為什麽美的冷氣機如此重視資訊安全？

美的集團是一家領先的消費電器、暖通冷氣機、機器人及工業化自動系統、智能供應鏈的科技集團。2016年，美的集團營業總收入1,590.44億元，淨利潤158.62億元。美的“雙智戰略”的目標之一是大力發展智慧家居，即通過互聯網讓消費電器產品更加智能化，這表明美的的物聯網戰略已經形成。物聯網的資訊安全對美的而言非常重要，美的與國家監測中心檢測中心等多方構建了物聯網安全技術聯合實驗室，同時率先推出物聯網安全Wi-Fi模塊，並已經通過中國資訊安全測評中心評測。但美的對物聯網資訊安全的重視永不止步，近期美的與Testin雲測達成合作，針對美的冷氣機的移動應用進行全方位的滲透測試，以充分保障消費者的個人資訊安全和社會資訊安全。

什麽是物聯網

今天，我們已經進入了物聯網時代。

根據全球研究機構Software.org的最新報告顯示，到2020年將有多達500億台物聯網（IoT）連接設備，包括智能手機、電視機、手錶，管道以及卡車等。物聯網將帶來巨大的經濟收益，到2025年，全球經濟影響將達到11.1兆美元。

其實，物聯網無時無刻都在我們身邊：你可能在入住酒店的時候，手機通過簡訊收到房間的智能門鎖密碼；你可能在進入地下車庫之前，通過手機啟動了汽車的引擎；在辦公室，你可能通過手機調節家裡的冷氣機溫度，讓在家等你的拉布拉多犬更舒適一些。實際上，在未來幾年，電視、冷氣機、汽車、手錶、攝影機、門鎖、音箱都將成為物聯網的一部分，而人們是通過用手機操作這些物聯網設備，從而讓這些設備更智能。

物聯網被視為繼電腦、互聯網之後，世界資訊產業發展的第三次浪潮。物聯網是互聯網的應用拓展，與其說物聯網是網絡，不如說物聯網是業務和應用。因此，根據應用設備的不同，物聯網又進一步被劃分為車聯網、智能家居、可穿戴設備、工控設備。

美的的物聯網戰略

美的集團是全球領先的消費電器、機器人及工業自動化系統、智能供應鏈（物流）的科技集團，它提供多元化的產品和服務，包括以廚房家電、冰箱、洗衣機、及各類小家電的消費電器業務、以家用冷氣機、中央冷氣機、供暖及通風系統的暖通冷氣機業務。過去五年來，美的集團致力於實施“智慧家居智能製造”雙智戰略，將積極開放、協作、融入到產品智能化中，並推動“以用戶為中心”的戰略轉型。

2014年3月，美的正式向智能行業進軍，首款推出智能產品是物聯網智能冷氣機，可以實現家電產品的互通互聯和遠程控制。同年，美的正式對外發布M-Smart戰略，實現全品智能化覆蓋。2016年美的正式發布M-Smart智慧生態計劃，宣布智慧生活運營服務平台開放落地。在過去至少五年時間裡，美的集團基本上完成了從功能型家電向智能家電產品的轉型與布局。

物聯網的資訊安全不可忽視

根據Gartner報告預測，2020年全球IOT物聯網設備數量將高達260億個。但是由於安全標準滯後，以及智能設備製造商缺乏安全意識和投入，物聯網已經埋下極大隱患，是個人隱私、企業資訊安全甚至國家關鍵基礎設施的頭號安全威脅。試想一下，無論家用或企業級的互連設備，如接入互聯網的交通指示燈、恆溫器，或醫用監控設備遭到攻擊，後果都將非常可怕。

現實情況是，針對物聯網的安全攻擊事件，現在已屢見不鮮，我們會發現很多與安全相關的駭人聽聞的事件，例如：汽車被黑客遠程操縱而失控、攝影頭被入侵而遭偷窺、聯網的烤箱被惡意控制乾燒、洗衣機空轉等等這些資訊安全問題已經影響到了我們的人身、財產、生命安全乃至國家安全。

美的集團非常重視物聯網的資訊安全，智慧家居作為美的集團雙智戰略的重要部分，美的智慧始終將產品的安全問題視作品質問題，投入重點資源對智慧家居的安全體系進行完善，在帶給用戶最好的智能體驗同時，保證用戶的資訊安全。

