物聯(lián)網(wǎng)一體化安全保障監(jiān)督檢驗(yàn)體系研究與實(shí)踐*

范紅 胡志昂 公安部第一研究所

物聯(lián)網(wǎng)一體化安全保障監(jiān)督檢驗(yàn)體系研究與實(shí)踐*

范紅 胡志昂 公安部第一研究所

物聯(lián)網(wǎng)面臨的安全問題更輕量級、更復(fù)雜、更平民化，傳統(tǒng)的安全技術(shù)無法滿足現(xiàn)實(shí)需求。為此，提出了物聯(lián)網(wǎng)一體化安全保障監(jiān)督檢驗(yàn)體系，通過產(chǎn)品檢測、系統(tǒng)檢測/檢查、基礎(chǔ)庫和信息化安全服務(wù)平臺保障物聯(lián)網(wǎng)安全。

物聯(lián)網(wǎng)信息安全安全保障檢測

一、引言

2013年，中央和地方政府對物聯(lián)網(wǎng)產(chǎn)業(yè)依然保持著相當(dāng)高的扶持力度，出臺政策不斷。2013年上半年，不但有國務(wù)院出臺的《關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》，還有中央和地方的持續(xù)性扶持政策及關(guān)于落實(shí)實(shí)施的政策。如4月25日福建省印發(fā)了《福建省加快物聯(lián)網(wǎng)發(fā)展行動方案（2013～2015年）》；4月28日，工業(yè)和信息化部辦公廳、財政部辦公廳聯(lián)合發(fā)布了《關(guān)于做好2013年物聯(lián)網(wǎng)發(fā)展專項資金項目申報工作的通知》；8月6日，住建部公布了2013年度國家智慧城市試點(diǎn)名單，試點(diǎn)城市合計多達(dá)190個。

物聯(lián)網(wǎng)一方面能夠帶來巨大的經(jīng)濟(jì)發(fā)展機(jī)遇，促進(jìn)、保障社會和諧發(fā)展，另一方面又會帶來信息安全和隱私泄露等方面的問題。目前來看，物聯(lián)網(wǎng)在信息安全方面存在的問題如下：一是存在信號受到干擾的可能。如果安置在物品上的傳感設(shè)備信號受到惡意干擾，就很容易造成重要物品損失以及重要信息被篡改、丟失的隱患；二是存在惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關(guān)安全技術(shù)的防范，對物聯(lián)網(wǎng)的授權(quán)管理進(jìn)行惡意操作，掌控他人的物品，就會造成對用戶隱私權(quán)的侵犯。如果爆炸物、槍支等危險物品被其它人掌控，后果會十分嚴(yán)重，不僅會造成個人經(jīng)濟(jì)損失，還會對整個社會的安全造成威脅。因此，要實(shí)現(xiàn)物聯(lián)網(wǎng)的大規(guī)模應(yīng)用，必須著力加強(qiáng)物聯(lián)網(wǎng)安全檢測，保證障物聯(lián)網(wǎng)安全。

二、安全保障監(jiān)督檢驗(yàn)體系

目前，物聯(lián)網(wǎng)安全技術(shù)和安全狀況缺乏有效的檢測和評價手段，建設(shè)物聯(lián)網(wǎng)安全保障監(jiān)督檢驗(yàn)專業(yè)化服務(wù)能力顯得十分關(guān)鍵。國內(nèi)外已對物聯(lián)網(wǎng)安全體系架構(gòu)進(jìn)行了相關(guān)研討[1-3]，但對于安全保障監(jiān)督檢驗(yàn)體系均未涉及，為此本文提出物聯(lián)網(wǎng)一體化安全保障監(jiān)督檢驗(yàn)體系（如圖1），具體內(nèi)容包括：

·產(chǎn)品檢測：提供產(chǎn)品檢測環(huán)境，開展物聯(lián)網(wǎng)產(chǎn)品族群自愿性認(rèn)證業(yè)務(wù)，未來可擴(kuò)展至產(chǎn)品銷售許可檢測業(yè)務(wù)。

·物聯(lián)網(wǎng)系統(tǒng)檢測與檢查：根據(jù)通用系統(tǒng)檢測與檢查的安全技術(shù)要求，提供系統(tǒng)功能、系統(tǒng)性能、系統(tǒng)安全性和一致性的檢測與檢查能力，并關(guān)聯(lián)外部漏洞、脆弱性等風(fēng)險進(jìn)行風(fēng)險評估。

