陶源 公安部信息安全等級保護評估中心副研究員

　　主要介紹的內(nèi)容分為三部分：網(wǎng)絡(luò)安全等級保護、物聯(lián)網(wǎng)安全要求解讀、物聯(lián)網(wǎng)安全等級保護應(yīng)用實踐。

　　網(wǎng)絡(luò)安全等級保護

　　從1994年發(fā)布了147號令，明確了計算機信息系統(tǒng)實行安全等級保護，因此我們當(dāng)時認(rèn)為這是等級保護1.0，當(dāng)時是叫信息安全等級保護。經(jīng)過25年的發(fā)展，等級保護也是進入了2.0時代，是以2017年7月1號正式實施的《網(wǎng)絡(luò)安全法》為標(biāo)志，在《網(wǎng)絡(luò)安全法》第21條里面明確了國家實行網(wǎng)絡(luò)安全等級保護制度，第31條是明確了管理信息基礎(chǔ)設(shè)施是在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上實行重點保護。因此我們認(rèn)為《網(wǎng)絡(luò)安全法》是標(biāo)志著等級保護進入2.0時代。同時，在今年5月10號，等級保護2.0的三個核心標(biāo)準(zhǔn)，分別是22239、28448、25070這三個核心標(biāo)準(zhǔn)分別是機構(gòu)要求、測評要求、設(shè)計要求，這三個標(biāo)準(zhǔn)的正式發(fā)布，也標(biāo)志著等級保護2.0標(biāo)準(zhǔn)的落地和實施。

　　我們首先對等級保護2239進行闡述，等級保護的基本要求可以說叫做1+N，一個新系統(tǒng)究竟是等級保護基本要求的哪幾個內(nèi)容？我們是要1+N。如果這個論壇是物聯(lián)網(wǎng)論壇，如果這個系統(tǒng)使用了物聯(lián)網(wǎng)技術(shù)，我們認(rèn)為應(yīng)該是安全通用要求+物聯(lián)網(wǎng)安全拓展要求。如果這個新系統(tǒng)采用了云計算技術(shù)，又采用了物聯(lián)網(wǎng)技術(shù)，同時又采用了移動互聯(lián)技術(shù)，那么就是1+3，安全通用要求+移動互聯(lián)要求+物聯(lián)網(wǎng)拓展要求，同時再加云計算拓展要求。我這個主要是對物聯(lián)網(wǎng)拓展要求進行闡述。物聯(lián)網(wǎng)拓展要求包括了4個層面、8個控制點、20個測評項在PPT上有顯示，后面是安全物理環(huán)境、安全區(qū)域邊界、安全計算環(huán)境、安全運維管理。

　　在介紹之前先闡述一下術(shù)語和定義，物聯(lián)網(wǎng)將感知節(jié)點設(shè)備通過互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接起來構(gòu)成的系統(tǒng)，就是說我們保護的對象是一個系統(tǒng)，而不是單獨的一張網(wǎng)。另外還有兩個概念：感知節(jié)點設(shè)備和網(wǎng)關(guān)節(jié)點設(shè)備。在2239里面定義感知節(jié)點設(shè)備是對物或環(huán)境進行信息采集和執(zhí)行操作，并能聯(lián)網(wǎng)進行通信的裝置，我們叫做感知終端，定義為感知節(jié)點設(shè)備。另外一個叫做網(wǎng)關(guān)節(jié)點設(shè)備，這個在有一些標(biāo)準(zhǔn)里面定義為物聯(lián)網(wǎng)網(wǎng)關(guān)，實際上是將感知節(jié)點所采集的數(shù)據(jù)進行匯總適當(dāng)處理所形成并行轉(zhuǎn)發(fā)的裝置。所以說有時候大家在看標(biāo)準(zhǔn)的時候，可能這個對應(yīng)的是感知終端，這個對應(yīng)的就是物聯(lián)網(wǎng)網(wǎng)關(guān)。

　　2239里面我們也是借鑒了傳統(tǒng)的物聯(lián)網(wǎng)三層架構(gòu)：感知層、網(wǎng)絡(luò)傳輸層、應(yīng)用層。一般來說感知層主要是物聯(lián)網(wǎng)有的最多，而處理應(yīng)用層和網(wǎng)絡(luò)傳輸層一般來說還是使用2239里面的安全通用要求，一般來說的話如果像應(yīng)用層里面有時候會使用云平臺的技術(shù)，一般來說是安全通用要求+云拓展要求，正常來說一般認(rèn)為是安全通用要求為主優(yōu)勢。感知層履行系統(tǒng)要求2239里面的物聯(lián)網(wǎng)安全拓展優(yōu)勢。

