陶源 公安部信息安全等級(jí)保護(hù)評(píng)估中心副研究員

　　主要介紹的內(nèi)容分為三部分：網(wǎng)絡(luò)安全等級(jí)保護(hù)、物聯(lián)網(wǎng)安全要求解讀、物聯(lián)網(wǎng)安全等級(jí)保護(hù)應(yīng)用實(shí)踐。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)

　　從1994年發(fā)布了147號(hào)令，明確了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，因此我們當(dāng)時(shí)認(rèn)為這是等級(jí)保護(hù)1.0，當(dāng)時(shí)是叫信息安全等級(jí)保護(hù)。經(jīng)過(guò)25年的發(fā)展，等級(jí)保護(hù)也是進(jìn)入了2.0時(shí)代，是以2017年7月1號(hào)正式實(shí)施的《網(wǎng)絡(luò)安全法》為標(biāo)志，在《網(wǎng)絡(luò)安全法》第21條里面明確了國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，第31條是明確了管理信息基礎(chǔ)設(shè)施是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)。因此我們認(rèn)為《網(wǎng)絡(luò)安全法》是標(biāo)志著等級(jí)保護(hù)進(jìn)入2.0時(shí)代。同時(shí)，在今年5月10號(hào)，等級(jí)保護(hù)2.0的三個(gè)核心標(biāo)準(zhǔn)，分別是22239、28448、25070這三個(gè)核心標(biāo)準(zhǔn)分別是機(jī)構(gòu)要求、測(cè)評(píng)要求、設(shè)計(jì)要求，這三個(gè)標(biāo)準(zhǔn)的正式發(fā)布，也標(biāo)志著等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的落地和實(shí)施。

　　我們首先對(duì)等級(jí)保護(hù)2239進(jìn)行闡述，等級(jí)保護(hù)的基本要求可以說(shuō)叫做1+N，一個(gè)新系統(tǒng)究竟是等級(jí)保護(hù)基本要求的哪幾個(gè)內(nèi)容？我們是要1+N。如果這個(gè)論壇是物聯(lián)網(wǎng)論壇，如果這個(gè)系統(tǒng)使用了物聯(lián)網(wǎng)技術(shù)，我們認(rèn)為應(yīng)該是安全通用要求+物聯(lián)網(wǎng)安全拓展要求。如果這個(gè)新系統(tǒng)采用了云計(jì)算技術(shù)，又采用了物聯(lián)網(wǎng)技術(shù)，同時(shí)又采用了移動(dòng)互聯(lián)技術(shù)，那么就是1+3，安全通用要求+移動(dòng)互聯(lián)要求+物聯(lián)網(wǎng)拓展要求，同時(shí)再加云計(jì)算拓展要求。我這個(gè)主要是對(duì)物聯(lián)網(wǎng)拓展要求進(jìn)行闡述。物聯(lián)網(wǎng)拓展要求包括了4個(gè)層面、8個(gè)控制點(diǎn)、20個(gè)測(cè)評(píng)項(xiàng)在PPT上有顯示，后面是安全物理環(huán)境、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全運(yùn)維管理。

　　在介紹之前先闡述一下術(shù)語(yǔ)和定義，物聯(lián)網(wǎng)將感知節(jié)點(diǎn)設(shè)備通過(guò)互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接起來(lái)構(gòu)成的系統(tǒng)，就是說(shuō)我們保護(hù)的對(duì)象是一個(gè)系統(tǒng)，而不是單獨(dú)的一張網(wǎng)。另外還有兩個(gè)概念：感知節(jié)點(diǎn)設(shè)備和網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備。在2239里面定義感知節(jié)點(diǎn)設(shè)備是對(duì)物或環(huán)境進(jìn)行信息采集和執(zhí)行操作，并能聯(lián)網(wǎng)進(jìn)行通信的裝置，我們叫做感知終端，定義為感知節(jié)點(diǎn)設(shè)備。另外一個(gè)叫做網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備，這個(gè)在有一些標(biāo)準(zhǔn)里面定義為物聯(lián)網(wǎng)網(wǎng)關(guān)，實(shí)際上是將感知節(jié)點(diǎn)所采集的數(shù)據(jù)進(jìn)行匯總適當(dāng)處理所形成并行轉(zhuǎn)發(fā)的裝置。所以說(shuō)有時(shí)候大家在看標(biāo)準(zhǔn)的時(shí)候，可能這個(gè)對(duì)應(yīng)的是感知終端，這個(gè)對(duì)應(yīng)的就是物聯(lián)網(wǎng)網(wǎng)關(guān)。