·基礎(chǔ)庫：將物聯(lián)網(wǎng)漏洞分析與安全評估相結(jié)合形成漏洞與補(bǔ)丁庫，通過構(gòu)建標(biāo)準(zhǔn)及指標(biāo)庫和生物特征基礎(chǔ)庫，對外提供咨詢服務(wù)。

·信息化綜合服務(wù)平臺：建立信息化檢測流程，為物聯(lián)網(wǎng)產(chǎn)品、系統(tǒng)檢測/檢查提供業(yè)務(wù)運(yùn)行支撐平臺，完成檢測流程管理、檢測樣品管理、檢測報告管理等業(yè)務(wù)管理功能。

（一）產(chǎn)品安全檢測

產(chǎn)品檢測可以實(shí)現(xiàn)物聯(lián)網(wǎng)產(chǎn)品的功能符合性檢測、性能檢測、安全性檢測以及安全保證檢測，其涵蓋范圍包括：

·智能感知產(chǎn)品檢測：包括單向讀取、雙向讀取、單向控制和雙向控制。

·接入傳輸產(chǎn)品檢測：包括數(shù)據(jù)接入、視頻接入、無線接入和單向接入。

·業(yè)務(wù)應(yīng)用產(chǎn)品檢測：包括計算環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界和安全管理。

目前，上述3個大類目錄12項子目錄共涉及56種產(chǎn)品族群，物聯(lián)網(wǎng)產(chǎn)品認(rèn)證清單如表1所示。

?

產(chǎn)品檢測以開展物聯(lián)網(wǎng)信息安全產(chǎn)品自愿性認(rèn)證、銷售許可檢測以及產(chǎn)品入圍檢測業(yè)務(wù)為目的，直接面向政府、各個行業(yè)部委以及企事業(yè)單位，為全社會提供物聯(lián)網(wǎng)產(chǎn)品的功能、性能、安全、安全保證等檢測。

1.檢測標(biāo)準(zhǔn)

包括支持產(chǎn)品檢測的各類國際、國內(nèi)標(biāo)準(zhǔn)、規(guī)范和技術(shù)要求，如《公安物聯(lián)網(wǎng)感知層通用安全要求導(dǎo)則》、《射頻標(biāo)簽產(chǎn)品安全技術(shù)要求》，《物聯(lián)網(wǎng)產(chǎn)品信息安全認(rèn)證實(shí)施規(guī)則_射頻標(biāo)簽》、《信息安全技術(shù)網(wǎng)絡(luò)型入侵防御產(chǎn)品技術(shù)要求和測試評價方法》、《物聯(lián)網(wǎng)網(wǎng)關(guān)產(chǎn)品安全技術(shù)要求》，《物聯(lián)網(wǎng)產(chǎn)品信息安全認(rèn)證實(shí)施規(guī)則_物聯(lián)網(wǎng)網(wǎng)關(guān)》等。

2.檢測方法

根據(jù)產(chǎn)品形態(tài)的不同，產(chǎn)品安全檢測的檢測方法主要有圖像性能檢測、功能驗(yàn)證、電磁兼容試驗(yàn)、性能檢測、滲透測試、文檔審查與分析、網(wǎng)絡(luò)抓包與協(xié)議分析等。如圖像性能檢測指標(biāo)包括信噪比、水平中心分辨率、灰度等級、場同步信號幅度；電磁兼容試驗(yàn)包括工作頻率、電場強(qiáng)度閥值、靜電放電抗擾度、射頻電磁場抗擾度；滲透測試包括抗干擾滲透測試、簡單攻擊探測、惡意代碼檢測、越權(quán)檢測、病毒滲透測試等。

3.檢測工具

針對產(chǎn)品安全檢測所需的各種功能、性能、安全和安全保證檢測方法，需要有先進(jìn)的檢測工具作為支撐。產(chǎn)品檢測工具根據(jù)其應(yīng)用范圍劃分為產(chǎn)品功能檢測工具集、產(chǎn)品性能檢測工具集及產(chǎn)品安全檢測工具集3個部分，如圖2所示。

