陶源 公安部信息安全等級保護評估中心副研究員

　　主要介紹的內容分為三部分：網絡安全等級保護、物聯網安全要求解讀、物聯網安全等級保護應用實踐。

　　網絡安全等級保護

　　從1994年發(fā)布了147號令，明確了計算機信息系統實行安全等級保護，因此我們當時認為這是等級保護1.0，當時是叫信息安全等級保護。經過25年的發(fā)展，等級保護也是進入了2.0時代，是以2017年7月1號正式實施的《網絡安全法》為標志，在《網絡安全法》第21條里面明確了國家實行網絡安全等級保護制度，第31條是明確了管理信息基礎設施是在網絡安全等級保護制度的基礎上實行重點保護。因此我們認為《網絡安全法》是標志著等級保護進入2.0時代。同時，在今年5月10號，等級保護2.0的三個核心標準，分別是22239、28448、25070這三個核心標準分別是機構要求、測評要求、設計要求，這三個標準的正式發(fā)布，也標志著等級保護2.0標準的落地和實施。

　　我們首先對等級保護2239進行闡述，等級保護的基本要求可以說叫做1+N，一個新系統究竟是等級保護基本要求的哪幾個內容？我們是要1+N。如果這個論壇是物聯網論壇，如果這個系統使用了物聯網技術，我們認為應該是安全通用要求+物聯網安全拓展要求。如果這個新系統采用了云計算技術，又采用了物聯網技術，同時又采用了移動互聯技術，那么就是1+3，安全通用要求+移動互聯要求+物聯網拓展要求，同時再加云計算拓展要求。我這個主要是對物聯網拓展要求進行闡述。物聯網拓展要求包括了4個層面、8個控制點、20個測評項在PPT上有顯示，后面是安全物理環(huán)境、安全區(qū)域邊界、安全計算環(huán)境、安全運維管理。

　　在介紹之前先闡述一下術語和定義，物聯網將感知節(jié)點設備通過互聯網等網絡連接起來構成的系統，就是說我們保護的對象是一個系統，而不是單獨的一張網。另外還有兩個概念：感知節(jié)點設備和網關節(jié)點設備。在2239里面定義感知節(jié)點設備是對物或環(huán)境進行信息采集和執(zhí)行操作，并能聯網進行通信的裝置，我們叫做感知終端，定義為感知節(jié)點設備。另外一個叫做網關節(jié)點設備，這個在有一些標準里面定義為物聯網網關，實際上是將感知節(jié)點所采集的數據進行匯總適當處理所形成并行轉發(fā)的裝置。所以說有時候大家在看標準的時候，可能這個對應的是感知終端，這個對應的就是物聯網網關。

　　2239里面我們也是借鑒了傳統的物聯網三層架構：感知層、網絡傳輸層、應用層。一般來說感知層主要是物聯網有的最多，而處理應用層和網絡傳輸層一般來說還是使用2239里面的安全通用要求，一般來說的話如果像應用層里面有時候會使用云平臺的技術，一般來說是安全通用要求+云拓展要求，正常來說一般認為是安全通用要求為主優(yōu)勢。感知層履行系統要求2239里面的物聯網安全拓展優(yōu)勢。

　　在介紹物聯網基本要求之前先介紹物聯網的特點，我們歸納為四個特點。

　　第一個，大量終端。很多平安城市，或者是雪亮工程往往擁有大量的攝像頭優(yōu)勢，像智能農業(yè)和礦山等等也是用了大量海量的物聯網終端優(yōu)勢，同時考慮到物聯網的成本低廉，一般來說使用的算法，或者是通信協議叫做輕量級的加密算法，或者輕量級的計算資源優(yōu)勢。另外一種，物聯網的通信協議特別多樣，短距離通信協議包括像Zigbee、藍牙、WIFI、RFID等通信短距離協議。物聯網最重要的特點為了解放人類，一般叫做無人監(jiān)管、無人職守，許多物聯網的感知終端，或者感知節(jié)點是散落在無人職守區(qū)域，信息傳輸肯定還是需要受到安全保護的。物聯網我們歸納因為，正因為它有這四種特點，所以說物聯網的擴展要求一般圍繞這四個特點和相應的威脅進行展開和保護的優(yōu)勢。

　　這是一些常見的物聯網終端，像視頻監(jiān)控設備、視頻監(jiān)控資源、無人職守停車收費系統、智能電網。另外，像心臟起搏器等等醫(yī)療設備他們也認為是物聯網設備。

