本報記者 張旺 劉揚

智能設(shè)備在給人類生活帶來巨大便利的同時，也帶來前所未有的風(fēng)險：用來航拍的無人機突然失控，行駛在高速公路上的智能汽車突然被惡意入侵的黑客接管……這一切絕不是危言聳聽，這種風(fēng)險就在我們每個人身邊。央視3·15晚會就曝光了一些目前發(fā)展如火如荼的智能硬件設(shè)備的安全問題，其中包括無人機、智能樓宇、智能家居類產(chǎn)品、智能攝像頭、智能支付POS機、智能汽車共六大品類。面對這樣的安全風(fēng)險，人們真的就防不勝防嗎？有哪些手段可以將被黑的風(fēng)險降到最低？《環(huán)球時報》記者就此采訪了兩位中國知名信息安全專家。

為什么智能設(shè)備這么容易遭到黑客攻擊呢？360攻防實驗室安全專家劉健皓16日接受《環(huán)球時報》記者采訪時表示，現(xiàn)在的無人機、智能汽車、智能家電等產(chǎn)品都有一個網(wǎng)絡(luò)連接的終端，大多數(shù)可以通過手機APP進行監(jiān)視、控制。原先，這些設(shè)備都是封閉的，人類只能觸碰功能鍵才能啟動它。但物聯(lián)網(wǎng)時代到來后，可以通過遠(yuǎn)程提交一些指令就能控制它。如果它在手機APP或者網(wǎng)絡(luò)傳輸協(xié)議上有缺陷或者漏洞，不需要接觸設(shè)備就能被遠(yuǎn)程控制。正?？刂菩枰脩裘艽a作為身份驗證才可以登錄。如果是黑客攻擊的話，根本不需要授權(quán)，只需要知道產(chǎn)品的串號（SN號）就可以。如果是汽車的話，知道汽車VIN碼就行。

據(jù)劉健皓介紹，無人機的破解有兩種方式，一種是對禁飛區(qū)域的破解。比如在北京六環(huán)之內(nèi)不允許無人機飛行，但可以通過一些手段欺騙它的GPS模塊，告訴它自己在六環(huán)之外。還有一種方式就是，把無人機GPS模塊替換掉，把它的限制去掉，讓它能在六環(huán)以內(nèi)飛行。接管無人機，是通過劫持無人機遙控器信號，干擾它的信號，重?fù)Q信號源。傳奇黑客SamyKamkar甚至可以通過無人機劫持無人機，而“劫持”的設(shè)備也非常簡單，主要由一個四軸飛行器、電路板、電池、兩個無線電發(fā)射器等組成。

那是不是越智能的設(shè)備越容易被黑呢，劉健皓認(rèn)為，這是相對的。智能化需要IT技術(shù)支持，需要互聯(lián)網(wǎng)接入，還需要人工智能技術(shù)做運轉(zhuǎn)，這就為一些黑客提供了很多攻擊面，可以從互聯(lián)網(wǎng)層面上去攻擊，也可以從物聯(lián)網(wǎng)感知層去攻擊。如果大家在開發(fā)設(shè)計這些智能硬件的時候，提高防護意識、考慮到安全問題，也是可以做好防護的。

劉健皓建議，從廠商角度來講，開發(fā)設(shè)計階段要考慮到安全因素，比如在協(xié)議的加密傳輸上面、身份認(rèn)證方面，還有訪問控制方面，這些安全的因素要加強。在系統(tǒng)建設(shè)階段，制造設(shè)備時，要考慮硬件安全、系統(tǒng)安全、網(wǎng)絡(luò)傳輸安全、軟件應(yīng)用安全。產(chǎn)品正式上線階段，上線之前，必須經(jīng)過專門的安全測試。在硬件退服階段，一定要把原來的軟件流程做一些改變。比如有一個APP版本，我不使用了，要更新版本，上一個版本是不能控制我現(xiàn)在的智能硬件的。那么智能硬件的流程、接口針對上一個APP版本的流程要做一些改動，要上一個版本不能控制我。這樣才能保證這個迭代是安全地退服。針對用戶講，大家在選購相關(guān)產(chǎn)品之前，要搜索一下，自己要買的一款路由器以前有沒有爆出過漏洞，如果發(fā)現(xiàn)自己購買的智能硬件存在安全漏洞，首先盡量不要對外開放訪問，可以加強自己用戶密碼配置、無線密碼配置，密碼強度達(dá)到15位以上，數(shù)字與大小寫字母組合，廠商出了補丁要盡快修補。如果發(fā)現(xiàn)上網(wǎng)異常慢，或者經(jīng)常彈出不正常的廣告，那就要留意上網(wǎng)環(huán)境。如果訪問正常網(wǎng)站出現(xiàn)三俗廣告，那你就有可能被劫持了。不要在惡意、未知的熱點（比如WiFi）下面進行金融交易。用戶還要提高安全意識，增強密碼強度，盡量不用通用密碼，針對不同網(wǎng)站設(shè)置不同密碼。

那智能手表、智能手環(huán)、智能家電是不是都應(yīng)該安裝防火墻和殺毒軟件呢，劉健皓表示，現(xiàn)在的很多智能硬件是嵌入式設(shè)備，它們的計算能力和存儲能力不能安裝殺毒軟件和防火墻，所以說傳統(tǒng)IT手段不能夠很好地解決現(xiàn)在智能硬件上的問題。而且防火墻和殺毒軟件都是在邊界加個防護。“我們的思路就是要提高智能硬件的自防護能力，保證它的整體安全”。

面臨日益增強的數(shù)據(jù)安全威脅，中國是否應(yīng)該成立專業(yè)的“白客”力量？劉健皓說，一方面專業(yè)安全機構(gòu)應(yīng)跟建設(shè)廠商配合，幫他們完成安全測評，給他們安全建議，使產(chǎn)品開發(fā)出來就是安全的。另一方面，我們會對市面上的一些安全硬件進行橫向測試，把它們的優(yōu)缺點權(quán)威地曝光出來，供用戶參考。提高用戶安全意識，提高廠商安全能力。這是已經(jīng)在實施的。在國家政策方面，要出臺關(guān)于智能硬件安全、物聯(lián)網(wǎng)安全、汽車信息安全方面的標(biāo)準(zhǔn)，因為有標(biāo)準(zhǔn)廠商才能知道怎么開發(fā)。還應(yīng)出臺相應(yīng)的測試規(guī)范和測試指南，去驗證產(chǎn)品的安全性。最后還要有信息安全的評價體系，由一些國家單位牽頭對硬件進行評定。以后智能汽車實現(xiàn)無人駕駛時，控制權(quán)限交給系統(tǒng)了，如果系統(tǒng)出現(xiàn)漏洞，就可能造成嚴(yán)重事故。所以對于自動駕駛汽車，我們建議對它強制進行信息安全認(rèn)證，如果通不過驗證，就不允許它在中國的路面上行駛。

中國信息安全專家譚曉生16日對《環(huán)球時報》記者表示，過去的電子產(chǎn)品出廠前只考慮硬件安全和材料安全，今后應(yīng)該把信息安全作為產(chǎn)品安全的測試指標(biāo)。應(yīng)該通過立法將信息安全納入產(chǎn)品準(zhǔn)入標(biāo)準(zhǔn)。隨著硬件產(chǎn)品越來越智能化，就需要更多的專業(yè)人員對這些產(chǎn)品進行安全評估。所以中國就需要多培養(yǎng)懂信息安全的專業(yè)人才，而在目前相關(guān)專業(yè)人才還沒有培養(yǎng)到位的情況下，可以把民間的一些力量先用起來?！?/p>