檢測工具包括：測試機(jī)、示波器、抓包工具、滲透測試工具集、配套充電裝置、功率計、功耗分析儀、矢量信號分析儀、無線通信性能測試設(shè)備、頻譜分析儀、干擾源、綜合測試儀、激光測距儀、智能卡、協(xié)議分析儀、網(wǎng)絡(luò)包捕獲工具、網(wǎng)絡(luò)協(xié)議分析、漏洞掃描工具、滲透測試工具集、視頻點(diǎn)播終端、網(wǎng)絡(luò)攝像頭、CA認(rèn)證設(shè)備、應(yīng)用/視頻服務(wù)器、Tag Reader軟件、解碼分析儀、微波暗室、天線、校準(zhǔn)夾具、RFID綜合測試儀、射頻信號發(fā)生器、場強(qiáng)探頭、壓力試驗(yàn)機(jī)、振動試驗(yàn)臺、恒溫恒濕箱、脆弱性掃描工具、操作系統(tǒng)安全基線檢查工具、數(shù)據(jù)庫安全評估工具、Web安全檢查工具、源代碼安全分析工具、數(shù)據(jù)恢復(fù)工具等。

4.檢測環(huán)境

由于物聯(lián)網(wǎng)產(chǎn)品種類繁多，安全特性不一，需要構(gòu)建部件組成靈活、形式多樣的開放式檢測環(huán)境。圖3是針對單向讀取類產(chǎn)品的典型檢測環(huán)境，包括條碼掃描器產(chǎn)品檢測環(huán)境、攝像機(jī)產(chǎn)品檢測環(huán)境、GPS產(chǎn)品檢測環(huán)境、智能電表產(chǎn)品檢測環(huán)境等。

（二）物聯(lián)網(wǎng)系統(tǒng)檢測與檢查

物聯(lián)網(wǎng)系統(tǒng)檢測與檢查既對外提供安全功能符合性、系統(tǒng)產(chǎn)品溯源、系統(tǒng)整體結(jié)構(gòu)以及業(yè)務(wù)連續(xù)性等實(shí)驗(yàn)室檢測、檢查服務(wù)，又提供便攜式檢測工具開展現(xiàn)場檢測/檢查服務(wù)。

·實(shí)驗(yàn)室檢測：對系統(tǒng)建設(shè)入圍產(chǎn)品以及系統(tǒng)實(shí)施實(shí)驗(yàn)室進(jìn)行檢測，并以模擬實(shí)際系統(tǒng)檢測環(huán)境作為支撐。

·現(xiàn)場檢測：提供便攜式檢測工具，如漏洞掃描工具、自動化攻擊工具等。

1.檢測標(biāo)準(zhǔn)

包括《警用裝備智能管理系統(tǒng)安全技術(shù)要求》、《天安門地區(qū)運(yùn)行調(diào)度系統(tǒng)安全技術(shù)要求》、《人防工程建設(shè)和運(yùn)維檢測預(yù)警系統(tǒng)安全技術(shù)要求》、《北京市城市安全運(yùn)行和應(yīng)急管理物聯(lián)網(wǎng)應(yīng)用輔助決策系統(tǒng)安全技術(shù)要求》、《北京市超高層安全物聯(lián)網(wǎng)檢測與應(yīng)用救援系統(tǒng)安全技術(shù)要求》、《物聯(lián)網(wǎng)系統(tǒng)安全管理檢查要求》等。

2.檢測設(shè)備

檢測設(shè)備包括射頻綜合分析儀、頻譜分析儀、網(wǎng)絡(luò)協(xié)議分析儀、脆弱性掃描工具、網(wǎng)絡(luò)安全分析儀、滲透測試工具集、操作系統(tǒng)安全基線檢查工具、數(shù)據(jù)庫安全評估工具、Web安全檢查工具等。

3.檢測環(huán)境

系統(tǒng)檢測與檢查環(huán)境包括物聯(lián)網(wǎng)系統(tǒng)三層結(jié)構(gòu)，由感知層支撐設(shè)備、接入傳輸設(shè)備和應(yīng)用支撐設(shè)備組成，如圖4所示。其中應(yīng)用層通過云管理平臺定制化Linux、Windows、AIX等系統(tǒng)，Web Logic、Web Service等架構(gòu)，實(shí)現(xiàn)重要區(qū)域管控、人員識別、危險物品監(jiān)控、GPS定位感知、汽車牌照識別等多類型運(yùn)行支撐環(huán)境。

（三）基礎(chǔ)庫

基礎(chǔ)庫建立漏洞與補(bǔ)丁庫、標(biāo)準(zhǔn)庫、指標(biāo)庫以及生物特征基礎(chǔ)庫，以支撐產(chǎn)品、系統(tǒng)檢測與檢查，并適時對外提供咨詢服務(wù)。

