張艷 國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心 智能互聯(lián)安全測評實驗室主任

　　分享的內(nèi)容主要包括三個方面，主要還是安全現(xiàn)狀的介紹，然后還有我們針對智能鎖目前存在的安全風(fēng)險，我們可以采取哪些應(yīng)對措施？第三個針對標(biāo)準(zhǔn)化的工作進(jìn)行一個簡單的介紹。

　　目前隨著我們國家智慧城市建設(shè)和平安中國，以及國家提出的智能制造2025實施的要求，目前安防類市場的需求非常的旺盛，技術(shù)發(fā)展也是非常的快速。呈現(xiàn)出兩個方面的趨勢，一個就是智能化水平越來越高，聯(lián)網(wǎng)的范圍也是越來越大。剛才的長虹專家也介紹，整個智能家居，包括智能安防、智慧醫(yī)療、智慧警務(wù)等等各個方面終端的設(shè)備聯(lián)網(wǎng)的趨勢和范圍都是越來越大的。同時，伴隨著這些技術(shù)的發(fā)展，還有人工智能技術(shù)的發(fā)展，目前中國的智能家居行業(yè)也是在快速發(fā)展的一個狀態(tài)。

　　以這個智能家居的入口及產(chǎn)品，還有就是智能安防產(chǎn)品的核心單品來說，我們大家生活中會接觸到的一個智能門鎖。智能門鎖前面楊主任也提到，根據(jù)市場的調(diào)研情況，在去年的年銷量達(dá)到了近兩千萬套的規(guī)模，根據(jù)權(quán)威的調(diào)查到2020年這個數(shù)字會達(dá)到4000萬套的規(guī)模，從經(jīng)濟(jì)效益上來說超過400億元的市場規(guī)模，因為智能門鎖的市場前景非常的好，越來越多的企業(yè)也是加入到這個智能門鎖的技術(shù)研發(fā)，還有一些相應(yīng)的安全防護(hù)產(chǎn)品的研發(fā)這個領(lǐng)域當(dāng)中來。

　　智能門鎖大家都知道是以傳統(tǒng)的機(jī)械鎖為基礎(chǔ)進(jìn)行改進(jìn)的，也是在用戶的安全性、識別性和管理性方面更加的智能化和便捷化的鎖具。智能鎖目前也是智能家居整個生態(tài)鏈上不可或缺的核心地位的作用。

　　國家方面也是對于智能安防、交通早在2012年提出了《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》當(dāng)中包括智能家居領(lǐng)域的在智慧城市建設(shè)當(dāng)中的基礎(chǔ)定位，也是提出了重點發(fā)展的要求，包括工信部等各大部委對于物聯(lián)網(wǎng)的發(fā)展規(guī)劃提出了相應(yīng)的要求。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的數(shù)據(jù)來看，早在2017年底的時候，全國智能門鎖相關(guān)的企業(yè)數(shù)量達(dá)到了1300多家，智能門鎖的品牌達(dá)到2800個的數(shù)據(jù)規(guī)模。

　　下面看一下智能門鎖的構(gòu)成，智能門鎖的物理構(gòu)成主要分為三個部分，包括前面板、鎖體和后面板，前面板承載的是：主芯片、密碼按鍵、指紋頭模塊、前把手、電機(jī)、藍(lán)牙模塊、顯示屏、滑蓋。后面板承載的是：通訊模塊、電池槽、后把手等等這些組件。

　　從它的技術(shù)層面來說主要包括三個部分，包括它的機(jī)械結(jié)構(gòu)方面、識別控制技術(shù)方面，還有通信服務(wù)方面。識別控制技術(shù)這塊主要是一些生物特征的識別技術(shù)，還有智能終端、密碼等等相關(guān)的技術(shù)，通信服務(wù)這塊更多的涉及到安全芯片、智能門鎖應(yīng)用軟件，以及云平臺云端的服務(wù)平臺，還有就是涉及到我們經(jīng)常在智能門鎖應(yīng)用當(dāng)中可以看到的，包括WIFI、藍(lán)牙、FID、NB-IOT等等通信協(xié)議的技術(shù)。

