第四届小米AIoT安全峰会在京举行 隐私与安全成关注焦点
11月6日,第四届小米AIoT安全峰会在北京小米科技园举行,本届AIoT安全峰会重点关注物联网、人工智能等热点领域中的安全隐私问题,为现场众多AI、IoT和互联网行业安全和隐私顶尖安全专家与爱好者们带来了一场基于AIoT的技术交流盛会,共同探讨在生活科技背后,那些一直守卫着个人信息安全与隐私权益的科技与力量。
近年来,AIoT的概念日益大众化,本届峰会中小米更是直接将AIoT作为峰会的主题。随着新一轮的技术浪潮兴起,以计算机、通信、互联网等技术支撑的信息时代,正大步迈向以人工智能、云计算、大数据、物联网为关键技术引领的智能新时代。而AI+IoT的这一物联网产业发展趋势,事实上也正与小米的核心发展战略不谋而合。
在会上,小米集团副总裁、集团技术委员会主席、信息安全与隐私委员会主席崔宝秋谈到,小米不是一家手机公司,而是一家智能设备公司,小米希望让更多人享受科技带来的美好生活,因此,如何保证AIoT生态高速发展中的安全与隐私保护对小米而言至关重要。
崔宝秋表示,就隐私安全而言,不是一家企业,或是一个行业做好了就足够了,隐私安全需要得到整个社会的关注。小米愿意对外输出完整的IoT安全技术体系,在万物互联时代与行业一同成长共同进步,共同打造隐私安全生态。
发布《物联网产品安全基线》、 “蓝军计划”多管齐下 持续构建安全生态链赋能
小米集团首席信息安全官、云平台部总经理陈洋在会上回顾了过去5年来,小米IoT安全体系从1.0进化到4.0时代的历程。他表示,在小米刚涉足IoT相关领域早期,尽管小米旗下的各类IoT产品也有其安全芯片、安全的协议库、云服务等等安全保障,但仍然是依赖大量的人力来优化各项产品的安全性能。彼时的安全理念还是从安全流程方面切入,从需求设计、开发实现、评估测试、产品运营等流程方面去着手开展。因此,从那时起,小米就已经意识到,IoT产品的安全管理需要引入自动化工具和标准化管理流程,单单只靠人来做安全注定只会焦头烂额。
5年来,随着全球用户和监管的对隐私保护的要求不断提高,小米AIoT安全体系也已经从1.0进化到4.0时代,小米持续对透明化、平台化和专业化、标准化等方面进行重点优化和改进,不断通过发布安全隐私白皮书、通过第三方认证让安全的过程更加透明;通过平台化、自动化的安全检测工具确保安全基线;通过专业化的蓝军、实验室和运营,将安全做的更加深入。小米认为安全应该是一个生态链,因此小米将过去几年的经验和技术总结起来,提炼出涵盖硬件安全、嵌入式安全、通用系统安全、通讯安全、安全移动端安全、隐私合规等14个领域近200个安全要求,正式发布《物联网产品安全基线》,以最佳实践、规范标准和安全SDK的形式打造标准化方案,输出给生态合作伙伴,共同保障用户的安全。
除了强化自身的安全能力之外,小米也格外注重外部安全生态,据陈洋介绍,在2017年首届的IoT安全峰会上,小米曾经推出了最高50万的漏洞奖励计划,而今,这个漏洞奖励计划已经上升到了不限产品、不限时间,单个漏洞最高奖励100万的奖励计划。针对隐私问题,小米还率先在国内推出了隐私漏洞奖励计划。
陈洋还谈到,近年来很多互联网企业都在企业内部组建了自己的蓝军团队,模拟真实的黑客团队检测暴露在外的风险因素,找到脆弱点。但其弊端也日渐显现,内部反复的红蓝攻防对抗已经暴露出局限性,同一支蓝队的反复安全检测常常出现一些极易忽略掉的盲点。
为了打破这一僵局,小米联合腾讯、滴滴、华住集团发起了联合蓝军计划,相互之间模拟黑客团队,互相攻防。在更加真实和严苛的条件下,安全可控的互相检测彼此的弱点,并提前加以完善,共同保障用户的安全。
为了表示对守护小米用户的白帽子们的鼓励与感谢,在峰会现场,小米还邀请了10位2020年度贡献榜名列前茅的10名优秀白帽子进行了颁奖与表彰。他们用自己的无数个日夜,与小米一同为数亿用户捍卫了强大的安全和隐私生态与安全的智能生活环境。
聚焦用户隐私与信息安全 为智能美好生活保驾护航
之后,北京理工大学法学院研究员洪延青、英国标准协会(BSI)技术总监万鑫、小米信息安全与隐私委员会副主席朱玲凤、小米信息安全与隐私委员会秘书长宋文宽等专家也分别就安全与隐私保护的话题进行了分享与解读。
在《人脸识别技术的法律规制框架》议题演讲中,北京理工大学法学院研究员洪延青探讨了当下人脸识别技术主要的应用场景,详细解读了不同场景下人脸识别技术应用所面临的安全风险。
英国标准协会(BSI)技术总监万鑫分享了《安全可信体系:系统可心标准解读与实践》议题演讲,与各位与会专家共同分享了国外成熟的可心保障模型与经验。万鑫谈到,安全和隐私是平行的,实现隐私需要保障数据安全,尤其要关注一个系统使用过程中可能会影响到的人,保护用户的隐私安全是对用户尊重的体现。
小米信息安全与隐私委员会副主席朱玲凤、委员会秘书长宋文宽也结合小米在人工智能与物联网领域信息安全与隐私保护工作分别作了《构建安全可信的人工智能》和《构建安全可信的物联网》议题演讲。朱玲凤谈到,AI的职能化需要大量的数据支撑,而数据越多就越会带来数据的滥用和数据泄露。而人工智能终究只是算法的体现,针对在AI领域不断暴露出来的信息泄露风险,应该基于风险管控的路径,让监管以恰当的形式介入,实施体现以人为中心、具有透明性、可解释性和鲁棒性的风险管控措施。
小米集团信息安全与隐私委员会秘书长宋文宽介绍了小米物联网设备安全与隐私的可信框架。宋长宽提到,在万物互联时代,物联网正在步入快速发展期。据有效数据统计,作为全球领先的消费级平台,小米IoT平台已经连接了2.71亿台设备,同时拥有5个以上小米IoT设备的用户也已经高达510万人。为了保障这些小米IoT设备和用户的安全,目前小米已经形成了一套成熟的安全可信框架、IoT产品安全分级管理标准和一套物联网产品安全基线三个管理要素,并通过安全芯片、安全通信模组,IoT自动化安全测试平台以及AIoT安全实验室三个技术要素,来支撑和承载小米IoT全部的外在安全能力,这是米家物联网平台和小米集团对用户的一份安全承诺。
万物互联的美好生活已经到来,小米希望能与行业一同为智能美好生活保驾护航。