物联网安全

转（ >

文 小米集团 陈长林 李泽霖

打造具有国际竞争力的制造业，是我国提升综合国力、保障国家安全、建设世界强国的必由之路。推进以智能制造为核心的智能工厂建设是实现这一目标的重点方向，是我国迈进世界强国大门的关键一环。而信息安全是保障智能工厂系统能够顺利运转的根基。

小米作为一家互联网 科技 制造公司，一直走在创新的前列。在小米十周年的演讲中，创始人雷军对小米的过去十年进行了总结和复盘，也对未来十年提出了三个发展策略：重新创业、互联网 + 制造、行稳致远。在“互联网 + 制造”这条路线上，小米经过过去三年的努力，已经建成了百万台级的全自动化智能工厂（即“黑灯”工厂），致力于超高端手机的自动化生产。对于这条自动化水平极高的生产线，信息安全是其重要根基，是保证整个工厂安全、高效、稳定运转的关键一环。小米把信息安全体系建设作为智能工厂稳健运营的基石，在信息安全管理体系建设与实践上也下足了功夫。

小米智能工厂的信息安全管理体系包括三道防线：

第一道防线——安全技术体系，包括设备层、网络层、系统层和应用层。

第二道防线——安全管理体系，包括安全制度与全员安全意识培训。

第三道防线——安全审计，以攻击方蓝军视角对系统进行渗透测试。

第一道防线——安全技术体系

小米智能工厂安全防护体系主要通过应用层、系统层、网络层、设备层 4 个层面组成，通过纵深防御体系，最大程度保障小米智能工厂的安全。

一、设备层防护

智能工厂中，不仅有机器人、工业摄像头、AGV 等工业智能设备，同时还会配备监控摄像头、门禁系统、智能储物柜等常规的 IoT 设备。这些设备在生产之初更多考虑的是设备功能的实现以及设备性能的稳定性，而在安全性的设计考量上往往较为匮乏。

近几年来，行业内智能设备被攻击的案例层出不穷。据各大安全厂商的不完全统计，在所受到的DDoS 攻击中，黑客 *** 纵僵尸网络从而发起的攻击占总数量的一半以上。而互联网中海量缺乏安全性设计的物联网设备就成为这些攻击的“重灾区”。2017 年，由 Mirai 僵尸程序组成的僵尸网络发起的大规模 DDoS 攻击，导致美国、中国、巴西等国家大面积的网络瘫痪。而感染的主要设备有监控摄像头、数字视频录像机及路由器等大量物联网设备。

小米拥有全球最大的消费级物联网，对物联网的安全尤为重视，也为此在 2018 年正式成立了 AIoT安全实验室，实验室的组成成员均在 IoT 安全、网络安全等方面有着丰富的经验和实践。利用这一优势，小米针对智能工厂中的智能设备进行了全面地安全审计，挖掘设备本身存在的潜在安全隐患，并在第一时间联系相应的厂商进行分析、修复和整改。这一举措将从源头上尽可能地消除设备的安全隐患，缩减可能遭受攻击时的攻击面，在设备层面上做到安全性的提升。

二、网络层防护

智能工厂主要由生产网、集成系统网、办公网三大网络组成。

生产网中的设备主要有数控机台、机器人、传感器等；集成系统网中的设备主要有 MES、SAP、MOM 等；办公网中的设备主要为工厂员工办公使用的 PC。这三大网络分别具有不同的特征属性。

生产网是实际生产线所在的网络环境，该网络需要具备极高的稳定性和可靠性，一般会划分为多个产线，不同产线承担不同的生产需求。而由于生产网的极高可靠性要求，一些安全变更（如 *** 作系统补丁、安全策略变更、防护变更等）需要一定周期，不能收到更新时立即进行。所以，对生产网的网络层防护就变得格外重要。有效的网络层防护能够阻挡外部黑客、病毒的攻击，为生产网建立完备的安全屏障。小米在生产网的防护中，采用了单向隔离的安全策略，并对生产网的单向访问策略也做了严格的限制，从网络层面上阻断了可能的攻击路径。同时，在生产网内部，也对高危端口（如 TCP135/139/445/1433/3306/5985/5986 等）进行了禁用，避免病毒利用这些高风险端口在生产网中扩散。

