王素 黃帥

隨著智能化和物聯(lián)網(wǎng)化“兩化”產(chǎn)品進(jìn)入市場(chǎng)爆發(fā)期，消費(fèi)者一方面對(duì)科技改變未來(lái)的場(chǎng)景充滿期待，以開(kāi)放的姿勢(shì)迎接“最舒適”的生活模式;另一方面，又不得不擔(dān)心自己的生活路徑被悄然記錄，而這些被泄露的隱私正以商業(yè)的名義被繪制成一個(gè)個(gè)“用戶畫像”。

如何更快實(shí)現(xiàn)“兩化”的同時(shí)，保證產(chǎn)品安全可靠和用戶信息安全，成為當(dāng)下最受全球關(guān)注的話題。為了幫助企業(yè)理清思路、安全出海，本刊特邀請(qǐng)全球知名的第三方檢測(cè)認(rèn)證機(jī)構(gòu)Intertek天祥集團(tuán)電子電氣事業(yè)部資深專家鐘熾新接受了我們的專訪。

“最前沿的國(guó)際法規(guī)對(duì)‘兩化產(chǎn)品安全性的要求，已經(jīng)從傳統(tǒng)上的物理安全擴(kuò)展至軟件功能安全以及網(wǎng)絡(luò)安全?！?鐘熾新旗幟鮮明地表示，“如果不能建立‘非請(qǐng)勿入的安全屏障，智能化產(chǎn)品就變成了侵權(quán)的工具?！?/p>

據(jù)悉，世界各國(guó)家和地區(qū)紛紛制定和推出了極其嚴(yán)格的網(wǎng)絡(luò)信息安全法規(guī)，以確保智能化的邊界和底線，而一些國(guó)際性的技術(shù)標(biāo)準(zhǔn)則提供了完整的安全操作指引，是企業(yè)執(zhí)行用戶隱私數(shù)據(jù)的最好工程實(shí)踐。

震驚！大量用戶數(shù)據(jù)被爆頻繁泄露

一組數(shù)據(jù)為我們展示了物聯(lián)網(wǎng)產(chǎn)業(yè)的無(wú)限前景：未來(lái)10年，全球物聯(lián)網(wǎng)產(chǎn)值將達(dá)到8萬(wàn)億美元;到2020年，預(yù)計(jì)全球會(huì)有240億臺(tái)物聯(lián)網(wǎng)設(shè)備聯(lián)網(wǎng);而據(jù)思科、華為、愛(ài)立信估計(jì)，2020年物聯(lián)網(wǎng)連接數(shù)量在500億?1000億個(gè)之間，遠(yuǎn)超現(xiàn)在70多億部手機(jī)數(shù)量。

無(wú)疑，物聯(lián)網(wǎng)正在改變?nèi)祟惖纳罘绞?，同時(shí)伴隨著嚴(yán)重的安全問(wèn)題。2018年，360發(fā)布的《典型IoT設(shè)備網(wǎng)絡(luò)安全分析報(bào)告》顯示，33.3%的廠商在產(chǎn)品出廠時(shí)完全不考慮安全因素。而遠(yuǎn)程弱口令、預(yù)置后門和敏感信息泄露，是IoT設(shè)備三大常見(jiàn)漏洞。報(bào)告提示，與IoT設(shè)備相關(guān)的漏洞增長(zhǎng)率比網(wǎng)絡(luò)漏洞整體增長(zhǎng)率高出14.7%。另外，360對(duì)使用IoT產(chǎn)品的用戶調(diào)研結(jié)果顯示，排在安全擔(dān)憂首位的是隱私泄露。

事實(shí)上，這些安全事件并非只發(fā)生在演示及推測(cè)中，大規(guī)模用戶隱私泄露事件一件件被曝光：震驚全球的facebook用戶數(shù)據(jù)泄露、萬(wàn)豪國(guó)際集團(tuán)旗下酒店客戶信息泄露、國(guó)泰航空乘客信息泄露……它們觸動(dòng)著用戶的安全神經(jīng)，提醒企業(yè)追問(wèn)和守護(hù)智能化的邊界。

