建设智能家居安全体系

文｜冯承文 王钢 孙

随着网络技术和智能技术的发展，各种各样的智能家居产品已进入到寻常百姓家，提升了用户使用体验并提供了更为便捷舒适的生活。

智能家居作为智能社区和智慧城市的组成单元，与智能社区系统和智慧城市系统相互连接。其所汇聚产生的信息和数据被谁使用、如何使用、如何转移等等，成为了很难预知的问题。探索解决智能家居的信息安全、数据安全以及其所带来的隐私安全，建设智能家居安全体系，成为行业第一要务。

智能家居安全问题原因

1.智能家居终端功能升级引发安全风险

智能家居终端产品涉及到多个行业的产品，如：家电、音视频产品、安防产品、信息产品、家居家具等，这些产品升级成为智能家居终端并互联组成智能家居系统时，由智能控制、网络连接、平台系统管理等带来新的安全风险。另外，由于一些智能家居终端，特别功能比较单一的传感器产品，相对比较简单的智能控制面板等，因其成本控制和配置及使用便利性等方面的考虑，往往对信息安全不够重视，会成为整个智能家居系统的安全薄弱环节，成为主要的安全风险点。智能家居终端可使用操作系统和各种应用程序，同样会增加应用程序、操作系统及其所运行的硬件系统的漏洞带来的安全风险。

2.多级系统互联加剧智能家居安全风险

智能家居系统是个多级互联的系统：第一级，智能家居是家电、信息、音视频、医疗、安防等多个家庭子系统互联互通而成的家庭网络系统；第二级，智能家居系统由智能家居终端、控制终端、智能家居网关、应用服务平台等共同组成；第三级，智能家居系统会与智慧社区系统、智慧城市系统进行网络和应用的互联互通。这些多级互联造成了智能家居安全风险大大增加。

3.智能分析导致安全风险提升

智能家居系统会在其生命周期中产生各种数据和信息，由于缺乏对数据获取和流转的严格管控，出于利益的考虑，导致许多数据和信息进入到各种大数据分析系统，被其他系统和用户使用，这些数据和结果的滥用大大增加了用户个人数据信息被泄露的安全风险。

智能家居系统中应用了大量的智能化技术使其成为具有智能化能力/功能的终端，且整个系统的控制和管理也使用了各种智能决策的算法，导致了系统控制执行结果不再是固定的、可预知的，而是会根据家居整体运行环境、应用场景等进行合理的智能推理和决策，变为了不可控因素。

智能家居安全解决方案

1.补充现行法律法规实施细则和落地标准制定

随着《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》的相继制定、发布和实施，对智能家居行业产生了深刻的影响。智能家居作为一个跨领域的综合行业应用，首先应符合国家的法律法规；其次由于其行业的特殊性，应在符合法律法规的基本原则框架下，对网络安全、个人信息以及相关数据安全的隐患进行具体实施细则补充，以方便整个行业更好的实施。

随着法律法规的实施，相关配套实施的标准就提到了日程上。在信息领域GB/T 35273《信息安全技术个人信息安全规范》、GB/T 34978《信息安全技术 移动智能终端个人信息保护技术要求、GB/T 22239《信息安全技术网络安全等级保护基本要求》等一系列国家标准都已发布并实施，但针对智能家居行业还未有正式发布实施的国家行业标准，建立高效安全的智能家居系统安全的标准体系和关键技术标准的制定，是亟待解决的事宜。

针对智能家居系统、终端、数据、个人信息、管理流程等多个方面制定安全标准，以确保智能家居在整个生命周期内安全运行。标准体系如图1所示。

图1 智能家居安全标准体系框架

智能家居系统的安全标准可分为通用标准和专用标准。通用标准以当前国家法律法规和与安全相关的国家标准为基本依据，根据智能家居的特殊性进行智能家居行业的特殊规定，而针对智能家居中各子系统可以进行领域内的特殊要求则归为专用标准，如安防系统的安全特殊要求、健康系统的安全特殊要求等。

通用标准里包括了智能家居系统信息安全通用技术要求和测试方法、智能家居系统数据和用户权限分类、智能家居系统个人信息保护技术要求和测试方法、智能家居系统安全管理平台技术要求、智能家居系统安全管理指南、智能家居系统风险评估和管理指南。