　　智能門鎖的組網(wǎng)方式來說是典型的物聯(lián)網(wǎng)三層結(jié)構(gòu)，包括了感知層、傳輸層、應(yīng)用層三個層面。感知層在智能門鎖這塊包括了門鎖、智能終端這個層面，在傳輸層這塊更多的涉及到常見的家庭智能網(wǎng)關(guān)，就是用于門鎖的智能接入，還有移動通信基站等等，應(yīng)用層層面用于后端的控制管理和控制指令下發(fā)的云服務(wù)平臺，云平臺負(fù)責(zé)智能鎖的身份認(rèn)證、設(shè)備接入、邏輯控制、數(shù)據(jù)內(nèi)容展示等等。

　　我這邊列舉了幾個智能門鎖常見的開鎖模式，基本上就是囊括了目前市場上見到的智能門鎖應(yīng)用的方式，包括固定的口令密碼開鎖，還有一些臨時性的密碼，這個主要是應(yīng)用于比如說有訪客到訪，或者是酒店式公寓等等的應(yīng)用場景當(dāng)中，可能是由手機(jī)端進(jìn)行門鎖的密碼獲取操作，然后會分發(fā)一個當(dāng)前時段的臨時密碼到手機(jī)終端上，用戶發(fā)送給訪客進(jìn)行開鎖的流程。還有生物特征方面主要包括了指紋、人臉、虹膜等等這些生物特征的開鎖方式。智能卡鑰匙這塊更多的是門禁卡、FID、CPU卡等等智能卡鑰匙的方式。手機(jī)APP應(yīng)該說是目前應(yīng)用最典型的智能門鎖開鎖的方式。

　　正是因為智能門鎖聯(lián)網(wǎng)的方式，經(jīng)過歸納存在五個方面的安全風(fēng)險。首先是門鎖方面的，主要針對智能門鎖的設(shè)備攻擊威脅，因為作為一個智能聯(lián)網(wǎng)產(chǎn)品，智能產(chǎn)品面臨的安全風(fēng)險在門鎖這塊都是存在的。其次在智能手機(jī)的APP應(yīng)用方面的一些攻擊威脅，因為常見的APP存在的包括能夠進(jìn)行逆向分析、數(shù)據(jù)截獲等等，對于智能門鎖的應(yīng)用安全方面都是存在的。還有針對WIFI、Zigbee、藍(lán)牙等等的攻擊。第四個方面針對網(wǎng)絡(luò)傳輸方面，數(shù)據(jù)傳輸過程、通信連接過程當(dāng)中的智能網(wǎng)關(guān)和攔截的風(fēng)險。最后針對云平臺方面的，包括web應(yīng)用方面，還有數(shù)據(jù)隱私泄露等等這兩方面的應(yīng)用安全的風(fēng)險。

　　正是基于這么多的安全風(fēng)險，也是因為智能門鎖的安全質(zhì)量和老百姓的人身財產(chǎn)安全是密切相關(guān)的，所以國家包括國務(wù)院在《開展質(zhì)量提升行動的指導(dǎo)意見》當(dāng)中，對于國家質(zhì)量標(biāo)準(zhǔn)、檢測檢驗、認(rèn)證認(rèn)可機(jī)構(gòu)的能效運行，說白了是對于智能門鎖安全檢測認(rèn)證這塊提出了要求，還有強化設(shè)備智能門鎖的隱私安全和保護(hù)的安要求，以及提高自身產(chǎn)品安全、環(huán)保、可靠性等要求和標(biāo)準(zhǔn)。

　　在總體的指導(dǎo)意見提出之后，國家這邊通過市場監(jiān)管總局各大部委對于智能門鎖開展了一系列的風(fēng)險監(jiān)測的活動，去年年底的時候國家質(zhì)檢總局針對三個省市的，包括北京、廣東、浙江三個省份的34個批次的智能門鎖開展了風(fēng)險監(jiān)測和安全性方面的測試，總共抽查了34個批次，對于這個信息保存和務(wù)實率、防破壞報警、泄露電流等等11項指標(biāo)進(jìn)行了驗證和檢測，主要發(fā)現(xiàn)了智能門鎖在遠(yuǎn)程控制方面和人臉識別、指紋識別方面的威脅是比較高的一個風(fēng)險。在感應(yīng)卡的識別的隱患也比較多，另外在密碼邏輯的安全方面、抗電磁干擾、指紋識別等存在不同程度的安全風(fēng)險。

