智能門鎖網(wǎng)絡(luò)安全分析報(bào)告

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室

啟明星辰積極防御實(shí)驗(yàn)室（ADLab）

北京同余科技有限公司

云丁網(wǎng)絡(luò)技術(shù)（北京）有限公司

引言

2016年起，隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等技術(shù)的不斷成熟和廣泛應(yīng)用，加上資本的助推，智能家居異軍突起，成為新興產(chǎn)業(yè)勢(shì)力。智能門鎖作為智能家居產(chǎn)業(yè)中的代表性產(chǎn)品之一，發(fā)展?jié)摿Ψ浅＞薮螅?017年智能門鎖產(chǎn)值超過百億元，市場(chǎng)規(guī)模接近800萬把，預(yù)計(jì)2020年智能門鎖市場(chǎng)規(guī)模將達(dá)到4000萬把。 

智能門鎖是一個(gè)典型的物聯(lián)網(wǎng)系統(tǒng)，其整個(gè)系統(tǒng)由感知層、傳輸層和應(yīng)用層組成，包括智能門鎖設(shè)備、智能家庭網(wǎng)關(guān)、手機(jī)APP和云端服務(wù)等組件。其中傳輸層與應(yīng)用層技術(shù)為現(xiàn)有互聯(lián)網(wǎng)技術(shù)，相對(duì)成熟穩(wěn)定。在感知層，用戶身份認(rèn)證方式主要有固定密碼、臨時(shí)密碼、指紋、掌紋、人臉、RFID、NFC和APP等，近場(chǎng)接入技術(shù)主要有WIFI、藍(lán)牙、Zigbee、433Mhz和 315MHz等。隨著智能門鎖的流行，各種安全隱患也不斷被暴露出來，指紋復(fù)制、密碼猜解、強(qiáng)磁干擾、APP漏洞、近場(chǎng)通信劫持、WIFI流量劫持和云端服務(wù)漏洞等各種智能門鎖的安全事件已經(jīng)被媒體廣泛報(bào)道。

智能門鎖的安全將會(huì)直接導(dǎo)致個(gè)人和家庭的生命財(cái)產(chǎn)安全，其重要性勿需多言。本報(bào)告重點(diǎn)關(guān)注智能門鎖的網(wǎng)絡(luò)安全問題，首先分析了智能門鎖的發(fā)展趨勢(shì)，梳理了智能門鎖的各種開鎖技術(shù)。接下來深入分析了智能門鎖的各項(xiàng)聯(lián)網(wǎng)技術(shù)，并根據(jù)智能門鎖的組網(wǎng)體系架構(gòu)提出了其安全風(fēng)險(xiǎn)模型，同時(shí)結(jié)合具體的智能門鎖安全漏洞進(jìn)行案例驗(yàn)證分析。最后從個(gè)人用戶、廠商和行業(yè)主管等幾個(gè)方面分別提出了幾點(diǎn)智能門鎖網(wǎng)絡(luò)安全的建議，希望能給智能門鎖行業(yè)提供一些參考。

1、智能門鎖市場(chǎng)現(xiàn)狀與發(fā)展趨勢(shì)

智能門鎖是指區(qū)別于傳統(tǒng)機(jī)械鎖的基礎(chǔ)上改進(jìn)的一類門鎖，在用戶安全性、識(shí)別性和管理性方面更加智能化和簡(jiǎn)便化的鎖具。廣義上說，具有指紋門鎖、密碼門鎖、藍(lán)牙門鎖或者APP互聯(lián)網(wǎng)門鎖等任一功能的門鎖均可稱為智能門鎖。

據(jù)《鯨準(zhǔn)研究院-2018中國(guó)智能門鎖行業(yè)深度研究報(bào)告》數(shù)據(jù)，2017年智能門鎖銷量約800萬套，行業(yè)總產(chǎn)值超過100億元，在2016年的基礎(chǔ)上實(shí)現(xiàn)了翻倍增長(zhǎng)，2018年有望繼續(xù)翻倍。截至2018年6月底，我國(guó)4億家庭智能門鎖滲透率在5%左右，3000萬套B端運(yùn)營(yíng)的租賃公寓滲透率在10%左右，未來發(fā)展空間巨大。

到2020年，我國(guó)智能門鎖年銷量將超過 4000萬套，市場(chǎng)規(guī)模將超400億元。2018、2019和2020三年將是智能門鎖發(fā)展的黃金三年，到2022年，我國(guó)4億家庭的智能門鎖滲透率將達(dá)到35%，達(dá)到2018年歐美的水平，公寓端的滲透率將超過50%。

