王素 黃帥

隨著智能化和物聯(lián)網(wǎng)化“兩化”產(chǎn)品進入市場爆發(fā)期，消費者一方面對科技改變未來的場景充滿期待，以開放的姿勢迎接“最舒適”的生活模式;另一方面，又不得不擔心自己的生活路徑被悄然記錄，而這些被泄露的隱私正以商業(yè)的名義被繪制成一個個“用戶畫像”。

如何更快實現(xiàn)“兩化”的同時，保證產(chǎn)品安全可靠和用戶信息安全，成為當下最受全球關(guān)注的話題。為了幫助企業(yè)理清思路、安全出海，本刊特邀請全球知名的第三方檢測認證機構(gòu)Intertek天祥集團電子電氣事業(yè)部資深專家鐘熾新接受了我們的專訪。

“最前沿的國際法規(guī)對‘兩化產(chǎn)品安全性的要求，已經(jīng)從傳統(tǒng)上的物理安全擴展至軟件功能安全以及網(wǎng)絡(luò)安全。” 鐘熾新旗幟鮮明地表示，“如果不能建立‘非請勿入的安全屏障，智能化產(chǎn)品就變成了侵權(quán)的工具?！?/p>

據(jù)悉，世界各國家和地區(qū)紛紛制定和推出了極其嚴格的網(wǎng)絡(luò)信息安全法規(guī)，以確保智能化的邊界和底線，而一些國際性的技術(shù)標準則提供了完整的安全操作指引，是企業(yè)執(zhí)行用戶隱私數(shù)據(jù)的最好工程實踐。

震驚！大量用戶數(shù)據(jù)被爆頻繁泄露

一組數(shù)據(jù)為我們展示了物聯(lián)網(wǎng)產(chǎn)業(yè)的無限前景：未來10年，全球物聯(lián)網(wǎng)產(chǎn)值將達到8萬億美元;到2020年，預(yù)計全球會有240億臺物聯(lián)網(wǎng)設(shè)備聯(lián)網(wǎng);而據(jù)思科、華為、愛立信估計，2020年物聯(lián)網(wǎng)連接數(shù)量在500億?1000億個之間，遠超現(xiàn)在70多億部手機數(shù)量。

無疑，物聯(lián)網(wǎng)正在改變?nèi)祟惖纳罘绞?，同時伴隨著嚴重的安全問題。2018年，360發(fā)布的《典型IoT設(shè)備網(wǎng)絡(luò)安全分析報告》顯示，33.3%的廠商在產(chǎn)品出廠時完全不考慮安全因素。而遠程弱口令、預(yù)置后門和敏感信息泄露，是IoT設(shè)備三大常見漏洞。報告提示，與IoT設(shè)備相關(guān)的漏洞增長率比網(wǎng)絡(luò)漏洞整體增長率高出14.7%。另外，360對使用IoT產(chǎn)品的用戶調(diào)研結(jié)果顯示，排在安全擔憂首位的是隱私泄露。

事實上，這些安全事件并非只發(fā)生在演示及推測中，大規(guī)模用戶隱私泄露事件一件件被曝光：震驚全球的facebook用戶數(shù)據(jù)泄露、萬豪國際集團旗下酒店客戶信息泄露、國泰航空乘客信息泄露……它們觸動著用戶的安全神經(jīng)，提醒企業(yè)追問和守護智能化的邊界。

嚴苛！個人隱私安全法規(guī)強制實施

“在隱私保護觀念上，中國與國外還存在一些差異。在發(fā)達國家，個人信息安全高于一切。反映在產(chǎn)品消費方面，比如，兒童電話智能手表在中國很暢銷，但是在歐美國家，由于他們考量到個人隱私問題，難以被接受?！?鐘熾新告訴本刊記者。

為了從法律上保障用戶信息不被濫用，2018年5月25日，一份號稱全球最為嚴格的歐盟個人信息安全法規(guī)通用數(shù)據(jù)保護條例（GDPR）被強制實施。

為何GDPR號稱是全球最具威懾力的信息安全法規(guī)呢？鐘熾新解釋，其實，GDPR在使用范圍、處罰案例和處罰程度上較美國、澳大利亞等其他國家的法規(guī)而言并不見得是最嚴苛的，但由于GDPR的法律條文非常細化，就給企業(yè)造成一種容易對照執(zhí)行的緊迫感。另外，最值得注意的是，除了來自政府的監(jiān)管調(diào)查和處罰之外，GDPR還允許個人提起集體訴訟，而這就有可能會升級并導(dǎo)致政府的監(jiān)管調(diào)查，意味著給了消費者或者用戶一個很大的監(jiān)督權(quán)力。

