精彩回顾 | 第四届小米AIoT安全峰会成功举办

官网：https://midc.mi.com/2020/security

 

活动简介

随着新一轮的技术浪潮兴起，以计算机、通信、互联网等技术支撑的信息时代，正大步迈向以人工智能、云计算、大数据、物联网为关键技术引领的智能新时代。

AI+IoT已然成为物联网发展的必然趋势，这也是小米核心战略之一，它让更多人享受科技带来的美好生活，而如何保证AIoT生态高速发展中的安全与隐私保护问题对小米极为重要。

小米打造了全球领先的消费级物联网平台，同时我们也愿意对外输出完整的IoT安全技术体系，与行业一起共同成长和进步。2020年第四届小米AIoT安全峰会已于11月6日在北京小米科技园召开，此次会议着力聚焦物联网、人工智能等热点领域中的安全隐私问题，是一场基于AIoT的技术交流盛会。

 

活动时间

2020年11月6日

 

活动地点

北京市海淀区小米科技园

 

主办方

小米安全中心

 

精彩回顾

11月6日，第四届小米AIoT安全峰会在北京小米科技园正式举办，邀请了北京赛博英杰科技有限公司董事长谭晓生、腾讯玄武实验室负责人于旸、北京未来安全信息技术有限公司CEO王英键、北京理工大学法学院研究员洪延青、英国标准协会技术总监万鑫博士等诸多安全隐私领域专家，共同聚焦人工智能与物联网、安全与隐私、黑客攻防等热点议题，分享物联网安全与隐私体系建设、IoT安全防护等方面的经验策略。

一、开场致辞

小米集团副总裁崔宝秋在致辞中提到，小米2014年开始布局IoT，2015年就组建了专业的企业IoT安全实验室，是国内首批研究IoT安全的企业。小米有大量的生态链合作伙伴，必须把小米的高标准、严要求同样传递给我们的生态链合作伙伴，打造良好的安全生态，才能更好地保护用户的信息安全与隐私。在万物互联时代，让我们一起共筑安全隐私生态。

小米集团首席安全官陈洋从技术、体系、生态三个方面带大家回顾了过去几年小米AIoT走过的路。任何企业，除了提升自身的安全能力之外，打造外界安全生态也非常关键。今年年初小米于国内首家针对隐私问题发布隐私奖励计划。此外，小米安全中心近期发布了不限产品、不限时间，单个漏洞最高奖励100W的小米手机& AIoT 安全守护B计划。

 

二、议题回顾

1、人脸识别的法律规制框

人脸识别的法律规制不需要另起炉灶，而是应该将人脸识别的应用目的进行类型化，然后相应配套不同的法律规制框架。应用目的第一个是技术，第二个是识别，第三个是认证，第四个是监控，第五个是伪造，第六个是窥探，不同的场景就是这六个模块不同的排列组合，洪延青老师沿着这个逻辑和路径跟大家介绍了现有的法律法规安全和隐私方面的要求。

洪延青 – 北京理工大学法学院研究员

 

2、安全可信体系：系统可信标准解读与实践

IoT逐渐成为新的业态并快速的融入人们的生活，IoT的蓬勃发展离不开安全可信的系统和运行环境，如何让复杂的生态安全品控高效落地？如何应对国际市场对安全与隐私的高要求？这些都不是通过建立技术壁垒，而是需要一套科学的安全管控体系。万鑫博士的分享围绕信任机制介绍了国际上主流的系统可信标准，以及如何借助标准的力量打造安全可信的IoT产品和服务。

万鑫 – 英国标准协会（BSI）技术总监

 

3、构建安全可信的人工智能

AIoT超级互联时代，人工智能、深度学习、物联网等等前沿技术不断改变着人们的日常生活，给人们带来便利。但同时，人工智能等技术也带来了算法操控、技术滥用、数据隐私、安全风险等问题。如何在促进人工智能发展应用、继续造福社会的同时，避免随之而来的风险与伤害是亟待解决的问题。除此，朱玲凤律师还介绍了小米如何践行安全可信AI，努力让全球每个人都能享受人工智能等科技所带来的乐趣。