　　在介紹物聯(lián)網(wǎng)基本要求之前先介紹物聯(lián)網(wǎng)的特點，我們歸納為四個特點。

　　第一個，大量終端。很多平安城市，或者是雪亮工程往往擁有大量的攝像頭優(yōu)勢，像智能農(nóng)業(yè)和礦山等等也是用了大量海量的物聯(lián)網(wǎng)終端優(yōu)勢，同時考慮到物聯(lián)網(wǎng)的成本低廉，一般來說使用的算法，或者是通信協(xié)議叫做輕量級的加密算法，或者輕量級的計算資源優(yōu)勢。另外一種，物聯(lián)網(wǎng)的通信協(xié)議特別多樣，短距離通信協(xié)議包括像Zigbee、藍牙、WIFI、RFID等通信短距離協(xié)議。物聯(lián)網(wǎng)最重要的特點為了解放人類，一般叫做無人監(jiān)管、無人職守，許多物聯(lián)網(wǎng)的感知終端，或者感知節(jié)點是散落在無人職守區(qū)域，信息傳輸肯定還是需要受到安全保護的。物聯(lián)網(wǎng)我們歸納因為，正因為它有這四種特點，所以說物聯(lián)網(wǎng)的擴展要求一般圍繞這四個特點和相應(yīng)的威脅進行展開和保護的優(yōu)勢。

　　這是一些常見的物聯(lián)網(wǎng)終端，像視頻監(jiān)控設(shè)備、視頻監(jiān)控資源、無人職守停車收費系統(tǒng)、智能電網(wǎng)。另外，像心臟起搏器等等醫(yī)療設(shè)備他們也認(rèn)為是物聯(lián)網(wǎng)設(shè)備。

　　我們現(xiàn)在對于物聯(lián)網(wǎng)安全相關(guān)內(nèi)容進行簡介。講之前我們先提一下，安全的進步是由重大的安全事件所推動。在所有場合一般提到物聯(lián)網(wǎng)就會提到美國東海岸的Mirai病毒，2016年第一次大規(guī)模爆發(fā)，控制攝像頭導(dǎo)致DDoS攻擊，當(dāng)時是國內(nèi)知名的廠商，中國有五個部委讓知名的廠商寫原因分析，當(dāng)時我們分析了一下，當(dāng)時是把攝像頭的弱口令改掉，不要用弱口令和默認(rèn)口令就會解決很多問題。我當(dāng)時也跟這個廠商工程師溝通了一下，他說實際上量特別大，如果一個城市級的攝像頭，改量特別慢，他們也研發(fā)新的設(shè)備，比如可以用批量的方式對物聯(lián)網(wǎng)的終端，或者叫做攝像頭批量修改口令?，F(xiàn)在很多單位在做網(wǎng)絡(luò)空間設(shè)備，很多大量的攝像頭在網(wǎng)上分布，直接可以用默認(rèn)口令、弱口令就可以探測到，并且獲取相應(yīng)的資源監(jiān)控優(yōu)勢。

　　我們結(jié)合這個Mirai病毒舉四個物聯(lián)網(wǎng)安全要求進行分析。首先看一下安全物理環(huán)境的感知節(jié)點設(shè)備物理防護，我們看到是L3-ABS4-02，這是我們撰寫28448測評要求里面的單元測評項，L3是表示第三級，ABS是安全物理環(huán)境的縮寫，4代表了物聯(lián)網(wǎng)的序號，擴展要求標(biāo)注為4，安全通知要求為1，-02是表示在物理環(huán)境里面第二個要求項。我們看一下，感知節(jié)點設(shè)備在所處的工作環(huán)境應(yīng)能正確反映狀態(tài)，里面有一個假設(shè)（溫濕度傳感器不能安裝在陽光直射區(qū)域），這個我們要求解讀是因為這個安全要求是為了防止感知節(jié)點設(shè)備所處的物理環(huán)境，或者是安裝錯誤導(dǎo)致采集到錯誤信息，或者采集不到信息。當(dāng)時寫這個要求項的時候是借鑒智慧農(nóng)業(yè)，因為在智慧農(nóng)業(yè)里面很多溫濕度傳感器是要采集農(nóng)場里面的溫度、濕度，如果在陽光直射的情況下取得的數(shù)值并不是最準(zhǔn)的優(yōu)勢。所以說當(dāng)時的測評方法是分析兩條，第一個是檢查感知節(jié)點設(shè)備所處物理環(huán)境，或者是是否具有感知設(shè)備在工作狀態(tài)時的物理說明是否與實質(zhì)情況一致。第二個是核查感知節(jié)點設(shè)備在工作狀態(tài)所處物理環(huán)境是否能正確反映狀態(tài)，例如像溫濕度傳感器不能安裝在陽光直射的區(qū)域。

