Testin云測何迪生：智能門鎖安全告急 “軟+硬”打造防御體系

物聯(lián)網的智能應用正在帶我們走進一個新的世界，智能家居、智慧城市和車聯(lián)網等等的廣泛應用，在帶給我們便捷高效的同時也成為了黑客和不法分子所“覬覦”的對象。Gartner曾預測，到2020年，國內物聯(lián)網安全規(guī)模為 600 - 1000 億元人民幣之間，針對企業(yè)經確認的安全性攻擊中，有 25%以上將涉及物聯(lián)網。就在最近的廣東省“3.15晚會”上，智能門鎖也作為一個案例被搬上消費者預警范圍內，而當中最大的問題就是智能門鎖的“安全”問題。

面對智能門鎖應用層攻擊，密碼體系是身份認證及數(shù)據(jù)保護的核心，一個完整的“人工 + 工具” 安全生態(tài)體系在把控安全風險方面起著至關重要的作用。“北京云測信息技術有限公司(以下簡稱：Testin云測)首席安全顧問何迪生在蘇州的2019 智能門鎖標準與生態(tài)落地峰會上發(fā)表演講時如是說。

　　Testin云測首席安全顧問何迪生

何迪生畢業(yè)于加拿大滑鐵盧大學，擁有近30年互聯(lián)網和信息安全行業(yè)的從業(yè)經驗。3月13日，在2019 智能門鎖標準與生態(tài)落地峰會結束后，物聯(lián)傳媒樂智網就如何構建智能門鎖一體化集成安全體系等問題，對Testin云測首席安全顧問何迪生進行了采訪。

回歸安全原點，建立 “人工 + 工具” 安全生態(tài)體系

”目前，物聯(lián)網體系采用的技術缺少統(tǒng)一的標準規(guī)范，安全管理環(huán)境越來越復雜，用戶面對的挑戰(zhàn)與風險都非常大。如果不解決隱私、安全這兩大問題，物聯(lián)網對應的發(fā)展空間將會受到阻礙。”何迪生在接受樂智網采訪時表示。

物聯(lián)網大部分終端的電源功耗、存儲空間、信道容量、計算能力都極為有限，在其上部署安全軟件或者現(xiàn)階段標行業(yè)準化的加解密算法都會大大增加終端運行負擔，甚至導致終端無法正常運行。安全軟、硬件產品無法正常發(fā)揮作用，致使物聯(lián)網行業(yè)的相關領域存在嚴重的安全風險。

在智能家居領域，各節(jié)點受到的威脅與風險來自于云服務、無線通信、移動終端APP、智能家居終端(智能網關及終端設備)、Web終端APP等方面。其中智能門鎖受到的威脅主要來自于應用層、硬件與固件、無線網絡等方面。何迪生告訴樂智網記者，如果要把智能家居體系鞏固好，必須要先鞏固應用安全。

面對智能門鎖存在的安全風險，該如何攻克這個難題?何迪生提出了感知層安全思路：身份認證以及數(shù)據(jù)保護，并就這兩個方面從四個維度進行分析。

第一個維度是通過行業(yè)認證及適用于受限設備的輕量級密碼。IOT設備(感知層)資源太小，不能把通用安全體系集成，存在數(shù)據(jù)泄漏等安全性風險，因此輕量級密碼算法是保護的核心基礎。第二個維度是白盒秘鑰。由于沒有受保護的秘鑰比較容易被黑客盜取，這可能導致非常嚴重的數(shù)據(jù)泄漏風險，所以秘鑰安全是我們核心保護的重點。第三個維度是MCU集成。通過把身份認證與數(shù)據(jù)加密保護方案集成到MCU架構(軟實現(xiàn))，避免數(shù)據(jù)泄漏的風險。第四個維度是安全芯片。身份認證與數(shù)據(jù)加密保護在MCU里軟實現(xiàn)還是存在可以被黑客逆向破解的風險，利用安全芯片為維護 IoT 安全性為現(xiàn)時行業(yè)最硬的方案。

最后，何迪生提到，要回歸安全原點，盡量簡化安全復雜性，建立一個比較容易管理及完整的 “人工 + 工具” 安全生態(tài)體系。其一，實現(xiàn)SDL安全軟件開發(fā)生命周期，建立合適及易于實行的安全編碼規(guī)范;其二，通過安全代碼審計、安全滲透測試、安全加固等方面建立安全測試及加固體系;其三，在物理層、網絡層、主機層、應用層、數(shù)據(jù)層等方面建立一個縱深防御體系來實行合適的安全策略，加強對核心數(shù)據(jù)的保護。

提高安全認證標準，圍繞用戶做一體化測試平臺

隨著智能門鎖市場的急速擴張，建立安全認證的標準，便成為一件重要的事。何迪生所在的Testin云測是全球首家，也是目前全球規(guī)模最大的云測試服務平臺，測試應用次數(shù)已超過兩億次。Testin云測旗下的安全服務部門在企業(yè)應用服務中以怎樣的技術和服務贏得市場?

何迪生告訴樂智網，Testin云測是先進的應用服務平臺，為全球超過百萬的開發(fā)者和企業(yè)提供測試、安全、推廣、產品優(yōu)化、流量變現(xiàn)，及AI大數(shù)據(jù)解決方案，服務上能夠從功能兼容性能到安全測試等全面覆蓋;同時也是國家指定的27家專業(yè)密碼評測機構之一，在安全與密碼方面的實力得到國家許可。

Testin云測安全服務部門最核心的服務是幫客戶發(fā)現(xiàn)不同層面的安全漏洞，在后期提出為客戶修復漏洞的整改意見，提供測試一體化服務。例如，面對身份認證/授權缺失、隱私數(shù)據(jù)泄露、缺乏傳輸加密、不安全的Web應用接口、不安全的云服務接口等智能家居十大安全風險，利用傳統(tǒng)的測試方法，客戶需要聯(lián)系不同的廠家才能解決所有的需求，而通過Testin云測安全服務部門就能一次性解決。

以Testin云測安全服務部門推出的“Testin CSLSC智能門鎖安全認證”為案例，這套安全認證服務方案覆蓋了應用層、網絡層、感知層等三個層次，實現(xiàn)了10個維度 、50+個測試點的功能檢測。在應用層上提供Web/H5系統(tǒng)，微信小程序安全檢測、移動應用安全檢測、授權認證安全檢測;在網絡層上提供藍牙/BLE安全檢測、WIFI安全檢測;在感知層上提供機械鎖體安全檢測、鎖體指紋識別安全檢測、鎖體密碼策略安全檢、門禁卡滲透安全檢測、鎖體安全策略安全檢測等服務內容。

何迪生表示，每一位企業(yè)客戶所要解決的痛點、需求可能不一樣，要用專業(yè)安全的經驗與思維進行分析，在每個場景里挖掘不一樣的情況，提出不同的解決方案, 從多個維度構建一套完整的安全生態(tài)體系，從而達到低成本處理風險的目的。

未來，Testin云測安全服務部門將在安全領域加速探索，不斷地完善自己搭建的測試平臺 ，通過整合不同的產品與服務，全自動化觸發(fā)安全漏洞測試平臺，實現(xiàn)智能化的定制化測試，讓智能門鎖達到更高的行業(yè)安全標準。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。