建設智能家居安全體系

文｜馮承文 王鋼 孫

隨著網絡技術和智能技術的發展，各種各樣的智能家居產品已進入到尋常百姓家，提升了用戶使用體驗并提供了更為便捷舒適的生活。

智能家居作為智能社區和智慧城市的組成單元，與智能社區系統和智慧城市系統相互連接。其所匯聚產生的信息和數據被誰使用、如何使用、如何轉移等等，成為了很難預知的問題。探索解決智能家居的信息安全、數據安全以及其所帶來的隱私安全，建設智能家居安全體系，成為行業第一要務。

智能家居安全問題原因

1.智能家居終端功能升級引發安全風險

智能家居終端產品涉及到多個行業的產品，如：家電、音視頻產品、安防產品、信息產品、家居家具等，這些產品升級成為智能家居終端并互聯組成智能家居系統時，由智能控制、網絡連接、平臺系統管理等帶來新的安全風險。另外，由于一些智能家居終端，特別功能比較單一的傳感器產品，相對比較簡單的智能控制面板等，因其成本控制和配置及使用便利性等方面的考慮，往往對信息安全不夠重視，會成為整個智能家居系統的安全薄弱環節，成為主要的安全風險點。智能家居終端可使用操作系統和各種應用程序，同樣會增加應用程序、操作系統及其所運行的硬件系統的漏洞帶來的安全風險。

2.多級系統互聯加劇智能家居安全風險

智能家居系統是個多級互聯的系統：第一級，智能家居是家電、信息、音視頻、醫療、安防等多個家庭子系統互聯互通而成的家庭網絡系統；第二級，智能家居系統由智能家居終端、控制終端、智能家居網關、應用服務平臺等共同組成；第三級，智能家居系統會與智慧社區系統、智慧城市系統進行網絡和應用的互聯互通。這些多級互聯造成了智能家居安全風險大大增加。

3.智能分析導致安全風險提升

智能家居系統會在其生命周期中產生各種數據和信息，由于缺乏對數據獲取和流轉的嚴格管控，出于利益的考慮，導致許多數據和信息進入到各種大數據分析系統，被其他系統和用戶使用，這些數據和結果的濫用大大增加了用戶個人數據信息被泄露的安全風險。

智能家居系統中應用了大量的智能化技術使其成為具有智能化能力/功能的終端，且整個系統的控制和管理也使用了各種智能決策的算法，導致了系統控制執行結果不再是固定的、可預知的，而是會根據家居整體運行環境、應用場景等進行合理的智能推理和決策，變為了不可控因素。

智能家居安全解決方案

1.補充現行法律法規實施細則和落地標準制定

隨著《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》的相繼制定、發布和實施，對智能家居行業產生了深刻的影響。智能家居作為一個跨領域的綜合行業應用，首先應符合國家的法律法規；其次由于其行業的特殊性，應在符合法律法規的基本原則框架下，對網絡安全、個人信息以及相關數據安全的隱患進行具體實施細則補充，以方便整個行業更好的實施。

隨著法律法規的實施，相關配套實施的標準就提到了日程上。在信息領域GB/T 35273《信息安全技術個人信息安全規范》、GB/T 34978《信息安全技術 移動智能終端個人信息保護技術要求、GB/T 22239《信息安全技術網絡安全等級保護基本要求》等一系列國家標準都已發布并實施，但針對智能家居行業還未有正式發布實施的國家行業標準，建立高效安全的智能家居系統安全的標準體系和關鍵技術標準的制定，是亟待解決的事宜。

針對智能家居系統、終端、數據、個人信息、管理流程等多個方面制定安全標準，以確保智能家居在整個生命周期內安全運行。標準體系如圖1所示。

圖1 智能家居安全標準體系框架

智能家居系統的安全標準可分為通用標準和專用標準。通用標準以當前國家法律法規和與安全相關的國家標準為基本依據，根據智能家居的特殊性進行智能家居行業的特殊規定，而針對智能家居中各子系統可以進行領域內的特殊要求則歸為專用標準，如安防系統的安全特殊要求、健康系統的安全特殊要求等。

通用標準里包括了智能家居系統信息安全通用技術要求和測試方法、智能家居系統數據和用戶權限分類、智能家居系統個人信息保護技術要求和測試方法、智能家居系統安全管理平臺技術要求、智能家居系統安全管理指南、智能家居系統風險評估和管理指南。