　　下面我們看一個安全區(qū)域邊界這里面的要求項是叫入侵防范，這個入侵防范是應(yīng)能夠限制與感知節(jié)點通信的目標(biāo)地址，以避免對陌生地址的攻擊行為。這個我們對感知節(jié)點，或者叫感知終端、攝像頭，目標(biāo)地址進行限制，防止攻陷后參與DDoS攻擊。比如我們在物聯(lián)網(wǎng)網(wǎng)關(guān)上對它的抵制進行控制的話，這樣即使攻陷了要發(fā)生DDoS攻擊的話也是難度很大的。當(dāng)時檢測的方法主要還是通過核查它的設(shè)備文檔，同時對于設(shè)備進行相應(yīng)的檢測，當(dāng)時考慮到實際情況提出來對它進行生物測試，看看是否能夠限制感知節(jié)點設(shè)備對于違法訪問控制策略的通信地址進行相應(yīng)的訪問，或者攻擊優(yōu)勢。

　　下面我們來看一個安全計算環(huán)境的要求項，我們這個要求是抗數(shù)據(jù)重放里面提出來的要求項，這個要求項是要求能夠鑒別數(shù)據(jù)的新鮮性，避免歷史數(shù)據(jù)的重放攻擊。這個數(shù)據(jù)新鮮性是物聯(lián)網(wǎng)里面所特有的一個詞，它實際上是指對接收的歷史數(shù)據(jù)，或者超出時限的數(shù)據(jù)進行識別的特性，一般來說通過計算、時間戳、計數(shù)器提供數(shù)據(jù)新鮮性的保護優(yōu)勢，因為物聯(lián)網(wǎng)終端畢竟是輕量級的終端優(yōu)勢，如果用加密算法可能更好，但是因為它是輕量級的計算資源，所以一般來說還是用時間戳，或者計數(shù)器比較多一點。這個主要作用是防止非法替換一些數(shù)據(jù)，舉個例子是在聯(lián)網(wǎng)監(jiān)控視頻系統(tǒng)里面，如果替換視頻監(jiān)控，如果有時間戳和計數(shù)器就可以判斷感知攝像頭和感知階段終端被控制住了，是否可以避免歷史數(shù)據(jù)的重放攻擊。第二個方法就是把一些歷史數(shù)據(jù)進行抓包進行重放，看看是不是可以有效的保護它。

　　下面舉一個安全項，這個是安全運維層面的。安全運維層面要求指定人員定期巡視感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備的部署環(huán)境，對可能影響感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備正常工作的環(huán)境異常進行記錄和維護。我們之前提過物聯(lián)網(wǎng)最大的優(yōu)勢是解放人力，是部署在無人職守的環(huán)境中，在無人職守的環(huán)境中有可能被非法關(guān)閉、物理損壞，一方面一些數(shù)據(jù)損壞采集了，另一方面被惡意人員，或者非法攻擊者物理進行相應(yīng)的偽造和攻擊，我們提出來是在物聯(lián)網(wǎng)系統(tǒng)里面有人員定期進行巡檢。這個測評方法主要是網(wǎng)關(guān)系統(tǒng)是否有專門的人員對感知節(jié)點、網(wǎng)關(guān)節(jié)點進行定期維護，由哪些人進行維護的，維護周期是多長？還有一個是說我們也是核查維護記錄，一般來說如果有維護記錄像維護日期、維護人、維護設(shè)備、故障原因、維護結(jié)果這方面內(nèi)容看看是否有詳細(xì)記錄。

