Testin云測何迪生：智能門鎖安全告急 “軟+硬”打造防御體系

物聯(lián)網(wǎng)的智能應(yīng)用正在帶我們走進(jìn)一個(gè)新的世界，智能家居、智慧城市和車聯(lián)網(wǎng)等等的廣泛應(yīng)用，在帶給我們便捷高效的同時(shí)也成為了黑客和不法分子所“覬覦”的對象。Gartner曾預(yù)測，到2020年，國內(nèi)物聯(lián)網(wǎng)安全規(guī)模為 600 - 1000 億元人民幣之間，針對企業(yè)經(jīng)確認(rèn)的安全性攻擊中，有 25%以上將涉及物聯(lián)網(wǎng)。就在最近的廣東省“3.15晚會”上，智能門鎖也作為一個(gè)案例被搬上消費(fèi)者預(yù)警范圍內(nèi)，而當(dāng)中最大的問題就是智能門鎖的“安全”問題。

面對智能門鎖應(yīng)用層攻擊，密碼體系是身份認(rèn)證及數(shù)據(jù)保護(hù)的核心，一個(gè)完整的“人工 + 工具” 安全生態(tài)體系在把控安全風(fēng)險(xiǎn)方面起著至關(guān)重要的作用。“北京云測信息技術(shù)有限公司(以下簡稱：Testin云測)首席安全顧問何迪生在蘇州的2019 智能門鎖標(biāo)準(zhǔn)與生態(tài)落地峰會上發(fā)表演講時(shí)如是說。

　　Testin云測首席安全顧問何迪生

何迪生畢業(yè)于加拿大滑鐵盧大學(xué)，擁有近30年互聯(lián)網(wǎng)和信息安全行業(yè)的從業(yè)經(jīng)驗(yàn)。3月13日，在2019 智能門鎖標(biāo)準(zhǔn)與生態(tài)落地峰會結(jié)束后，物聯(lián)傳媒樂智網(wǎng)就如何構(gòu)建智能門鎖一體化集成安全體系等問題，對Testin云測首席安全顧問何迪生進(jìn)行了采訪。

回歸安全原點(diǎn)，建立 “人工 + 工具” 安全生態(tài)體系

”目前，物聯(lián)網(wǎng)體系采用的技術(shù)缺少統(tǒng)一的標(biāo)準(zhǔn)規(guī)范，安全管理環(huán)境越來越復(fù)雜，用戶面對的挑戰(zhàn)與風(fēng)險(xiǎn)都非常大。如果不解決隱私、安全這兩大問題，物聯(lián)網(wǎng)對應(yīng)的發(fā)展空間將會受到阻礙。”何迪生在接受樂智網(wǎng)采訪時(shí)表示。

物聯(lián)網(wǎng)大部分終端的電源功耗、存儲空間、信道容量、計(jì)算能力都極為有限，在其上部署安全軟件或者現(xiàn)階段標(biāo)行業(yè)準(zhǔn)化的加解密算法都會大大增加終端運(yùn)行負(fù)擔(dān)，甚至導(dǎo)致終端無法正常運(yùn)行。安全軟、硬件產(chǎn)品無法正常發(fā)揮作用，致使物聯(lián)網(wǎng)行業(yè)的相關(guān)領(lǐng)域存在嚴(yán)重的安全風(fēng)險(xiǎn)。

在智能家居領(lǐng)域，各節(jié)點(diǎn)受到的威脅與風(fēng)險(xiǎn)來自于云服務(wù)、無線通信、移動(dòng)終端APP、智能家居終端(智能網(wǎng)關(guān)及終端設(shè)備)、Web終端APP等方面。其中智能門鎖受到的威脅主要來自于應(yīng)用層、硬件與固件、無線網(wǎng)絡(luò)等方面。何迪生告訴樂智網(wǎng)記者，如果要把智能家居體系鞏固好，必須要先鞏固應(yīng)用安全。

面對智能門鎖存在的安全風(fēng)險(xiǎn)，該如何攻克這個(gè)難題?何迪生提出了感知層安全思路：身份認(rèn)證以及數(shù)據(jù)保護(hù)，并就這兩個(gè)方面從四個(gè)維度進(jìn)行分析。

第一個(gè)維度是通過行業(yè)認(rèn)證及適用于受限設(shè)備的輕量級密碼。IOT設(shè)備(感知層)資源太小，不能把通用安全體系集成，存在數(shù)據(jù)泄漏等安全性風(fēng)險(xiǎn)，因此輕量級密碼算法是保護(hù)的核心基礎(chǔ)。第二個(gè)維度是白盒秘鑰。由于沒有受保護(hù)的秘鑰比較容易被黑客盜取，這可能導(dǎo)致非常嚴(yán)重的數(shù)據(jù)泄漏風(fēng)險(xiǎn)，所以秘鑰安全是我們核心保護(hù)的重點(diǎn)。第三個(gè)維度是MCU集成。通過把身份認(rèn)證與數(shù)據(jù)加密保護(hù)方案集成到MCU架構(gòu)(軟實(shí)現(xiàn))，避免數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。第四個(gè)維度是安全芯片。身份認(rèn)證與數(shù)據(jù)加密保護(hù)在MCU里軟實(shí)現(xiàn)還是存在可以被黑客逆向破解的風(fēng)險(xiǎn)，利用安全芯片為維護(hù) IoT 安全性為現(xiàn)時(shí)行業(yè)最硬的方案。