　　2239里面我們也是借鑒了傳統(tǒng)的物聯(lián)網(wǎng)三層架構(gòu)：感知層、網(wǎng)絡(luò)傳輸層、應(yīng)用層。一般來(lái)說(shuō)感知層主要是物聯(lián)網(wǎng)有的最多，而處理應(yīng)用層和網(wǎng)絡(luò)傳輸層一般來(lái)說(shuō)還是使用2239里面的安全通用要求，一般來(lái)說(shuō)的話如果像應(yīng)用層里面有時(shí)候會(huì)使用云平臺(tái)的技術(shù)，一般來(lái)說(shuō)是安全通用要求+云拓展要求，正常來(lái)說(shuō)一般認(rèn)為是安全通用要求為主優(yōu)勢(shì)。感知層履行系統(tǒng)要求2239里面的物聯(lián)網(wǎng)安全拓展優(yōu)勢(shì)。

　　在介紹物聯(lián)網(wǎng)基本要求之前先介紹物聯(lián)網(wǎng)的特點(diǎn)，我們歸納為四個(gè)特點(diǎn)。

　　第一個(gè)，大量終端。很多平安城市，或者是雪亮工程往往擁有大量的攝像頭優(yōu)勢(shì)，像智能農(nóng)業(yè)和礦山等等也是用了大量海量的物聯(lián)網(wǎng)終端優(yōu)勢(shì)，同時(shí)考慮到物聯(lián)網(wǎng)的成本低廉，一般來(lái)說(shuō)使用的算法，或者是通信協(xié)議叫做輕量級(jí)的加密算法，或者輕量級(jí)的計(jì)算資源優(yōu)勢(shì)。另外一種，物聯(lián)網(wǎng)的通信協(xié)議特別多樣，短距離通信協(xié)議包括像Zigbee、藍(lán)牙、WIFI、RFID等通信短距離協(xié)議。物聯(lián)網(wǎng)最重要的特點(diǎn)為了解放人類(lèi)，一般叫做無(wú)人監(jiān)管、無(wú)人職守，許多物聯(lián)網(wǎng)的感知終端，或者感知節(jié)點(diǎn)是散落在無(wú)人職守區(qū)域，信息傳輸肯定還是需要受到安全保護(hù)的。物聯(lián)網(wǎng)我們歸納因?yàn)?，正因?yàn)樗羞@四種特點(diǎn)，所以說(shuō)物聯(lián)網(wǎng)的擴(kuò)展要求一般圍繞這四個(gè)特點(diǎn)和相應(yīng)的威脅進(jìn)行展開(kāi)和保護(hù)的優(yōu)勢(shì)。

　　這是一些常見(jiàn)的物聯(lián)網(wǎng)終端，像視頻監(jiān)控設(shè)備、視頻監(jiān)控資源、無(wú)人職守停車(chē)收費(fèi)系統(tǒng)、智能電網(wǎng)。另外，像心臟起搏器等等醫(yī)療設(shè)備他們也認(rèn)為是物聯(lián)網(wǎng)設(shè)備。

　　我們現(xiàn)在對(duì)于物聯(lián)網(wǎng)安全相關(guān)內(nèi)容進(jìn)行簡(jiǎn)介。講之前我們先提一下，安全的進(jìn)步是由重大的安全事件所推動(dòng)。在所有場(chǎng)合一般提到物聯(lián)網(wǎng)就會(huì)提到美國(guó)東海岸的Mirai病毒，2016年第一次大規(guī)模爆發(fā)，控制攝像頭導(dǎo)致DDoS攻擊，當(dāng)時(shí)是國(guó)內(nèi)知名的廠商，中國(guó)有五個(gè)部委讓知名的廠商寫(xiě)原因分析，當(dāng)時(shí)我們分析了一下，當(dāng)時(shí)是把攝像頭的弱口令改掉，不要用弱口令和默認(rèn)口令就會(huì)解決很多問(wèn)題。我當(dāng)時(shí)也跟這個(gè)廠商工程師溝通了一下，他說(shuō)實(shí)際上量特別大，如果一個(gè)城市級(jí)的攝像頭，改量特別慢，他們也研發(fā)新的設(shè)備，比如可以用批量的方式對(duì)物聯(lián)網(wǎng)的終端，或者叫做攝像頭批量修改口令?，F(xiàn)在很多單位在做網(wǎng)絡(luò)空間設(shè)備，很多大量的攝像頭在網(wǎng)上分布，直接可以用默認(rèn)口令、弱口令就可以探測(cè)到，并且獲取相應(yīng)的資源監(jiān)控優(yōu)勢(shì)。

