Testin云測何迪生：智能門鎖安全告急 “軟+硬”打造防御體系

物聯(lián)網(wǎng)的智能應(yīng)用正在帶我們走進一個新的世界，智能家居、智慧城市和車聯(lián)網(wǎng)等等的廣泛應(yīng)用，在帶給我們便捷高效的同時也成為了黑客和不法分子所“覬覦”的對象。Gartner曾預(yù)測，到2020年，國內(nèi)物聯(lián)網(wǎng)安全規(guī)模為 600 - 1000 億元人民幣之間，針對企業(yè)經(jīng)確認的安全性攻擊中，有 25%以上將涉及物聯(lián)網(wǎng)。就在最近的廣東省“3.15晚會”上，智能門鎖也作為一個案例被搬上消費者預(yù)警范圍內(nèi)，而當(dāng)中最大的問題就是智能門鎖的“安全”問題。

面對智能門鎖應(yīng)用層攻擊，密碼體系是身份認證及數(shù)據(jù)保護的核心，一個完整的“人工 + 工具” 安全生態(tài)體系在把控安全風(fēng)險方面起著至關(guān)重要的作用。“北京云測信息技術(shù)有限公司(以下簡稱：Testin云測)首席安全顧問何迪生在蘇州的2019 智能門鎖標(biāo)準(zhǔn)與生態(tài)落地峰會上發(fā)表演講時如是說。

　　Testin云測首席安全顧問何迪生

何迪生畢業(yè)于加拿大滑鐵盧大學(xué)，擁有近30年互聯(lián)網(wǎng)和信息安全行業(yè)的從業(yè)經(jīng)驗。3月13日，在2019 智能門鎖標(biāo)準(zhǔn)與生態(tài)落地峰會結(jié)束后，物聯(lián)傳媒樂智網(wǎng)就如何構(gòu)建智能門鎖一體化集成安全體系等問題，對Testin云測首席安全顧問何迪生進行了采訪。

回歸安全原點，建立 “人工 + 工具” 安全生態(tài)體系

”目前，物聯(lián)網(wǎng)體系采用的技術(shù)缺少統(tǒng)一的標(biāo)準(zhǔn)規(guī)范，安全管理環(huán)境越來越復(fù)雜，用戶面對的挑戰(zhàn)與風(fēng)險都非常大。如果不解決隱私、安全這兩大問題，物聯(lián)網(wǎng)對應(yīng)的發(fā)展空間將會受到阻礙。”何迪生在接受樂智網(wǎng)采訪時表示。

物聯(lián)網(wǎng)大部分終端的電源功耗、存儲空間、信道容量、計算能力都極為有限，在其上部署安全軟件或者現(xiàn)階段標(biāo)行業(yè)準(zhǔn)化的加解密算法都會大大增加終端運行負擔(dān)，甚至導(dǎo)致終端無法正常運行。安全軟、硬件產(chǎn)品無法正常發(fā)揮作用，致使物聯(lián)網(wǎng)行業(yè)的相關(guān)領(lǐng)域存在嚴(yán)重的安全風(fēng)險。

在智能家居領(lǐng)域，各節(jié)點受到的威脅與風(fēng)險來自于云服務(wù)、無線通信、移動終端APP、智能家居終端(智能網(wǎng)關(guān)及終端設(shè)備)、Web終端APP等方面。其中智能門鎖受到的威脅主要來自于應(yīng)用層、硬件與固件、無線網(wǎng)絡(luò)等方面。何迪生告訴樂智網(wǎng)記者，如果要把智能家居體系鞏固好，必須要先鞏固應(yīng)用安全。

面對智能門鎖存在的安全風(fēng)險，該如何攻克這個難題?何迪生提出了感知層安全思路：身份認證以及數(shù)據(jù)保護，并就這兩個方面從四個維度進行分析。

第一個維度是通過行業(yè)認證及適用于受限設(shè)備的輕量級密碼。IOT設(shè)備(感知層)資源太小，不能把通用安全體系集成，存在數(shù)據(jù)泄漏等安全性風(fēng)險，因此輕量級密碼算法是保護的核心基礎(chǔ)。第二個維度是白盒秘鑰。由于沒有受保護的秘鑰比較容易被黑客盜取，這可能導(dǎo)致非常嚴(yán)重的數(shù)據(jù)泄漏風(fēng)險，所以秘鑰安全是我們核心保護的重點。第三個維度是MCU集成。通過把身份認證與數(shù)據(jù)加密保護方案集成到MCU架構(gòu)(軟實現(xiàn))，避免數(shù)據(jù)泄漏的風(fēng)險。第四個維度是安全芯片。身份認證與數(shù)據(jù)加密保護在MCU里軟實現(xiàn)還是存在可以被黑客逆向破解的風(fēng)險，利用安全芯片為維護 IoT 安全性為現(xiàn)時行業(yè)最硬的方案。

