您的位置: 五服茶馆 > 健身操

【数字化】隐私被窃取?!智能家居的数据安全究竟应如何保证

2019-10-08来源:五服茶馆

数字化与网络安全系列

随着全球能源行业数字化的进程的加速推进,对于能源数据的安全需求日益递增,作为保障民生的重要行业,能源数据安全将会是数字化建设的重中之重。交能网整合国际上能源数据安全相关研究报告,为您献上与能源数据安全、数据加密、监管架构的【网络安全】新系列。关注公众号,持续获得该系列最新推送。

智能家居,即在客户终端中实现设备及应用的联网和控制的家庭用电设备。在如今家居逐渐智能化的情势下,如何保障智能家居所涉及的大量数据隐私也成为了新的重要议题。


【数字化】隐私被窃取?!智能家居的数据安全究竟应如何保证


智能家居数据安全的与众不同

在智能家居方面的数据安全有着许多独有的特点

智能家居涉及到诸多的应用领域和技术,其通常都与能源直接相关(例如,加热控制,照明,可控制的家用电器,以及安全应用,智能锁等)。智能家居的这种多种技术和领域的交叉性也导致了智能家居中使用的各项技术(例如,使用的无线电标准)可能具有非常不同的数据安全特征。此外,对现行安全标准贯彻的不彻底也可能导致系统存在潜在的漏洞和弱点。

通用Internet路由器被广泛用作Internet的技术接口。[QZ1] 除了上述使用技术的潜在弱点之外,路由器的可能安全漏洞也可以成为威胁智能家居和其他网络应用的入侵点

除了各种技术网关之外,智能家居系统通常不是由IT专业人员建立和维护的,无法保证其在数据和IT安全方面有充分实施技术,系统管理的能力。由于非专业人员缺乏足够的IT安全意识,通常智能家居为攻击者设置的防护障碍不够高,例如:软件缺乏更新或密码过于简单。

上述特点决定了智能家居数据安全的特殊性。面对如此“特殊”的智能家居数据安全,可以采取以下方式进行保障。


将“设计安全”定为规划的基础原则

设计安全小知识:英文Security by Design,要求软件和硬件的安全性在产品的开发阶段就被考虑到,以避免之后的安全漏洞。因为随着项目的不断进步,消除安全漏洞的成本也会不断增加。

在大多数支持互联网的设备和智能家居应用中,可以观察到不遵守“设计安全”概念的规划原则。 由此产生的漏洞导致用户很容易被犯罪分子网络入侵,例如,对设备或系统进行勒索软件攻击,并且可能会导致个人数据的泄露。

此外,当利用漏洞劫持网络可控设备并将其用于网络攻击(如僵尸网络)时,可能会出现跨系统威胁。 这些已经在今天产生了物理影响,通过拒绝服务攻击,例如使服务器上运行的内容或使控制、生产系统瘫痪。将来,如果在电网中大量设备并行控制,则可以想象网络攻击对电网的直接影响。

拒绝服务攻击(英文:denial-of-service attack,缩写:DoS attack、DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标计算机的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问

僵尸网络(Botnet,亦译为丧尸网络、机器人网络)是指黑客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即黑客常说的傀儡机或“肉鸡”(肉机),组织成一个个命令与控制节点,用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。

随着网络终端客户产品的预期强劲增长,该主题的相关性大大增加。应该注意的是,通常同一公司的许多产品都是同一安全标准。 因此,黑客仅识别某些最常见设备类型中的安全漏洞就足以可能危及大量设备。

因此,保护智能家居和其他连接互联网的设备不是只与保护受攻击直接影响的个人用户有关。


确定责任规则,以确保整个产品生命周期中的(安全)软件更新

目前,存在于智能家居和其他联网设备的一个基本问题是责任和实际控制目前分布不对等。虽然目前几乎都由用户承担完全的责任,但用户对所使用的软件和配置影响力微乎其微。虽然设备是由用户所使用,但用户例如对设备的安全更新或其他与安全相关的漏洞(例如硬编码密码和安全机制的不充分实施)几乎无计可施。此外,理论上必须在设备生命周期内确保设备软件的更新。虽然传统的IT产品(如计算机)的使用寿命不到五年,但对于智能家居应用(如加热控制)来说,它们的寿命要高得多。从理论上讲,应该为整个生命周期提供软件更新保证。这意味制造商有着更新软件的责任。同时,立法者也需要推进关于确保产品软件更新的提案。

另一个可以想象的选择是要求制造商在软件销售后或停止支持后将软件开源,这样,如果制造商没有进行软件更新,那么第三方可以负责软件和IT安全的进一步开发(关键字开源)。 对于制造商的那些被市场淘汰的产品,这也是一种可行的方法。 这也意味着制造商和二级供应商将来必须承担更多责任,不能让用户单独负责数据安全。


利用国家的质保标志来为用户提升透明度

除了扩大制造商的责任外,还可以考虑其他监管要求。 这些包括,例如,通过质保(QA: Quality Assurance)标志提高产品安全性的透明度或通过强制性最低要求限制市场准入。


【数字化】隐私被窃取?!智能家居的数据安全究竟应如何保证


进一步发展国家层面的最低技术要求

但是需要注意的是,多个质保标志的并行发展并不能有效地提高最终的透明度。 此外,存在这样的风险:数据安全性的质保标志被视为附加特征而不是设备的必要先决条件。因此,独立于可能的质保标志,设立关于数据安全性的强制性最低要求是必要之举。例如,在欧洲,欧盟层面的“网络安全法”为在整个欧洲建立网络化产品的标准化和有效的认证框架提供了一个起点。 这种透明的框架可以产生制造商和消费者均可以依赖的统一的IT安全标准。 同样,中国可以在国家层面支持这种方法。

总之,应该指出的是,由于智能家居及其他联网终端产品越来越多的应用,因此更为需要在该领域采取监管措施。未来,对智能家居的数据安全的重视程度会越来越高,因为一方面是未来的智能家居更广泛的应用,另一方面在国际市场大多数应用将继续使用现有的互联网路由器作为主要通信接口。同样,仅要求用户谨慎地使用产品是不够且不负责任的。通常,用户无法检测不安全的设备或修复安全漏洞。因此,用户对制造商的依赖性也应转化为定制的保修索赔,并且将来“设计安全”也会广泛应用。

End

【数字化】隐私被窃取?!智能家居的数据安全究竟应如何保证

编辑:玉昇

作者:张启航

联系作者:qihang.zhang@jiaonengwang.com


交能网咨询团队提供能源电力领域专业的 数据分析 | 行业咨询 | 中欧对接

请联系本文作者了解更多详情

版权说明交能网订阅号原创内容包括能源电力行业资讯焦点挖掘新兴技术分析市场动态研究等内容,转载需注明原作者及来源,请在后台留言或联系小编。本文部分图片及内容提炼、摘取或翻译自其它参考来源,版权归原作者所有
本文由五服茶馆整理,内容仅供参考,未经书面授权禁止转载!图片来源图虫创意,版权归原作者所有。