小米 CSO 陈洋：小米安全是被推着向前走的，IoT尤甚

原标题：小米 CSO 陈洋：小米安全是被推着向前走的，IoT尤甚

小米准备办 IoT 安全峰会时，雷军对小米人工智能与云平台副总裁崔宝秋说，把这个会议纳入IoT 开发者大会吧。

这埋下了一个伏笔。

11 月 28 日，在这个会上，雷军和陆奇宣布，小米与百度达成合作，携手共建软硬一体“IoT+AI”生态体系，将小米的智能硬件、大数据、智能设备生态链等，与百度的 AI 技术、海量数据、信息与服务生态等进行结合，创造更好的用户体验。

崔宝秋开玩笑说，这是会议规格的下降。

实际上，有了雷在主会场的站台、小米和百度基于 IoT 的合作都带来了更大的关注量，并将小米的 IoT 安全上升到更高的维度。上一合作说明，小米在 IoT 上要“搞大事”了。此时，小米说 IoT 安全更在情理之中。

守住这里，就守住了源头

IoT 安全峰会开场前一小时，小米 CSO 陈洋的一个张姓好友过来“捧场”，听陈的演讲。

张先生对雷锋网说，做安全的人都会关注黑灰产的发展，而黑灰产最关注的是隐私数据。2015 年底，陈洋从新浪跳槽到小米，原因之一是，陈判断，小米将会守住物联网的入口，而背后是极其宝贵的数据。

陈洋在雷锋网的采访中，肯定了这一说法。

据小米给出的数据，目前已有 8500 万个小米及相关物联网设备连入物联网，最高的一个案例是，有个用户拥有 140 件小米的物联网设备。

“后来，我们想了想，虽然形势很好，但不太可能（笑），我们分析，可能是一个公司的网管，采购了大量的空气净化器，然后连到了同一个物联网控制端口上。”雷军说到这，现场观众笑了。

实际上，雷的话不仅是玩笑：小米 IoT 平台日处理量是 400 亿次，场景调用 2200 万次。

IoT 攻击不乏实例。去年 10 月，Mirai 编织了 150 万 IoT 僵尸网络，今年媒体曝光了大量的摄像头被破解，一言不合在家就被直播的案例。

设备越多，数据越多。守住这里，就守住了源头。

被推着往前走的“安全隐私”

在陈洋看来，小米安全是被推着向前走的，尤其是 IoT 的突然爆发。

对于前者，崔宝秋有话要说。

2012年，雷军和崔宝秋谈：“我们还没有安全部门。” 崔宝秋吃了一惊，没有完备安全团队的互联网公司就像在裸奔。而当年 2 月，雷军已宣布小米要扩军，2012 年要招 1500 人。2012 年 6 月 7 日，小米手机销量突破 300万。

市场推着小米走，同年 6 月，小米的安全团队建立。

几年前，小米进入新加坡和香港时发生了件事，让小米很“狼狈”。

香港有些用户发现，打开红米手机，什么事还没做，手机先建立了一个 TCP／IP 连接，而且连到了北京。“这个链接是干什么？传我们的数据去哪里？”质疑的声音冒出来。

崔宝秋很郁闷，这是一款智能手机，产生这种连接很正常。他想，如果对方拿到的是三星、苹果手机，连接到了韩国和美国，可能不会有所反应，“就因为我们的服务器地点在北京，他就这么敏感”。“这只是新手机激活和服务器的一次连接，什么用户的数据都没有传，也不会收集任何用户数据。”崔说。

误解可以澄清，但吃了亏，就要长记性。小米在 2014 年“赶紧组建了小米的隐私委员会，摸爬滚打到了现在”。

这次事件让崔触动很大，称现在小米将安全和隐私放在首位，并与隐私认证部门合作，打造自己的安全隐私部门。

在隐私保护的落实上，“吃过亏”的小米采用“隐私优先”的设计：能不收集的数据绝不收集，明确告知用户，征得用户同意，用户可以访问、掌控个人数据，保证数据安全，用严格的隐私数据定义要求自己。同时，引入第三方认证。

崔说的认证，是 MIUI 和小米网获得 TRUSTe 认证，随后与 TrustArc（新 TRUSTe）合作，推出小米自己的 IoT 隐私认证体系。

“用什么，就研究什么”