　　我們結(jié)合這個(gè)Mirai病毒舉四個(gè)物聯(lián)網(wǎng)安全要求進(jìn)行分析。首先看一下安全物理環(huán)境的感知節(jié)點(diǎn)設(shè)備物理防護(hù)，我們看到是L3-ABS4-02，這是我們撰寫(xiě)28448測(cè)評(píng)要求里面的單元測(cè)評(píng)項(xiàng)，L3是表示第三級(jí)，ABS是安全物理環(huán)境的縮寫(xiě)，4代表了物聯(lián)網(wǎng)的序號(hào)，擴(kuò)展要求標(biāo)注為4，安全通知要求為1，-02是表示在物理環(huán)境里面第二個(gè)要求項(xiàng)。我們看一下，感知節(jié)點(diǎn)設(shè)備在所處的工作環(huán)境應(yīng)能正確反映狀態(tài)，里面有一個(gè)假設(shè)（溫濕度傳感器不能安裝在陽(yáng)光直射區(qū)域），這個(gè)我們要求解讀是因?yàn)檫@個(gè)安全要求是為了防止感知節(jié)點(diǎn)設(shè)備所處的物理環(huán)境，或者是安裝錯(cuò)誤導(dǎo)致采集到錯(cuò)誤信息，或者采集不到信息。當(dāng)時(shí)寫(xiě)這個(gè)要求項(xiàng)的時(shí)候是借鑒智慧農(nóng)業(yè)，因?yàn)樵谥腔坜r(nóng)業(yè)里面很多溫濕度傳感器是要采集農(nóng)場(chǎng)里面的溫度、濕度，如果在陽(yáng)光直射的情況下取得的數(shù)值并不是最準(zhǔn)的優(yōu)勢(shì)。所以說(shuō)當(dāng)時(shí)的測(cè)評(píng)方法是分析兩條，第一個(gè)是檢查感知節(jié)點(diǎn)設(shè)備所處物理環(huán)境，或者是是否具有感知設(shè)備在工作狀態(tài)時(shí)的物理說(shuō)明是否與實(shí)質(zhì)情況一致。第二個(gè)是核查感知節(jié)點(diǎn)設(shè)備在工作狀態(tài)所處物理環(huán)境是否能正確反映狀態(tài)，例如像溫濕度傳感器不能安裝在陽(yáng)光直射的區(qū)域。

　　下面我們看一個(gè)安全區(qū)域邊界這里面的要求項(xiàng)是叫入侵防范，這個(gè)入侵防范是應(yīng)能夠限制與感知節(jié)點(diǎn)通信的目標(biāo)地址，以避免對(duì)陌生地址的攻擊行為。這個(gè)我們對(duì)感知節(jié)點(diǎn)，或者叫感知終端、攝像頭，目標(biāo)地址進(jìn)行限制，防止攻陷后參與DDoS攻擊。比如我們?cè)谖锫?lián)網(wǎng)網(wǎng)關(guān)上對(duì)它的抵制進(jìn)行控制的話，這樣即使攻陷了要發(fā)生DDoS攻擊的話也是難度很大的。當(dāng)時(shí)檢測(cè)的方法主要還是通過(guò)核查它的設(shè)備文檔，同時(shí)對(duì)于設(shè)備進(jìn)行相應(yīng)的檢測(cè)，當(dāng)時(shí)考慮到實(shí)際情況提出來(lái)對(duì)它進(jìn)行生物測(cè)試，看看是否能夠限制感知節(jié)點(diǎn)設(shè)備對(duì)于違法訪問(wèn)控制策略的通信地址進(jìn)行相應(yīng)的訪問(wèn)，或者攻擊優(yōu)勢(shì)。

