物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)模式的研究

陳星+霍珊珊+劉健

摘要：近年來物聯(lián)網(wǎng)的快速發(fā)展導(dǎo)致物聯(lián)網(wǎng)信息系統(tǒng)的安全性問題越來越被人們所關(guān)注。面對物聯(lián)網(wǎng)信息系統(tǒng)所面臨的新的安全威脅，如何對物聯(lián)網(wǎng)信息系統(tǒng)進(jìn)行有效、全面的安全測評成為新的挑戰(zhàn)。本文介紹了當(dāng)前信息系統(tǒng)測評服務(wù)的發(fā)展現(xiàn)狀，分析探討了物聯(lián)網(wǎng)信息系統(tǒng)所面臨的新的安全威脅，基于這些安全威脅給出了測評體系和測評指標(biāo)的建立方法，并設(shè)計(jì)出物聯(lián)網(wǎng)信息系統(tǒng)的安全測評服務(wù)模式，為開展物聯(lián)網(wǎng)信息系統(tǒng)的安全測評工作提供理論基礎(chǔ)。

關(guān)鍵詞：物聯(lián)網(wǎng)；安全性；測評指標(biāo)；安全威脅；服務(wù)模式

中圖分類號：TP309.2 文獻(xiàn)標(biāo)識碼：A DOI：10.3969/j.issn.1003-6970.2016.03.003

0引言

物聯(lián)網(wǎng)（Internet of things，IOT）是通過無線射頻識別（RFID）、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息傳感設(shè)備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)連接起來，進(jìn)行信息交換和通訊，以實(shí)現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。隨著物聯(lián)網(wǎng)的應(yīng)用范圍迅速擴(kuò)展，物聯(lián)網(wǎng)信息系統(tǒng)的安全性問題越來越為人們所關(guān)注，其中之一就是物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)的探索。目前，我國信息安全測評工作已取得了很大的進(jìn)步，信息安全測評已不僅僅局限于分析靜態(tài)脆弱性，還對動態(tài)安全態(tài)勢進(jìn)行評估，基于主動防御思想對主機(jī)層面、網(wǎng)絡(luò)層面、系統(tǒng)層面等進(jìn)行安全漏洞的挖掘，對信息系統(tǒng)的安全脆弱性進(jìn)行量化評估?；诎踩稍?、體系規(guī)劃、安全管理、應(yīng)急響應(yīng)等的信息安全服務(wù)已逐漸與信息安全測評形成一體化的服務(wù)模式，構(gòu)成了信息系統(tǒng)生命周期的閉環(huán)保障體系，利用信息系統(tǒng)前期安全服務(wù)的分析數(shù)據(jù)，實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)狀況及發(fā)展態(tài)勢的動態(tài)評估，為物聯(lián)網(wǎng)的信息安全測評服務(wù)的開展提供基礎(chǔ)性指導(dǎo)。但是，由于物聯(lián)網(wǎng)應(yīng)用和產(chǎn)業(yè)發(fā)展總體處于初級階段，標(biāo)準(zhǔn)體系尚在建立，基于物聯(lián)網(wǎng)的信息安全測評的服務(wù)綜合性、復(fù)雜性、環(huán)境性、主體性、時間性、對策性和高技術(shù)等特點(diǎn)，無疑給測評服務(wù)提出了巨大的挑戰(zhàn)，信息安全測評服務(wù)機(jī)構(gòu)必須面對一輪一輪新的攻擊威脅面前。物聯(lián)網(wǎng)所面臨的主要威脅有以下幾類：

一是傳統(tǒng)互聯(lián)網(wǎng)的安全威脅。物聯(lián)網(wǎng)是傳感器、RFID等物聯(lián)網(wǎng)技術(shù)與傳統(tǒng)互聯(lián)網(wǎng)相融合所形成的一個泛在網(wǎng)絡(luò)，其核心與基礎(chǔ)仍然是互聯(lián)網(wǎng)，所以傳統(tǒng)互聯(lián)網(wǎng)的安全威脅內(nèi)容是物聯(lián)網(wǎng)安全的重要部分。互聯(lián)網(wǎng)信息安全可分為三個方面：信息存儲安全、信息計(jì)算處理安全和信息傳輸安全。