最后，何迪生提到，要回歸安全原點，盡量簡化安全復(fù)雜性，建立一個比較容易管理及完整的 “人工 + 工具” 安全生態(tài)體系。其一，實現(xiàn)SDL安全軟件開發(fā)生命周期，建立合適及易于實行的安全編碼規(guī)范;其二，通過安全代碼審計、安全滲透測試、安全加固等方面建立安全測試及加固體系;其三，在物理層、網(wǎng)絡(luò)層、主機層、應(yīng)用層、數(shù)據(jù)層等方面建立一個縱深防御體系來實行合適的安全策略，加強對核心數(shù)據(jù)的保護。

提高安全認證標(biāo)準(zhǔn)，圍繞用戶做一體化測試平臺

隨著智能門鎖市場的急速擴張，建立安全認證的標(biāo)準(zhǔn)，便成為一件重要的事。何迪生所在的Testin云測是全球首家，也是目前全球規(guī)模最大的云測試服務(wù)平臺，測試應(yīng)用次數(shù)已超過兩億次。Testin云測旗下的安全服務(wù)部門在企業(yè)應(yīng)用服務(wù)中以怎樣的技術(shù)和服務(wù)贏得市場?

何迪生告訴樂智網(wǎng)，Testin云測是先進的應(yīng)用服務(wù)平臺，為全球超過百萬的開發(fā)者和企業(yè)提供測試、安全、推廣、產(chǎn)品優(yōu)化、流量變現(xiàn)，及AI大數(shù)據(jù)解決方案，服務(wù)上能夠從功能兼容性能到安全測試等全面覆蓋;同時也是國家指定的27家專業(yè)密碼評測機構(gòu)之一，在安全與密碼方面的實力得到國家許可。

Testin云測安全服務(wù)部門最核心的服務(wù)是幫客戶發(fā)現(xiàn)不同層面的安全漏洞，在后期提出為客戶修復(fù)漏洞的整改意見，提供測試一體化服務(wù)。例如，面對身份認證/授權(quán)缺失、隱私數(shù)據(jù)泄露、缺乏傳輸加密、不安全的Web應(yīng)用接口、不安全的云服務(wù)接口等智能家居十大安全風(fēng)險，利用傳統(tǒng)的測試方法，客戶需要聯(lián)系不同的廠家才能解決所有的需求，而通過Testin云測安全服務(wù)部門就能一次性解決。

以Testin云測安全服務(wù)部門推出的“Testin CSLSC智能門鎖安全認證”為案例，這套安全認證服務(wù)方案覆蓋了應(yīng)用層、網(wǎng)絡(luò)層、感知層等三個層次，實現(xiàn)了10個維度 、50+個測試點的功能檢測。在應(yīng)用層上提供Web/H5系統(tǒng)，微信小程序安全檢測、移動應(yīng)用安全檢測、授權(quán)認證安全檢測;在網(wǎng)絡(luò)層上提供藍牙/BLE安全檢測、WIFI安全檢測;在感知層上提供機械鎖體安全檢測、鎖體指紋識別安全檢測、鎖體密碼策略安全檢、門禁卡滲透安全檢測、鎖體安全策略安全檢測等服務(wù)內(nèi)容。

何迪生表示，每一位企業(yè)客戶所要解決的痛點、需求可能不一樣，要用專業(yè)安全的經(jīng)驗與思維進行分析，在每個場景里挖掘不一樣的情況，提出不同的解決方案, 從多個維度構(gòu)建一套完整的安全生態(tài)體系，從而達到低成本處理風(fēng)險的目的。

未來，Testin云測安全服務(wù)部門將在安全領(lǐng)域加速探索，不斷地完善自己搭建的測試平臺 ，通過整合不同的產(chǎn)品與服務(wù)，全自動化觸發(fā)安全漏洞測試平臺，實現(xiàn)智能化的定制化測試，讓智能門鎖達到更高的行業(yè)安全標(biāo)準(zhǔn)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。