從技術(shù)發(fā)展趨勢(shì)方面說，智能門鎖的聯(lián)網(wǎng)方式目前主要是WIFI和藍(lán)牙，此外還有Zigbee、433MHz和 315MHz等，由于WIFI和NB-IoT優(yōu)勢(shì)非常明顯，未來將會(huì)成為智能門鎖的主流聯(lián)網(wǎng)方式。

2、智能門鎖技術(shù)發(fā)展現(xiàn)狀

2.1 智能門鎖組網(wǎng)技術(shù)

智能門鎖的整體組網(wǎng)為典型的物聯(lián)網(wǎng)三層結(jié)構(gòu)，即感知層、傳輸層和應(yīng)用層。其中感知層由智能門鎖和智能手機(jī)APP組成，傳輸層包括家庭智能網(wǎng)關(guān)和移動(dòng)通信基站等，應(yīng)用層即為智能門鎖云平臺(tái)。下圖列示了現(xiàn)在常見的智能門鎖的聯(lián)網(wǎng)方案，不同廠商不同型號(hào)的門鎖往往選擇其中一種或幾種連接方式實(shí)現(xiàn)聯(lián)網(wǎng)。

圖2-1 典型的智能門鎖組網(wǎng)技術(shù)

在感知層，由于受到功耗的限制，大部分智能門鎖采用電池供電，其通信方式主要有藍(lán)牙、ZigBee、NB-IoT、433MHz和315MHz等。也有部分門鎖有條件采用交流電供電，該類門鎖通常采用WIFI方式與云端進(jìn)行通信。

在傳輸層，其通信方式主要有家用寬帶（WIFI/以太網(wǎng)）和移動(dòng)通信（3G/4G）。

應(yīng)用層即智能門鎖的云端服務(wù)，主要負(fù)責(zé)智能門鎖的設(shè)備接入、身份認(rèn)證、邏輯控制、數(shù)據(jù)分析和業(yè)務(wù)展示等。目前智能門鎖云端服務(wù)主要部署在云上，如阿里云、AWS、Azure和騰訊云等，以及各廠商自己的私有云上。

2.2 智能門鎖開鎖模式

2.2.1 固定密碼開鎖模式

用戶在安裝固定密碼智能門鎖的時(shí)候，需要先進(jìn)行門鎖初始化，并完成密碼設(shè)置，該密碼存儲(chǔ)在智能門鎖的固態(tài)存儲(chǔ)空間，同時(shí)也會(huì)上傳到云端進(jìn)行存儲(chǔ)。

在用戶開鎖時(shí)，在門鎖上輸入密碼，如果輸入的密碼與預(yù)先設(shè)置的密碼一致，則可打開門鎖。

圖2-2 固定密碼開鎖模式

2.2.2 臨時(shí)密碼開鎖模式

在臨時(shí)密碼開鎖模式下，戶主會(huì)通過手機(jī)APP從云端獲取當(dāng)前時(shí)段開鎖的臨時(shí)密碼，并通過短信、微信或者手機(jī)APP等方式將臨時(shí)密碼發(fā)送給訪客。

訪客在門鎖上輸入接收到的臨時(shí)密碼后，門鎖會(huì)將該密碼與云端自動(dòng)生成的當(dāng)前時(shí)段臨時(shí)密碼進(jìn)行對(duì)比，如果成功，則開鎖。

圖2-3 臨時(shí)密碼開鎖模式

2.2.3 生物鑰匙開鎖模式

目前，市面上常用且穩(wěn)定可靠的智能門鎖開鎖生物特征主要有指紋、掌紋、虹膜和人臉等。

該類門鎖在安裝的過程中，會(huì)將指紋、掌紋、虹膜和人臉等生物特征初始化到智能門鎖固態(tài)存儲(chǔ)或者云端。

用戶開鎖時(shí)，門鎖需要采集用戶的指紋、掌紋、虹膜和人臉特征，并傳統(tǒng)到云端與初始化特征進(jìn)行對(duì)比，如果對(duì)比成功，則開鎖。

圖2-4 生物鑰匙開鎖模式

2.2.4 智能卡鑰匙開鎖模式

用于智能門鎖開鎖的智能卡主要有RFID卡、NFC卡和CPU卡三類，該類門鎖主要應(yīng)用在酒店和公寓等場(chǎng)景。

使用RFID卡的門鎖，門禁管理系統(tǒng)會(huì)在RFID卡中寫入代表該卡身份的字符串，在開鎖時(shí)，門鎖提取RFID卡中的字符串，并傳輸?shù)皆贫诉M(jìn)行對(duì)比，對(duì)比成功，則開鎖。