《智能家居系統信息安全通用技術要求和測試方法》主要規定了智能家居終端、控制終端、智能家居網關、服務平臺以及各種應用服務等組成的智能家居系統在信息安全方面的特殊要求和相應的測試方法，是智能家居行業的通用安全要求。

《智能家居系統數據和用戶權限分類》主要規定了智能家居系統內部產生和使用的各種各樣數據信息的分類和用戶角色權限的對應關系，詳細的數據和信息的分類也是一個非常重要的安全手段和基礎，對數據和信息的分類越詳細、越準確就會對智能家居的安全起到更好的保護。分類可以按照極重要數據、重要數據、一般數據、用戶個人信息、用戶隱私等類型劃分。同時還包括這些數據的所有者和使用者的權限劃分以及數據在獲取、保存、使用、刪除、轉移等方面的規定。

《智能家居系統個人信息保護技術要求》主要規定了智能家居在使用過程中的相關的個人信息以及隱私的詳細描述，對個人信息進行安全分類分級，并對智能家居系統中個人信息以及隱私的歸屬權、使用權、存儲權、轉移權、刪除權等增加相應的技術要求，建立健全的個人信息保護的問責制度，推動智能家居的個人信息安全符合相應國家法律法規要求。

《智能家居系統安全管理服務平臺技術要求》主要規定了在智能家居行業里建立起的公共安全管理服務平臺的技術要求，該服務平臺服務于整個智能家居企業，為智能家居企業提供鑒權、加解密、安全監控運維、漏洞掃描、系統升級服務、數據清洗和脫敏等一系列安全服務。

《智能家居系統安全管理指南》主要規定了整個智能家居在生命周期內的安全管理，為智能家居企業提供技術性和流程性的指導。智能家居在安裝、使用、維修過程中會遇到多種情況，這些狀況未必能夠全部提前預料到會產生安全風險。因此，應當從全生命周期考慮功能安全，從安裝、配置（調試）、使用、維護和修理、報廢等過程中分析安全影響因素，以確定過程中可能發生的所有危險情況，在設計、生產、安裝、配置、使用、維護過程中采取相應措施避免安全隱患。根據該標準的內容指導智能家居企業、系統集成商、軟件服務提供商等在企業內部建立起完善的智能家居安全保護管理體系，建立健全信息安全事件和安全漏洞的管理和響應機制，以適應當前政策和法規的變化，利用制度彌補技術的短板。

《智能家居系統風險評估和管理指南》主要規定了系統安全的評估方法和整改措施。由于智能家居涉及到的產品品類眾多，使用環境、應用場景復雜，使得智能家居很難做到百分百的安全。因此，可以通過風險評估的方法，對智能家居整體所面臨的安全風險進行風險評估，只有當風險等級降低到可控、可接受的程度時將會被允許銷售和使用。同時，在智能家居的生命周期各階段中不停發生需求變化，其安全措施不再是一成不變的，需要智能家居系統在過程中根據變化進行安全風險評估，根據評估調整安全措施，相應的安全機制和安全策略也會隨之發生改變，對智能家居系統進行在線更新升級，通過軟硬件的更新和修正，使智能家居系統保證安全運行。

2.建立行業安全服務平臺

由于智能家居企業和產品非常分散，需要建立起可信的智能家居行業安全服務平臺，通過該平臺服務于整個智能家居企業，為全行業的智能家居企業提供鑒權、加解密、安全監控運維、漏洞掃描、系統升級服務、數據清洗和脫敏等一系列安全服務，以保證智能家居在運營期間的安全。

智能家居比傳統家居更為復雜，遇到的安全問題也更為復雜，需引入更多的安全基本原則。相對于智能家居來說，安全問題是系統性問題，應盡可能在設計階段將安全風險最小化，在運行過程中意外事件發生后，要有適當的應對措施，盡可能的將危害降低到最小，才能保證智能家居的安全。智能家居的安全是一個長期并隨著使用時間和場景不斷發生變化的問題，因此，需要基于風險評估，采取適當的安全措施，確保智能家居和用戶的安全，降低不利影響的風險。同時，建議在國家標準層面上補充相應的安全標準，引導智能家電行業的健康發展。