鲍建科

松下家电研究开发（杭州）有限公司 浙江杭州 310018

1 引言

每个人的生活都离不开家庭，离不开家电，高速发展的现代化生活促使原本单一的生活方式走向智能化。智能家电系统为人们提供方便舒适生活的同时，也要保障使用者的生命财产安全，安全系数低的智能家电系统无疑是在家中埋下的一颗炸弹，厂商在开发新颖的智能家居系统的同时更要注重智能家居系统的安全性。其实家电产品的安全问题一直存在，不过随着智能化技术的引入，家电在接入网络之后，除了“传统”的电器安全（Safety）之外，又多了一个产品安全（Security）问题。

2017年以来，智能家电站在了行业的风口。十九大报告指出，我国社会主要矛盾已经转化为人民日益增长的对美好生活需要和不平衡不充分的发展之间的矛盾。智能家电能够为人们提供憧憬的生活需求，将迎来高速扩张期，而网络安全也将成为其最大的问题之一。

2 智能家电系统安全的新挑战

2.1 智能家电系统的构成

当前智能家电系统主流是由云服务器、宽带路由器、智能手机以及无线模块等连接智能家电而构成的，如图1所示。在系统使用时，给用户统一特定的客户ID，进行智能家电的登录，客户登入的ID与家电和使用履历等情报绑定。另外，家电情报等信息是通过无线模块和无线网关，从网络供应商网那里向服务器发送信息。像上述那样，在用户无意识的情况下进行家电情报的收集和积累。通过空气发送和接收数据，使用无线电波传输数据信号，比较容易受到外界的干扰。数据包在传送的过程中都可能被外界检测或接收，信息安全是个隐患，虽然数据可以经过加密后传输，但在数据包足够多的情况下，仍有被黑客破解的可能。

2.2 智能家电系统的安全隐患

同过去在家中使用的单品家电产品相比，通过IP网络、无线、USB等接口和外设连接的产品安全的对象产品，由于能够接入网络，其内部保存的个人信息、受著作权保护的内容、服务的密码等存在很大的安全风险。因此如果不采取充分的安全对策，当不法访问或者信息泄露等发生时，将给顾客带来很大的麻烦，也会导致家电厂商的品牌形象下滑。

此外，由于使用者对家电品牌的质量抱有很高的期望，即使是PC等电脑产品所能允许的安全事故也会严格要求家电品牌。与此同时，和电脑产品相比家电产品的使用者更多，平均的技术水平比较低，威胁发生的可能性也就更高。保护因为技术水平低而在网络上成为弱者的消费者，是家电品牌厂商的重要责任。可能发生的威胁比如以下几种：产品使用者个人信息的泄露；废弃、修理时的处理不当导致使用者个人信息的泄露；具有恶意的第三者对产品的不正当操作；妨碍产品的正常功能。

2.3 新的安全问题的原因分析

智能家电系统将面临产品安全新的挑战，黑客可选择的攻击数量多、涉及面更广。数量多，意味着漏洞多，攻击资源多；面更广，意味着各种传感器的多种交互通道，攻击面积大。通信、终端、云端都存在安全风险，任何一点被攻破都有可能影响整个IOT生态；产业链更长，芯片、模组、设备、应用、云服务各生产环节都可能被攻击，涉及领域远超过去，威胁领域扩散时关联更多关键行业；更加贴近用户，功能更丰富，也更敏感致命；缺少基础安全服务，漏洞利用成本低，黑客更容易入侵。

如上所述，和过去相比，智能家电系统涉及到的企业和领域更多，需要做的工作更多，相互依赖性更强，关系更复杂，可是家电厂商的物联网开发经验和能力较少，因此有必要通过生态的方式互相协作与支持。而建立物联网安全生态也存在若干课题：首先，安全成本高，中小创新厂商多，而新产品增加安全方案导致成本过高；其次，标准化程度低，产业合作成本高，方案碎片化，缺少产品安全开发指引；另外，安全方案规模化成本高，建立安全基础服务难，垂直领域的安全方案较少。现阶段智能家电安全生态建立的首要对策是整个智能家电行业的共建标准，实现互通，指引安全开发；搭建安全测试等基础安全服务，为物联网生态发展保驾护航。但是，作为家电厂商自己，其内部必须要有完善的、加入了产品安全内容的商品开发流程。

3 家电厂商的产品安全风险管理

作为家电厂商，制造出安全风险为零的产品是理想的，但是在软件产品中制造出这样的产品是非常困难的，不可能有安全风险为零的产品。为了保证安全风险在实用时不会出现，进行产品的整个生命周期安全的风险管理是必要的。这里的产品的安全周期分为企划、设计、制造、测试、出货后。支撑产品安全有两个支柱，一是风险的最小化，二是意外事件的对应，如图2所示。