使用NFC卡和CPU卡的門鎖，門禁管理系統(tǒng)會(huì)在NFC卡和CPU卡中寫入代表該卡身份的私鑰和公鑰，在開鎖時(shí)，該卡通過門鎖與云端進(jìn)行雙向身份認(rèn)證，如果認(rèn)證成功，門鎖接收到云端的開鎖指令，打開門鎖。

圖2-5 智能門禁卡開鎖模式

2.2.5 手機(jī)APP開鎖模式

采用手機(jī)APP開鎖的門鎖，在初始化的過程中，云端會(huì)將門鎖與指定手機(jī)上的APP進(jìn)行綁定。

在用戶開鎖時(shí)，用戶在手機(jī)APP上完成身份認(rèn)證，然后在手機(jī)上點(diǎn)擊開鎖按鈕，智能門鎖就會(huì)接收到云端下發(fā)的開鎖指令，然后打開門鎖。

圖2-6 手機(jī)APP開鎖模式

3、智能門鎖安全風(fēng)險(xiǎn)與案例分析

3.1 安全風(fēng)險(xiǎn)模型

根據(jù)智能門鎖的組網(wǎng)體系架構(gòu)，其安全風(fēng)險(xiǎn)可以劃分為以下五個(gè)方面：智能門鎖安全風(fēng)險(xiǎn)（針對(duì)智能門鎖設(shè)備的攻擊）、移動(dòng)應(yīng)用安全風(fēng)險(xiǎn)（針對(duì)智能門鎖手機(jī)APP的攻擊）、近場(chǎng)通信安全風(fēng)險(xiǎn)(針對(duì)WIFI、ZigBee、藍(lán)牙、433和315等通信方式的攻擊)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（針對(duì)家庭智能網(wǎng)關(guān)和有線數(shù)據(jù)攔截的攻擊）和應(yīng)用安全風(fēng)險(xiǎn)（針對(duì)智能門鎖云平臺(tái)的攻擊）。

圖3-1 智能門鎖網(wǎng)絡(luò)安全風(fēng)險(xiǎn)模型

3.2 智能門鎖安全風(fēng)險(xiǎn)

3.2.1 生物鑰匙攻擊

智能門鎖的常用生物鑰匙中，虹膜和人臉的偽造難度較高，已知的攻擊風(fēng)險(xiǎn)較小，但指紋和掌紋有較高的偽造風(fēng)險(xiǎn)，難度低，已經(jīng)比較常見。

圖3-2 指紋識(shí)別攻擊

3.2.2 固定密碼安全

在使用固定密碼的智能門鎖中，經(jīng)常出現(xiàn)使用默認(rèn)密碼、后門密碼、密碼邏輯漏洞和短密碼等問題，并存在密碼泄漏等現(xiàn)象。

圖3-3 固定密碼攻擊

3.2.3 固件竊取和逆向

攻擊者拆開智能門鎖后，通過專用工具從固件存儲(chǔ)器中讀取固件內(nèi)容，然后逆向分析固件存在的漏洞，再結(jié)合其它攻擊手段對(duì)漏洞進(jìn)行利用。

圖3-4固件讀取

3.2.4 無線饋電攻擊

（1）原理分析

無線饋電是一項(xiàng)應(yīng)用廣泛的技術(shù)，包括電磁爐、無線充電、非接觸卡等。一些智能門鎖由于設(shè)計(jì)缺陷，在布線及電路設(shè)計(jì)時(shí)沒有考慮電磁干擾問題。攻擊者可以利用特斯拉線圈通過無線電波干擾，使得智能門鎖的內(nèi)部電路產(chǎn)生直流饋電。

如果這種直流饋電足夠高，將觸發(fā)智能門鎖小型電機(jī)驅(qū)動(dòng)鎖芯實(shí)現(xiàn)開鎖。或者導(dǎo)致MCU的邏輯異常而重啟，有的智能門鎖默認(rèn)重啟后會(huì)自動(dòng)開鎖。

圖3-5 開鎖電路圖

（2）案例分析

2018年5月26日，第九屆中國(guó)（永康）國(guó)際門業(yè)博覽會(huì)上，一位女士以一個(gè)小黑盒連續(xù)打開了多家品牌的智能門鎖，最短的時(shí)間只有3秒，一篇名為《那個(gè)女人毀了整個(gè)指紋鎖行業(yè)》的文章迅速躥紅，成為智能門鎖圈的惡夢(mèng)。