嚴(yán)苛！個(gè)人隱私安全法規(guī)強(qiáng)制實(shí)施

“在隱私保護(hù)觀念上，中國(guó)與國(guó)外還存在一些差異。在發(fā)達(dá)國(guó)家，個(gè)人信息安全高于一切。反映在產(chǎn)品消費(fèi)方面，比如，兒童電話智能手表在中國(guó)很暢銷，但是在歐美國(guó)家，由于他們考量到個(gè)人隱私問(wèn)題，難以被接受?！?鐘熾新告訴本刊記者。

為了從法律上保障用戶信息不被濫用，2018年5月25日，一份號(hào)稱全球最為嚴(yán)格的歐盟個(gè)人信息安全法規(guī)通用數(shù)據(jù)保護(hù)條例（GDPR）被強(qiáng)制實(shí)施。

為何GDPR號(hào)稱是全球最具威懾力的信息安全法規(guī)呢？鐘熾新解釋，其實(shí)，GDPR在使用范圍、處罰案例和處罰程度上較美國(guó)、澳大利亞等其他國(guó)家的法規(guī)而言并不見(jiàn)得是最嚴(yán)苛的，但由于GDPR的法律條文非常細(xì)化，就給企業(yè)造成一種容易對(duì)照?qǐng)?zhí)行的緊迫感。另外，最值得注意的是，除了來(lái)自政府的監(jiān)管調(diào)查和處罰之外，GDPR還允許個(gè)人提起集體訴訟，而這就有可能會(huì)升級(jí)并導(dǎo)致政府的監(jiān)管調(diào)查，意味著給了消費(fèi)者或者用戶一個(gè)很大的監(jiān)督權(quán)力。

據(jù)悉，GDPR力求在整個(gè)歐盟范圍內(nèi)建立一個(gè)統(tǒng)一的數(shù)據(jù)保護(hù)法律框架。在適用范圍上，該法規(guī)不僅對(duì)那些在歐洲開(kāi)設(shè)子公司或分支機(jī)構(gòu)的企業(yè)造成影響，而且還會(huì)波及將歐盟客戶或其商業(yè)運(yùn)營(yíng)行為作為業(yè)務(wù)目標(biāo)的公司。另外，即使所在企業(yè)的服務(wù)器位于亞洲，只要其中存儲(chǔ)有任何歐盟消費(fèi)者的信息，都符合適用范圍。在違規(guī)處罰上，其金額可能高達(dá) 2000萬(wàn)歐元或4% 的全球銷售收入，以高者為準(zhǔn)。

為了避免踩到GDPR的紅線，鐘熾新特別提醒，出口歐盟企業(yè)須建立足夠的措施，確保企業(yè)內(nèi)部處理系統(tǒng)和掌握信息的安全性和完整性，并在產(chǎn)品設(shè)計(jì)階段即考慮網(wǎng)絡(luò)安全和各種數(shù)據(jù)隱私安全策略。比如，信息收集是否遵從合法公平的原則并事先征得當(dāng)事人同意;信息用途是否明確告訴當(dāng)事人并獲得授權(quán);信息是否受到足夠安全保障措施保護(hù)以防止未經(jīng)授權(quán)的披露風(fēng)險(xiǎn)等。

主流！數(shù)據(jù)傳輸安全標(biāo)準(zhǔn)強(qiáng)制認(rèn)證

2018年，一家中國(guó)玩具出口制造工廠由于缺乏網(wǎng)絡(luò)安全考量，采集了孩子們的隱私數(shù)據(jù)，并且沒(méi)有進(jìn)行加密傳輸，被美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）調(diào)查;另外一家中國(guó)的手機(jī)服務(wù)商被懷疑偷偷收集了美國(guó)手機(jī)用戶的私人信息，也被FTC調(diào)查。同年，美國(guó)加州消費(fèi)者隱私法案SB327被簽署，并將于2020年1月正式生效。它被視為對(duì)標(biāo)GDPR的隱私保護(hù)法規(guī)。

無(wú)論是GDPR還是SB327，均明文規(guī)定數(shù)據(jù)傳輸要采用足夠好的網(wǎng)絡(luò)安全技術(shù)。在這方面，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布的美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS 140-2）不僅成為美國(guó)和加拿大政府采購(gòu)時(shí)強(qiáng)制使用的技術(shù)標(biāo)準(zhǔn)，也已被視為數(shù)據(jù)傳輸安全的國(guó)際主流標(biāo)準(zhǔn)。

