智能硬件產(chǎn)業(yè)蓬勃發(fā)展 多重安全技術(shù)指引硬件廠商前行

時間:2018-02-12

來源:網(wǎng)絡(luò)轉(zhuǎn)載

導(dǎo)語:近年來,智能硬件產(chǎn)業(yè)蓬勃發(fā)展,預(yù)計(jì)到2018年,我國智能硬件終端和服務(wù)市場規(guī)模將超5000億元,2020年可達(dá)萬億元規(guī)模。

近年來,智能硬件產(chǎn)業(yè)蓬勃發(fā)展,預(yù)計(jì)到2018年,我國智能硬件終端和服務(wù)市場規(guī)模將超5000億元,2020年可達(dá)萬億元規(guī)模。

智能硬件產(chǎn)業(yè)蓬勃發(fā)展2018年將達(dá)5千億規(guī)模

在如此龐大的規(guī)模之下,智能硬件安全問題也越來越多的暴露在公眾面前。概括的講,有八大類智能硬件安全問題值得關(guān)注:數(shù)據(jù)存儲不安全、服務(wù)端控制措施部署不當(dāng)、傳輸過程中沒有加密、手機(jī)客戶端的注入、身份認(rèn)證措施不當(dāng)、密鑰保護(hù)措施不當(dāng)、會話處理不當(dāng)、敏感數(shù)據(jù)泄露。這其中的種種問題,不僅僅影響到個人信息安全,更直接影響到我們的人身安全,甚至影響到社會安全和國家安全。因此,智能硬件安全必須引起高度重視。

基于此,近期,中國信息通信研究院發(fā)布了《智能硬件安全白皮書》,白皮書指出,目前智能硬件總出貨量非常大,但是針對智能硬件安全的支出量卻非常小,在2017年,全球在相關(guān)方面的支出是3.48億美元,2018年預(yù)計(jì)會有5.47億美元??梢钥闯?,數(shù)字雖然非常小,但是增長率較高,這也反映了業(yè)界對于智能硬件關(guān)注越來越強(qiáng)烈。

多重安全技術(shù)指引硬件廠商前行

中國信息通信研究院智能硬件專家、移動智能終端技術(shù)創(chuàng)新與產(chǎn)業(yè)聯(lián)盟智能硬件組組長崔偉男在接受飛象網(wǎng)采訪時表示,智能硬件安全相較于傳統(tǒng)硬件安全有兩個特點(diǎn),一個是智能硬件需求差異比較大,二是應(yīng)用場景安全需求等級不同。“所以針對于智能硬件新的特征,也希望產(chǎn)業(yè)界采取一些新的措施和新的技術(shù),來應(yīng)對目前的挑戰(zhàn)。”

就智能硬件安全技術(shù)分析方面,崔偉男表示,白皮書在系統(tǒng)安全上提出了一個概念:信息安全基線是一個信息系統(tǒng)最小安全保障,即該信息系統(tǒng)最基本需要滿足的安全要求,信息安全基線是實(shí)現(xiàn)信息安全風(fēng)險評估和風(fēng)險的前提和基礎(chǔ)。

“我們提出安全度量模型,主要分兩部分,一部分評估智能硬件系統(tǒng)是否實(shí)施了安全保護(hù),另外是采取安全防護(hù)技術(shù)強(qiáng)度,通過計(jì)算,給出安全防護(hù)分?jǐn)?shù),對安全進(jìn)行度量。另一方面,我們建議廠商也要注重嵌入系統(tǒng)完整性和測量,可以提供一些用于檢測系統(tǒng)更改的工具和接口?!?/p>

在網(wǎng)絡(luò)訪問安全控制技術(shù)方面,白皮書建議智能硬件廠商采用訪問控制列表,保證云端各服務(wù)組件之間的網(wǎng)絡(luò)訪問控制和對外強(qiáng)制隔離。