集成系统网中拥有大量工业控制应用系统，这些系统与传统的应用系统类似，通常会开放 Web、远程桌面、SSH 等服务。小米搭建了全套零信任防护体系，对集成系统网中所有服务都实施了访问控制，仅允许授权用户访问，将非法攻击者拒之门外。对所有集成系统中的服务器，小米通过部署自研的HIDS（主机型入侵检测系统），实时监控服务器的安全状况，并对外部攻击进行阻断和拦截。对于系统本身，小米安全团队会对其产品全流程进行安全把控，在研发、测试、上线阶段进行安全评估，及早地发现问题，提升系统整体安全性。

办公网主要是工厂员工日常办公所使用的网络。由于办公网中环境复杂，为了避免对其对核心生产网造成不良影响，办公网与核心生产网完全隔离。而为了保障办公网的安全性，小米在每一名员工的办公 PC 都强制安装了杀毒软件和安全合规检测软件，以保障 PC 的安全性和合规性。为了能够及时发现办公网中的安全隐患和潜在的安全风险，小米在网络出口侧部署了威胁检测系统，实时发现存在隐患和威胁的 PC，并采取相应的安全策略进行紧急处理和防护。

三、系统层防护

生产网中有大量的工控上位机，这些工控机来自多家供应商，存在 *** 作系统不统一、安全防护水平参差不齐的问题。而在工控行业，经常会出现一机中毒、全厂遭殃的情况，给整个生产造成严重的影响。

为了解决这些问题所带来的安全风险，小米针对生产网制作了标准的 *** 作系统镜像，在 *** 作系统镜像中加入了 IP 安全策略、系统补丁、杀毒软件等安全模块，拉齐系统安全基线。工控电脑终端统一加入工厂专用域，便于管理人员进行集中地安全管理和 *** 作审计。

四、应用层防护

在工业网络中，文件传输是常见的一个应用场景。但是，不恰当的文件传输方式极易造成病毒的传播与扩散，对正常生产造成影响。

文件传输的需求主要分为产线内传输、产线间传输和外部交换等。为了满足这一正常业务需求，我们构建了专用文件摆渡服务。

在文件摆渡服务的设计上，主要分为几个部分：文件服务器上部署实施病毒监控服务，保证文件服务器上所有文件的安全性。文件服务器上开启审计策略，对文件交换行为进行记录和审计。向生产网开放 SMB 文件共享接口，并与产线专用域账号打通，用于产线内和产线间的文件传输需求。向办公网开放 Web 文件共享接口，并接入零信任防护系统，用于产线与办公网的文件摆渡。通过统一的文件传输管控，不仅仅解决了业务的使用需求，同时也增强了文件的安全性。

第二道防线——安全管理体系

人员安全意识是安全防护中重要的一环，往往也是安全防护体系中的薄弱环节。近几年，针对企业员工的安全攻击手段层出不穷，从传统的钓鱼邮件、人员渗透到新型的 BadUSB、钓鱼 Wi-Fi 等，都对智能工厂的安全产生巨大的威胁。

小米在员工信息安全意识方面，定期进行钓鱼邮件演练，提升员工对钓鱼邮件的识别能力。定期举办安全意识培训，介绍业内常见的安全攻击和渗透手段，从而提升员工安全意识，降低类似攻击发生的概率。

第三道防线——安全审计

仅从技术层面和人员意识方面进行防护仍然不够，小米蓝军通过模拟真实黑客攻击，对整个安全防护体系进行检验，发现其中的薄弱之处，然后加以修复和整改。

实践是检验真理的唯一标准，在安全防护领域也是如此，一个优秀的安全防护体系必须能够经得起攻击的检验。小米蓝军是一支拥有丰富经验的企业网络攻击团队，通过模拟真实黑客的攻击手法，对整个安全防护体系进行攻击模拟，以评判其在应对攻击时的安全表现。