　　下面簡單介紹一下，第一個關(guān)于小黑盒攻擊測試，這個大家在新聞互聯(lián)網(wǎng)上看到了很多，去年5月份第九屆中國永康國際門業(yè)博覽會上，有人用特斯拉線圈裝置最快在3秒之內(nèi)開智能門鎖門禁的效果，很多款不同品牌的門鎖在現(xiàn)場進(jìn)行了演示，這樣的攻擊演示引起了社會上廣泛的關(guān)注。它的原理主要是利用智能門鎖電路的配電系統(tǒng)驅(qū)動電流開啟門鎖，另外一種因為特斯拉線圈產(chǎn)生比較強的電磁脈沖之后攻擊智能門鎖的芯片可以造成芯片的死機(jī)并且重啟，很多的智能門鎖在這個機(jī)制方面默認(rèn)芯片重啟之后就會開鎖，所以實現(xiàn)了攻擊后開鎖的效果。

　　第二個方面是生物特征識別方面的風(fēng)險，前面提到的一個風(fēng)險監(jiān)測活動當(dāng)中有10個批次的智能門鎖都被發(fā)現(xiàn)存在指紋識別、人臉識別方面的安全威脅，在指紋識別區(qū)受到類似于頭發(fā)絲、金屬絲、膠帶等等，或者出現(xiàn)裂紋的時候產(chǎn)生效果，任何的指紋都可以進(jìn)行開鎖的實現(xiàn)。經(jīng)過分析，智能門鎖并沒有區(qū)分非指紋圖像和指紋圖像的情況下，有的智能門鎖會把這些帶有裂紋所形成的圖像存在了庫里的模板當(dāng)中，就會導(dǎo)致在下一次使用的時候可能會把裂紋圖像進(jìn)行一個匹配，或者是非指紋圖像作為一個標(biāo)準(zhǔn)的鑒別信息，從而能夠?qū)崿F(xiàn)智能門鎖開啟的效果。還有就是在人臉識別的功能智能門鎖也會存在相應(yīng)的問題，主要是不能夠區(qū)分真實的人臉信息和照片的區(qū)別。

　　第三個是感應(yīng)卡方面的安全風(fēng)險，同樣在30個批次風(fēng)險監(jiān)測的智能門鎖當(dāng)中都具備了感應(yīng)卡開鎖的功能，30款當(dāng)中有20款的智能門鎖存在智能卡方面的安全風(fēng)險，表現(xiàn)就是它能夠支持用戶錄入自己其他的一些智能卡，包括公交卡、門禁卡、飯卡等等作為開鎖工具，這些門鎖使用了感應(yīng)卡并沒有加密的區(qū)塊，這部分可以通過手機(jī)和解密的讀卡器讀取到相關(guān)信息，攻擊者對于這些區(qū)域進(jìn)行寫入操作。同樣的關(guān)聯(lián)問題可以體現(xiàn)在FID技術(shù)的門禁卡當(dāng)中，F(xiàn)ID卡在智能門鎖應(yīng)用當(dāng)中會存儲代表持卡人身份信息的字符串，通常FID卡中會對信息進(jìn)行明文存儲，或者經(jīng)過簡單處理之后的存儲，攻擊者只要通過常用的讀卡器就能夠讀取存儲的字符串信息，再進(jìn)行新的FID卡信息的寫入獲取權(quán)限實現(xiàn)正常開鎖的效果。

　　第四個是遠(yuǎn)程控制方面的安全風(fēng)險，這個也同樣是在風(fēng)險監(jiān)測那次活動中發(fā)現(xiàn)的比較重要的一個安全風(fēng)險類型，抽查的批次產(chǎn)品當(dāng)中有10個批次都是支持移動應(yīng)用的遠(yuǎn)程控制、遠(yuǎn)程開鎖，以及查卡門禁開啟記錄的功能，其中有8個存在相應(yīng)的問題。很多的問題主要是APP自身的問題，比如說同樣加解密鑰的使用，一些APP代碼沒有經(jīng)過加固過，密鑰進(jìn)行逆向分析，分析出和門鎖當(dāng)中的交互信息。程序員在代碼編輯的時候存在bug問題，還有就是終端本身存在相應(yīng)的漏洞，植入惡意代碼之后進(jìn)行智能門鎖的攻擊，第五個方面就是在手機(jī)的APP和門鎖，或者是智能的安全接入網(wǎng)關(guān)之間的認(rèn)證問題導(dǎo)致中間人攻擊，這個都是在智能門鎖遠(yuǎn)程控制當(dāng)中的安全風(fēng)險。