崔偉男指出,設(shè)備接入技術(shù)上,智能硬件網(wǎng)關(guān)接入設(shè)計(jì)應(yīng)該保護(hù)業(yè)務(wù)的質(zhì)量和安全。因此有三大功能可以把協(xié)議轉(zhuǎn)換,同時可以實(shí)現(xiàn)移動通信網(wǎng)和互聯(lián)網(wǎng)間的信息轉(zhuǎn)換。一是接入網(wǎng)關(guān)可以提供基礎(chǔ)的管理服務(wù),二是終端設(shè)備提供身份認(rèn)證,訪問控制等安全管控服務(wù),三是將各種網(wǎng)絡(luò)進(jìn)行互聯(lián)整合,可以借助安全接入網(wǎng)關(guān)平臺,迅速開展網(wǎng)絡(luò)安全應(yīng)用。

目前智能設(shè)備越來越廣泛地應(yīng)用于商務(wù)、金融和娛樂行業(yè),基于遠(yuǎn)程互聯(lián)網(wǎng)服務(wù)器的用戶鑒權(quán)是許多應(yīng)用程序或云服務(wù)的第一個環(huán)節(jié),需要采用強(qiáng)身份鑒權(quán)機(jī)制。另外智能硬件會用到對稱加密和非對稱加密項(xiàng)下所有加密技術(shù),如AES和SSL,但是由于智能硬件自身特點(diǎn),在選擇加密算法的時候,必須考慮占有系統(tǒng)資源少或者輕型加密算法來控制功耗和設(shè)備,“因?yàn)橹悄苡布w型較小,資源比較受限,我們建議智能硬件生產(chǎn)廠商在采用加密算法的時候要考慮加密技術(shù)。另外對于多渠道日志,統(tǒng)一進(jìn)行收集存儲,通過實(shí)施告警和聯(lián)動安全防御策略,及時發(fā)現(xiàn)并處理安全風(fēng)險,進(jìn)一步提升智能硬件整體安全。”

就固件安全技術(shù)方面,白皮書指出,固件安全代碼中的安全缺陷具有隱蔽性強(qiáng)、難以檢測、不易剔除、破壞性強(qiáng)等特點(diǎn)。固件安全主要涉及三個方面,一個是可信源驗(yàn)證,二是代碼安全,三是傳輸安全,建議智能硬件生產(chǎn)廠商采用阻止或環(huán)節(jié)針對設(shè)備固件安全攻擊行為途徑,包括以下幾方面:一是升級前針對原始固件進(jìn)行完整性檢查,確保固件升級服務(wù)穩(wěn)定性和不可篡改性,二是固件升級中要采用狀態(tài)機(jī)跟蹤和數(shù)據(jù)簽名,三是升級完成后進(jìn)行完整性安全檢查,建立中期性的固件和更新策略,同時采用更加安全的技術(shù)。

在客戶端安全技術(shù)方面,目前信通院了解到針對App攻擊手段較多,智能硬件廠商研發(fā)過程中也要更加注意到App安全性驗(yàn)證,加強(qiáng)App方面安全防護(hù)。

在云平臺安全技術(shù)方面,智能硬件設(shè)備的后端云服務(wù)本質(zhì)上是一種Web應(yīng)用,Web應(yīng)用所面臨的安全風(fēng)險同樣出現(xiàn)在物聯(lián)網(wǎng)云平臺中。所以白皮書提醒各方多加注意。

基于以上研究,白皮書還提出了智能硬件整體安全架構(gòu)和服務(wù)框架,一是確保設(shè)備安全接入,安全接入網(wǎng)關(guān)提供設(shè)備安全接入網(wǎng)能力,覆蓋設(shè)備授權(quán)、身份鑒權(quán)、密鑰管理、加密傳輸、會話管理、數(shù)據(jù)簽名等功能,保證數(shù)據(jù)通信和完整性。二是實(shí)現(xiàn)設(shè)備安全管理。三是增強(qiáng)安全態(tài)勢感知能力。四是全生命周期安全咨詢服務(wù)。

