信息化觀察網(wǎng)

隨著物聯(lián)網(wǎng)的快速發(fā)展與普及，消費者物聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)一樣獲得了較多的應(yīng)用。相較于工業(yè)物聯(lián)網(wǎng)，消費者物聯(lián)網(wǎng)產(chǎn)生的數(shù)據(jù)更加復(fù)雜多樣，更重要的是，消費者物聯(lián)網(wǎng)對數(shù)據(jù)隱私與安全性的要求更高。事實上，消費者物聯(lián)網(wǎng)的數(shù)據(jù)安全性在整個數(shù)據(jù)安全領(lǐng)域是最高的之一。消費者物聯(lián)網(wǎng)由于更貼近用戶端，所有接入設(shè)備的數(shù)據(jù)都將在網(wǎng)絡(luò)上流通，這就要求網(wǎng)絡(luò)在保持靈活性的同時，還要時刻保持安全性。此外，消費者物聯(lián)網(wǎng)的接入設(shè)備更貼近用戶生活，有些生物設(shè)備用戶數(shù)據(jù)高度涉及用戶隱私，此類數(shù)據(jù)被泄露往往造成比其它數(shù)據(jù)更大的危害。因此，如何保證消費者物聯(lián)網(wǎng)的用戶數(shù)據(jù)安全性，儼然已成為物聯(lián)網(wǎng)發(fā)展的重要命題，同時也是消費者對于物聯(lián)網(wǎng)發(fā)展的必然要求。

針對這一問題，提出一個基本的、統(tǒng)一的、具有建設(shè)性的標(biāo)準(zhǔn)是十分有意義的，這不僅僅是物聯(lián)網(wǎng)的健康發(fā)展所需，更是消費者的迫切需求所想。在此背景下，由歐洲電信標(biāo)準(zhǔn)化協(xié)會(ETSI)于2020年6月份提出的《消費者物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全：基本要求》一文為我們提供了有價值的參考。該文提出的有關(guān)消費者物聯(lián)網(wǎng)數(shù)據(jù)安全的基本原則，無論是對于相關(guān)從業(yè)人員，還是普通消費者，都具有十分重要的借鑒意義，也為消費者物聯(lián)網(wǎng)的發(fā)展提出了一種基本的要求框架。本文接下來將介紹該篇文章有關(guān)消費者用戶數(shù)據(jù)安全的部分內(nèi)容。

消費者物聯(lián)網(wǎng)結(jié)構(gòu)

常見消費者物聯(lián)網(wǎng)結(jié)構(gòu)如下圖1所示，以家庭環(huán)境為例，所有硬件設(shè)備將直接通過IP連接(如通過以太網(wǎng)或Wi-Fi)或間接通過網(wǎng)關(guān)或集線器連接到LAN。這種與LAN的間接連接通常使用非IP連接(例如基于IEEE 802.15.4的協(xié)議族)，然后，路由器將LAN連接到WAN(即互聯(lián)網(wǎng))。然而，在某些情況下，家庭中的設(shè)備可以通過其他非IP或IP連接(如GSM或WAN)直接連接到WAN。

此外，家庭中的消費者物聯(lián)網(wǎng)設(shè)備通常會向外連接到(或通過)在線或本地服務(wù)。在線服務(wù)通常包括各種云服務(wù)、即時更新服務(wù)等，該類服務(wù)必須通過網(wǎng)絡(luò)與互聯(lián)網(wǎng)進行數(shù)據(jù)交互。

圖1家庭環(huán)境中消費者物聯(lián)網(wǎng)部署的參考體系結(jié)構(gòu)示例

上圖展示了一個在家庭中實際部署消費者物聯(lián)網(wǎng)的模型示例?，F(xiàn)今越來越多的設(shè)備都支持遠(yuǎn)程控制、數(shù)據(jù)共享等云服務(wù)，這也就意味著將會有越來越多的設(shè)備通過各種方式接入互聯(lián)網(wǎng)，對于其中某些較大的設(shè)備，比如智能電視等，其主要資源還有可能采用實時獲取最新資源的方式與互聯(lián)網(wǎng)連接，最終，從與互聯(lián)網(wǎng)的連接方式上看，大致可以分為IP連接與非IP連接，IP網(wǎng)關(guān)提供主要的互聯(lián)網(wǎng)連接，使用戶方便享有各種云服務(wù)，對于某些其他的特殊設(shè)備，例如位于室外的環(huán)境傳感器等，由于遠(yuǎn)離家庭環(huán)境本身，因此無法通過家庭網(wǎng)關(guān)連接至互聯(lián)網(wǎng)，此時可以采用GSM等方式直接與廣域網(wǎng)通信。

確保個人數(shù)據(jù)安全

設(shè)備和服務(wù)之間傳輸?shù)膫€人數(shù)據(jù)，尤其是相關(guān)服務(wù)的機密性，應(yīng)采用業(yè)界最佳加密技術(shù)加以保護。設(shè)備和相關(guān)服務(wù)之間交流的敏感個人數(shù)據(jù)的機密性應(yīng)受到保護，并采用適合的加密技術(shù)。