　　第六個是關(guān)于WIFI信號劫持方面實現(xiàn)開門操作的威脅，同樣是因為門鎖和APP很多通過WIFI接入到互聯(lián)網(wǎng)，比如用戶的手機(jī)在家里的時候也是通過WIFI連到家里的路由器，如果攻擊者通過攻擊WIFI路由器、智能家居網(wǎng)關(guān)劫持信號可以分析定位出當(dāng)中交互的數(shù)據(jù)包進(jìn)行相應(yīng)的截獲和重放，通過重放攻擊的方式實現(xiàn)對于門鎖的控制。

　　其他方面包括智能門鎖存儲的固定密碼，可能很多的時候使用這些默認(rèn)密碼，還有密碼邏輯漏洞、短密碼等等，復(fù)雜度不夠的問題，以及密碼泄露等等的情況，這個是固定密碼相關(guān)的威脅。另一方面，更多體現(xiàn)在云服務(wù)平臺方面的問題，包括用戶身份鑒別機(jī)制、訪問控制方面的漏洞，以及前面提到過的云管理平臺web安全方面的問題，還有敏感信息泄露等等這些已知的漏洞情況都會導(dǎo)致云平臺的安全風(fēng)險給智能門鎖的應(yīng)用帶來相應(yīng)的威脅。

　　談到這么多的安全風(fēng)險之后，我們該如何采取相應(yīng)的應(yīng)對措施呢？主要從三個方面，第一個從部分用戶的角度來說，肯定首先是要選擇相應(yīng)的比較知名的品牌有質(zhì)量保障的廠商，其次選取具有安全功能的智能家庭網(wǎng)關(guān)設(shè)備，比如近場通信安全監(jiān)控和流量安全監(jiān)控等相關(guān)安全功能，并且進(jìn)行策略啟用。從智能門鎖廠商來說首先通過移動應(yīng)用的安全質(zhì)量，通過APP加固等常規(guī)的安全加固手段加快防逆向分析和抗分析的能力。第二個加強智能門鎖的安全設(shè)計，提高智能門鎖的抗攻擊能力，包括安全芯片方面。第三個是網(wǎng)絡(luò)安全防護(hù)，主要指通信過程當(dāng)中的安全性防護(hù)措施。第四個就是保障云端的服務(wù)安全，從物理層面、虛擬化層面，包括從主機(jī)層、網(wǎng)絡(luò)層、應(yīng)用層等等的全方位的對于云平臺全時段的安全監(jiān)控，還有運維形成網(wǎng)絡(luò)措施保障安全性。

　　第三個層面從監(jiān)管，或者檢測認(rèn)證的角度，遵從行業(yè)監(jiān)管的相關(guān)意見對智能門鎖的質(zhì)量，或者是安全性方面進(jìn)行質(zhì)量的把關(guān)。我們這邊提供包括電子防盜鎖的GA認(rèn)證等等，第一個主要依據(jù)了公安行業(yè)標(biāo)準(zhǔn)機(jī)械防盜鎖和電子防盜鎖的標(biāo)準(zhǔn)，還有就是指紋防盜鎖的通用技術(shù)條件作為認(rèn)證檢測依據(jù)，這塊更多不是信息安全類的要求，可能從機(jī)械安全角度和安防的角度對智能門鎖功能的安全性進(jìn)行認(rèn)證。下面社會公共安全領(lǐng)域智能聯(lián)網(wǎng)產(chǎn)品認(rèn)證，主要是依據(jù)智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全認(rèn)證的實施規(guī)則，以及操作了18336和通用滲透測試的檢測條件，以及專門針對智能聯(lián)網(wǎng)產(chǎn)品制定的網(wǎng)絡(luò)安全技術(shù)規(guī)范這些技術(shù)標(biāo)準(zhǔn)實施的一個檢測和認(rèn)證。