　　我們現在對于物聯網安全相關內容進行簡介。講之前我們先提一下，安全的進步是由重大的安全事件所推動。在所有場合一般提到物聯網就會提到美國東海岸的Mirai病毒，2016年第一次大規(guī)模爆發(fā)，控制攝像頭導致DDoS攻擊，當時是國內知名的廠商，中國有五個部委讓知名的廠商寫原因分析，當時我們分析了一下，當時是把攝像頭的弱口令改掉，不要用弱口令和默認口令就會解決很多問題。我當時也跟這個廠商工程師溝通了一下，他說實際上量特別大，如果一個城市級的攝像頭，改量特別慢，他們也研發(fā)新的設備，比如可以用批量的方式對物聯網的終端，或者叫做攝像頭批量修改口令。現在很多單位在做網絡空間設備，很多大量的攝像頭在網上分布，直接可以用默認口令、弱口令就可以探測到，并且獲取相應的資源監(jiān)控優(yōu)勢。

　　我們結合這個Mirai病毒舉四個物聯網安全要求進行分析。首先看一下安全物理環(huán)境的感知節(jié)點設備物理防護，我們看到是L3-ABS4-02，這是我們撰寫28448測評要求里面的單元測評項，L3是表示第三級，ABS是安全物理環(huán)境的縮寫，4代表了物聯網的序號，擴展要求標注為4，安全通知要求為1，-02是表示在物理環(huán)境里面第二個要求項。我們看一下，感知節(jié)點設備在所處的工作環(huán)境應能正確反映狀態(tài)，里面有一個假設（溫濕度傳感器不能安裝在陽光直射區(qū)域），這個我們要求解讀是因為這個安全要求是為了防止感知節(jié)點設備所處的物理環(huán)境，或者是安裝錯誤導致采集到錯誤信息，或者采集不到信息。當時寫這個要求項的時候是借鑒智慧農業(yè)，因為在智慧農業(yè)里面很多溫濕度傳感器是要采集農場里面的溫度、濕度，如果在陽光直射的情況下取得的數值并不是最準的優(yōu)勢。所以說當時的測評方法是分析兩條，第一個是檢查感知節(jié)點設備所處物理環(huán)境，或者是是否具有感知設備在工作狀態(tài)時的物理說明是否與實質情況一致。第二個是核查感知節(jié)點設備在工作狀態(tài)所處物理環(huán)境是否能正確反映狀態(tài)，例如像溫濕度傳感器不能安裝在陽光直射的區(qū)域。

　　下面我們看一個安全區(qū)域邊界這里面的要求項是叫入侵防范，這個入侵防范是應能夠限制與感知節(jié)點通信的目標地址，以避免對陌生地址的攻擊行為。這個我們對感知節(jié)點，或者叫感知終端、攝像頭，目標地址進行限制，防止攻陷后參與DDoS攻擊。比如我們在物聯網網關上對它的抵制進行控制的話，這樣即使攻陷了要發(fā)生DDoS攻擊的話也是難度很大的。當時檢測的方法主要還是通過核查它的設備文檔，同時對于設備進行相應的檢測，當時考慮到實際情況提出來對它進行生物測試，看看是否能夠限制感知節(jié)點設備對于違法訪問控制策略的通信地址進行相應的訪問，或者攻擊優(yōu)勢。

　　下面我們來看一個安全計算環(huán)境的要求項，我們這個要求是抗數據重放里面提出來的要求項，這個要求項是要求能夠鑒別數據的新鮮性，避免歷史數據的重放攻擊。這個數據新鮮性是物聯網里面所特有的一個詞，它實際上是指對接收的歷史數據，或者超出時限的數據進行識別的特性，一般來說通過計算、時間戳、計數器提供數據新鮮性的保護優(yōu)勢，因為物聯網終端畢竟是輕量級的終端優(yōu)勢，如果用加密算法可能更好，但是因為它是輕量級的計算資源，所以一般來說還是用時間戳，或者計數器比較多一點。這個主要作用是防止非法替換一些數據，舉個例子是在聯網監(jiān)控視頻系統里面，如果替換視頻監(jiān)控，如果有時間戳和計數器就可以判斷感知攝像頭和感知階段終端被控制住了，是否可以避免歷史數據的重放攻擊。第二個方法就是把一些歷史數據進行抓包進行重放，看看是不是可以有效的保護它。