五方面建議促智能硬件快速發(fā)展

在此之上,白皮書近一步為智能硬件產(chǎn)業(yè)安全提出應(yīng)對策略。首先是建立智能硬件安全應(yīng)急響應(yīng)機(jī)制,希望建立政府、企業(yè)、行業(yè)協(xié)會、研究機(jī)構(gòu)的聯(lián)動機(jī)制,政府可以制定響應(yīng)機(jī)制政策,向社會公布安全風(fēng)險,以及漏洞預(yù)警,企業(yè)可以上報(bào)安全風(fēng)險,提供漏洞修復(fù)和風(fēng)險評估。

其次,設(shè)立智能硬件安全等級體系,目前重點(diǎn)領(lǐng)域主要是包括行業(yè)應(yīng)用和個人消費(fèi),針對個人消費(fèi),比如手表手環(huán)可能安全要求比較低,但是行業(yè)應(yīng)用,像能源、交通等。

第三是以安全標(biāo)準(zhǔn)帶動產(chǎn)品安全認(rèn)證機(jī)制建立,智能硬件安全較于傳統(tǒng)手機(jī)和其他信息產(chǎn)業(yè)安全,它是云管端安全都涉及到的,我們前期也做了一些工作,希望和業(yè)界專家一起推動,不斷完善智能硬件安全系列標(biāo)準(zhǔn),以及依據(jù)我們安全標(biāo)準(zhǔn),進(jìn)行一些安全方面的評測。

第四,希望各方規(guī)范研發(fā)管理流程,研發(fā)生產(chǎn)安全合規(guī)。在我們開發(fā)過程中,引入安全開發(fā)生命周期,結(jié)合企業(yè)級安全需求和自身項(xiàng)目,來開發(fā)流程,控制項(xiàng)目整體安全風(fēng)險。這個主要是針對企業(yè)方面,我們希望企業(yè)能夠定期評審保密協(xié)議中的數(shù)據(jù)安全相關(guān)要求,以及希望企業(yè)能夠遵循一些隱私保護(hù)政策。

最后是強(qiáng)化法律監(jiān)督,提高安全意識?!皣乙呀?jīng)出臺了網(wǎng)絡(luò)安全法,目前我們的信息安全有法可依,同時也希望業(yè)界不管是科研人員還是開發(fā)人員,或者其他從業(yè)者,希望大家能夠提高風(fēng)險意識,為我們智能硬件快速發(fā)展保駕護(hù)航,”崔偉男如是表示。

中傳動網(wǎng)版權(quán)與免責(zé)聲明:

凡本網(wǎng)注明[來源:中國傳動網(wǎng)]的所有文字、圖片、音視和視頻文件,版權(quán)均為中國傳動網(wǎng)(m.u63ivq3.com)獨(dú)家所有。如需轉(zhuǎn)載請與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個人轉(zhuǎn)載使用時須注明來源“中國傳動網(wǎng)”,違反者本網(wǎng)將追究其法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件,均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請保留稿件來源及作者,禁止擅自篡改,違者自負(fù)版權(quán)法律責(zé)任。

如涉及作品內(nèi)容、版權(quán)等問題,請?jiān)谧髌钒l(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。

關(guān)注伺服與運(yùn)動控制公眾號獲取更多資訊

關(guān)注直驅(qū)與傳動公眾號獲取更多資訊

關(guān)注中國傳動網(wǎng)公眾號獲取更多資訊

最新新聞
查看更多資訊

熱搜詞
  • 運(yùn)動控制
  • 伺服系統(tǒng)
  • 機(jī)器視覺
  • 機(jī)械傳動
  • 編碼器
  • 直驅(qū)系統(tǒng)
  • 工業(yè)電源
  • 電力電子
  • 工業(yè)互聯(lián)
  • 高壓變頻器
  • 中低壓變頻器
  • 傳感器
  • 人機(jī)界面
  • PLC
  • 電氣聯(lián)接
  • 工業(yè)機(jī)器人
  • 低壓電器
  • 機(jī)柜
回頂部
點(diǎn)贊 0
取消 0