　　下面我們來(lái)看一個(gè)安全計(jì)算環(huán)境的要求項(xiàng)，我們這個(gè)要求是抗數(shù)據(jù)重放里面提出來(lái)的要求項(xiàng)，這個(gè)要求項(xiàng)是要求能夠鑒別數(shù)據(jù)的新鮮性，避免歷史數(shù)據(jù)的重放攻擊。這個(gè)數(shù)據(jù)新鮮性是物聯(lián)網(wǎng)里面所特有的一個(gè)詞，它實(shí)際上是指對(duì)接收的歷史數(shù)據(jù)，或者超出時(shí)限的數(shù)據(jù)進(jìn)行識(shí)別的特性，一般來(lái)說(shuō)通過(guò)計(jì)算、時(shí)間戳、計(jì)數(shù)器提供數(shù)據(jù)新鮮性的保護(hù)優(yōu)勢(shì)，因?yàn)槲锫?lián)網(wǎng)終端畢竟是輕量級(jí)的終端優(yōu)勢(shì)，如果用加密算法可能更好，但是因?yàn)樗禽p量級(jí)的計(jì)算資源，所以一般來(lái)說(shuō)還是用時(shí)間戳，或者計(jì)數(shù)器比較多一點(diǎn)。這個(gè)主要作用是防止非法替換一些數(shù)據(jù)，舉個(gè)例子是在聯(lián)網(wǎng)監(jiān)控視頻系統(tǒng)里面，如果替換視頻監(jiān)控，如果有時(shí)間戳和計(jì)數(shù)器就可以判斷感知攝像頭和感知階段終端被控制住了，是否可以避免歷史數(shù)據(jù)的重放攻擊。第二個(gè)方法就是把一些歷史數(shù)據(jù)進(jìn)行抓包進(jìn)行重放，看看是不是可以有效的保護(hù)它。

　　下面舉一個(gè)安全項(xiàng)，這個(gè)是安全運(yùn)維層面的。安全運(yùn)維層面要求指定人員定期巡視感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備的部署環(huán)境，對(duì)可能影響感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備正常工作的環(huán)境異常進(jìn)行記錄和維護(hù)。我們之前提過(guò)物聯(lián)網(wǎng)最大的優(yōu)勢(shì)是解放人力，是部署在無(wú)人職守的環(huán)境中，在無(wú)人職守的環(huán)境中有可能被非法關(guān)閉、物理?yè)p壞，一方面一些數(shù)據(jù)損壞采集了，另一方面被惡意人員，或者非法攻擊者物理進(jìn)行相應(yīng)的偽造和攻擊，我們提出來(lái)是在物聯(lián)網(wǎng)系統(tǒng)里面有人員定期進(jìn)行巡檢。這個(gè)測(cè)評(píng)方法主要是網(wǎng)關(guān)系統(tǒng)是否有專(zhuān)門(mén)的人員對(duì)感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行定期維護(hù)，由哪些人進(jìn)行維護(hù)的，維護(hù)周期是多長(zhǎng)？還有一個(gè)是說(shuō)我們也是核查維護(hù)記錄，一般來(lái)說(shuō)如果有維護(hù)記錄像維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果這方面內(nèi)容看看是否有詳細(xì)記錄。

