本報(bào)記者 張旺 劉揚(yáng)

智能設(shè)備在給人類生活帶來巨大便利的同時(shí)，也帶來前所未有的風(fēng)險(xiǎn)：用來航拍的無人機(jī)突然失控，行駛在高速公路上的智能汽車突然被惡意入侵的黑客接管……這一切絕不是危言聳聽，這種風(fēng)險(xiǎn)就在我們每個(gè)人身邊。央視3·15晚會(huì)就曝光了一些目前發(fā)展如火如荼的智能硬件設(shè)備的安全問題，其中包括無人機(jī)、智能樓宇、智能家居類產(chǎn)品、智能攝像頭、智能支付POS機(jī)、智能汽車共六大品類。面對(duì)這樣的安全風(fēng)險(xiǎn)，人們真的就防不勝防嗎？有哪些手段可以將被黑的風(fēng)險(xiǎn)降到最低？《環(huán)球時(shí)報(bào)》記者就此采訪了兩位中國知名信息安全專家。

為什么智能設(shè)備這么容易遭到黑客攻擊呢？360攻防實(shí)驗(yàn)室安全專家劉健皓16日接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)表示，現(xiàn)在的無人機(jī)、智能汽車、智能家電等產(chǎn)品都有一個(gè)網(wǎng)絡(luò)連接的終端，大多數(shù)可以通過手機(jī)APP進(jìn)行監(jiān)視、控制。原先，這些設(shè)備都是封閉的，人類只能觸碰功能鍵才能啟動(dòng)它。但物聯(lián)網(wǎng)時(shí)代到來后，可以通過遠(yuǎn)程提交一些指令就能控制它。如果它在手機(jī)APP或者網(wǎng)絡(luò)傳輸協(xié)議上有缺陷或者漏洞，不需要接觸設(shè)備就能被遠(yuǎn)程控制。正?？刂菩枰脩裘艽a作為身份驗(yàn)證才可以登錄。如果是黑客攻擊的話，根本不需要授權(quán)，只需要知道產(chǎn)品的串號(hào)（SN號(hào)）就可以。如果是汽車的話，知道汽車VIN碼就行。

據(jù)劉健皓介紹，無人機(jī)的破解有兩種方式，一種是對(duì)禁飛區(qū)域的破解。比如在北京六環(huán)之內(nèi)不允許無人機(jī)飛行，但可以通過一些手段欺騙它的GPS模塊，告訴它自己在六環(huán)之外。還有一種方式就是，把無人機(jī)GPS模塊替換掉，把它的限制去掉，讓它能在六環(huán)以內(nèi)飛行。接管無人機(jī)，是通過劫持無人機(jī)遙控器信號(hào)，干擾它的信號(hào)，重?fù)Q信號(hào)源。傳奇黑客SamyKamkar甚至可以通過無人機(jī)劫持無人機(jī)，而“劫持”的設(shè)備也非常簡單，主要由一個(gè)四軸飛行器、電路板、電池、兩個(gè)無線電發(fā)射器等組成。

那是不是越智能的設(shè)備越容易被黑呢，劉健皓認(rèn)為，這是相對(duì)的。智能化需要IT技術(shù)支持，需要互聯(lián)網(wǎng)接入，還需要人工智能技術(shù)做運(yùn)轉(zhuǎn)，這就為一些黑客提供了很多攻擊面，可以從互聯(lián)網(wǎng)層面上去攻擊，也可以從物聯(lián)網(wǎng)感知層去攻擊。如果大家在開發(fā)設(shè)計(jì)這些智能硬件的時(shí)候，提高防護(hù)意識(shí)、考慮到安全問題，也是可以做好防護(hù)的。