小米蓝军的渗透测试不仅仅需要对安全方案中提到的四大层面进行安全评估，同时也会结合最新的安全攻击技术，对安全方案未覆盖到的风险点进行挖掘，推动整体安全建设。

除了定期的渗透测试外，小米蓝军还拥有实时漏洞监控与扫描平台，7 24 小时不间断对工厂网络进行安全扫描，及时发现安全问题，规避安全风险。

展 望

李克强总理在考察制造业企业时指出“中国制造 2025 的核心就是实现制造业智能升级”。未来，小米将会紧跟国家《中国制造 2025》的发展方向，将企业的发展与中国制造业的未来绑在一起。当前，我们已经进入了“5G+AIoT”的时代，消费端产品能力的实现对企业的技术创新能力和保障信息安全的能力提出了更为严苛的要求。所以，如果没有安全这一“夯实基础”，就无法搭建起一直追求高精尖的中国制造业这一“上层建筑”。

在小米十周年演讲中，创始人雷军对“互联网 +制造”方向也提出了更高的要求和目标。在智能工厂的第二阶段，希望建成千万台级别的超高端智能手机生产线，该工厂将实现极高的自动化，同时也会具备更为严苛的安全标准以保障生产线的高效运转。未来，小米将会继续深耕智能制造业，努力推动中国制造走在更为安全、先进、稳健的前进道路上，为实现“中国制造 2025”这一伟大的十年计划做出应有的贡献。

（本文刊登于《中国信息安全》杂志2021年第1期）

物联网的安全性和计算机又有所不同，比如现在的汽车越来越智能，许多汽车甚至提供了不使用钥匙就能开门进入。但是，如果有其他人能打开你的车门，甚至能控制你汽车上的设备，你会怎么想？物联网由设备、网络、数据、云计算等种种新兴技术组成，在这些相互联系的通道中安全成为了大问题。

物联网将覆盖全球

许多汽车或者移动设备提供了4G、LoRa等网络连接，这些设备的网络安全运营商应该出一份力。运营商可以通过数据擦洗拦截恶意网络攻击，为联网设备的安全做出自己的贡献。许多智能家庭摄像头，用户可以通过云端看到家中的实时画面。如果自己的设备安全性不高，开启了远程控制，黑客就会控制家中的摄像头，非常可怕。

生活离不开物联网

物联网设备的制造商，必须时刻警惕自己的设备是否存在安全隐患。不断地进行安全更新，增强设备的安全性，才能不被破解。同时，用户在使用时可以在管理后台进行设置的设备最好关闭“远程管理”选项，并且更改默认的管理员账户和密码。定时查看设备是否有固件更新，及时升级至最新固件。

之前网络上很多被网友爆出来自家的客厅被放在了网上，同时媒体也很关注这个问题，还揭开了家用摄像头存在的一些问题，现在我们就一起来看看吧，顺便也能学到一点点防患意识，别让你家的客厅成为直播间让人观看。

首先我们从一开始说起，以摄像头为代表的物联网安全并不是第一次出现这样的问题，早在2008年就有黑客利用网络监控摄像头攻击了土耳其的石油管道。这个监控摄像头的安全问题一直是普遍存在的。

主要问题是：一、
很多物联网设备在设计之初就缺乏安全性的考虑。大多数设备从出厂开始，就存在着弱口令安全漏洞。二、物联网设备多数部署在无人监控的场景中，攻击者可以轻易接触到这些设备，从而对它们造成破坏，甚至在本地 *** 作更换设备的软硬件。三、设备缺乏日常安全评估及维护，不少厂商对于其设备不能及时查出有哪些安全漏洞，并配备打补丁等防护手段。