二是物聯(lián)網(wǎng)節(jié)點(diǎn)產(chǎn)品安全威脅。物聯(lián)網(wǎng)信息系統(tǒng)與傳統(tǒng)互聯(lián)網(wǎng)信息系統(tǒng)的區(qū)別在于物聯(lián)網(wǎng)信息節(jié)點(diǎn)處的信息采集系統(tǒng)，在這部分的物聯(lián)網(wǎng)相關(guān)產(chǎn)品一般具有較低的運(yùn)算能力、電池使用壽命較短以及不完善的安全防護(hù)能力，無法有效抵御來自外界有意或無意的竊聽、欺騙、拒絕服務(wù)、物理環(huán)境破壞攻擊行為，尤其是物聯(lián)網(wǎng)射頻識別系統(tǒng)中的電子標(biāo)簽可以被嵌入任何目標(biāo)物品中，這樣標(biāo)簽的安全和隱私性就受到了極大地限制，根據(jù)產(chǎn)品分類可將物聯(lián)網(wǎng)節(jié)點(diǎn)產(chǎn)品安全分為RFID安全、智能卡安全、讀寫器安全、空中接口安全、中間件安全、傳感器安全等。

三是不同應(yīng)用模式下的安全威脅。隨著物聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，物聯(lián)網(wǎng)信息系統(tǒng)所應(yīng)用的業(yè)務(wù)平臺也層出不窮，在不同的應(yīng)用模式下，物聯(lián)網(wǎng)信息系統(tǒng)所面臨的安全威脅也不盡相同。例如在醫(yī)療領(lǐng)域，物理環(huán)境安全部分要特別考慮的是電子標(biāo)簽和讀寫器等設(shè)備對消毒藥劑等化學(xué)藥品的抗腐蝕情況。

因此，相對于傳統(tǒng)的互聯(lián)網(wǎng)信息系統(tǒng)，物聯(lián)網(wǎng)信息系統(tǒng)所體現(xiàn)的高度開放性、感知信息多樣性、應(yīng)用環(huán)境多樣性等新的特點(diǎn)為物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)帶來的新的挑戰(zhàn)，本文將重點(diǎn)研究基于物聯(lián)網(wǎng)信息系統(tǒng)的安全測評指標(biāo)體系建立方法和服務(wù)模式，將分別從物聯(lián)網(wǎng)信息系統(tǒng)產(chǎn)品測評和物聯(lián)網(wǎng)信息系統(tǒng)測評兩方面進(jìn)行討論，給出未來物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)提供理論基礎(chǔ)。

1國內(nèi)信息安全測評服務(wù)模式發(fā)展現(xiàn)狀

所謂的信息安全測評是指遵循一個標(biāo)準(zhǔn)，使用相應(yīng)的方法，對交付件（例如系統(tǒng)）安全所進(jìn)行的驗(yàn)證，以建立與標(biāo)準(zhǔn)的符合性，并確定其保障。目前我國信息安全測評一般分為兩類；一類是產(chǎn)品層面上的評估，一類是系統(tǒng)層面上的評審。產(chǎn)品層面上的評估通常是由獨(dú)立第三方測評機(jī)構(gòu)承擔(dān)的，而后以產(chǎn)品形態(tài)投入市場，并部署到成千上萬個系統(tǒng)之中。系統(tǒng)層面上的評審一般是由信息系統(tǒng)開發(fā)人員、系統(tǒng)集成人員、認(rèn)證機(jī)構(gòu)、審核員、信息系統(tǒng)擁有者和組織的信息安全有關(guān)領(lǐng)導(dǎo)等所進(jìn)行的，對系統(tǒng)進(jìn)行附加的評審。目前信息系統(tǒng)產(chǎn)品層面和系統(tǒng)層面上的測評服務(wù)模式可大致分為以下幾類：

1.1信息系統(tǒng)產(chǎn)品層面安全測評服務(wù)模式

1.1.1信息系統(tǒng)產(chǎn)品認(rèn)證服務(wù)

信息安全認(rèn)證是認(rèn)證機(jī)構(gòu)證明信息系統(tǒng)產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范或者標(biāo)準(zhǔn)的合格評定活動，信息安全認(rèn)可則是指由認(rèn)可機(jī)構(gòu)對信息安全認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評審、審核等認(rèn)證活動人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評定活動。信息系統(tǒng)產(chǎn)品認(rèn)證服務(wù)可以分為以下兩種認(rèn)證模式：

（1）一站式受理

申請方向指定的認(rèn)證機(jī)構(gòu)申請認(rèn)證，認(rèn)證機(jī)構(gòu)確認(rèn)申請資料然后向?qū)嶒?yàn)室安排檢測任務(wù)認(rèn)證機(jī)構(gòu)可從指定的實(shí)驗(yàn)室名單中選取檢測實(shí)驗(yàn)室。實(shí)驗(yàn)室依據(jù)相關(guān)產(chǎn)品認(rèn)證實(shí)施規(guī)則進(jìn)行檢測，完成檢測后將完整的檢測報(bào)告提交至認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)對檢測報(bào)告進(jìn)行審查，合格后由認(rèn)證機(jī)構(gòu)組織工廠檢查，對型式試驗(yàn)、工廠檢查結(jié)果進(jìn)行綜合評價(jià)，評價(jià)合格后向申請方頒發(fā)認(rèn)證證書，并定期對已獲得證書的產(chǎn)品廠商進(jìn)行監(jiān)督檢查。

