AIoT安全峰会议题回顾｜构建安全可信的物联网

发表评论
176 views

A+

所属分类：云安全

万物互联时代面临新的安全威胁，美国、欧盟已经发布物联网安全相关法案；同时消费物联网产品与个人的隐私数据息息相关，企业如何赢得用户的信任？

小米IoT（米家App）作为全球领先的消费物联网平台，如何构建安全可信框架，如何解决技术架构中应用层、云平台、传输层、感知层的安全挑战？小米安全团队通过三个管理要素和三个技术要素来有效降低产品安全风险，覆盖产品需求阶段的安全建模到产品上线后的威胁监控的整个生命周期，从而为用户的智能生活保驾护航。

宋文宽

个人简介

小米集团信息安全与隐私委员会秘书长，负责集团信息安全与隐私合规体系建设。曾就职于联想、万达、平安等世界500强公司，在信息安全与个人信息保护合规领域拥有15年的实战经验，带领团队多次完成安全合规项目，包括支付卡PCI-DSS数据安全标准认证、ISO27701个人信息管理体系认证、ISO 27001安全管理体系认证、英国Cyber Essential安全认证、美国NIST 800符合评估等。

构建安全可信的物联网

以下为速记全文：

今天的议题有两个重点：首先，小米IoT安全技术在产品中实现了完美落地。安全从业者知道IoT设备的安全需要从元器件着手，也意味着成本增加和供应链协同的巨额成本，目前小米IoT在安全芯片、统一通信模组方面已经具备了成熟方案。其次，小米IoT安全实验室的安全技术能力和符合性评估的标准化能力已经可以与国际安全实验室进行媲美。

首先，我们通过三个数字畅想一下2025年万物互联的世界。

750亿，是五年后全球联网设备的数量。今天全球人口数量是75亿，相当于五年之后每个人平均拥有10个物联网设备，不仅包括消费物联网产品，也包括工业物联网、车联网等大型设施。今天每个家庭至少已经有了三个智能设备，包括智能电表、智能水表、智能燃气表，这些设备无时不刻在记录着我们生活中的所有操作。
79.4ZB数据，物联网设备7×24在线实时产生并处理海量数据，数据也为人工智能的发展带来足够多的原材料。
810亿美金，五年后全球IoT的市场规模。有了市场规模，有了海量数据，必然会吸引更多的资源、更多的公司进入这个赛道。同时，黑客、灰产也会嗅到金钱的味道，加入到IoT安全攻防的竞赛中来。

物联网与传统的APP网站有哪些不同？我们通过几个用例说明消费物联网威胁的典型场景。

第一个场景是设备身份认证。目前手机都内置了TPM安全芯片，构建了手机固件加载验签、flash加密等关键安全功能的信任基。手机的指纹和人脸验证数据也存储在安全芯片中，避免了数据本地存储的安全性和上传云端增加的安全攻击面。但是在消费物联网领域，因为安全芯片成本、集成技术复杂度等原因，安全芯片没有广泛使用。因此，IoT设备存在固件升级时存在被篡改、物理接触时被刷机的可能性，例如，摄像头、智能音箱改造成监听器。万物互联的今天，我们可以用苹果的Siri、小爱同学去控制不同厂家的智能设备。这些设备可能跨越不同的云端平台，如何在跨越平台时正确标识设备，避免类似摄像头内容窜流的风险，这是在物联网万物互联的时代需要解决的核心问题。

另一个场景是用户同意困难，物联网设备因为自身屏幕尺寸和具体应用场景的限制，很难得到用户充分的知情权。网站和App可以通过弹窗引导用户去阅读隐私政策，但是运动手环的屏幕仅能提供二维码，用户阅读隐私政策的复杂度明显上升，现实中绝大多数物联网设备是没有屏幕的，用户的知情权需要特殊考虑？

我们刚刚提到的智能电表和水表，通过大数据模型计算可以为每个家庭打一个标签，你是上班族还是宅男，你有哪些生活习惯都可推测出来。因此万物互联时代，产品的隐私透明度需要进一步提升，需要新的解决方案，甚至需要限制某些场景下的个人用户画像挖掘，以免侵犯用户的隐私权益。

安全威胁是未来可能发生伤害的假设，那现实中物联网的安全问题会发生吗？简单列举了几个耳熟能详的新闻报到事件，既有传统安全的设备入侵，也有语音数据泄露的隐私担忧。

第一个案例是委内瑞拉大范围停电，根据媒体报道是某国家的黑客行为，导致20个州停电、金融、交通等关键设施停摆超过24小时，直接威胁到了国家安全。

另一个案例是特斯拉电动车的后台服务器事故，导致了APP功能失效无法打开车门。新闻报道中主人公被锁在沙漠加油站的外面，假设报道中车辆是在十字路口等危险位置，可能对用户的人身安全造成威胁。