“小黑盒”的原理是特斯拉線圈通電后，可能產(chǎn)生兩種效果：一是利用智能門鎖電路的饋電系統(tǒng)驅(qū)動(dòng)電流打開門鎖；二是該線圈產(chǎn)生強(qiáng)電磁脈沖攻擊智能門鎖芯片，會(huì)造成芯片死機(jī)并重啟，有的智能門鎖默認(rèn)重啟后會(huì)自動(dòng)開鎖。

圖3-6 “小黑盒”開鎖圖

3.3 移動(dòng)應(yīng)用安全風(fēng)險(xiǎn)

（1）原理分析

移動(dòng)應(yīng)用APP中存在各種常見的安全風(fēng)險(xiǎn)，如：移動(dòng)端APP代碼中或者固件中使用固定的加解密密鑰；移動(dòng)端APP代碼沒有采用加固和混淆技術(shù)使得代碼被完整逆向，進(jìn)而了解并破解開鎖機(jī)制然后構(gòu)造控制指令進(jìn)行攻擊；開發(fā)人員遺留的代碼BUG問題，有可能導(dǎo)致繞過相關(guān)權(quán)限驗(yàn)證；移動(dòng)端操作系統(tǒng)出現(xiàn)相關(guān)漏洞，導(dǎo)致被植入惡意代碼進(jìn)而控制手機(jī)實(shí)現(xiàn)攻擊；移動(dòng)端APP和設(shè)備之間的認(rèn)證問題，如果移動(dòng)端APP和設(shè)備之間的認(rèn)證過程出現(xiàn)漏洞，這就容易導(dǎo)致中間人攻擊，即偽造一個(gè)假移動(dòng)端APP和真實(shí)設(shè)備進(jìn)行通信達(dá)到欺騙目的進(jìn)而實(shí)現(xiàn)攻擊。

攻擊者利用智能門鎖對(duì)應(yīng)的APP存在的這些漏洞或缺陷，繞過智能門鎖、APP和云端服務(wù)預(yù)先設(shè)定的邏輯，實(shí)現(xiàn)非授權(quán)的開鎖操作。

（2）案例分析

某品牌智能門鎖存在密碼重置漏洞（漏洞編號(hào)CNVD-2017-03908）。我們通過逆向智能門鎖APP，分析其代碼邏輯及智能門鎖APP與云端網(wǎng)絡(luò)交互的報(bào)文，掌握了相關(guān)云端接口的定義。發(fā)現(xiàn)該品牌鎖的某個(gè)業(yè)務(wù)接口缺少用戶合法性驗(yàn)證，攻擊者可以利用已經(jīng)掌握的用戶信息，繞過合法性驗(yàn)證進(jìn)行密碼重置。攻擊者利用重置后的密碼完成登錄后，可以進(jìn)行開鎖和修改用戶信息等操作。在此研究基礎(chǔ)上，我們又做了進(jìn)一步的安全分析，發(fā)現(xiàn)了一個(gè)影響更大的安全問題：攻擊者通過該漏洞可以獲取該智能門鎖產(chǎn)品的全部用戶資料，包括手機(jī)號(hào)和開門密碼。由于該漏洞不依賴手機(jī)驗(yàn)證碼，這種攻擊具有更大的隱蔽性，因此危害更大。

圖3-7 移動(dòng)應(yīng)用安全案例

3.4 近場(chǎng)通信安全風(fēng)險(xiǎn)

3.4.1 RFID門鎖攻擊

（1）原理分析

RFID卡中存儲(chǔ)代表持卡人身份信息的字符串，而一般的RFID卡中的信息以明文形式存儲(chǔ)，或者僅經(jīng)過簡(jiǎn)單處理后存儲(chǔ)，攻擊者可以讀取其中的信息，并復(fù)制到其卡片中，從而獲取持卡人的授權(quán)。

（2）案例分析

某品牌智能門鎖為RFID門鎖，測(cè)試人員從淘寶上購(gòu)買簡(jiǎn)單的RFID讀寫器，即可從已有的RFID卡中讀取信息，并寫入到新的RFID卡中，并通過新的RFID正常打開門鎖。