據(jù)悉，GDPR力求在整個歐盟范圍內(nèi)建立一個統(tǒng)一的數(shù)據(jù)保護法律框架。在適用范圍上，該法規(guī)不僅對那些在歐洲開設(shè)子公司或分支機構(gòu)的企業(yè)造成影響，而且還會波及將歐盟客戶或其商業(yè)運營行為作為業(yè)務(wù)目標的公司。另外，即使所在企業(yè)的服務(wù)器位于亞洲，只要其中存儲有任何歐盟消費者的信息，都符合適用范圍。在違規(guī)處罰上，其金額可能高達 2000萬歐元或4% 的全球銷售收入，以高者為準。

為了避免踩到GDPR的紅線，鐘熾新特別提醒，出口歐盟企業(yè)須建立足夠的措施，確保企業(yè)內(nèi)部處理系統(tǒng)和掌握信息的安全性和完整性，并在產(chǎn)品設(shè)計階段即考慮網(wǎng)絡(luò)安全和各種數(shù)據(jù)隱私安全策略。比如，信息收集是否遵從合法公平的原則并事先征得當事人同意;信息用途是否明確告訴當事人并獲得授權(quán);信息是否受到足夠安全保障措施保護以防止未經(jīng)授權(quán)的披露風險等。

主流！數(shù)據(jù)傳輸安全標準強制認證

2018年，一家中國玩具出口制造工廠由于缺乏網(wǎng)絡(luò)安全考量，采集了孩子們的隱私數(shù)據(jù)，并且沒有進行加密傳輸，被美國聯(lián)邦貿(mào)易委員會（FTC）調(diào)查;另外一家中國的手機服務(wù)商被懷疑偷偷收集了美國手機用戶的私人信息，也被FTC調(diào)查。同年，美國加州消費者隱私法案SB327被簽署，并將于2020年1月正式生效。它被視為對標GDPR的隱私保護法規(guī)。

無論是GDPR還是SB327，均明文規(guī)定數(shù)據(jù)傳輸要采用足夠好的網(wǎng)絡(luò)安全技術(shù)。在這方面，美國國家標準與技術(shù)研究所（NIST）發(fā)布的美國聯(lián)邦信息處理標準（FIPS 140-2）不僅成為美國和加拿大政府采購時強制使用的技術(shù)標準，也已被視為數(shù)據(jù)傳輸安全的國際主流標準。

鐘熾新介紹稱，F(xiàn)IPS 140-2是美國和加拿大共同發(fā)起的安全標準，涵蓋了任何存儲或者傳輸敏感信息的硬件和軟件產(chǎn)品。該標準描述了用于敏感但非機密數(shù)據(jù)產(chǎn)品所要滿足的加密和相關(guān)安全要求。此外，英國通訊電子安全組織（Communications-Electronics Security Group）也推薦使用FIPS 140 認證。

當問及獲得FIPS 140-2認證將會給企業(yè)帶來哪些好處時，鐘熾新回應(yīng)：“它不僅是企業(yè)可以順利進入美國、加拿大政府采購清單的敲門磚，而且也能夠向所有購買者證明產(chǎn)品高度的安全性和可靠性，對于如今注重安全性的購買者來說，這是一個重要的區(qū)分標準和營銷工具。”

眾所周知，美國認證中屬于自愿性認證較多，于FIPS 140而言，目前只有跟政府機構(gòu)或其下屬組織供應(yīng)產(chǎn)品時是強制性認證的，而如果只是消費電子產(chǎn)品等，仍屬于自愿性認證。但看到這個標準帶來的好處，國際上已經(jīng)有很多制造廠商自愿去做該認證，我國的華為、中興、?？低暤绕髽I(yè)均有參與。

在FIPS 140-2以外，國際上接受程度最高的產(chǎn)品網(wǎng)絡(luò)安全標準還有ISO 15408（CC）、UL 2900和IEC 62443。“隨著用戶希望購入的物聯(lián)網(wǎng)設(shè)備將涉及不同品牌、不同廠家和不同技術(shù)，在網(wǎng)絡(luò)安全以外，跨界互聯(lián)和互操作性亦將作為基本的用戶體驗需求。”鐘熾新補充說。

前沿！支付卡數(shù)據(jù)安全標準或?qū)⑸婕?/h3>

一臺傳統(tǒng)的冰箱，在北美或歐盟市場的售價可能不會超過1000美元，而在冰箱內(nèi)集成一些聯(lián)網(wǎng)功能就可以賣到4000美元，這就是“兩化”技術(shù)給產(chǎn)品帶來的價值飛躍。與其他物聯(lián)網(wǎng)產(chǎn)品一樣，盡管目前聯(lián)網(wǎng)后的冰箱還處在查菜譜等基本功能階段，但未來它的應(yīng)用擴展空間極大，比如，直接在冰箱平板上就可以購買雞蛋。