鐘熾新介紹稱，F(xiàn)IPS 140-2是美國(guó)和加拿大共同發(fā)起的安全標(biāo)準(zhǔn)，涵蓋了任何存儲(chǔ)或者傳輸敏感信息的硬件和軟件產(chǎn)品。該標(biāo)準(zhǔn)描述了用于敏感但非機(jī)密數(shù)據(jù)產(chǎn)品所要滿足的加密和相關(guān)安全要求。此外，英國(guó)通訊電子安全組織（Communications-Electronics Security Group）也推薦使用FIPS 140 認(rèn)證。

當(dāng)問(wèn)及獲得FIPS 140-2認(rèn)證將會(huì)給企業(yè)帶來(lái)哪些好處時(shí)，鐘熾新回應(yīng)：“它不僅是企業(yè)可以順利進(jìn)入美國(guó)、加拿大政府采購(gòu)清單的敲門磚，而且也能夠向所有購(gòu)買者證明產(chǎn)品高度的安全性和可靠性，對(duì)于如今注重安全性的購(gòu)買者來(lái)說(shuō)，這是一個(gè)重要的區(qū)分標(biāo)準(zhǔn)和營(yíng)銷工具?！?/p>

眾所周知，美國(guó)認(rèn)證中屬于自愿性認(rèn)證較多，于FIPS 140而言，目前只有跟政府機(jī)構(gòu)或其下屬組織供應(yīng)產(chǎn)品時(shí)是強(qiáng)制性認(rèn)證的，而如果只是消費(fèi)電子產(chǎn)品等，仍屬于自愿性認(rèn)證。但看到這個(gè)標(biāo)準(zhǔn)帶來(lái)的好處，國(guó)際上已經(jīng)有很多制造廠商自愿去做該認(rèn)證，我國(guó)的華為、中興、海康威視等企業(yè)均有參與。

在FIPS 140-2以外，國(guó)際上接受程度最高的產(chǎn)品網(wǎng)絡(luò)安全標(biāo)準(zhǔn)還有ISO 15408（CC）、UL 2900和IEC 62443?！半S著用戶希望購(gòu)入的物聯(lián)網(wǎng)設(shè)備將涉及不同品牌、不同廠家和不同技術(shù)，在網(wǎng)絡(luò)安全以外，跨界互聯(lián)和互操作性亦將作為基本的用戶體驗(yàn)需求?！辩姛胄卵a(bǔ)充說(shuō)。

前沿！支付卡數(shù)據(jù)安全標(biāo)準(zhǔn)或?qū)⑸婕?/h3>

一臺(tái)傳統(tǒng)的冰箱，在北美或歐盟市場(chǎng)的售價(jià)可能不會(huì)超過(guò)1000美元，而在冰箱內(nèi)集成一些聯(lián)網(wǎng)功能就可以賣到4000美元，這就是“兩化”技術(shù)給產(chǎn)品帶來(lái)的價(jià)值飛躍。與其他物聯(lián)網(wǎng)產(chǎn)品一樣，盡管目前聯(lián)網(wǎng)后的冰箱還處在查菜譜等基本功能階段，但未來(lái)它的應(yīng)用擴(kuò)展空間極大，比如，直接在冰箱平板上就可以購(gòu)買雞蛋。

“當(dāng)擴(kuò)展到支付功能后，就需要制造企業(yè)了解支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI）了。”對(duì)此，鐘熾新向本刊記者指出。據(jù)他介紹，PCI是目前全球最嚴(yán)格且級(jí)別最高的金融數(shù)據(jù)安全標(biāo)準(zhǔn)，由 VISA 和 MasterCard 聯(lián)合多家國(guó)際卡組織共同建立，用以增強(qiáng)持卡人的數(shù)據(jù)安全。獲得此認(rèn)證的公司大多為銀行或第三方支付公司。目前在產(chǎn)品層面較少用到這個(gè)標(biāo)準(zhǔn)，但是未來(lái)將會(huì)有所涉及。