　　智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全認(rèn)證涵蓋12個大類、55個測試點的安全技術(shù)檢測，這個涵蓋的范圍主要包括具有聯(lián)網(wǎng)功能的，比如說攝像機(jī)等視頻監(jiān)控產(chǎn)品和智能門鎖等智能防護(hù)產(chǎn)品，以及探測器等等，還有樓宇對講出入口控制等等都在這個安全認(rèn)證的范圍當(dāng)中。此外，安全控制點的要求后面我會介紹，基本上涵蓋目前已知的安全漏洞和威脅。因為智能聯(lián)網(wǎng)產(chǎn)品的分門別類，技術(shù)實現(xiàn)方式很多，所以在認(rèn)證技術(shù)規(guī)范的動態(tài)調(diào)整的角度也會持續(xù)不斷地更新最新的一些安全威脅對技術(shù)規(guī)范進(jìn)行調(diào)整，能夠盡可能覆蓋到行業(yè)當(dāng)中報出來的一些新的安全問題。這個認(rèn)證的實施也是為了促進(jìn)智能聯(lián)網(wǎng)產(chǎn)品的技術(shù)創(chuàng)新，提高產(chǎn)品的公信力、競爭力，同樣也是為用戶進(jìn)行甄別產(chǎn)品和網(wǎng)絡(luò)安全防護(hù)能力的需求提供有效的參照。

　　對于剛才提到的智能聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全認(rèn)證的技術(shù)規(guī)范，我們這邊主要針對聯(lián)網(wǎng)產(chǎn)品面臨的一些安全威脅提出相應(yīng)的技術(shù)指標(biāo)。從安全技術(shù)要求的角度對于智能聯(lián)網(wǎng)產(chǎn)品的安全功能，包括標(biāo)識鑒別、用戶數(shù)據(jù)保護(hù)、安全管理、TOE訪問、TSF保護(hù)、可信路徑性等等，安全保障要求主要針對智能聯(lián)網(wǎng)產(chǎn)品的開發(fā)、設(shè)計、使用等全生命周期當(dāng)中的安全保障提出具體的要求，比開發(fā)指導(dǎo)性文檔、生命周期支持、測試等等，同時在脆弱性攻擊加入了滲透測試的要求，模擬黑客對于產(chǎn)品展開一定的攻擊，包括遠(yuǎn)程網(wǎng)絡(luò)攻擊、物理接觸攻擊等等，盡可能在檢測認(rèn)證環(huán)節(jié)能夠在第一時間發(fā)現(xiàn)產(chǎn)品存在的安全問題及早進(jìn)行修復(fù)。

　　標(biāo)準(zhǔn)中的安全技術(shù)要求前面提到的安全防護(hù)點來說，首先標(biāo)識和鑒別包括了常規(guī)的鑒別失敗處理、屬性定義、口令驗證、鑒別時效、多重鑒別機(jī)制等等要求，這個主要為智能門鎖用戶鑒別方面的弱口令、默認(rèn)口令、暴力猜測、設(shè)備防爆等等方面的威脅。第二個，用戶數(shù)據(jù)保護(hù)方面的技術(shù)要求主要是包括訪問控制、基于安全屬性的訪問控制、信息流控制、屬性制定、變更修改等等這方面的要求，主要是為了應(yīng)對智能聯(lián)網(wǎng)產(chǎn)品，包括智能門鎖在內(nèi)的用戶數(shù)據(jù)越權(quán)訪問，以及信息泄露方面的安全風(fēng)險。第三個，安全管理方面的技術(shù)要求，包括數(shù)據(jù)管理、安全管理、功能規(guī)范、管理員角色、時效性等等這方面的要求，主要是為了應(yīng)對智能聯(lián)網(wǎng)產(chǎn)品管理權(quán)限和安全策略越權(quán)訪問等等方面的威脅，因為時間關(guān)系具體的技術(shù)條目不展開了。第四個，TOE訪問這塊針對多重并發(fā)會話限定、鎖定、建立等等要求，這個主要應(yīng)對產(chǎn)品的管理權(quán)限。還有就是產(chǎn)品數(shù)據(jù)篡改、重放攻擊、補丁攻擊等等方面的威脅。第五個，TFS保護(hù)方面的技術(shù)要求，包括測試、時間戳、重放檢測、被動恢復(fù)、數(shù)據(jù)保密性等等方面的要求，這個主要針對智能聯(lián)網(wǎng)產(chǎn)品的越權(quán)訪問、設(shè)備仿冒、重放攻擊等等面臨的安全威脅?？尚哦冗@塊主要是應(yīng)對產(chǎn)品數(shù)據(jù)和控制傳輸產(chǎn)生的威脅制定的技術(shù)要求。安全審計也是常規(guī)的審計數(shù)據(jù)產(chǎn)生，審計查閱、數(shù)據(jù)保護(hù)、簡單攻擊探測和安全報警方面的要求，這個主要為了應(yīng)對產(chǎn)品管理、訪問行為不可追溯這方面存在的威脅而定義的技術(shù)要求。