朱玲凤 – 小米信息安全与隐私委员会副主席

 

4、构建可信的物联网安全体系

宋文宽老师在本次会议上介绍了针对消费级物联网设备安全与隐私的可信框架。从应用层、云平台、传输层、感知层来构建物联网的安全与隐私体系框架，全面保护用户的信息安全与隐私数据。小米的物联网安全开发SDLC和隐私设计PbD流程覆盖从产品需求设计到测试上线的全生命周期，从而让用户使用小米产品更加安心。

宋文宽 – 小米信息安全与隐私委员会秘书长

 

5、黑灯：手机 × AIoT 双擎智能安全评估

小米拥有APP产品1200多款、IoT产品2400余款。面对如此多的产品及品类，如何在产品生命周期内，持续不断的保障安全与隐私，是目前面临的主要问题。本次议题介绍了小米手机 x AIoT 双擎智能安全评估体系，通过多个安全评估子系统的智能联动，全方位的对产品进行安全检测和流程管控，打通开发、测试、监控、分析、报告等多个环节，形成安全闭环，在”黑灯“情况下，实现自动化安全保障。

陈长林 – 小米AIoT安全实验室高级安全工程师

 

6、等保2.0-物联网安全扩展要求解读

GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》中物联网安全扩展要求针对物联网系统提出了具体的安全保护要求，宫月老师在本次分享中，详细介绍了如何正确理解等保2.0中物联网安全扩展要求？如何让物联网系统更好地符合等保2.0的要求？

宫月 – 公安部第一研究所 高级测评师

 

7、针对汽车无钥匙进入的中继攻击及防护

汽车无钥匙进入与启动技术已经从高端汽车全面普及到中低端，并将进一步向移动终端迁移，发展为智能数字钥匙。这些先进技术场景带来了不容忽视的安全问题如中继攻击，林国辉老师介绍了对汽车无钥匙进入中继攻击的实例以及几种针对中继攻击的防护手段，并重点介绍基于UWB安全定位技术的防护与基于CCC数字车钥匙的安全应用。

林国辉 – NXP资深总监、大中华区应用技术支持团队负责人

 

8、破壁：探索IoT通信安全的研究之道

IoT通信作为IoT系统架构的重要组成部分，是新基建时代的万物互联的连接器，也自然成为了IoT安全研究员们关注的重点，此议题分享了如何从架构设计，协议栈实现，实际部署等角度出发，对多种“非主流”却又广泛使用的有线与无线IoT通信机制进行攻击面分析与漏洞挖掘。

伍惠宇 李宇翔 – Tencent Blade Team 高级安全研究员

 

9、车联网安全的攻与防

车联网安全作为Iot安全中最为特别的一个领域，随着车联网的发展逐步走向前台成为焦点，该议题介绍了车联网安全的常见问题、车联网中常见的业务安全问题，以及这些问题因何而来又如何防范？

郑涛 – 某车联网安全研究负责人

 

10、光明守卫：MIUI12全副武装的隐私保护

MIUI12是小米的十周年梦想之作，发布了照明弹、拦截网、隐匿面具三个模块。它不仅是顶尖动效和美学之选，更是保护用户隐私的“光明守卫”，小米以行业最严格的隐私标准捍卫用户数据权利。王乐老师在本次议题中详细介绍了过去十年MIUI在用户数据安全和隐私保护方面的成果和思考。

王乐 – 小米MIUI安全中心负责人

 

11 、Cortex-M逆向分析与安全

Cortex-M架构被广泛应用于IoT产品，医疗电子产品，工业控制产品和基带系统，但是由于cortex-m固件十分精简提供的额外信息较少，固件逻辑非线性，使得安全分析难度很高。本议题以nRF52为例，系统介绍了cortex-m的逆向方法，可能存在的攻击面以及安全防御手段。