　　下面我們看一下視頻聯(lián)網(wǎng)攝像頭的一些等級(jí)保護(hù)實(shí)踐。

　　分析一個(gè)系統(tǒng)看看它存在哪些風(fēng)險(xiǎn)，我們看一下在視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)里面，因?yàn)樵O(shè)備數(shù)量多，同時(shí)24小時(shí)在線，攝像頭防護(hù)資源特別輕量級(jí)，很多時(shí)候成為不法分子的目標(biāo)，可以通過(guò)弱口令和其他系統(tǒng)漏洞實(shí)施相應(yīng)的不法行為，如果攝像頭、聯(lián)網(wǎng)系統(tǒng)監(jiān)控系統(tǒng)被攻陷之后，我們分析了一下一般有以下幾個(gè)：監(jiān)控視頻泄露、視頻安防監(jiān)控功能失效、成為攻擊跳板，另外還有產(chǎn)品功能缺失等等。之前我們也是和單位合作，做一些網(wǎng)絡(luò)空間資源測(cè)算，在這里面搜索了大量的攝像頭，可以選的是默認(rèn)口令，直接可以用一些簡(jiǎn)單的字節(jié)可以進(jìn)去，進(jìn)去之后攝像頭所能監(jiān)測(cè)的數(shù)據(jù)我們能夠監(jiān)測(cè)到。攝像頭不僅是你自己在監(jiān)控，也可能成為別人通過(guò)攝像頭監(jiān)控你，或者監(jiān)控你的單位。如果是視頻安防監(jiān)控功能失效的話后果也很?chē)?yán)重，事后取證，或者是視頻資源沒(méi)有保存好，或者是丟失，或者是沒(méi)有錄存，一旦發(fā)生一些法律糾紛再調(diào)取錄像發(fā)現(xiàn)沒(méi)有相應(yīng)的視頻也很麻煩。成為攻擊跳板最典型的例子是美國(guó)的Mirai病毒，當(dāng)時(shí)爆發(fā)成為大規(guī)模的DDoS攻擊。

　　下面看一下對(duì)于物聯(lián)網(wǎng)聯(lián)網(wǎng)監(jiān)控系統(tǒng)的等級(jí)保護(hù)定級(jí)要求，我們可以分一下等級(jí)保護(hù)對(duì)象，以前叫做定級(jí)對(duì)象，進(jìn)入等級(jí)保護(hù)2.0時(shí)代，保護(hù)對(duì)象不僅是網(wǎng)絡(luò)、信息系統(tǒng)，同時(shí)還有云計(jì)算、物聯(lián)網(wǎng)、工控系統(tǒng)，所以我們統(tǒng)一改名叫做等級(jí)保護(hù)對(duì)象。在視頻聯(lián)網(wǎng)里面，等級(jí)保護(hù)對(duì)象分為了三個(gè)：視頻監(jiān)控網(wǎng)絡(luò)、視頻監(jiān)控設(shè)備、視頻監(jiān)控資源。視頻監(jiān)控網(wǎng)絡(luò)主要是對(duì)視頻進(jìn)行應(yīng)用聯(lián)網(wǎng)，如果被攻陷，或者受到破壞我們認(rèn)為受侵害的客體是公民、法人和其他組織的合法權(quán)益。視頻監(jiān)控設(shè)備主要是對(duì)視頻圖像錄制，一般來(lái)說(shuō)有可能隨著平安城市、雪亮工程的建設(shè)它的量非常大，分布非常廣泛，它受到侵害的客體包括社會(huì)秩序、公共利益都會(huì)受到損傷。視頻監(jiān)控資源更為敏感，涉及到敏感信息數(shù)據(jù)量巨大，如果受到泄露和破壞的話，有可能會(huì)危害到國(guó)家安全。視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)如果在定級(jí)的時(shí)候如果是城市級(jí)的視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)，一般來(lái)說(shuō)級(jí)別不會(huì)低于三級(jí)。

　　如果目前安全防護(hù)主要使用2239-2019，這里面使用的安全通用要求，像物聯(lián)網(wǎng)安全拓展要求就是。同時(shí)，安全防護(hù)的關(guān)注點(diǎn)主要關(guān)注這些內(nèi)容，最主要的是前端資產(chǎn)不清，因?yàn)轫?xiàng)目分布太廣、量太大，如果沒(méi)有統(tǒng)一的管理和規(guī)范的話，大量的攝像頭，或者是分布太多，資產(chǎn)不清，另外還有弱口令、非法替換、身份假冒等等這些特點(diǎn)，所以說(shuō)在做視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)安全保護(hù)的時(shí)候關(guān)注點(diǎn)主要是從這些地方開(kāi)始進(jìn)行防護(hù)和加固，同時(shí)要防止數(shù)據(jù)泄露。

　　習(xí)主席曾經(jīng)說(shuō)過(guò)沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，但是沒(méi)有網(wǎng)絡(luò)安全的保障就難以實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略目標(biāo)。所以說(shuō)我們希望基于等級(jí)保護(hù)構(gòu)建我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的保障體系，為數(shù)字中國(guó)保駕護(hù)航。