劉健皓建議，從廠商角度來講，開發(fā)設(shè)計(jì)階段要考慮到安全因素，比如在協(xié)議的加密傳輸上面、身份認(rèn)證方面，還有訪問控制方面，這些安全的因素要加強(qiáng)。在系統(tǒng)建設(shè)階段，制造設(shè)備時(shí)，要考慮硬件安全、系統(tǒng)安全、網(wǎng)絡(luò)傳輸安全、軟件應(yīng)用安全。產(chǎn)品正式上線階段，上線之前，必須經(jīng)過專門的安全測試。在硬件退服階段，一定要把原來的軟件流程做一些改變。比如有一個(gè)APP版本，我不使用了，要更新版本，上一個(gè)版本是不能控制我現(xiàn)在的智能硬件的。那么智能硬件的流程、接口針對(duì)上一個(gè)APP版本的流程要做一些改動(dòng)，要上一個(gè)版本不能控制我。這樣才能保證這個(gè)迭代是安全地退服。針對(duì)用戶講，大家在選購相關(guān)產(chǎn)品之前，要搜索一下，自己要買的一款路由器以前有沒有爆出過漏洞，如果發(fā)現(xiàn)自己購買的智能硬件存在安全漏洞，首先盡量不要對(duì)外開放訪問，可以加強(qiáng)自己用戶密碼配置、無線密碼配置，密碼強(qiáng)度達(dá)到15位以上，數(shù)字與大小寫字母組合，廠商出了補(bǔ)丁要盡快修補(bǔ)。如果發(fā)現(xiàn)上網(wǎng)異常慢，或者經(jīng)常彈出不正常的廣告，那就要留意上網(wǎng)環(huán)境。如果訪問正常網(wǎng)站出現(xiàn)三俗廣告，那你就有可能被劫持了。不要在惡意、未知的熱點(diǎn)（比如WiFi）下面進(jìn)行金融交易。用戶還要提高安全意識(shí)，增強(qiáng)密碼強(qiáng)度，盡量不用通用密碼，針對(duì)不同網(wǎng)站設(shè)置不同密碼。

那智能手表、智能手環(huán)、智能家電是不是都應(yīng)該安裝防火墻和殺毒軟件呢，劉健皓表示，現(xiàn)在的很多智能硬件是嵌入式設(shè)備，它們的計(jì)算能力和存儲(chǔ)能力不能安裝殺毒軟件和防火墻，所以說傳統(tǒng)IT手段不能夠很好地解決現(xiàn)在智能硬件上的問題。而且防火墻和殺毒軟件都是在邊界加個(gè)防護(hù)。“我們的思路就是要提高智能硬件的自防護(hù)能力，保證它的整體安全”。

面臨日益增強(qiáng)的數(shù)據(jù)安全威脅，中國是否應(yīng)該成立專業(yè)的“白客”力量？劉健皓說，一方面專業(yè)安全機(jī)構(gòu)應(yīng)跟建設(shè)廠商配合，幫他們完成安全測評(píng)，給他們安全建議，使產(chǎn)品開發(fā)出來就是安全的。另一方面，我們會(huì)對(duì)市面上的一些安全硬件進(jìn)行橫向測試，把它們的優(yōu)缺點(diǎn)權(quán)威地曝光出來，供用戶參考。提高用戶安全意識(shí)，提高廠商安全能力。這是已經(jīng)在實(shí)施的。在國家政策方面，要出臺(tái)關(guān)于智能硬件安全、物聯(lián)網(wǎng)安全、汽車信息安全方面的標(biāo)準(zhǔn)，因?yàn)橛袠?biāo)準(zhǔn)廠商才能知道怎么開發(fā)。還應(yīng)出臺(tái)相應(yīng)的測試規(guī)范和測試指南，去驗(yàn)證產(chǎn)品的安全性。最后還要有信息安全的評(píng)價(jià)體系，由一些國家單位牽頭對(duì)硬件進(jìn)行評(píng)定。以后智能汽車實(shí)現(xiàn)無人駕駛時(shí)，控制權(quán)限交給系統(tǒng)了，如果系統(tǒng)出現(xiàn)漏洞，就可能造成嚴(yán)重事故。所以對(duì)于自動(dòng)駕駛汽車，我們建議對(duì)它強(qiáng)制進(jìn)行信息安全認(rèn)證，如果通不過驗(yàn)證，就不允許它在中國的路面上行駛。

中國信息安全專家譚曉生16日對(duì)《環(huán)球時(shí)報(bào)》記者表示，過去的電子產(chǎn)品出廠前只考慮硬件安全和材料安全，今后應(yīng)該把信息安全作為產(chǎn)品安全的測試指標(biāo)。應(yīng)該通過立法將信息安全納入產(chǎn)品準(zhǔn)入標(biāo)準(zhǔn)。隨著硬件產(chǎn)品越來越智能化，就需要更多的專業(yè)人員對(duì)這些產(chǎn)品進(jìn)行安全評(píng)估。所以中國就需要多培養(yǎng)懂信息安全的專業(yè)人才，而在目前相關(guān)專業(yè)人才還沒有培養(yǎng)到位的情況下，可以把民間的一些力量先用起來?！?/p>