1.物聯(lián)網(wǎng)漏洞與補(bǔ)丁庫

收集物聯(lián)網(wǎng)信息安全漏洞與補(bǔ)丁知識，形成一個全面、專業(yè)的物聯(lián)網(wǎng)信息安全漏洞與補(bǔ)丁知識庫，為物聯(lián)網(wǎng)系統(tǒng)安全檢測、產(chǎn)品檢測、風(fēng)險評估及安全檢查提供技術(shù)支撐服務(wù)；同時對外提供咨詢服務(wù)，包括網(wǎng)上發(fā)布漏洞信息、定制客戶漏洞處理方案、提供漏洞補(bǔ)丁和專用殺毒工具下載等服務(wù)。針對物聯(lián)網(wǎng)在使用過程中出現(xiàn)的安全漏洞，不斷對漏洞和補(bǔ)丁知識庫進(jìn)行更新，以保證知識庫的全面性和可用性。

2.標(biāo)準(zhǔn)庫

采納、借鑒國際/國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)以及工程設(shè)計規(guī)范，研究適用感、傳、知、用的標(biāo)準(zhǔn)。其標(biāo)準(zhǔn)體系如圖5所示。

3.指標(biāo)庫

根據(jù)標(biāo)準(zhǔn)技術(shù)要求，結(jié)合漏洞與補(bǔ)丁情況，按照物聯(lián)網(wǎng)三層結(jié)構(gòu)生成指標(biāo)體系。指標(biāo)體系內(nèi)容包括產(chǎn)品檢測指標(biāo)、系統(tǒng)檢測指標(biāo)、風(fēng)險評估指標(biāo)、集成化安全管理檢查指標(biāo)。指標(biāo)體系架構(gòu)如圖6所示。

4.生物特征基礎(chǔ)庫

利用二代證指紋庫等已有的生物特征庫以及收集生物識讀產(chǎn)品廠商的基礎(chǔ)數(shù)據(jù)，逐步建立指紋、掌紋、虹膜、面部特征、DNA等生物特征基礎(chǔ)庫。

（四）信息化綜合服務(wù)平臺

信息化綜合服務(wù)平臺為物聯(lián)網(wǎng)產(chǎn)品、系統(tǒng)檢測/檢查提供業(yè)務(wù)運(yùn)行支撐平臺，完成檢測流程管理、檢測樣品管理、檢測報告管理等業(yè)務(wù)管理功能。核心模塊包括以下兩部分：

1.檢測業(yè)務(wù)管理信息系統(tǒng)

實(shí)現(xiàn)檢測受理、樣品入庫、任務(wù)下發(fā)、檢測工具申領(lǐng)、檢測結(jié)果上傳、檢測報告編制、報告審核、報告發(fā)放等檢測工作自動化管理。

2.檢測檔案庫

實(shí)現(xiàn)檢測申請單、任務(wù)單、樣品信息、檢測記錄、檢測報告等文檔材料的信息化管理，實(shí)現(xiàn)檢測過程可監(jiān)控、檢測結(jié)果可追溯。

三、總結(jié)

產(chǎn)品檢測、系統(tǒng)檢測與檢查、基礎(chǔ)庫和信息化綜合服務(wù)平臺構(gòu)建了專業(yè)的檢測平臺，加上精專的人才、全面的服務(wù)內(nèi)容和敏捷的反應(yīng)，形成物聯(lián)網(wǎng)一體化安全保障監(jiān)督檢驗(yàn)專業(yè)化服務(wù)體系架構(gòu)，從而提升物聯(lián)網(wǎng)檢測價值、方便客戶、節(jié)約成本、提高效率，滿足物聯(lián)網(wǎng)安全檢測集成化、規(guī)模化的需求，保障物聯(lián)網(wǎng)健康順利發(fā)展。

[1]TGrobler,Prof B Louwrens.New Information Security Architecture[J].Univers ity of Johannes burg,2005.

[2]范紅,邵華,等.物聯(lián)網(wǎng)安全技術(shù)體系研究[J].第26次全國計算機(jī)安全學(xué)術(shù)交流會。

[3]Ja ckie Rees,Subha jyoti Bandyopadhyay,etc.A Policy Framework for Information Security.Communication of the ACM,Volume46 Is s ue7,2003,P101-106.

[4]譚林,等.基于物聯(lián)網(wǎng)技術(shù)的警用裝備智能管理系統(tǒng)[J].警察技術(shù),2012(05).

2012年度國家發(fā)展與改革委員會信息安全專項