近年來，智能硬件產業蓬勃發展，預計到2018年，我國智能硬件終端和服務市場規模將超5000億元，2020年可達萬億元規模。

智能硬件產業蓬勃發展2018年將達5千億規模

在如此龐大的規模之下，智能硬件安全問題也越來越多的暴露在公眾面前。概括的講，有八大類智能硬件安全問題值得關注：數據存儲不安全、服務端控制措施部署不當、傳輸過程中沒有加密、手機客戶端的注入、身份認證措施不當、密鑰保護措施不當、會話處理不當、敏感數據泄露。這其中的種種問題，不僅僅影響到個人信息安全，更直接影響到我們的人身安全，甚至影響到社會安全和國家安全。因此，智能硬件安全必須引起高度重視。

基于此，近期，中國信息通信研究院發布了《智能硬件安全白皮書》，白皮書指出，目前智能硬件總出貨量非常大，但是針對智能硬件安全的支出量卻非常小，在2017年，全球在相關方面的支出是3.48億美元，2018年預計會有5.47億美元。可以看出，數字雖然非常小，但是增長率較高，這也反映了業界對于智能硬件關注越來越強烈。

多重安全技術指引硬件廠商前行

中國信息通信研究院智能硬件專家、移動智能終端技術創新與產業聯盟智能硬件組組長崔偉男在接受飛象網采訪時表示，智能硬件安全相較于傳統硬件安全有兩個特點，一個是智能硬件需求差異比較大，二是應用場景安全需求等級不同。“所以針對于智能硬件新的特征，也希望產業界采取一些新的措施和新的技術，來應對目前的挑戰?！?/p>

就智能硬件安全技術分析方面，崔偉男表示，白皮書在系統安全上提出了一個概念：信息安全基線是一個信息系統最小安全保障，即該信息系統最基本需要滿足的安全要求，信息安全基線是實現信息安全風險評估和風險的前提和基礎。

“我們提出安全度量模型，主要分兩部分，一部分評估智能硬件系統是否實施了安全保護，另外是采取安全防護技術強度，通過計算，給出安全防護分數，對安全進行度量。另一方面，我們建議廠商也要注重嵌入系統完整性和測量，可以提供一些用于檢測系統更改的工具和接口。”

在網絡訪問安全控制技術方面，白皮書建議智能硬件廠商采用訪問控制列表，保證云端各服務組件之間的網絡訪問控制和對外強制隔離。

崔偉男指出，設備接入技術上，智能硬件網關接入設計應該保護業務的質量和安全。因此有三大功能可以把協議轉換，同時可以實現移動通信網和互聯網間的信息轉換。一是接入網關可以提供基礎的管理服務，二是終端設備提供身份認證，訪問控制等安全管控服務，三是將各種網絡進行互聯整合，可以借助安全接入網關平臺，迅速開展網絡安全應用。

目前智能設備越來越廣泛地應用于商務、金融和娛樂行業，基于遠程互聯網服務器的用戶鑒權是許多應用程序或云服務的第一個環節，需要采用強身份鑒權機制。另外智能硬件會用到對稱加密和非對稱加密項下所有加密技術，如AES和SSL，但是由于智能硬件自身特點，在選擇加密算法的時候，必須考慮占有系統資源少或者輕型加密算法來控制功耗和設備，“因為智能硬件體型較小，資源比較受限，我們建議智能硬件生產廠商在采用加密算法的時候要考慮加密技術。另外對于多渠道日志，統一進行收集存儲，通過實施告警和聯動安全防御策略，及時發現并處理安全風險，進一步提升智能硬件整體安全。”

就固件安全技術方面，白皮書指出，固件安全代碼中的安全缺陷具有隱蔽性強、難以檢測、不易剔除、破壞性強等特點。固件安全主要涉及三個方面，一個是可信源驗證，二是代碼安全，三是傳輸安全，建議智能硬件生產廠商采用阻止或環節針對設備固件安全攻擊行為途徑，包括以下幾方面：一是升級前針對原始固件進行完整性檢查，確保固件升級服務穩定性和不可篡改性，二是固件升級中要采用狀態機跟蹤和數據簽名，三是升級完成后進行完整性安全檢查，建立中期性的固件和更新策略，同時采用更加安全的技術。

在客戶端安全技術方面，目前信通院了解到針對App攻擊手段較多，智能硬件廠商研發過程中也要更加注意到App安全性驗證，加強App方面安全防護。

在云平臺安全技術方面，智能硬件設備的后端云服務本質上是一種Web應用，Web應用所面臨的安全風險同樣出現在物聯網云平臺中。所以白皮書提醒各方多加注意。

基于以上研究，白皮書還提出了智能硬件整體安全架構和服務框架，一是確保設備安全接入，安全接入網關提供設備安全接入網能力，覆蓋設備授權、身份鑒權、密鑰管理、加密傳輸、會話管理、數據簽名等功能，保證數據通信和完整性。二是實現設備安全管理。三是增強安全態勢感知能力。四是全生命周期安全咨詢服務。

五方面建議促智能硬件快速發展

在此之上，白皮書近一步為智能硬件產業安全提出應對策略。首先是建立智能硬件安全應急響應機制，希望建立政府、企業、行業協會、研究機構的聯動機制，政府可以制定響應機制政策，向社會公布安全風險，以及漏洞預警，企業可以上報安全風險，提供漏洞修復和風險評估。

其次，設立智能硬件安全等級體系，目前重點領域主要是包括行業應用和個人消費，針對個人消費，比如手表手環可能安全要求比較低，但是行業應用，像能源、交通等。

第三是以安全標準帶動產品安全認證機制建立，智能硬件安全較于傳統手機和其他信息產業安全，它是云管端安全都涉及到的，我們前期也做了一些工作，希望和業界專家一起推動，不斷完善智能硬件安全系列標準，以及依據我們安全標準，進行一些安全方面的評測。

第四，希望各方規范研發管理流程，研發生產安全合規。在我們開發過程中，引入安全開發生命周期，結合企業級安全需求和自身項目，來開發流程，控制項目整體安全風險。這個主要是針對企業方面，我們希望企業能夠定期評審保密協議中的數據安全相關要求，以及希望企業能夠遵循一些隱私保護政策。

最后是強化法律監督，提高安全意識。“國家已經出臺了網絡安全法，目前我們的信息安全有法可依，同時也希望業界不管是科研人員還是開發人員，或者其他從業者，希望大家能夠提高風險意識，為我們智能硬件快速發展保駕護航，”崔偉男如是表示。