李海粟 小米AIoT安全实验室高级安全工程师

 

12 、打开IoT设备分析的第一扇门

培养自己的IoT生态圈早已成为各个大厂的重点工作之一，在本次议题中胡一米、郭韬老师挑选了一款处于IoT生态圈中的摄像头设备进行研究，侧重于分析方法和过程，完整复现从零开始研究这个设备的全部过程。

胡一米 郭韬 – 未来安全胖猴实验室高级安全研究员

 

13 、圆桌论坛- AIoT生态产业下的安全挑战

圆桌论坛我们邀请到北京赛博英杰科技有限公司董事长 – 谭晓生，小米集团首席安全官、小米云平台部总经理 – 陈洋、北京未来安全信息技术有限公司CEO – 王英键、腾讯安全学院副院长、DEFCON GROUP 365 发起人 – 杨 卿，腾讯安全玄武实验室负责人 – 于旸，几位大佬为我们带来了一场精彩的关于供应链安全管控、自动化和人工智能安全领域研究的思维碰撞。

 

三、《物联网产品安全基线》标准

小米集团副总裁、小米信息安全与隐私委员会主席崔宝秋在会上表示：小米是软件开源的倡导者，同时技术标准的制定上，小米也一贯坚持开放共享的原则，我们积极参与国际和国内标准的制定，希望通过标准的媒介将小米的安全实践开放给行业。”

经过5年物联网安全团队的经验积累，提炼出涵盖硬件安全、嵌入式安全、通用系统安全、通讯安全、安全移动端安全、隐私合规等14个领域近200个安全要求，正式发布《物联网产品安全基线》。小米物联网产品在需求设计、开发、测试各个阶段均可参考本基线，确保为用户提供安全可信的物联网产品。

早在2018年，小米已经在100多家智能产品的生态链公司推行这个基线标准。经过2年的打磨，基线更加符合主流的技术、更加贴近热点的风险。未来，小米会持续总结经验，不断的推出基线 3.0、4.0，共同打造万物互联的安全生态。

 

四、小米安全年度颁奖典礼

小米于2013年发布小米漏洞悬赏计划并持续至今，期望通过多方协同联动，从各个维度最大程度的发现小米IoT产品未知的安全风险，共同守护小米数亿用户的安全在线生活。本次峰会，小米安全对相关团队和个人颁发了2020年度奖项。

年度优秀合作伙伴

安天移动安全、腾讯安全玄武实验室、Keen。

年度优秀白帽子

佬表-漏洞之王
hard___、t.o.l、Sergei、Dennis Giese-神洞猎手
Knight、yls、M4x-终端安全守卫者
l3af、d3m0-隐私啄木鸟奖

 

五、企业联合蓝军计划 共筑安全生态

安全是一个生态，不是某一家企业能够独自去完成的，需要整个行业的共同努力。合作共建是大势所趋，小米将持续推动行业合作，提升行业的安全防护水平。

在小米AIoT安全峰会上，小米、腾讯、滴滴、华住联合发布企业联合蓝军计划。期望以企业间蓝军合作的形式，促进企业安全能力的进步，能更加全面地保障所有互联网用户的安全与隐私。未来，期望有更多的企业和个人可以加入到信息安全与隐私保护的行列之中，共建安全生态。

手机×AIoT是小米下个十年的核心战略，在过去的几年中，小米打造了全球领先的消费级IoT物联网平台。截至2020年6年底，全球有2.71亿台物联网设备接入到小米的IoT平台当中。

如此数量众多的产品，如此丰富的应用场景，自然要面对更加严峻的安全挑战。如何更好地保护AIoT生态高速发展中用户的信息安全与隐私是小米安全需持续探索的。

最后，感谢一路支持小米AIoT安全峰会的各位朋友，我们明年再会！

 

合作方