对于后者，陈洋感同身受。

2015 年 11 月，陈洋从新浪跳到小米安全，他感受到物联网设备对安全的冲击，小米的安全团队也因此开始覆盖到 IoT 设备的安全。

小米的新产品在立项和要推出市场前，首先要在小米内部的安全部门走一圈。

陈洋和他的同事要做的就是参与安全需求设计，进行威胁分析，然后开发实现相关的工具包、SDK等，评估产品的攻击面，分析新安全协议，找出大大小小的攻击点。经过一轮内测后，再进行众测。

“开始是一月一款，然后是两周一款，再后来就是一周一款甚至多款，物联网产品推出的节奏越来越快了。”陈说。

除了对产品设计研发的安全管控，陈洋等人还要负责对小米帐号的风控，防控 IoT 的业务风险。

雷锋网了解到，小米的 IoT 安全并没有一揽子的解决方案。按照陈洋的说法，小米的 IoT 安全是“用什么，就研究什么，自然而然地，沉淀下来一些技术积累”。

比如，通过移动数据网络上传和下载的通讯过程中，可能遭到伪基站攻击，小米为此将 SIM 卡变为安全芯片，通过双向硬件加密通道，与服务器进行双向安全认证。这种带有安全芯片的 SIM 卡也将提供给合作伙伴，不用修改任何模具和产线，就可达到 EAL4+ 金融级安全线，增加的生产成本可控制在十几块钱。

这一方案实际是小米为有合作关系的某头部著名共享单车提供。在陈洋看来，这算与“远亲”合作。他也向雷锋网证实，小米的 IoT 安全主要聚焦在自家及生态链产品上，并不包括对其他产品的攻防研究，除非“家里也有余粮时，才会对其他家的产品做一些攻防研究”。

陈洋至今还记得，自己刚进小米时，研究的第一款产品是平衡车。现在，在陈洋自己家中，光一个卧室就有 25 个设备连接到物联网中，整个家里有 52 台物联网设备。

未来会怎样？陈洋不知道。对他而言，IoT 安全前沿难预判，取决于未来的 IoT 设备使用什么技术，比如量子通讯很安全，但没人知道什么时候能够在产品中应用，还是“所用”推动比较实在。

以小米及相关生态链硬件产品占据的市场份额来看，这一选择似乎合情合理。

,小米 CSO 陈洋：迷恋辅助网 小米安全是被推着向前走的，IoT尤甚

相关：

美商务部25年首次发起对华“双反”调查 中方回应原标题：美国商务部自行发起对华“双反”调查 中方不满中新网11月29日电据商务部网站消息，华盛顿时间11月28日，美国商务部发布公告，对自中国进口的通用铝合金板自主发起反倾销反补贴调查(双反调查)。商务部贸易救济调查局局长王贺军就此发表谈话。王贺军表示，美方非基于国内产业申请，而由政府机关对来自中国的通用铝合金板自主发起反倾销和反补贴调查，这是25年来，美国商务部第一次自主发起贸易救济调查。美方此种做法在国..

美空军承认未执行控枪规定 致得州枪击凶手违规购枪原标题：美空军承认未执行枪支管控规定新华社华盛顿11月28日电（记者刘阳孙丁）美国空军28日承认，未按照规定将多名有犯罪前科的退伍军人资料移交执法部门，使得包括得克萨斯州枪击案中枪手在内的多人可以购买枪支。空军发言人安·斯特凡内克表示，空军没有按照规定移交执法机构的军人犯罪记录多达“数十份”。在本月早些时候的得州枪击案后，空军方面已经将这些档案移交联邦调查局，并仍在继续就此事进行调查。根据空军当天发布..