最后，何迪生提到，要回歸安全原點(diǎn)，盡量簡化安全復(fù)雜性，建立一個(gè)比較容易管理及完整的 “人工 + 工具” 安全生態(tài)體系。其一，實(shí)現(xiàn)SDL安全軟件開發(fā)生命周期，建立合適及易于實(shí)行的安全編碼規(guī)范;其二，通過安全代碼審計(jì)、安全滲透測試、安全加固等方面建立安全測試及加固體系;其三，在物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層、數(shù)據(jù)層等方面建立一個(gè)縱深防御體系來實(shí)行合適的安全策略，加強(qiáng)對核心數(shù)據(jù)的保護(hù)。

提高安全認(rèn)證標(biāo)準(zhǔn)，圍繞用戶做一體化測試平臺

隨著智能門鎖市場的急速擴(kuò)張，建立安全認(rèn)證的標(biāo)準(zhǔn)，便成為一件重要的事。何迪生所在的Testin云測是全球首家，也是目前全球規(guī)模最大的云測試服務(wù)平臺，測試應(yīng)用次數(shù)已超過兩億次。Testin云測旗下的安全服務(wù)部門在企業(yè)應(yīng)用服務(wù)中以怎樣的技術(shù)和服務(wù)贏得市場?

何迪生告訴樂智網(wǎng)，Testin云測是先進(jìn)的應(yīng)用服務(wù)平臺，為全球超過百萬的開發(fā)者和企業(yè)提供測試、安全、推廣、產(chǎn)品優(yōu)化、流量變現(xiàn)，及AI大數(shù)據(jù)解決方案，服務(wù)上能夠從功能兼容性能到安全測試等全面覆蓋;同時(shí)也是國家指定的27家專業(yè)密碼評測機(jī)構(gòu)之一，在安全與密碼方面的實(shí)力得到國家許可。

Testin云測安全服務(wù)部門最核心的服務(wù)是幫客戶發(fā)現(xiàn)不同層面的安全漏洞，在后期提出為客戶修復(fù)漏洞的整改意見，提供測試一體化服務(wù)。例如，面對身份認(rèn)證/授權(quán)缺失、隱私數(shù)據(jù)泄露、缺乏傳輸加密、不安全的Web應(yīng)用接口、不安全的云服務(wù)接口等智能家居十大安全風(fēng)險(xiǎn)，利用傳統(tǒng)的測試方法，客戶需要聯(lián)系不同的廠家才能解決所有的需求，而通過Testin云測安全服務(wù)部門就能一次性解決。

以Testin云測安全服務(wù)部門推出的“Testin CSLSC智能門鎖安全認(rèn)證”為案例，這套安全認(rèn)證服務(wù)方案覆蓋了應(yīng)用層、網(wǎng)絡(luò)層、感知層等三個(gè)層次，實(shí)現(xiàn)了10個(gè)維度 、50+個(gè)測試點(diǎn)的功能檢測。在應(yīng)用層上提供Web/H5系統(tǒng)，微信小程序安全檢測、移動(dòng)應(yīng)用安全檢測、授權(quán)認(rèn)證安全檢測;在網(wǎng)絡(luò)層上提供藍(lán)牙/BLE安全檢測、WIFI安全檢測;在感知層上提供機(jī)械鎖體安全檢測、鎖體指紋識別安全檢測、鎖體密碼策略安全檢、門禁卡滲透安全檢測、鎖體安全策略安全檢測等服務(wù)內(nèi)容。

何迪生表示，每一位企業(yè)客戶所要解決的痛點(diǎn)、需求可能不一樣，要用專業(yè)安全的經(jīng)驗(yàn)與思維進(jìn)行分析，在每個(gè)場景里挖掘不一樣的情況，提出不同的解決方案, 從多個(gè)維度構(gòu)建一套完整的安全生態(tài)體系，從而達(dá)到低成本處理風(fēng)險(xiǎn)的目的。

未來，Testin云測安全服務(wù)部門將在安全領(lǐng)域加速探索，不斷地完善自己搭建的測試平臺 ，通過整合不同的產(chǎn)品與服務(wù)，全自動(dòng)化觸發(fā)安全漏洞測試平臺，實(shí)現(xiàn)智能化的定制化測試，讓智能門鎖達(dá)到更高的行業(yè)安全標(biāo)準(zhǔn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。