3.1 最小化风险

为实现最小化风险，首先威胁分析应在产品的企划阶段开始，切实地反映到产品中。并且，在开始威胁分析的企划阶段，预想了产品的功能等未确定的事项。因此，威胁分析并不是只在企划阶段实施一回，在产品开发到结束的期间内，产品的功能确定时，以及功能变更等情况下，有必要进行多回修改，以符合产品的实际状态。其次，在设计阶段实施安全性设计，对危险分析讨论的对策进行详细化，将安全性的详细需求反映到模块和系统的设计中。编码阶段，要按照编码规约作成代码，实施安全编码，通过工具检查出违反编码规约的问题以及脆弱性，实施静态解析。最后，在测试阶段验证安全性，主要目的是要确认安全设计阶段的设计活动，抽出编码阶段引入的脆弱性并修改，可以通过使用和攻击者同样的手法、工具对产品进行攻击验证。

最小化风险的措施中有各种各样的内容，但是作为最基本的产品措施，实施下面的内容是有必要的：（1）关于全体软件，产品中装载的软件成为可能更新的结构；使用开放源代码软件时使用最新稳定安装版；（2）关于认证信息，ID、密码等重要信息在代码中不能写死，不原封不动的保存密码字符串（施行散列化等）；（3）关于诊断，产品发布前，需要根据漏洞工具实施诊断，确认没有问题。

图1 智能家电系统的构成

图2 产品整个生命周期的安全应对

3.2 意外事件的对应

产品安全的意外事件发生时，为了把危害降低到最小，能够迅速采取适当的应对措施，必须做好意外事件的对应。其中的意外事件包括：公司的产品中发生的由安全问题引发的造成损失的事件；由安全性企业公布的公司产品的安全漏洞；通过公司外部其他渠道获知的公司产品的安全漏洞。

意外事件对应包含从初期阶段的信息收集等到后期实施对策、公开为止的多个阶段。另外，意外事件的对应不仅仅是技术部门，还需要公司内的宣传部门等多个部门配合一起推进。意外事件对应基本原则有两点，公开信息和向漏洞发现者进行报告。

（1）应对意外事件虽然会正常进行，但是容易发展成对外隐藏意外事件已经发生，内部进行私下处理。但是，不仅为了符合法律要求，考虑到对于利害关系人员可能存在的风险或者意外事件产生的影响，积极进行原因分析寻求并公开对策信息才是正确的处理方式。但是，公开具体的处理方式确实也会给攻击者提供机会。因此需要和公司内外的相关机关进行协调，采取必要的措施进行信息公开。

（2）对应意外事件成立于从善意的发现者那里获得通知后，没有信赖，不会通知意外事件的发生，因此获得发现者的信赖非常重要。为了获得发现者的信赖，受理通知时以及公开意外事件时，必须要向发现者进行报告。

为了使意外事件发生时的损失局部化、最小化，功能早期复原，首先，需要构建意外事件对应的体制。其次，意外事件对应的流程如下：

（1）信息的收集，即产品出厂前或者出厂后，提前收集、积累各产品搭载的软件（OS/库/应用等）信息，当从安全性企业那里获得漏洞信息时，能够迅速查找到混入该漏洞的产品的方法。

（2）信息的流通，是指体制中的相关部门把从公司外部获得的漏洞信息通知给公司内技术部门，委托其进行调查；以及技术部门将关于漏洞信息的产品调查结果报告给相关部门。

（3）研究对策，考虑安全漏洞的严重程度对应成本后决定对策，针对影响比较大的安全漏洞，要召开上层讨论会。

（4）执行对策和公开，各部门间进行充分的调整，统一对外公开对应的时间点等信息。

4 结语

智能家电的产品安全问题是系统问题，需要技术、管理和法律法规协调，保障整个产业的健康发展。2017年6月1日施行的《网络安全法》和最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，进一步织牢了智能家电的“安全网”。但是，目前智能家电市场并没有统一的行业标准，芯片、模组、设备、应用、云服务等厂商都在开发并完善智能家电系统的征程上努力着，安全系数高且用户体验佳的智能家电系统必将首先扛起占领家电市场的大旗。

参考文献

[1] 王雪娇. 浅谈智能家居系统的安全问题[J]. 科技广场, 2015(7):132-136.

[2] 王小波. 智能家居物联网安全问题浅析[J]. 现代商业，2015(8):28-29.

[3] 祁志强. 智能家居的现状及发展趋势[J]. 智能建筑，2008(12):42-44.

[4] 刘志钢. 基于Wi-Fi的智能家居系统关键技术研究[D]. 成都:电子科技大学，2013.