两会专访 | 全国政协委员、安天科技集团股份有限公司首席技术架构师肖新光：智能硬件供应链网络安全亟待加强

近年来，我国智能家居市场不断扩容，IDC数据显示，2021年中国智能家居设备出货量预计将达到2.3亿台，到2025年还将翻一番预计达到5.4亿台。智能设备“接入同一WiFi网络、全天24小时在线”，实现互联互通的同时也埋藏着许多网络安全隐患。

“智能家居设备给家庭生活带来便利，但也带来一些明显的威胁和挑战，如设备有比较多的传感器，能够采集图像、声音、环境指标、生物指标等，遭遇攻击容易变成偷拍机、窃听器，造成深度的隐私侵害。”全国政协委员、安天首席技术架构师肖新光在接受《中国电子报》记者采访时表示，包括智能家居在内的IT 供应链网络安全能力亟待加强。

守住硬件设备的出厂关口

“IT 供应链环节复杂、暴露面多，上游环节被攻击者利用会引发雪崩效应造成不可估量的影响。”作为网络安全技术一线从业者，肖新光介绍说，近几年，网络攻击者通过入侵软硬件产品供应商，实现对下游政企应用场景的连锁突破，已经成为常态化攻击方式。

手机、智能音箱、智能家电在使用过程中可能随时会被网络攻击，轻则泄露个人隐私，重则对人身和财产安全造成损失。对此，肖新光表示要对IT全产业链网络安全亟待加强和完善。

“设备出厂系统和软件安全检查和测试必不可少。”肖新光认为，硬件出厂的检测机制是非常有必要的，因为这是目前智能产品生命周期中，极为重要的关口，必须强化。

目前，我国对手机、蓝牙耳机、智能音箱、家电等产品出台了详细的硬件标准和完善的质量检验体系。

肖新光指出，电子硬件产品的网络安全标准规范及有效覆盖程度并不一致。据肖新光了解，目前智能手机系统和软件安全的检验体系较为完善，网络安全防御能力较为稳定。“手机是入网运营商的设备，专业检验机构比较早的增加了安全检测的工作维度，安全能力较强，安全手段较为完善，检测条件也相对严格”。

相比智能手机拥有较为完善的检验体系，传统电器的检验标准更多的是从电气特性。“智能家居的网络安全相关标准规范已经有部分出台，智能家电产品品类众多且创新迭代速度较快，强制性检测机制还在不断完善中”肖新光介绍说。

肖新光建议，家电及硬件厂商需要承担硬件设备的网络安全责任，“家庭用户选择智能家居产品就是选择方便易用，不能把安全问题的球踢到用户那里去，厂商必须承担产品全生命周期的安全责任，这既需要家电厂商重视和投入安全，也要建立安全合作生态。”

政企IT设备安全不容忽视

相比家用智能设备的网络安全的潜在危险，政企IT设备的网络安全更是不容忽视，后果更加严峻。

“相比家用智能设备更重视易用性，政企机构IT资产需要同时满足易用性、可管理运维和可防御等诸多要求。由于物美价廉，很多政企的大屏幕、摄像头采购了智能家用电器设备。智能家用设备成为埋藏在政企体系中的隐蔽传感器，形成到达互联网的隐蔽信道，以及变成攻击跳板。”肖新光表示。一旦政企机构的IT智能硬件遭受网络安全攻击，后果十分严峻。政企的商业和技术秘密，甚至国家秘密都有泄露的风险。

为避免这些设备成为安全盲点，他建议从供应侧和需求侧“双管齐下”。在供应侧，他建议智能硬件厂商可以提供安全性更高的差异化产品“通过建立生态，产品嵌入安全中间件等方式，实现 IT 产品安全防护能力的出厂预置，形成安全能力‘关口前移’的防护效果。”

在需求侧，他建议政企用户需采购安全程度更高的智能设备，同时设备安全管理运营能力。

考虑到包括智能家居产品、手机、电脑等硬件存在潜在的网络安全威胁和问题，今年，肖新光提出了《关于加强IT 供应链网络安全能力的提案》。肖新光认为，在我国加速推进数字化转型和数字中国建设的背景下，IT 供应链网络安全问题如不能得到有效重视和积极应对，将对我国关键信息基础设施安全带来重大风险隐患。为此，提出三条建议，一是建议相关部门设立专项，研究推动软硬件研发场景安全防护工作。二是建议相关部门出台支持软件研发企业全面启动代码安全工程的专项政策和引导措施。三是建议摸清关基场景 IT 供应链家底，推动需求侧变革。