　　下面舉一個安全項，這個是安全運維層面的。安全運維層面要求指定人員定期巡視感知節(jié)點設備、網關節(jié)點設備的部署環(huán)境，對可能影響感知節(jié)點設備、網關節(jié)點設備正常工作的環(huán)境異常進行記錄和維護。我們之前提過物聯網最大的優(yōu)勢是解放人力，是部署在無人職守的環(huán)境中，在無人職守的環(huán)境中有可能被非法關閉、物理損壞，一方面一些數據損壞采集了，另一方面被惡意人員，或者非法攻擊者物理進行相應的偽造和攻擊，我們提出來是在物聯網系統里面有人員定期進行巡檢。這個測評方法主要是網關系統是否有專門的人員對感知節(jié)點、網關節(jié)點進行定期維護，由哪些人進行維護的，維護周期是多長？還有一個是說我們也是核查維護記錄，一般來說如果有維護記錄像維護日期、維護人、維護設備、故障原因、維護結果這方面內容看看是否有詳細記錄。

　　下面我們看一下視頻聯網攝像頭的一些等級保護實踐。

　　分析一個系統看看它存在哪些風險，我們看一下在視頻聯網監(jiān)控系統里面，因為設備數量多，同時24小時在線，攝像頭防護資源特別輕量級，很多時候成為不法分子的目標，可以通過弱口令和其他系統漏洞實施相應的不法行為，如果攝像頭、聯網系統監(jiān)控系統被攻陷之后，我們分析了一下一般有以下幾個：監(jiān)控視頻泄露、視頻安防監(jiān)控功能失效、成為攻擊跳板，另外還有產品功能缺失等等。之前我們也是和單位合作，做一些網絡空間資源測算，在這里面搜索了大量的攝像頭，可以選的是默認口令，直接可以用一些簡單的字節(jié)可以進去，進去之后攝像頭所能監(jiān)測的數據我們能夠監(jiān)測到。攝像頭不僅是你自己在監(jiān)控，也可能成為別人通過攝像頭監(jiān)控你，或者監(jiān)控你的單位。如果是視頻安防監(jiān)控功能失效的話后果也很嚴重，事后取證，或者是視頻資源沒有保存好，或者是丟失，或者是沒有錄存，一旦發(fā)生一些法律糾紛再調取錄像發(fā)現沒有相應的視頻也很麻煩。成為攻擊跳板最典型的例子是美國的Mirai病毒，當時爆發(fā)成為大規(guī)模的DDoS攻擊。

　　下面看一下對于物聯網聯網監(jiān)控系統的等級保護定級要求，我們可以分一下等級保護對象，以前叫做定級對象，進入等級保護2.0時代，保護對象不僅是網絡、信息系統，同時還有云計算、物聯網、工控系統，所以我們統一改名叫做等級保護對象。在視頻聯網里面，等級保護對象分為了三個：視頻監(jiān)控網絡、視頻監(jiān)控設備、視頻監(jiān)控資源。視頻監(jiān)控網絡主要是對視頻進行應用聯網，如果被攻陷，或者受到破壞我們認為受侵害的客體是公民、法人和其他組織的合法權益。視頻監(jiān)控設備主要是對視頻圖像錄制，一般來說有可能隨著平安城市、雪亮工程的建設它的量非常大，分布非常廣泛，它受到侵害的客體包括社會秩序、公共利益都會受到損傷。視頻監(jiān)控資源更為敏感，涉及到敏感信息數據量巨大，如果受到泄露和破壞的話，有可能會危害到國家安全。視頻聯網監(jiān)控系統如果在定級的時候如果是城市級的視頻聯網監(jiān)控系統，一般來說級別不會低于三級。

　　如果目前安全防護主要使用2239-2019，這里面使用的安全通用要求，像物聯網安全拓展要求就是。同時，安全防護的關注點主要關注這些內容，最主要的是前端資產不清，因為項目分布太廣、量太大，如果沒有統一的管理和規(guī)范的話，大量的攝像頭，或者是分布太多，資產不清，另外還有弱口令、非法替換、身份假冒等等這些特點，所以說在做視頻聯網監(jiān)控系統安全保護的時候關注點主要是從這些地方開始進行防護和加固，同時要防止數據泄露。

　　習主席曾經說過沒有網絡安全就沒有國家安全，但是沒有網絡安全的保障就難以實現網絡強國的戰(zhàn)略目標。所以說我們希望基于等級保護構建我國關鍵信息基礎設施的保障體系，為數字中國保駕護航。