在上述原則中，“敏感個人數(shù)據(jù)”是指其披露極有可能對個人造成傷害的數(shù)據(jù)。被視為“敏感個人數(shù)據(jù)”的內(nèi)容因產(chǎn)品和用例的差異而不同，例如：家庭安全攝像頭的視頻流、支付信息、通信數(shù)據(jù)的內(nèi)容和時間戳位置數(shù)據(jù)。執(zhí)行安全和數(shù)據(jù)保護影響評估可以幫助制造商做出適當(dāng)?shù)倪x擇。此外，相關(guān)服務(wù)通常是云服務(wù)，并且這些服務(wù)受到制造商的控制或影響，通常不由用戶操作。保密保護通常使用業(yè)界最佳密碼技術(shù)進行完整性保護。

裝置的所有外部感應(yīng)能力應(yīng)以對用戶清晰透明的方式記錄在案。例如：外部感應(yīng)能力可以是光學(xué)或聲學(xué)傳感器。

方便用戶刪除用戶數(shù)據(jù)

用戶數(shù)據(jù)是指存儲在物聯(lián)網(wǎng)設(shè)備上的所有個人數(shù)據(jù)，包括個人數(shù)據(jù)、用戶配置和加密材料，如用戶口令或密鑰。任何廠商的軟硬件產(chǎn)品應(yīng)提供用戶數(shù)據(jù)刪除功能，以便以簡單的方式從相關(guān)服務(wù)中刪除個人數(shù)據(jù)。此類功能旨在用于所有權(quán)轉(zhuǎn)移、消費者希望刪除個人數(shù)據(jù)、消費者希望從設(shè)備中刪除服務(wù)或消費者希望處置設(shè)備的情況。有關(guān)“輕松”刪除用戶數(shù)據(jù)的含義是指完成該操作所需的步驟較少，每項操作的復(fù)雜性最低。

同時，應(yīng)向用戶提供關(guān)于如何刪除其個人數(shù)據(jù)的明確指示，并提供明確的確認(rèn)，即個人數(shù)據(jù)已從服務(wù)、設(shè)備和應(yīng)用程序中刪除。

消費者物聯(lián)網(wǎng)設(shè)備通常會改變所有權(quán)，并最終被回收或處置。當(dāng)消費者希望完全刪除其個人數(shù)據(jù)時，他們還希望備份副本被追溯刪除。因此，可以提供允許消費者保持控制并從服務(wù)、設(shè)備和應(yīng)用程序中刪除個人數(shù)據(jù)的機制。

從設(shè)備或服務(wù)中刪除個人數(shù)據(jù)通常不是簡單地通過將設(shè)備重置回其出廠默認(rèn)狀態(tài)來實現(xiàn)的。在許多用例中，消費者不是設(shè)備的所有者，但希望從設(shè)備和所有相關(guān)服務(wù)(如云服務(wù)或移動應(yīng)用程序)中刪除他們自己的個人數(shù)據(jù)。例如：用戶可以在租用的公寓內(nèi)臨時使用消費物聯(lián)網(wǎng)產(chǎn)品，對產(chǎn)品進行出廠重置可能會刪除配置設(shè)置或禁用設(shè)備，從而損害公寓所有者和未來用戶的利益，因為出廠重置(從物聯(lián)網(wǎng)設(shè)備中刪除所有數(shù)據(jù))不是以諸如刪除共享使用上下文中單個用戶的個人數(shù)據(jù)的簡單方式來執(zhí)行。

檢查系統(tǒng)的無線傳感數(shù)據(jù)

若使用和測量從消費者物聯(lián)網(wǎng)設(shè)備和服務(wù)收集的無線傳感數(shù)據(jù)，，則應(yīng)檢查其是否存在安全異常，以避免用戶數(shù)據(jù)通過潛在的安全漏洞被泄露。其中，安全異?？梢酝ㄟ^偏離設(shè)備的正常行為來表示，如受監(jiān)控的指示器警報異常等。例如，在登錄失敗后短時間內(nèi)嘗試重新登錄的次數(shù)異常增加，這是一種典型的登錄異常行為。

來自多種設(shè)備的無線傳感器制造商應(yīng)注意到，由于無效的軟件更新真實性檢查而導(dǎo)致更新失敗的安全風(fēng)險，定期檢查傳感器數(shù)據(jù)(包括日志數(shù)據(jù))有助于安全評估，并允許盡早識別和處理異常情況，最大限度地降低安全風(fēng)險，并允許快速定位及解決問題。

驗證輸入數(shù)據(jù)

消費者物聯(lián)網(wǎng)設(shè)備軟件應(yīng)驗證通過用戶界面輸入的數(shù)據(jù)，或通過應(yīng)用編程接口(API)傳輸?shù)臄?shù)據(jù)，或在服務(wù)和設(shè)備中的網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)。