随着见诸报端的事件越来越多，用户对物联网的安全恐慌在增加，因此监管立法也在加速。

美国联邦和加州分别发布了物联网网络安全法案，NIST也在今年发布了具有操作指导意义的安全能力基线。
欧盟没有单独的物联网安全立法，但是通过网络安全法案和欧盟EN物联网安全标准，可以有效约束制造商的产品安全责任。
中国，2017年生效的《网络安全法》和2019年等保2.0增加了物联网安全的扩展要求，可以覆盖物联网产品。但是中国物联网的安全监管力度是否会加强？这取决于外部环境的变化。当然，有了这些立法和标准，作为一个物联网设备制造商还需要具备实操指引的国家标准和实施指南，信安标委已经联合企业立项开发多个消费物联网领域的标准，通过这些标准去指导行业的健康发展。

在国际市场的另一个趋势是安全标签，监管要求物联网产品制造商在产品的外包装上标注“安全等级标签”，产品需要通过认证实验室的独立测评，根据测评的结果，产品授予一级到四级不同的安全等级。新加坡网络安全局在今年10月6日发布了这个计划，明年5月份英国也会生效安全等级标签要求。

安全事件的频繁曝光导致用户对于企业的信任度在降低，我们如何去破局？如何重新建立与用户的信任关系？

首先回答一个问题，什么是安全？对于用户、企业，监管的答案是不同的。

用户需要的是一种安全感，清楚的知道这个设备是不是符合安全要求，产品不会侵犯他的个人隐私数据。
企业需要的是简单可执行和成熟的方案，最好是直接引用标准的代码库。
监管需要的是可监督，不需要像金融衍生品一样层层包装出来的安全，需要统一的标准、统一的规范和独立的第三方权威认证。

道理很简单，但是纸上得来终觉浅，绝知此事要躬行。小米作为全球领先的物联网消费平台，联网设备已经超过了2.71亿，IoT米粉已经超过了510万，如何定义我们IoT的米粉？暂且把他拥有的IoT设备数量暂定为五个，如果你有五个以上的小米IoT的设备，我们认为你是小米IoT的米粉。

当我们面临如此多的联网设备，如此庞大IoT米粉的个人隐私数据，上百家生产智能设备的生态链企业，如何统一小米IoT的安全水平线？我们不仅需要统一的标准，还需要一套科学的方法论。

这张图是小米的IoT安全可信框架，绿色部分是IoT安全部分，包括应用层、云平台、传输层和感知层。应用层和云端我们直接复用云安全框架；管道传输层和端测感知层IoT安全讨论的重点。

消费物联网的很多场景会涉及大量个人数据，因此框架中把数据安全单独出来去重点研究和解决。我们每一款IoT设备都经过隐私风险建模和隐私影响评估，最终安全的产品才可以上架，保障用户隐私权益。

安全可信框架包括30多个章节，无法逐一展开。今天通过3个安全管理要素和3个安全技术要素向大家汇报一下小米IoT安全的核心实践。

第一管理要素是IoT产品安全分级管理。大家与我共同思考一个问题，智能门锁和电动牙刷是否需要相同的安全控制级别？答案是否定的。小米安全团队还面临另一个挑战，我们存量已经有超过2000款的物联网设备，上线设备平均3-5个月OTA升级一次；同时，小米每年要上线近300款新产品，如何保证这些产品都符合安全基线，基于应用场景进行科学的产品安全等级划分是首要任务。

IoT产品安全分级采用信息安全经典的CIA三要素模型，A代表可用性，在消费物联网领域的评级占比相对较少，但是在工业物联网、车联网中需要重点考虑。

I代表完整性，万物互联时代的设备完整性需要综合考量，例如温湿度传感器自身数据遭到篡改的完整性后果很小，但是在智能联动场景中可能是某个电器启动的前导条件，因此温湿度器的完整性需要加权后再进行评估。

C代表机密性，在个人消费物联网领域是关键的评价指标。个人数据的机密性分级，直接复用集团的数据安全分级制度，把IoT设备数据分成了ABC三类，比如可穿戴设备里面的睡眠、心率和运动数据定级为A类，需要最强级别的安全保护。C类数据主要是各传感器的事件event数据。基于CIA三要素分析得出每一个产品的安全等级，这里理论风险定级模型，实际操作中参考的是IoT品类的安全分级比对表，以简化前线人员的评估过程。