　　下面我們看一下視頻聯(lián)網(wǎng)攝像頭的一些等級保護實踐。

　　分析一個系統(tǒng)看看它存在哪些風(fēng)險，我們看一下在視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)里面，因為設(shè)備數(shù)量多，同時24小時在線，攝像頭防護資源特別輕量級，很多時候成為不法分子的目標(biāo)，可以通過弱口令和其他系統(tǒng)漏洞實施相應(yīng)的不法行為，如果攝像頭、聯(lián)網(wǎng)系統(tǒng)監(jiān)控系統(tǒng)被攻陷之后，我們分析了一下一般有以下幾個：監(jiān)控視頻泄露、視頻安防監(jiān)控功能失效、成為攻擊跳板，另外還有產(chǎn)品功能缺失等等。之前我們也是和單位合作，做一些網(wǎng)絡(luò)空間資源測算，在這里面搜索了大量的攝像頭，可以選的是默認(rèn)口令，直接可以用一些簡單的字節(jié)可以進去，進去之后攝像頭所能監(jiān)測的數(shù)據(jù)我們能夠監(jiān)測到。攝像頭不僅是你自己在監(jiān)控，也可能成為別人通過攝像頭監(jiān)控你，或者監(jiān)控你的單位。如果是視頻安防監(jiān)控功能失效的話后果也很嚴(yán)重，事后取證，或者是視頻資源沒有保存好，或者是丟失，或者是沒有錄存，一旦發(fā)生一些法律糾紛再調(diào)取錄像發(fā)現(xiàn)沒有相應(yīng)的視頻也很麻煩。成為攻擊跳板最典型的例子是美國的Mirai病毒，當(dāng)時爆發(fā)成為大規(guī)模的DDoS攻擊。

　　下面看一下對于物聯(lián)網(wǎng)聯(lián)網(wǎng)監(jiān)控系統(tǒng)的等級保護定級要求，我們可以分一下等級保護對象，以前叫做定級對象，進入等級保護2.0時代，保護對象不僅是網(wǎng)絡(luò)、信息系統(tǒng)，同時還有云計算、物聯(lián)網(wǎng)、工控系統(tǒng)，所以我們統(tǒng)一改名叫做等級保護對象。在視頻聯(lián)網(wǎng)里面，等級保護對象分為了三個：視頻監(jiān)控網(wǎng)絡(luò)、視頻監(jiān)控設(shè)備、視頻監(jiān)控資源。視頻監(jiān)控網(wǎng)絡(luò)主要是對視頻進行應(yīng)用聯(lián)網(wǎng)，如果被攻陷，或者受到破壞我們認(rèn)為受侵害的客體是公民、法人和其他組織的合法權(quán)益。視頻監(jiān)控設(shè)備主要是對視頻圖像錄制，一般來說有可能隨著平安城市、雪亮工程的建設(shè)它的量非常大，分布非常廣泛，它受到侵害的客體包括社會秩序、公共利益都會受到損傷。視頻監(jiān)控資源更為敏感，涉及到敏感信息數(shù)據(jù)量巨大，如果受到泄露和破壞的話，有可能會危害到國家安全。視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)如果在定級的時候如果是城市級的視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)，一般來說級別不會低于三級。

　　如果目前安全防護主要使用2239-2019，這里面使用的安全通用要求，像物聯(lián)網(wǎng)安全拓展要求就是。同時，安全防護的關(guān)注點主要關(guān)注這些內(nèi)容，最主要的是前端資產(chǎn)不清，因為項目分布太廣、量太大，如果沒有統(tǒng)一的管理和規(guī)范的話，大量的攝像頭，或者是分布太多，資產(chǎn)不清，另外還有弱口令、非法替換、身份假冒等等這些特點，所以說在做視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)安全保護的時候關(guān)注點主要是從這些地方開始進行防護和加固，同時要防止數(shù)據(jù)泄露。

　　習(xí)主席曾經(jīng)說過沒有網(wǎng)絡(luò)安全就沒有國家安全，但是沒有網(wǎng)絡(luò)安全的保障就難以實現(xiàn)網(wǎng)絡(luò)強國的戰(zhàn)略目標(biāo)。所以說我們希望基于等級保護構(gòu)建我國關(guān)鍵信息基礎(chǔ)設(shè)施的保障體系，為數(shù)字中國保駕護航。