跨不同類型的接口傳輸?shù)臄?shù)據(jù)或代碼格式不正確，可能會破壞系統(tǒng)。攻擊者或測試人員可以使用Fuzzer等自動化工具，以利用由于未驗證數(shù)據(jù)而出現(xiàn)的潛在漏洞和弱點。

例如，設(shè)備接收的數(shù)據(jù)類型不是預(yù)期的文本類型，而是可執(zhí)行代碼時，設(shè)備上的軟件應(yīng)當(dāng)能夠?qū)Υ颂峁C制來防御，使得任何輸入都能夠被參數(shù)化或“轉(zhuǎn)義”為預(yù)期的安全類型，從而阻止運行注入的未知代碼。另一種情況是，如果溫度傳感器接收超出范圍的數(shù)據(jù)，便不應(yīng)嘗試各種方式來處理該輸入。當(dāng)識別出該數(shù)據(jù)超出了可能的界限，正確的做法是丟棄，并且應(yīng)在運行日志中有所體現(xiàn)。

消費者物聯(lián)網(wǎng)的數(shù)據(jù)保護規(guī)定

許多消費物聯(lián)網(wǎng)設(shè)備處理個人數(shù)據(jù)，制造商應(yīng)在這類設(shè)備中提供支持此類個人數(shù)據(jù)保護的功能。此外，應(yīng)當(dāng)制定并不斷完善消費者物聯(lián)網(wǎng)設(shè)備中個人數(shù)據(jù)保護相關(guān)的法律法規(guī)。

制造商應(yīng)向消費者提供清晰、透明的信息，說明每種設(shè)備和服務(wù)的個人數(shù)據(jù)處理方式、使用方式、使用者以及用途。這也適用于可能涉及的第三方，例如廣告商。

在消費者同意的基礎(chǔ)上處理個人數(shù)據(jù)的，應(yīng)以有效方式獲得該同意。上述原則中，“以有效方式”獲得同意通常包括讓消費者自由、明顯和明確地選擇其個人數(shù)據(jù)是否可用于特定目的。并且，同意處理其個人數(shù)據(jù)的消費者有權(quán)隨時撤回其個人數(shù)據(jù)。

消費者希望通過適當(dāng)配置物聯(lián)網(wǎng)設(shè)備和服務(wù)功能來保護他們的隱私。如果從消費者物聯(lián)網(wǎng)設(shè)備和服務(wù)收集遙測數(shù)據(jù)，個人數(shù)據(jù)的處理應(yīng)保持在預(yù)期功能所需的最低限度。如果遙測數(shù)據(jù)是從消費者物聯(lián)網(wǎng)設(shè)備和服務(wù)收集的，則應(yīng)向消費者提供關(guān)于收集了哪些傳感器數(shù)據(jù)、如何使用、由誰使用以及用于什么目的的信息。

設(shè)備狀態(tài)管理

消費物聯(lián)網(wǎng)每一個設(shè)備的整個生命周期可以看作為幾個狀態(tài)之間的停留與轉(zhuǎn)換。根據(jù)用戶操作，設(shè)備將在幾個狀態(tài)之間切換。這些轉(zhuǎn)換如圖7-1所示，該圖明確了如何在設(shè)備中使用定義的狀態(tài)。在該圖示例的模型中，停用設(shè)備將處于出廠默認(rèn)狀態(tài)，因為出廠重置過程可能是用于刪除所有用戶數(shù)據(jù)和配置過程。同時，設(shè)備停用后，便意味著該設(shè)備可以被安全回收、轉(zhuǎn)售或銷毀。

圖2消費者物聯(lián)網(wǎng)設(shè)備狀態(tài)圖

上圖中，一臺嶄新的設(shè)備默認(rèn)為出廠狀態(tài)，該狀態(tài)下一般不能正常使用完整功能，需要用戶或管理員輔助配置相關(guān)設(shè)置項，例如常見的網(wǎng)絡(luò)信息、賬戶信息等。若該設(shè)備需要在線服務(wù)，則可能需要配置更多的其他信息。配置完畢后，該設(shè)備已經(jīng)包含了一定的用戶數(shù)據(jù)，進入生命周期中的前期，此時用戶可以正常地使用完整功能，并在使用過程中產(chǎn)生包含隱私項在內(nèi)的多種敏感數(shù)據(jù)。這些敏感數(shù)據(jù)包括但不限于傳感器數(shù)據(jù)、地理位置、使用時長、歷史記錄等，且高度涉及用戶隱私。隨著使用程度的增加，設(shè)備可能不僅僅為一個用戶提供服務(wù)，而被添加多個賬戶，狀態(tài)也被轉(zhuǎn)移至使用過程中的第三個狀態(tài)。

理論上，隨著正常使用時長或次數(shù)的增加，一個設(shè)備的用戶數(shù)據(jù)總是不斷增多的，回退至初始狀態(tài)的成本也會不斷增大，此時要求設(shè)備廠商或開發(fā)者們應(yīng)當(dāng)提供最終回退至出廠狀態(tài)的選項，以便設(shè)備能較快地停用。