美的集團對資訊安全的高度重視是有原因的。2017年，我國曝光了大量利用家庭和工作場所中成千上萬的存在安全漏洞的物聯網設備生成流量而發起的大型DDoS攻擊。不僅如此，專業的網絡罪犯未來還可能利用不斷增長的互聯家庭設備，攻擊更多的目標。在智能家居時代，當智能家居收集的用戶資訊足夠詳細時，用戶個人資訊在互聯網上泄露的風險也就越大。同時，美的集團高度重視2016年頒布的《網絡安全法》，2016年11月7日，《網絡安全法》由第十二屆全國人大常委會表決通過，將於2017年6月1日起施行，這是我國第一部全面規範網絡太空安全的基礎性法律，是建設網絡強國的制度保障。

智能冷氣機產品也可以被攻破

智能家居資訊安全隱患背後原因，其中之一是有些生產企業和用戶資訊安全意識不強。智能家居生產企業通常並不特別關注數據安全問題，普通用戶一般意識不到智能家居所面臨的資訊泄露威脅，這都是智能家居成為犯罪分子進行網絡攻擊、竊取個人數據甚至利用竊取的資訊對用戶進行敲詐勒索的原因。在2016年的央視315晚會上，節目矛頭直接指向智能家居產品，對其安全問題進行了重點曝光。節目曝光了一起黑客可以利用安全漏洞入侵某智能家居系統的事件，家裡的智能設備可以被黑客所掌控，通過控制攝影頭可以窺探到個人隱私，可以隨意控制各種家電的狀態、智能門鎖的打開和關閉。

安靜地坐落在角落裡的冷氣機，一旦智能化，也會成為黑客用於非法獲取用戶資訊，甚至破壞社會穩定的入口。2016年的安全分析師峰會上，一項實驗表明，只要口袋裡揣上50美元，任何人都可以破解一戶鄰居家的冷氣機。如果一個人選對了時間和地點，甚至可以讓附近地區停電。

這怎麽可能？但這是真的。

在美國政府的鼓勵下，如果用戶允許電力供應商在用電高峰期間把冷氣機關掉，每年用戶就能節省200美元。冷氣機器的這種功能是通過遠程控制完成的，運營商會通過特定的無線電頻率發送命令，關閉冷氣機，這為黑客攻破冷氣機創造了機會。

研究人員檢查發現，當時所有的接收器都沒有加密和身份驗證方案。因此任何人可以發出更強的信號控制冷氣機設備。如果你能拿出150美元，你就可以控制附近的街區。但如果你是一個財力雄厚的罪犯，那就能控制整個城市。

智能冷氣機如果安全做得不到位，那麽將不僅威脅到個人資訊的安全，而且可能會影響到社會的穩定。美的集團認為，安全是智慧家居的必備屬性，只有構建安全體系，智慧家居才有可控之力，才能實現其真正的價值所在。因此，美的致力於與產業鏈合作夥伴共同推進智慧家居互聯安全體系建設，全方位打造智慧家居安全防護網，為用戶提供安全可控的智慧家居產品和服務。

為什麽美的與Testin在安全上合作？

美的冷氣機擁有國內外數億的海量用戶，為用戶提供一個安全可信賴的物聯網環境，保護用戶資訊安全是美的冷氣機的核心原則。因此，美的冷氣機和Testin雲測安全充分溝通，在了解Testin雲測安全所具備的專家實力後，採用Testin的雲測物聯網智能家居安全的滲透測試服務。由擁有近20年安全從業經驗及曾任微軟大中華區資訊安全總監的Testin雲測首席安全顧問何迪生帶領團隊，在物聯網智能家居安全測試研究方面結合了智能化自動測試及專家滲透測試兩方面的優點，大大提高滲透測試在物聯網安全漏洞挖掘的綜合能力。

先簡要說一下什麽是滲透測試。滲透測試是安全測試工程師模擬攻擊者的思路、技術、策略和手段，對給定應用系統的安全問題進行全面的檢測和評估的過程。換句話來說，滲透測試是對應用系統的“健康檢查”，能盡早地挖掘現存弱點，並輸出滲透測試報告提交給系統所有者。根據報告，所有者可以清晰知曉系統中存在的安全隱患和問題，作為問題修複的依據來進行安全防護，以提高系統的安全性。

因為美的冷氣機是智能設備，就是說用戶可以用手機裡的App或者微信來操作，所以Testin安全團隊需要支持對Android、iOS、Web、H5、微信公眾號等這些常見應用的滲透測試。Testin安全團隊採用人工檢測為主並輔以自動化檢測工具的方式，在保證應用系統穩定運行的前提下，對美的冷氣機應用進行全面的、深度的滲透測試，尋找潛在的安全漏洞和隱患。Testin安全團隊，針對美的冷氣機應用在滲透測試後發現的安全漏洞和隱患，積極充分地與美的進行修複方案的有效性評估，通過回歸測試來驗證漏洞修複後的效果，並將最新的測試報告發送給美的。