該類RFID卡常常以小區(qū)門禁、樓宇門禁和酒店房卡等形式出現(xiàn)，造成的影響面極大。

圖3-8讀取門禁卡信息

3.4.2 315Mhz無線電門鎖攻擊

（1）原理分析

無線電門鎖響應(yīng)指定的無線電信號(hào)，而一般的無線電門鎖的信號(hào)是固定的，攻擊者可以重放無線電信號(hào)或?qū)π盘?hào)進(jìn)行簡(jiǎn)單處理，從而偽造真實(shí)用戶開關(guān)門鎖的行為。

（2）案例分析

某品牌智能門鎖存在無線電信號(hào)重放攻擊漏洞（漏洞編號(hào)CNVD-2018-02695）。該門鎖為無線電門鎖，測(cè)試人員從淘寶上購(gòu)買簡(jiǎn)單的無線電收發(fā)器，即可抓取無線電門鎖開關(guān)門信號(hào)，并存儲(chǔ)此無線電數(shù)據(jù)包到本地，通過重放包含開鎖信號(hào)的無線電數(shù)據(jù)包即可打開門鎖。

該類無線電門鎖常常以車庫(kù)門禁、家庭門禁和汽車門等形式出現(xiàn)，這種攻擊行為可形成巨大安全隱患。

圖3-9 利用無線電工具重放信號(hào)開鎖

3.5 網(wǎng)絡(luò)通信安全風(fēng)險(xiǎn)

（1）原理分析

有的智能門鎖直接通過WIFI信號(hào)連接到互聯(lián)網(wǎng)，而其它通信方式的門鎖連接到相應(yīng)的網(wǎng)關(guān)后，也會(huì)通過WIFI信號(hào)連接到互聯(lián)網(wǎng)，與此同時(shí)，手機(jī)APP在家時(shí)，也會(huì)通過WIFI連接到智能門鎖和云端服務(wù)器?？紤]到大量的智能門鎖通信協(xié)議采用明文傳輸，或者加密傳輸過程中存在漏洞，通過攻擊WIFI路由器、智能家居網(wǎng)關(guān)，或者截持WIFI信號(hào)，可以實(shí)現(xiàn)對(duì)智能門鎖的控制。

（2）案例分析

某品牌智能門鎖存在設(shè)計(jì)漏洞（漏洞編號(hào)CNVD-2016-12586）。測(cè)試人員通過WIFI信號(hào)抓取，分析出APP與智能門鎖云端服務(wù)之間的通信是明文傳輸，并識(shí)別出智能門鎖開門和關(guān)門的特定數(shù)據(jù)包。

測(cè)試人員在劫持WIFI信號(hào)后，即可通過WIFI信號(hào)重放攻擊的方式，實(shí)現(xiàn)對(duì)門鎖的控制。

圖3-11 WIFI信號(hào)劫持實(shí)現(xiàn)開關(guān)門操作

3.6 云平臺(tái)服務(wù)安全風(fēng)險(xiǎn)

（1）用戶身份鑒別漏洞

未限制密碼復(fù)雜度，未限制非法登陸次數(shù)，重置密碼的短信驗(yàn)證碼又本地產(chǎn)生或者存在于返回?cái)?shù)據(jù)包中。

（2）訪問控制漏洞

后端信息系統(tǒng)沒有對(duì)數(shù)據(jù)包中重要訪問控制參數(shù)進(jìn)行校驗(yàn)，導(dǎo)致越權(quán)操作。還有存在遠(yuǎn)程代碼執(zhí)行漏洞，可以進(jìn)行root權(quán)限命令執(zhí)行。重要回話信息被劫持。

（3）云管理平臺(tái)系統(tǒng)存在web安全問題

常見的web安全漏洞同樣存在于智能門鎖云管理平臺(tái)，例如，SQL注入、任意文件上傳、失效的身份驗(yàn)證和回話管理、跨站腳本攻擊、不安全的直接對(duì)象引用、安全配置錯(cuò)誤、敏感信息泄露、功能級(jí)訪問控制缺失、跨站請(qǐng)求偽造、使用含有已經(jīng)存在漏洞的組件和未驗(yàn)證的重定向和轉(zhuǎn)發(fā)等漏洞。

4、風(fēng)險(xiǎn)防范和安全建議

根據(jù)智能門鎖風(fēng)險(xiǎn)模型，智能門鎖面臨的安全風(fēng)險(xiǎn)包括智能門鎖安全風(fēng)險(xiǎn)、移動(dòng)應(yīng)用安全風(fēng)險(xiǎn)、近場(chǎng)通信安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和應(yīng)用安全風(fēng)險(xiǎn)等五個(gè)方面的風(fēng)險(xiǎn)。

