智能家居作為物聯(lián)網(wǎng)的一個(gè)典型行業(yè)應(yīng)用，發(fā)展迅速，智能家居設(shè)備越來普及，進(jìn)入千家萬戶。

　　小黑盒本尊

　　黑盒的銅線圈貼近智能鎖，在鎖體不同的位置游走，同時(shí)一下一下按下觸發(fā)鍵，“唰”，隨著鎖體里電機(jī)轉(zhuǎn)動(dòng)聲，原本設(shè)置指紋和密碼的智能鎖打開了!最快的真的只用了3秒鐘!

     為何智能門鎖如此“不經(jīng)撩”?

　　經(jīng)專家實(shí)測(cè)后發(fā)現(xiàn)，原來最大的漏洞在智能鎖的電機(jī)輸入信號(hào)上。

　　“小黑盒的脈沖干擾產(chǎn)生電流，經(jīng)過智能鎖內(nèi)部的元器件，產(chǎn)生一種信號(hào)，讓系統(tǒng)誤以為是正常指令，觸發(fā)了電機(jī)啟動(dòng)，然后門鎖被打開”。專家談到，其實(shí)除了智能門鎖，在智能家居行業(yè)還存在許多安全威脅。

　　智能家居行業(yè)的安全風(fēng)險(xiǎn)

　　智能設(shè)備風(fēng)險(xiǎn)：一是智能設(shè)備主要通過網(wǎng)絡(luò)遠(yuǎn)程控制，常用的傳感通信技術(shù)包括WiFi、RFID、藍(lán)牙、ZigBee、NB-IoT、GPS等，這些技術(shù)都暴露了不同程度的安全問題，具體包括明文密碼、通用密碼、重放攻擊和中間人攻擊等;二是智能家居的硬件傳感器連接相對(duì)暴露，并且對(duì)訪問控制的強(qiáng)度不足，通常信任傳感器的信號(hào)輸入，這就為攻擊信號(hào)提供了執(zhí)行的可能性;三是智能設(shè)備大多都是基于linux Kernel 開發(fā)的，而Linux最初并不是針對(duì)這類終端設(shè)計(jì)的，所以在適配新型的智能設(shè)備后會(huì)產(chǎn)生很多新的安全漏洞，或者linux內(nèi)存在的漏洞，由于智能設(shè)備的更新周期長(zhǎng)或根本沒有固件更新功能，從而引發(fā)安全問題。

　　智能APP風(fēng)險(xiǎn)：智能家居APP的遠(yuǎn)程控制智能家居設(shè)備為用戶提供了非常大的便利，目前由于各智能家居廠商網(wǎng)絡(luò)安全意識(shí)比較薄弱，導(dǎo)致在APP開發(fā)時(shí)安全方面的設(shè)計(jì)不全面，另外由于大部分APP由于急需市場(chǎng)需求和成本問題，開發(fā)完成后未進(jìn)行安全加固和審查。具體問題包括：偽造應(yīng)用、不安全的授權(quán)與數(shù)據(jù)通信及存儲(chǔ)、調(diào)試日志信息泄露風(fēng)險(xiǎn)、源代碼反編譯風(fēng)險(xiǎn)和數(shù)據(jù)任意備份風(fēng)險(xiǎn)等。

　　智慧云平臺(tái)風(fēng)險(xiǎn)：目前智能家居廠商部署的智慧云服務(wù)器普遍采用開源框架，或者老版本的web應(yīng)用服務(wù)器，導(dǎo)致云端的管理系統(tǒng)和數(shù)據(jù)web接口存在著很多傳統(tǒng)Web的安全隱患，同樣由于目前智能家居廠商的安全性意識(shí)比較薄弱，對(duì)用戶隱私問題重視度不夠，對(duì)權(quán)限控制不是很嚴(yán)格，由此導(dǎo)致了了一系列風(fēng)險(xiǎn)，具體包括：管理后臺(tái)與測(cè)試接口暴露、身份認(rèn)證不足、暴力破解、web典型漏洞等。

　　如何應(yīng)對(duì)

　　1.標(biāo)準(zhǔn)先行

　　在做產(chǎn)品的時(shí)候，要嚴(yán)格遵守相關(guān)標(biāo)準(zhǔn)。例如國(guó)際上的ISO/IEC安全標(biāo)準(zhǔn)、FDA安全要求、NIST安全標(biāo)準(zhǔn)，和國(guó)內(nèi)目前出行的物聯(lián)網(wǎng)、智能終端、智能家居等安全標(biāo)準(zhǔn)。

　　2.安全防護(hù)

　　通過安全監(jiān)測(cè)的漏洞挖掘和風(fēng)險(xiǎn)評(píng)估結(jié)果映射出智能家居的各方面安全隱患，經(jīng)分析可發(fā)現(xiàn)需在六個(gè)方面進(jìn)行安全防護(hù)，可限制目前大部分安全問題。分別是：終端加固、傳輸安全、網(wǎng)絡(luò)防護(hù)、應(yīng)用安全、數(shù)據(jù)泄露、業(yè)務(wù)風(fēng)險(xiǎn)。

　　3. 安全監(jiān)測(cè)

　　記錄每天產(chǎn)生日志數(shù)據(jù)，包括終端行為日志、網(wǎng)絡(luò)安全日志、系統(tǒng)運(yùn)行及入侵檢測(cè)日志、WAF防護(hù)日志以及網(wǎng)絡(luò)流量、基線檢查等信息?；谶@些日志，通過大數(shù)據(jù)安全分析平臺(tái)，借助模式匹配、沙盒分析、機(jī)器學(xué)習(xí)、專家經(jīng)驗(yàn)等規(guī)則，有的放矢提取情境數(shù)據(jù)，建立用戶行為畫像，實(shí)現(xiàn)異常行為數(shù)據(jù)的自動(dòng)識(shí)別、分析和關(guān)聯(lián)，還原攻擊路徑并進(jìn)行全鏈路風(fēng)險(xiǎn)打標(biāo)和綜合評(píng)分，精準(zhǔn)有效感知業(yè)務(wù)系統(tǒng)可能存在的風(fēng)險(xiǎn)隱患以及特定的APT攻擊，同時(shí)與異常流量清洗平臺(tái)聯(lián)動(dòng)，保障業(yè)務(wù)系統(tǒng)的安全性和客戶數(shù)據(jù)的隱私性。