方逸华今日于香港殡仪馆设灵 仅限亲友入场悼念方逸华据香港媒体报道，电视广播有限公司非执行董事方逸华日前因病离世，今日在香港殡仪馆设灵，传媒一早到场采访，而有关方面用铁栏在正门较远的地方设置采访区，而殡仪馆的保安也比往常加强，有两至三名工作人员于门口守候。据悉，灵堂设于一楼，而水牌没有写上名字，可能因为设灵是私人性质，不想公开的缘故，期间有亲戚拿着祭品前来悼念。

贺军翔与辣妹彻夜狂欢？女方回应了贺军翔和陈柏蓁被拍据香港媒体报道，男星贺军翔今年6月无预警宣布结婚，并直接晒出女儿“美宝”照片，升格人夫人父，但今（29日）他却被媒体拍到和张勋杰以及一群辣妹等友人在KTV夜唱，并指他和女团“Ciao俏女孩”团长“波波蓁”陈柏蓁互动密切。对此，陈柏蓁经纪人做出回应，贺军翔也发声明怒澄清。一看到被报道和陈柏蓁暧昧，贺军翔就响应内容是空穴来风，并强调出门都会跟太太报备，稍早更发声明，表示周刊的不实报导已造成外..

新三板改革箭在弦上 监管部门将多举措提高新三板流动性摘要 【新三板改革箭在弦上 监管部门将多举措提高新三板流动性】业内人士认为，随着监管层对新三板市场的不断摸索，发展问题如何解决的思路正日益清晰明确。可以预期，监管部门将多措并举提高新三板流动性，提振市场信心。 　　曾经十分活跃、被寄予厚望的新三板市场近期却面临种种诟病，改革呼声渐高。近日，记者了解到，市场高度关注..

25年来首次！美国商务部自行发起对华“双反”调查中国证券网讯 新华社29日消息，美国商务部28日自行发起针对从中国进口的普通合金铝板反倾销和反补贴（双反）调查，这也是美国时隔超过25年以来首次自行发起类似调查。美国商务部当天宣布，对进口自中国的普通合金铝板自行发起“双反”调查。所谓自行发起，是指美国商务部在国内产业没有提出申诉的前提下主动发起调查。根据美国《1930年关税法》，美国商务部有权自行发起调查，但历史上美国商务部很少动用这一权力。美国上一次自..

不再屈居台北市长？柯文哲志在大位迹象愈来愈明显原标题：不再屈居台北市长？柯文哲志在大位迹象愈来愈明显据香港中评社报道，台湾地区最近一份民调显示，无党籍台北市长柯文哲在台北市的信任指数及不信任指数是旗鼓相当，柯文哲28日被问及此事未多作诠释，却自己拉高到全台民调来看，直说感受到自己在其他县市民调都比台北高，是距离的“美感”。2018地方选举脚步逼近，各路好手都关注自己选区选情，力拼连任的柯文哲却注意其他县市选民对他的看法，明显透露整个选战策略，已从..

为优麒麟打call，18.04LTS将迎来新起点！原标题：为优麒麟打call，18.04LTS将迎来新起点！ 随着17.10发布活动的结束，优麒麟(Ubuntu Kylin)团队加快进入下一个长线支持版本18.04的研发周期。自2013 年 4 月首次发布以来，优麒麟已经发布10个版本，得到了全球尤其是中国用户的喜爱。截止日前，仅其官网点击下载量已突破 1600 万次(不包括其他链接和共享镜像的下载)。这对于操作系统市场占有率不足1%的Linux操作系统来说，已经是非常可观的数据，也在一定程度上反..

英特尔大危机：博通猎取高通意在服务器芯片市场近日，博通正式提出以每股60美元现金加10美元股票的价格收购高通。两天后，在考虑博通报价期间，高通也宣布了Centriq 2400系列ARM服务器芯片的首批“商业发货”。11月13日，高通董事会一致否决了博通的收购方案。实际上，这三件事之间有着紧密关联。博通注意到，收购高通将带来进军服务器市场的机会。为此，该公司采取了行动。然而，博通的动作很可能已然太晚。由于成本优势和能耗优势，业内普遍认为，在数据中心处理器市场ARM..

爱普生发布新一代AR智能眼镜，画质清晰交互更流畅！原标题：爱普生发布新一代AR智能眼镜，画质清晰交互更流畅！ 近日，爱普生发布了主题为“集智入微”（It’s in the details）的亚洲 B2B 品牌传播活动，这次活动上展示了爱普生在喷墨打印、视觉交流、机器人、可穿戴四大领域的创新产品，其中，爱普生正式发布了第三代体型小巧、佩戴舒适、图像清晰的 AR 智能眼镜 BT-300、BT-350。 【AR 智能眼镜 BT-350】 BT-300/350 采用硅晶 OLED 光学显示技术，大大减小..