我们去购买的时候一定要买正品同时也要去评估他的安全度。

Kérastase 和Withings、L‘Orea合作推出世界首款智能梳，采用了Withings的传感器和欧莱雅信号分析算法，可以深入分析刷发模式，感知刷发效果，如果动作过于激烈，发刷会用触觉反馈信号提醒用户注意，同时可以通过电导传感器判断运行环境，比如头发是干的还是湿的，提供正确的测量结果。

这款高科技梳子的名称为Hair Coach，内置了麦克风，因此它可以通过“听觉”来识别你梳头发的模式。该款梳子还集成了加速计、陀螺仪、商业传感器，用来分析你梳头的习惯和规律。此外，还有压力传感器用来测量你梳头发的力度，以及电导传感器，可以知道你的头发是湿润还是干燥。所有的这些数据都会通过WiFi分享给手机上的App。其实智能梳子的应用场景很像电动牙刷，也是可以帮助我们记录一些每天平常在做的日常，纠正我们细微之处的生活习惯以达到更好地护理自己的目的。

对于许多家电厂商来说，语音麦克风+WiFi连接=人工智能，却似乎没有意识到这个简单的公式背后，可能隐藏着无数的问题，可能为用户体验带来财产的消耗、安全的威胁。手机、电脑、电视机等传统信息化设备连入网络，家用电器和工厂设备、基础设施等将逐步成为互联网端点，人们生活将全面智能化。要放心使用这些设备，保证网络安全无疑是重要前提。一旦智能终端、智能设备出现安全漏洞，可能会造成个人信息泄露、设备被远程 *** 控，甚至造成财产损失。

现在很多设备只是加了一个网络控制功能，本质上是方便消费者远程无线 *** 控，而一旦设备有了安全漏洞，做坏事的攻击者也可以从远程用漏洞成为设备的真正幕后主人，可能导致意想不到的后果。例如，通过智能摄像头的安全漏洞，攻击者可以看到用户名和密码，并远程完全控制。控制摄像头以后可以任意调整摄像头的方向，还可以听到现场的声音，可以拍照、录像、窥探隐私。更危险的是，这些漏洞还有可能导致财产损失。

智能产品的安全漏洞问题，现在彻底解决难度较大。智能产品牵涉的方面较多，如物联网、云计算、大数据宽带网络等。而当前我国智能产品发展尚处于萌芽阶段，技术水平相对较低，安全漏洞多难以避免。此外智能产品生产企业大部分属于初创型企业，资金量相对较少，很少有企业愿意在解决安全漏洞方面投入大量精力。未来，物联网产品漏洞极可能成为未来网络安全问题的难点，因此，共同打造信息安全防护网显得尤为重要。（科技新发现 康斯坦丁/文）

随着科技的发展，监控应用的越来越多，除了应用在交通、大数据收集之上，不少家家户户为了保障财产安全，也会在自家门口安装摄像头。不过南京住户赵某在家门口装监控，却被邻居起诉侵犯了个人隐私，而法律判决支持拆除。

事件当事人钱某、赵某是是邻居，住在某小区对门，该单元为1梯两户，两家的家门正好形成了对角。2019年钱某在搬入之后为了防止盗贼，就在自家门口的上方安装了摄像头，除了拍摄到自家门口之外，还包括电梯口、楼梯口，同样也能拍摄到赵某的大门。但是赵某却不同意钱某如此行为，认为赵某在自家门口安装摄像头就算了，其范围却涉及到两家的公共区域，并且24小时全天候监控已经侵犯了赵某的隐私权。而钱某却称他们所在的小区治安较差，钱某又是独身居住，害怕自己人身安全，这才考虑加装了摄像头。

从法律的角度讲，钱某的摄像头覆盖范围确实影响到了赵某，并且在安装之前也没有询问过赵某的意见。考虑到赵某及其家人的信息隐私，要求钱某拆除监控。而在此次案件中，赵某还主张要求钱某赔偿自己精神抚慰金1000元，对此诉求法院却不予支持，因为在两人争执的过程中，赵某也并未损害到精神。