智能門鎖的安全問題一旦被黑客關(guān)注并利用，將會(huì)給用戶帶來非常直接的經(jīng)濟(jì)和財(cái)產(chǎn)損失，并給社會(huì)造成極為嚴(yán)重的負(fù)面影響。接下來將從用戶、廠商和行業(yè)三個(gè)角度，分別給出一些針對(duì)性的改進(jìn)意見和措施。

4.1 門鎖用戶

對(duì)于個(gè)人用戶來說，首先盡量選用知名品牌廠商生產(chǎn)、性價(jià)比適合自身的智能門鎖產(chǎn)品。其次如果家庭選擇安裝了智能家庭網(wǎng)關(guān)設(shè)備，應(yīng)盡量選擇具有安全功能的設(shè)備，如近場(chǎng)通信安全監(jiān)控和流量安全監(jiān)控等相關(guān)安全功能，對(duì)常見的攻擊行為進(jìn)行監(jiān)控即可有效提高家庭安全。

4.2 門鎖廠商

（1）確實(shí)提高移動(dòng)應(yīng)用的安全質(zhì)量

智能門鎖廠商通過在移動(dòng)應(yīng)用設(shè)計(jì)過程中引入安全設(shè)計(jì)，在移動(dòng)應(yīng)用測(cè)試過程中增加安全測(cè)試，并通過安全加固等手段加強(qiáng)移動(dòng)應(yīng)用的抗分析能力，可以較好地提高移動(dòng)應(yīng)用的安全質(zhì)量。

（2）加強(qiáng)智能門鎖安全設(shè)計(jì)把關(guān)

智能門鎖廠商在設(shè)計(jì)的過程中，通過提高電磁屏蔽、關(guān)閉調(diào)試接口和調(diào)試功能、加固固件、增加指紋活性檢測(cè)、實(shí)施RFID加密、禁止簡(jiǎn)單密碼、動(dòng)態(tài)快速升級(jí)固件等多種安全措施，可以確實(shí)提高智能門鎖的抗攻擊能力。

（3）提高網(wǎng)絡(luò)安全防護(hù)水平

智能門鎖體系中智能門鎖、移動(dòng)應(yīng)用和云端服務(wù)三者之間，都應(yīng)該采用規(guī)范的加密傳輸方式進(jìn)行通信，優(yōu)先選擇采用國(guó)家密碼管理部門批準(zhǔn)使用的密碼算法和密碼算法使用規(guī)范，以確保網(wǎng)絡(luò)通信的安全。

（4）持續(xù)保障云端服務(wù)安全

在提高應(yīng)用層安全風(fēng)險(xiǎn)方面，應(yīng)該在云端服務(wù)設(shè)計(jì)過程中引入安全設(shè)計(jì)，在產(chǎn)品測(cè)試過程中引入安全測(cè)試，在服務(wù)上線后，進(jìn)行持續(xù)的滲透測(cè)試和風(fēng)險(xiǎn)評(píng)估，選擇具有安全防護(hù)實(shí)力的云服務(wù)平臺(tái)，并部署相關(guān)的云端安全防護(hù)產(chǎn)品或服務(wù)，對(duì)云端實(shí)施從物理層、虛擬化層、主機(jī)層、網(wǎng)絡(luò)層、數(shù)據(jù)層到應(yīng)用層的全體系、全方位、全時(shí)段的安全監(jiān)控與運(yùn)維，形成完備的安全防護(hù)措施，確保云端服務(wù)的高度安全。

4.3 行業(yè)監(jiān)管和指導(dǎo)

對(duì)于智能門鎖整體行業(yè)，相關(guān)行業(yè)部門應(yīng)該組織制定一套完善的安全實(shí)施標(biāo)準(zhǔn)，覆蓋智能門鎖體系從規(guī)劃、設(shè)計(jì)、開發(fā)、測(cè)試、部署、上線到運(yùn)營(yíng)的全部過程，強(qiáng)化整個(gè)行業(yè)的安全意識(shí)，確實(shí)提高整個(gè)行業(yè)整體的產(chǎn)品安全水平。同時(shí)組織制定配套的智能門鎖網(wǎng)絡(luò)安全產(chǎn)品檢測(cè)規(guī)范，聯(lián)網(wǎng)智能門鎖產(chǎn)品上市前應(yīng)進(jìn)行網(wǎng)絡(luò)安全相關(guān)檢測(cè)和認(rèn)證。