“當擴展到支付功能后，就需要制造企業(yè)了解支付卡行業(yè)數(shù)據(jù)安全標準（PCI）了。”對此，鐘熾新向本刊記者指出。據(jù)他介紹，PCI是目前全球最嚴格且級別最高的金融數(shù)據(jù)安全標準，由 VISA 和 MasterCard 聯(lián)合多家國際卡組織共同建立，用以增強持卡人的數(shù)據(jù)安全。獲得此認證的公司大多為銀行或第三方支付公司。目前在產(chǎn)品層面較少用到這個標準，但是未來將會有所涉及。

鐘熾新坦言，PCI認證極其復(fù)雜，只有極少數(shù)企業(yè)才能順利通過。其難度主要來自于滲透測試和漏洞掃描兩個方面。它要求企業(yè)每年（至少進行一次）對內(nèi)網(wǎng)和外網(wǎng)實施滲透測試評估。每一臺關(guān)聯(lián)主機和所有的應(yīng)用服務(wù)，都會被仔細的掃描以識別潛在的漏洞，所有潛在的漏洞都必須進行審查。在測試中發(fā)現(xiàn)任何可利用的漏洞，企業(yè)必須修復(fù)問題之后重復(fù)測試，并提供系統(tǒng)已修復(fù)漏洞的證明。

合規(guī)！助力“兩化”產(chǎn)品角逐全球

“智能制造”時代，充分利用“兩化”技術(shù)賦能傳統(tǒng)產(chǎn)品將使企業(yè)獲得全新的市場戰(zhàn)略優(yōu)勢。盡管目前中國的“兩化”產(chǎn)品距離世界一流陣營還有一些差距，但中國正在大步向前。

例如，中國的各大巨頭早已經(jīng)開始了在智能控制和物聯(lián)網(wǎng)領(lǐng)域的系統(tǒng)謀劃和前瞻布局，一些實力雄厚的互聯(lián)網(wǎng)企業(yè)以及大量的創(chuàng)新創(chuàng)業(yè)型企業(yè)紛紛也加入到“兩化”進程中，包括三大運營商加上華為、中興等傳統(tǒng)電信廠商，互聯(lián)網(wǎng)行業(yè)里的阿里和騰訊，小米更是號稱最大的物聯(lián)網(wǎng)生態(tài)系統(tǒng)，百度、京東、美團等也都至少在不同的細分領(lǐng)域里切入進去。

從技術(shù)發(fā)展趨勢上看，5G、NB-IoT、WIFI、藍牙、Zigbee、智能手機和亞馬遜Alexa平臺等新興技術(shù)，也為產(chǎn)品的“兩化”提供了堅實的技術(shù)支撐基礎(chǔ)。

但成敗的關(guān)鍵一環(huán)，是能否經(jīng)得起網(wǎng)絡(luò)安全的考驗。對于中國大多數(shù)企業(yè)用于網(wǎng)絡(luò)安全的資源十分有限的事實，鐘熾新認為，如何利用這部分資源產(chǎn)生更大的產(chǎn)出就顯得十分重要。

鐘熾新建議，首先，企業(yè)需要構(gòu)建一個風險管理框架，做到理解自己產(chǎn)品系統(tǒng)當中可能存在的漏洞，以及這些漏洞被利用后可能造成的后果，在這之后，建立一個降低風險的具體方案，使得系統(tǒng)的風險能夠降低到一個可以接受的水平。

其次，需要制定滿足隱私政策要求的安全計劃，這就需要企業(yè)根據(jù)實際業(yè)務(wù)需求進行剪裁實施。比如，根據(jù)資產(chǎn)所有者、系統(tǒng)集成商和產(chǎn)品供應(yīng)商等不同的企業(yè)角色定位，對應(yīng)完成不同的安全標準要求。

“正如華為的任正非先生所強調(diào)的那樣，網(wǎng)絡(luò)安全和隱私保護是華為的最高綱領(lǐng)。在當前的國際貿(mào)易形勢下，合規(guī)是重中之重。Intertek天祥集團將在合規(guī)和產(chǎn)品技術(shù)升級方面助力企業(yè)順利進入理想的國際市場?！?鐘熾新最后表示。

本文編輯：王素。聯(lián)系郵箱：417111519@qq.com