IoT产品的不同安全等级需要匹配不同的安全基线和测试要求，以平衡产品安全性和成本投入。

第二管理要素是物联网产品的安全基线，即产品需要符合的安全标准要求。2015年IoT安全团队成立时，安全要求是通过wiki记录的，产品经理和工程师参考wiki要求进行产品的开发。在2018年小米生态链公司大会上发布了物联网产品安全规范（安全基线的前身，或者叫做beta版），要求大家遵循统一的安全标准，以实施相同的安全保护措施。目前我们的安全基线包括14个章节、100多条具体要求，是团队经过几年的打磨更加匹配法律合规要点，同时考虑到技术方案的成熟度，以便基线可以得到有效落实。

第三管理要素是可以重复验证的测试步骤。我们有了产品安全分级、有了安全基线要求，如何做到生态链企业都遵守了安全？如何设置检测卡点，如何设定客观的测试标准。经验告诉们，靠自觉性不能保证小米超过100家的智能产品生态链企业都遵守这些规则，即使他们主观上遵守，工程师可能也会犯错误，因此为了保证测试结果的客观性，我们将安全测试用例进行标准化，通过企业标准的形式在集团统一下发。安全测试规范可以把测试验收流程变成流水线作业，甚至大部分检查项进行自动化测试。

刚刚分享了IoT安全的三个管理要素，安全管理（流程）保证只有合格的产品才能够交付的用户手中，但是安全技术才是从根本上解决产品安全问题和用户隐私保护的武器库。

第一技术要素是统一硬件架构、统一安全芯片和统一通信模组，小米在2017年就推出了米家安全芯片，它是一个金融级安全的芯片，里面预置了米家的安全证书并提供ECC 256证书验签的服务，通过安全芯片构建了产品的信任根基。同时，小米还提供各种协议的通信模组、统一的程序代码库和SDK，让产品经理和开发团队来直接调用。米家IoT云平台提供统一的云端接入方案，综上，小米实现了云管端用四层架构的统一，极大的简化了安全模型并减少了攻击面。

第二个技术要素是自动化测试平台。小米IoT安全实验室一年需要测试300余款新的智能产品，平时还需要覆盖2000款存量设备的OTA监控，人力资源不可能线性增加，如何解决？为此，我们研发了自动化测试平台，这也是我们过去几年小米IoT研究团队一直在努力的方向，稍后长林老师带来专题分享。

在自动化平台开发时，小米IoT安全团队可以直接复用集团业务部门的技术能力，包括手机的底层Hook能力和路由器的流量分析能力，同时团队基于树莓派工控机定制了设备服务发现等功能的安全引擎，我们借助自动化平台能够做到超过2000款设备的更新监控。自动化平台在10月份还捕获了某国际友商D的产品的重大bug，可能是他们运维人员手抖，在OTA的时候把debug端口打开了，虽然几个小时后就紧急推送了新版本，但还是被自动化平台发现并提取了固件（产品的纵深安全防御瞬间失效）。

第三技术要素是AIoT安全验证实验室，安全可信的IoT产品需要组织可信、流程可信和技术可信，安全实验室就是验证技术可信的关键支撑。小米安全实验室严格参照国际标准ISO 17025建立的管理体系，虽然是集团内的一方实验室，但是参考了三方测评实验室的标准，也意味着签发的测评报告背后有可以验证、可审计的技术能力和管理能力支撑。

分享一个案例，今年6月份我们把某款产品提交到国际安全公司的德国总部测试，当我们提交了所有的内部安全流程和文档时，他们反复说Surprise！合同约定三周的SLA，但是测试报告交付失败，沟通时了解到他们认为一款消费类IoT产品应该是可以逆向拿到关键权限或代码的，没有想到安全等级这么高，再次表达surprise。我们在与欧洲和美国的机构打交道时，发现他们对于中国的企业是带着有色眼镜的，这也是为什么小米要打造自己的安全能力，而且要去他们的会议发声、宣传中国厂商的安全能力和实践，让他们看到中国不仅是一个制造中心，也是安全的倡导者和引领者。

安全管理框架的最终交付是安全评估报告，这也是安全团队和业务的交互界面，是安全团队和用户传递信息的媒介。每款产品签发一份安全报告，同时包括安全技术（渗透）报告和隐私评估报告两个附录，报告也是安全团队为用户签发的一份安全承诺书。

米家物联网平台与用户交互的窗口是米家App，也是传递安全信任的窗口。米家物联网平台已经通过了ISO27001信息安全认证和ISO27701个人信息保护认证，同时我们邀请英国标准协会（BSI）每年定期对平台的信息安全与隐私保护实践进行监督审核，以确保小米履行了我们对用户的承诺。同时，小米也邀请各位安全专家帮助我们共同发现问题，上报问题赢取奖励，我们今天开放了所有AIoT品类的安全众筹计划，欢迎大家与我们共同打造一个安全的物联网平台。

万物互联的美好生活已经到来，让我们一起为美好保驾护航！