　　第三個方面主要介紹一下智能門鎖的安全技術(shù)要求的標(biāo)準(zhǔn)化進(jìn)展，在今年1月底，市場監(jiān)管總局印發(fā)了2019年版的《全國重點工業(yè)產(chǎn)品質(zhì)量監(jiān)督目錄》，這里面明確將智能門鎖列入到重點的產(chǎn)品質(zhì)量安全監(jiān)管的目錄當(dāng)中，要求結(jié)合產(chǎn)品的應(yīng)用實際進(jìn)一步突出加強安全評估，以及分類監(jiān)管和動態(tài)調(diào)整的要求，也是體現(xiàn)了國家對于智能門鎖這一類產(chǎn)品，或者這個應(yīng)用領(lǐng)域的重點關(guān)注度。

　　對于整個智能門鎖的行業(yè)來說，相關(guān)的一些行業(yè)部門組織都在致力于制定比較完善的，包括安全實施標(biāo)準(zhǔn)，能夠覆蓋智能門鎖整體的體系，從規(guī)劃、設(shè)計、開發(fā)到測試部署，以及上線運營等等的全部過程來強化整個行業(yè)的安全意識，包括產(chǎn)品安全水平。

　　同時也是組織制定比較完善的一些包括檢測標(biāo)準(zhǔn)、安全實施標(biāo)準(zhǔn)等等方面的行業(yè)標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)，這個已經(jīng)成為一個行業(yè)的共識。

　　所以今年全國信安標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布的《2019年工作要點》當(dāng)中將智能門鎖的安全標(biāo)準(zhǔn)作為全年的重點工作在開展，正是基于這樣的要求，今年4月份寧波的全國信安標(biāo)準(zhǔn)化技術(shù)委員會舉辦的標(biāo)準(zhǔn)會議中全體會議上，也是申請制定智能門鎖的安全技術(shù)要求和測試評價方法，得到了與會專家、工作組專家、參會代表和秘書處的支持，在工作組內(nèi)已經(jīng)投票通過了。

　　目前國內(nèi)在行的標(biāo)準(zhǔn)包括國家安全標(biāo)準(zhǔn)《鎖具安全使用通用技術(shù)條件》，更多的是對鎖具載荷、承受強度、執(zhí)手靜壓力提出了規(guī)定，還有電子通用技術(shù)應(yīng)用，以及機(jī)械防盜鎖通用技術(shù)要求，前面提到的監(jiān)督檢查抽查都是依據(jù)這些行業(yè)標(biāo)準(zhǔn)進(jìn)行檢測。這是國內(nèi)的標(biāo)準(zhǔn)情況。

　　國外主要是在美國和歐洲，對于智能門鎖的應(yīng)用市場和標(biāo)準(zhǔn)是比較成熟的，包括在SCA263的WG3工作組制定的歐盟高安全鎖具標(biāo)準(zhǔn)。

　　我們申請制定的國家標(biāo)準(zhǔn)和現(xiàn)有的標(biāo)準(zhǔn)來說有明顯的區(qū)別，剛才提到的鎖具相關(guān)的標(biāo)準(zhǔn)更多的對于機(jī)械安全、電子功能提出相應(yīng)的要求，缺少的是信息安全方面的技術(shù)內(nèi)容，已有的這些標(biāo)準(zhǔn)沒有辦法有效覆蓋，或者來規(guī)范產(chǎn)品的信息安全方面的功能，所以國標(biāo)的制定和實施也是為了將來能夠填補智能門鎖信息安全的技術(shù)要求空白。同時這個標(biāo)準(zhǔn)的制定和實施將來也是和其他的傳統(tǒng)機(jī)械安全電子功能方面的技術(shù)標(biāo)準(zhǔn)可以協(xié)調(diào)配合來配套實施的。這個標(biāo)準(zhǔn)的制定目標(biāo)就是為了針對智能門鎖的類別產(chǎn)品的信息安全技術(shù)要求，以及測試評價方法進(jìn)行明確，并且能夠解決目前已經(jīng)曝出來的包括小黑盒攻擊、生物識別身份鑒別仿冒等等這些問題，從而提升產(chǎn)品全面的安全性，包括智能門鎖用戶安全保障能力，智能門鎖行業(yè)的發(fā)展，以及真正最終用戶的生命財產(chǎn)安全等等。