而在笔者看来，钱某安装摄像头的行为是能够理解的，毕竟独身居住确实会考虑到自己的安全问题，。而最大的争议就是公共场所和私人场所之间涉及到他人隐私问题。尤其是在邻居的不知晓情况之下就安装了摄像头，确实会对他人造成不不快。而这也提醒了广大的居民们，如果想在自家门口安装摄像头，一定要提前设置好摄像头所覆盖的范围，切勿影响到邻居。

IT168 评测随着互联网+以及物联网概念的不断落地，现在的智慧家庭产品线非常丰富，无论是各种远程 *** 控家庭电器，窗帘开合，烟、水气探测，最核心的就是家庭监控了，无论发生那种情况，你肯定第一时间希望看到现场的情况，而这就必须借助于安装在家庭各个部位的智能摄像机了，就算不为了防范盗窃，那也可以看看孩子是不是学习，保姆有没有虐待老人、儿童，可以说家庭智能监控产品已经被很多人所接受，成为家中的必备。
市面上的智能摄像机产品琳琅满目，对于普通用户来说很难明晰其区别，以及哪款适合自己，我选择这类产品只看主流的，因为很多小厂的摄像机产品虽然日常使用不一样，但是安全机制不完善，经常被恶意 *** 控。
目前大家熟悉的米家、小蚁和360等品牌都有家用的智能摄像机，联想作为老牌厂商也开始进军智能物联市场，并且发布了全新智能物联品牌联想Lecoo，其中的联想Lecoo看家宝R1，正是为了家庭看护，关注老人、孩子、宠物等等场景而设计的，这些主流的智能摄像机到底有什么不同，如何给自己选择一款物美价廉的，看完我的评测应该就心里有数了。
家庭摄像机的配置我觉得必须是带云台的，除非你家里会装很多台可以覆盖各个角落，云台水平一般都可以旋转300°以上，一台就可以纵览全局，所以今天选的三款对比的产品分别是：联想Lecoo 看家宝R1，米家小白智能摄像机，360智能摄像机云台版。
价格上来说Lecoo 看家宝R1卖249元，米家小白在京东售价399元，360智能摄像机云台版299元，联想Lecoo看家宝R1性价比要高些，相信大多数人选择的时候还是会看中性价比的。
这三款产品的外观主要都是以白色为主，白色显得简洁大方，同时也可以很容易和家居环境搭配，联想Lecoo看家宝R1的樱花白+玫瑰金配色比单纯白色更漂亮；体积上联想Lecoo看家宝R1略小巧一些。
三款产品都是支持水平360°旋转视角，垂直方向略有区别，物理旋转角度联想Lecoo看家宝R1水平355°垂直150°双电机云台，360智能摄像机云台版水平338°垂直204度双云台，米家小白并没有提到自己的物理旋转角度，只说是360度全景视频。
在视频存储格式上，联想Lecoo看家宝R1采用的是第三代数字视频编码技术(H265/HEVC)处理器芯片，米家和360都是采用的第二代(H264/AVC),H265在清晰度和视频文件压缩更有优势，视频压缩效率翻倍在同等带宽下清晰度翻倍；一样的图像质量H265编码视频的大小可以减少39%-44%，通过网络查看更流畅，能存储更长时间的视频记录，我们在同一个地点同时用三款摄像机进行了记录，来看看画面效果。就算你的网络状况差点，联想Lecoo看家宝R1也可以清晰流畅的回看或者视频直播。
联想Lecoo看家宝R1作为一款家用的智能摄影机，承担了家庭安保监控的重要职责，不仅要看好家，而它首先做的，是要“看好”自己。这里不得不提一下它的"三重隐私保护”功能。首先，当你在家的时候可能不希望摄像机继续拍摄，也可能担心会被盗摄，为了增加安全性，联想Lecoo看家宝R1和360都支持在手机APP中设置隐私屏蔽，也就是镜头物理遮蔽，设置好你在家的时间，一键调整摄像头角度，射向底部或者其他不会触及你隐私的角度。
