wù)端等等分層次建立安全要求的內(nèi)容,,從而明確各個(gè)方面的安全技術(shù)指標(biāo),。在各個(gè)層級(jí)之內(nèi),明確安全分級(jí)的需求,,從而推動(dòng)跨層級(jí)的技術(shù)安全服務(wù)產(chǎn)品,,能夠更好地推廣標(biāo)準(zhǔn)化,降低安全部署的成本,。
所以說我們這個(gè)標(biāo)準(zhǔn)的制定更多的是能夠?yàn)檎麄€(gè)行業(yè)的發(fā)展,,或者這類產(chǎn)品的技術(shù)發(fā)展提供相應(yīng)的技術(shù)依據(jù),同樣也是來指導(dǎo)智能門鎖類產(chǎn)品的安全設(shè)計(jì),、生產(chǎn)和測(cè)試,。此外,也是對(duì)相關(guān)的產(chǎn)品管理部門和測(cè)評(píng)機(jī)構(gòu)提供一個(gè)管理測(cè)評(píng)的重要參考,。所以我們也是希望更多的一些業(yè)內(nèi)機(jī)構(gòu),,或者廠商能夠參與到我們這個(gè)標(biāo)準(zhǔn)的制定過程中。
最后歸納總結(jié)一下關(guān)于智能聯(lián)網(wǎng)產(chǎn)品,,包括智能門鎖的安全,,主要有以下的建議。首先是加強(qiáng)相應(yīng)產(chǎn)品的安全風(fēng)險(xiǎn)評(píng)估,,以及應(yīng)用方面的安全培訓(xùn),,能夠提高無論是生產(chǎn)企業(yè),還是用戶這邊的安全意識(shí),。其次是加強(qiáng)技術(shù)合作,,包括一些高效可靠的標(biāo)識(shí)鑒別技術(shù)、安全準(zhǔn)入等等相關(guān)的技術(shù)應(yīng)用,,建立相關(guān)產(chǎn)品的標(biāo)準(zhǔn)體系不僅僅是一個(gè)安全測(cè)評(píng)的標(biāo)準(zhǔn),,從整個(gè)體系的角度來提供一系列的標(biāo)準(zhǔn)。同時(shí)也是能夠使采購和使用的這些方面能夠符合相應(yīng)的標(biāo)準(zhǔn)要求,,盡可能使用通過網(wǎng)絡(luò)安全認(rèn)證的聯(lián)網(wǎng)產(chǎn)品,。
我們相信通過端、管,、云等等完整的安全鏈,,可以大家共同處理形成一個(gè)責(zé)任比較明晰、保障有力的安全機(jī)制,,提升智能門鎖的聯(lián)網(wǎng)產(chǎn)品,,或者設(shè)備的網(wǎng)絡(luò)安全防護(hù)能力。同樣也是為整個(gè)智能互聯(lián)時(shí)代下網(wǎng)絡(luò)空間安全的維護(hù)做出應(yīng)有的貢獻(xiàn),。