鐘熾新坦言，PCI認(rèn)證極其復(fù)雜，只有極少數(shù)企業(yè)才能順利通過(guò)。其難度主要來(lái)自于滲透測(cè)試和漏洞掃描兩個(gè)方面。它要求企業(yè)每年（至少進(jìn)行一次）對(duì)內(nèi)網(wǎng)和外網(wǎng)實(shí)施滲透測(cè)試評(píng)估。每一臺(tái)關(guān)聯(lián)主機(jī)和所有的應(yīng)用服務(wù)，都會(huì)被仔細(xì)的掃描以識(shí)別潛在的漏洞，所有潛在的漏洞都必須進(jìn)行審查。在測(cè)試中發(fā)現(xiàn)任何可利用的漏洞，企業(yè)必須修復(fù)問(wèn)題之后重復(fù)測(cè)試，并提供系統(tǒng)已修復(fù)漏洞的證明。

合規(guī)！助力“兩化”產(chǎn)品角逐全球

“智能制造”時(shí)代，充分利用“兩化”技術(shù)賦能傳統(tǒng)產(chǎn)品將使企業(yè)獲得全新的市場(chǎng)戰(zhàn)略優(yōu)勢(shì)。盡管目前中國(guó)的“兩化”產(chǎn)品距離世界一流陣營(yíng)還有一些差距，但中國(guó)正在大步向前。

例如，中國(guó)的各大巨頭早已經(jīng)開(kāi)始了在智能控制和物聯(lián)網(wǎng)領(lǐng)域的系統(tǒng)謀劃和前瞻布局，一些實(shí)力雄厚的互聯(lián)網(wǎng)企業(yè)以及大量的創(chuàng)新創(chuàng)業(yè)型企業(yè)紛紛也加入到“兩化”進(jìn)程中，包括三大運(yùn)營(yíng)商加上華為、中興等傳統(tǒng)電信廠商，互聯(lián)網(wǎng)行業(yè)里的阿里和騰訊，小米更是號(hào)稱最大的物聯(lián)網(wǎng)生態(tài)系統(tǒng)，百度、京東、美團(tuán)等也都至少在不同的細(xì)分領(lǐng)域里切入進(jìn)去。

從技術(shù)發(fā)展趨勢(shì)上看，5G、NB-IoT、WIFI、藍(lán)牙、Zigbee、智能手機(jī)和亞馬遜Alexa平臺(tái)等新興技術(shù)，也為產(chǎn)品的“兩化”提供了堅(jiān)實(shí)的技術(shù)支撐基礎(chǔ)。

但成敗的關(guān)鍵一環(huán)，是能否經(jīng)得起網(wǎng)絡(luò)安全的考驗(yàn)。對(duì)于中國(guó)大多數(shù)企業(yè)用于網(wǎng)絡(luò)安全的資源十分有限的事實(shí)，鐘熾新認(rèn)為，如何利用這部分資源產(chǎn)生更大的產(chǎn)出就顯得十分重要。

鐘熾新建議，首先，企業(yè)需要構(gòu)建一個(gè)風(fēng)險(xiǎn)管理框架，做到理解自己產(chǎn)品系統(tǒng)當(dāng)中可能存在的漏洞，以及這些漏洞被利用后可能造成的后果，在這之后，建立一個(gè)降低風(fēng)險(xiǎn)的具體方案，使得系統(tǒng)的風(fēng)險(xiǎn)能夠降低到一個(gè)可以接受的水平。

其次，需要制定滿足隱私政策要求的安全計(jì)劃，這就需要企業(yè)根據(jù)實(shí)際業(yè)務(wù)需求進(jìn)行剪裁實(shí)施。比如，根據(jù)資產(chǎn)所有者、系統(tǒng)集成商和產(chǎn)品供應(yīng)商等不同的企業(yè)角色定位，對(duì)應(yīng)完成不同的安全標(biāo)準(zhǔn)要求。

“正如華為的任正非先生所強(qiáng)調(diào)的那樣，網(wǎng)絡(luò)安全和隱私保護(hù)是華為的最高綱領(lǐng)。在當(dāng)前的國(guó)際貿(mào)易形勢(shì)下，合規(guī)是重中之重。Intertek天祥集團(tuán)將在合規(guī)和產(chǎn)品技術(shù)升級(jí)方面助力企業(yè)順利進(jìn)入理想的國(guó)際市場(chǎng)?！?鐘熾新最后表示。

本文編輯：王素。聯(lián)系郵箱：417111519@qq.com