　　研究的內(nèi)容方面主要包括智能門鎖的鎖體、接入網(wǎng)關(guān)的安全功能要求、智能門鎖管理平臺，包括云端的管理平臺的功能要求，還有APP端功能要求，以及相應(yīng)的測試評價方法。

　　前期的準(zhǔn)備工作當(dāng)中編制組囊括了各個行業(yè)的單位，包括像三所、中國網(wǎng)絡(luò)安全審查技術(shù)和認(rèn)證中心、國家計算機(jī)網(wǎng)絡(luò)安全研究、信通院、中科院信通所等等網(wǎng)絡(luò)安全研究和測評機(jī)構(gòu)，包括華為、阿里、百度、中國電信、中國移動等等電信運營商，以及業(yè)內(nèi)的知名網(wǎng)絡(luò)安全廠商，包括奇虎科技等等，包括APP端的愛加密等等這些廠商。更多的是以中山市的鎖業(yè)協(xié)會為代表的30家鎖具生產(chǎn)廠商從事制鎖行業(yè)的龍頭企業(yè)和地方行業(yè)協(xié)會等等，都有相應(yīng)的跟智能門鎖，或者鎖具相關(guān)標(biāo)準(zhǔn)編制的基礎(chǔ)。

　　從編制思路上來說，主要是充分調(diào)研智能門鎖的行業(yè)，完成相應(yīng)的安全威脅的風(fēng)險，從而能夠建設(shè)符合這個門鎖的安全防護(hù)需求的信息安全標(biāo)準(zhǔn)。同時也是建立從自上而下的信息安全技術(shù)要求，從最底層的鎖體安全到上層的應(yīng)用，再到云平臺、遠(yuǎn)程服務(wù)端等等分層次建立安全要求的內(nèi)容，從而明確各個方面的安全技術(shù)指標(biāo)。在各個層級之內(nèi)，明確安全分級的需求，從而推動跨層級的技術(shù)安全服務(wù)產(chǎn)品，能夠更好地推廣標(biāo)準(zhǔn)化，降低安全部署的成本。

　　所以說我們這個標(biāo)準(zhǔn)的制定更多的是能夠為整個行業(yè)的發(fā)展，或者這類產(chǎn)品的技術(shù)發(fā)展提供相應(yīng)的技術(shù)依據(jù)，同樣也是來指導(dǎo)智能門鎖類產(chǎn)品的安全設(shè)計、生產(chǎn)和測試。此外，也是對相關(guān)的產(chǎn)品管理部門和測評機(jī)構(gòu)提供一個管理測評的重要參考。所以我們也是希望更多的一些業(yè)內(nèi)機(jī)構(gòu)，或者廠商能夠參與到我們這個標(biāo)準(zhǔn)的制定過程中。

　　最后歸納總結(jié)一下關(guān)于智能聯(lián)網(wǎng)產(chǎn)品，包括智能門鎖的安全，主要有以下的建議。首先是加強相應(yīng)產(chǎn)品的安全風(fēng)險評估，以及應(yīng)用方面的安全培訓(xùn)，能夠提高無論是生產(chǎn)企業(yè)，還是用戶這邊的安全意識。其次是加強技術(shù)合作，包括一些高效可靠的標(biāo)識鑒別技術(shù)、安全準(zhǔn)入等等相關(guān)的技術(shù)應(yīng)用，建立相關(guān)產(chǎn)品的標(biāo)準(zhǔn)體系不僅僅是一個安全測評的標(biāo)準(zhǔn)，從整個體系的角度來提供一系列的標(biāo)準(zhǔn)。同時也是能夠使采購和使用的這些方面能夠符合相應(yīng)的標(biāo)準(zhǔn)要求，盡可能使用通過網(wǎng)絡(luò)安全認(rèn)證的聯(lián)網(wǎng)產(chǎn)品。

　　我們相信通過端、管、云等等完整的安全鏈，可以大家共同處理形成一個責(zé)任比較明晰、保障有力的安全機(jī)制，提升智能門鎖的聯(lián)網(wǎng)產(chǎn)品，或者設(shè)備的網(wǎng)絡(luò)安全防護(hù)能力。同樣也是為整個智能互聯(lián)時代下網(wǎng)絡(luò)空間安全的維護(hù)做出應(yīng)有的貢獻(xiàn)。