其实这还是很有必要的，毕竟前段时间的报道都提到了有的家庭被直播，就是摄像机被侵入了，道高一尺魔高一丈，还是需要防范，有了隐私屏蔽这个功能，要安全很多，联想Lecoo看家宝R1除了可以通过APP设定，还有实体按键可以直接 *** 作，360小米并没有设置实体开关，这一点联想Lecoo看家宝R1在你不想开手机的时候，更方便。
而最值得一提的是"三重隐私保护”的第三点，也就是联想Lecoo看家宝R1拍摄的视频，是一种私有格式，在电脑上是无法用播放器进行播放的，这样的设计是对于隐私保护的深入考虑，假设有人**了终端的存储卡，不用担心，视频在存储卡内的格式是v265，无法在电脑上用播放器观看，家庭和个人的信息安全从第一战线就上了一道厚厚的保险门。这种采用私有格式存储文件的隐私保护设计，目前国内在售的其他智能摄像机是没有采用的，而在更注重隐私保护的海外，专属的文件格式，已经几乎成为标配。
在各个行业都在大谈AI的时代，智能摄像机也都加入了这一前沿科技，AI赋能人声识别，
我们今天对比的这三款产品，米家小白智能摄像机和联想Lecoo看家宝R1都具备了这个功能，360并没有配备，联想Lecoo看家宝R1的AI深度学习语音识别，经过专业背景杂音的降噪算法，可以对监控环境的声音进行非常精准的判断，并智能推送到APP家人动态中，你不需要翻看监控画面，也可以及时了解家中发生的情况，真的很贴心，米家小白的AI互动，除了可以识别周围声音，也可以和宝宝及家人互动。
除了将监控画面存储在本地存储，也可以存储到联想的云端，这样即使有人破坏了摄像机也仍然可以查看监控视频。360同样支持云端存储，遗憾的是米家小白并不支持云存储。
只有Lecoo看家宝R1和360智能摄像机云台版两款摄像机支持移动追踪，在家中检测到移动物体，摄像机自动旋转镜头跟踪捕捉物体移动画面，并进行录制;同时也将报警录像推送到你手机上，这个功能在出去游玩家中长期无人的情况下，还是非常有用的，我以前用固定监控的时候，没事了都要自己去回放之前的画面，现在有了这个功能省心很多。
如果家里房间很多，可以安装多个摄像机，联想Lecoo看家宝R1的手机APP可以同时查看4部摄像机直播，这个也同样适用于自家的商铺使用。
米家小白和360没有设置实体开关机键，如果非要彻底关机只能是拔电源了。
三款摄像机的安装都非常简单，接通电源并在手机安装APP，根据提示都可以简单完成设定，联想Lecoo看家宝R1在安装好后可以直接授权给家人，家人无需再安装APP也可以观看直播。
下面是三款摄像机的截图，都支持超清画面，可以通过大图看到像素都非常高，即使放大到投影也很清晰。
▲联想Lecoo看家宝R1
▲米家小白
▲360云台版摄像机
这三个画面截图都是在相同角度，光线等条件下截取的，都可以全面覆盖整个房间的各个角落，一个房间安装一个就足够了。
通过上面这些对比，我们看到最具性价比的就是联想Lecoo看家宝R1了，不但拥有“三重隐私保护”，而且采用最新的H265视频编码技术，画质更清晰，相同画质占用空间更小，网络直播更流畅，价格也相对更实惠；米家小白没有云存储同时也不支持移动追踪，只好舍弃了，360智能摄像机云台版并没有AI语音识别，但是360智能摄像机云台版和联想Lecoo看家宝R1的摄像机可以吊装，这就看你是不是有这个需求了。不知道你看完这些分析是否决定买哪款了，祝你家早日安全有保障。

---