妻女失蹤，身為法醫的丈夫在家里提取到一枚指紋，為了逼警察找出指紋歸屬者，法醫辭職后四處作案，并將指紋留在犯罪現場。這是前段時間網劇《無證之罪》的故事設定。雖然相同的事情發生在自己身上的概率極低，但是你指紋被竊取的概率，隨著智能硬件的廣泛應用大大提高。據國家信息安全漏洞共享平臺（CNVD）統計，2016 年全球物聯網設備共出現 1117 個漏洞。遺憾的是各大硬件生產廠商并未能及時將漏洞修補。

近日，《IT時報》記者獨家獲悉，處在野蠻增長的智能硬件市場，將迎來由公安部第三研究所（簡稱公安三所）牽頭制定的智能家居聯網安全標準。

智能硬件安全隱患過半

萬物互聯時代，給人們的生活帶來了極大的便利，人臉支付、智能指紋鎖、智能汽車等等廣泛的市場需求，帶來了海量的智能終端，也帶來了海量的硬件安全隱患。在9月份的第四屆國家網絡安全宣傳周上，極棒實驗室聯合上海社會科學院互聯網研究中心發布了《智能物聯網安全風險報告》，通過統計數據發現，新型智能安全威脅比重從2014年的40%上升至如今的58%。

剛剛過去的2017極棒嘉年華大賽上，畢業于浙江大學計算機系的90后極客tyy利用設備漏洞，僅用了150秒就成功破解了使用人臉識別的門禁系統，她告訴《IT時報》記者，所有智能硬件設備都有可能存在安全問題，人臉識別只是運行在設備上的一個應用，所以也不例外。從技術角度來說，破解并不難。

一款智能硬件通常由算法、基礎設施、應用系統三大板塊組成，在萬物互聯時代，這三大板塊均面臨著嚴峻的安全風險：首先是算法層面，《IT時報》此前報道過由于指紋芯片廠商算法存在缺陷，導致手機Home鍵出現裂紋后人人可解；其次是基礎設施，也就是針對各種框架、云服務的攻擊，脆弱的云端是智能家居被黑之關鍵，今年3·15晚會曝光的遠程啟動用戶家中智能攝像頭進行偷拍便是典型案例；應用系統層面的漏洞最為可怕，企業掌握收集用戶大量信息，被泄露撞庫后，影響大量用戶的財產安全，去年京東就曾被爆出12G的用戶信息遭到泄露，并在黑市被公開出售。

更嚴重的案例是，維基解密今年8月公布的文章顯示，美國中央情報局曾通過生物識別設備供應商掌握了印度10多億人的生物識別數據，包括照片、指紋、虹膜掃描，雖無法預見美國中央情報局收集此信息的用途，但業內人士的共識是，這項數據泄露已經涉及國家戰略層面的安全問題。

不安全的智能硬件與生物識別搭載在一起，使風險系數大增，不僅僅是因為這三大層面都容易產生數據泄露，更是因為生物特征信息唯一且不可更改，一旦發生泄露被人利用，作為其身份認證的后果不堪設想。同樣是極棒大賽上，黑客利用個人正面臉部圖像，簡單修圖后就能解鎖主人手機。

《智能物聯網安全風險報告》表示，智能設備的安全威脅正經歷著攻擊對象向新型智能設備擴展、攻擊主要集中在終端設備、攻擊手段日趨多樣化等多種趨勢，報告認為，與傳統的硬件相比，這些新型智能設備的出現為攻擊者提供了巨大“機會”。

安全投入成本是項目開發兩倍以上

然而，智能產品廠商對安全重視程度遠遠不夠。

極棒大賽舉辦四年以來，每年有近一半的廠商未曾對極棒的安全預警做出積極回應。而未回應的原因，在智能家居企業移康智能戰略發展部總監朱林清看來，除了安全意識不夠以外，更多因為成本。

“在單機硬件模具等成本為200萬元的情況下，后臺系統的研發、安全投入是單機的3-5倍。”朱林清表示，提高產品的安全性，一方面要增加前期研發人力，專注于安全保障，另一方面，單機成本也會提高。“不同的安全級別對芯片和性能都是有高要求的，想要安全性更高，產品的成本也就水漲船高。”他表示，尤其是規模小的智能硬件廠商，很難承擔得起這樣的成本投入。

貝爾塞克（BIOSEC）是一家做指紋智能鎖具的模組生產商，上半年，他們剛剛投入了幾百萬資金，用以與阿里的安全架構合作。“我們智能鎖受到云端的網絡攻擊比較多，所以技術上都是通過本地比對實現主要功能，為了減少安全風險，我們并不像其他智能鎖廠商一樣提供遠程開門的相關功能，”貝爾塞克的董事長劉君向《IT時報》記者表示，他們是傳統的硬件廠商，對網絡安全涉及不夠深入，所以在產品設計上十分謹慎。最近，因為阿里巴巴、華為等一些大的企業推出了針對物聯網的安全服務，他們才考慮開始在云端集成更多的功能。

作為指紋門鎖的龍頭老大，劉君坦承與中小企業相比，貝爾塞克在安全方面投入擁有絕對的優勢。除了資金較為充裕外，“我們市場份額比較大，客戶多，幾百萬元的投入分攤到百萬模組的出貨量上，單個模組成本只提高幾毛錢，客戶也能接受。”

與貝爾塞克嫁接BAT的安全服務不同，既做硬件又做平臺的移康智能，因多款產品支持遠程控制，對安全級別要求較高，他們在后臺云服務器上的投入已經有上千萬元。 “我們平臺開放給全球相關合作伙伴，目前已經支持80多個國家用戶在線使用，為此我們在北京、上海、香港、新加坡、硅谷等多個城市都布設了服務器。”朱林清告訴記者。

毫無疑問，軟件方面在不斷進步，算法、模型越來越先進，硬件也在升級。“應用者只有不斷提高安全意識才能讓這個行業健康發展。”tyy說道。

行業安全標準正在制定中

如何提高用戶的隱私安全？《智能物聯網安全風險報告》給出了三條建議：廠商從產品設計到生產，應把安全因素放到首位；建立健全設備的持續升級機制；盡快統一安全標準，實現設備間的互相通訊。前兩條需要企業進行相關投入，而最后一條則由監管部門進行推動，根據朱林清透露，智能家居聯網安全標準已經有眉目了，他們作為行業龍頭企業，現在正在配合公安三所參與標準的建立。

朱林清對記者表示，用戶對安全的需求正倒逼智能硬件廠商做更多的嘗試。“面對客戶詢問，我們口頭強調產品安全總是很無力，客戶希望我們拿出相關官方證明。”朱林清說道，他們起初跑到公安三所、國家質量監督檢驗檢疫總局希望開具相關官方證明，對方表示缺乏相關標準，無法開具。后來前去咨詢的企業越來越多，而市場上智能硬件產品又良莠不齊，于是，監管部門2016年開始推動相關質量標準的建立。不過，由于標準制定的時間較為細致復雜，“正式出臺至少還需要一年的時間。” 朱林清表示。