《智能家居系统信息安全通用技术要求和测试方法》主要规定了智能家居终端、控制终端、智能家居网关、服务平台以及各种应用服务等组成的智能家居系统在信息安全方面的特殊要求和相应的测试方法，是智能家居行业的通用安全要求。

《智能家居系统数据和用户权限分类》主要规定了智能家居系统内部产生和使用的各种各样数据信息的分类和用户角色权限的对应关系，详细的数据和信息的分类也是一个非常重要的安全手段和基础，对数据和信息的分类越详细、越准确就会对智能家居的安全起到更好的保护。分类可以按照极重要数据、重要数据、一般数据、用户个人信息、用户隐私等类型划分。同时还包括这些数据的所有者和使用者的权限划分以及数据在获取、保存、使用、删除、转移等方面的规定。

《智能家居系统个人信息保护技术要求》主要规定了智能家居在使用过程中的相关的个人信息以及隐私的详细描述，对个人信息进行安全分类分级，并对智能家居系统中个人信息以及隐私的归属权、使用权、存储权、转移权、删除权等增加相应的技术要求，建立健全的个人信息保护的问责制度，推动智能家居的个人信息安全符合相应国家法律法规要求。

《智能家居系统安全管理服务平台技术要求》主要规定了在智能家居行业里建立起的公共安全管理服务平台的技术要求，该服务平台服务于整个智能家居企业，为智能家居企业提供鉴权、加解密、安全监控运维、漏洞扫描、系统升级服务、数据清洗和脱敏等一系列安全服务。

《智能家居系统安全管理指南》主要规定了整个智能家居在生命周期内的安全管理，为智能家居企业提供技术性和流程性的指导。智能家居在安装、使用、维修过程中会遇到多种情况，这些状况未必能够全部提前预料到会产生安全风险。因此，应当从全生命周期考虑功能安全，从安装、配置（调试）、使用、维护和修理、报废等过程中分析安全影响因素，以确定过程中可能发生的所有危险情况，在设计、生产、安装、配置、使用、维护过程中采取相应措施避免安全隐患。根据该标准的内容指导智能家居企业、系统集成商、软件服务提供商等在企业内部建立起完善的智能家居安全保护管理体系，建立健全信息安全事件和安全漏洞的管理和响应机制，以适应当前政策和法规的变化，利用制度弥补技术的短板。

《智能家居系统风险评估和管理指南》主要规定了系统安全的评估方法和整改措施。由于智能家居涉及到的产品品类众多，使用环境、应用场景复杂，使得智能家居很难做到百分百的安全。因此，可以通过风险评估的方法，对智能家居整体所面临的安全风险进行风险评估，只有当风险等级降低到可控、可接受的程度时将会被允许销售和使用。同时，在智能家居的生命周期各阶段中不停发生需求变化，其安全措施不再是一成不变的，需要智能家居系统在过程中根据变化进行安全风险评估，根据评估调整安全措施，相应的安全机制和安全策略也会随之发生改变，对智能家居系统进行在线更新升级，通过软硬件的更新和修正，使智能家居系统保证安全运行。

2.建立行业安全服务平台

由于智能家居企业和产品非常分散，需要建立起可信的智能家居行业安全服务平台，通过该平台服务于整个智能家居企业，为全行业的智能家居企业提供鉴权、加解密、安全监控运维、漏洞扫描、系统升级服务、数据清洗和脱敏等一系列安全服务，以保证智能家居在运营期间的安全。

智能家居比传统家居更为复杂，遇到的安全问题也更为复杂，需引入更多的安全基本原则。相对于智能家居来说，安全问题是系统性问题，应尽可能在设计阶段将安全风险最小化，在运行过程中意外事件发生后，要有适当的应对措施，尽可能的将危害降低到最小，才能保证智能家居的安全。智能家居的安全是一个长期并随着使用时间和场景不断发生变化的问题，因此，需要基于风险评估，采取适当的安全措施，确保智能家居和用户的安全，降低不利影响的风险。同时，建议在国家标准层面上补充相应的安全标准，引导智能家电行业的健康发展。