（2）分段式受理

申請方直接向?qū)嶒?yàn)室提交相關(guān)申請材料，檢測實(shí)驗(yàn)室需從指定實(shí)驗(yàn)室名單中選取。實(shí)驗(yàn)室確認(rèn)申請產(chǎn)品提交資料，合格后依據(jù)認(rèn)證實(shí)施規(guī)則進(jìn)行檢測，檢測通過后向認(rèn)證機(jī)構(gòu)提交檢測報(bào)告。認(rèn)證機(jī)構(gòu)對檢測報(bào)告進(jìn)行審查，合格后申請方向認(rèn)證機(jī)構(gòu)提交認(rèn)證所需資料。認(rèn)證機(jī)構(gòu)對所需資料進(jìn)行確認(rèn)，合格后由認(rèn)證機(jī)構(gòu)進(jìn)行工廠檢查。認(rèn)證機(jī)構(gòu)對型式試驗(yàn)、工廠檢查結(jié)果進(jìn)行綜合評價(jià)，評價(jià)合格后向申請方頒發(fā)認(rèn)證證書，并定期對已獲得證書的產(chǎn)品廠商進(jìn)行監(jiān)督檢查。

根據(jù)國家標(biāo)準(zhǔn)，信息技術(shù)安全產(chǎn)品的評估由低到高分為功能測試、結(jié)構(gòu)測試等7個級別。這種等級評估的方式不僅可以確定信息系統(tǒng)產(chǎn)品是否足夠安全，還可以確定產(chǎn)品使用過程中隱藏的安全風(fēng)險(xiǎn)是否可容忍，信息安全認(rèn)證是對信息技術(shù)領(lǐng)域內(nèi)產(chǎn)品、系統(tǒng)、服務(wù)提供商和人員的資質(zhì)和能力符合規(guī)范及安全標(biāo)準(zhǔn)要求的一種確認(rèn)活動，即檢驗(yàn)評估過程是否正確并保證評估結(jié)果的正確性和權(quán)威性。

1.1.2信息系統(tǒng)產(chǎn)品定制測試

目前，隨著信息安全服務(wù)提供商對信息安全產(chǎn)品質(zhì)量的越來越關(guān)注，委托第三方的評測機(jī)構(gòu)進(jìn)行定制的安全測試也逐漸成為一種服務(wù)模式，在這種服務(wù)模式下，第三方評測機(jī)構(gòu)一般是在信息安全產(chǎn)品領(lǐng)域具有專業(yè)技術(shù)能力并取得國家認(rèn)可的測試實(shí)施機(jī)構(gòu)，具體的測試活動可根據(jù)客戶需求和評測機(jī)構(gòu)的實(shí)施條件進(jìn)行協(xié)商，所有可實(shí)現(xiàn)的測試內(nèi)容需寫入服務(wù)合同中，測試流程一般按照評測機(jī)構(gòu)內(nèi)部產(chǎn)品測試流程進(jìn)行。

驗(yàn)收測試是定制測試的一種形式，是指信息安全產(chǎn)品交付時進(jìn)行的測試活動，其測試活動一般包括五個方面：文檔審核、功能測試、性能測試、安全性測試和按客戶需求進(jìn)行的其他測試項(xiàng)。對于信息安全產(chǎn)品驗(yàn)收測試應(yīng)該由項(xiàng)目委托開發(fā)方組織實(shí)施，但是由于技術(shù)條件等諸多因素限制，項(xiàng)目委托開發(fā)方一般不具有完整的組織項(xiàng)目并實(shí)施驗(yàn)收測試的能力，所以對于質(zhì)量要求比較嚴(yán)格的信息安全產(chǎn)品而言，項(xiàng)目組一般委托第三方評測機(jī)構(gòu)完成產(chǎn)品驗(yàn)收測試工作。

1.1.3技術(shù)咨詢與培訓(xùn)

許多評測機(jī)構(gòu)提供信息安全產(chǎn)品的技術(shù)咨詢與培訓(xùn)業(yè)務(wù)，包括傳遞與培訓(xùn)最新的有關(guān)信息安全產(chǎn)品的標(biāo)準(zhǔn)及最新進(jìn)展，分析客戶的業(yè)務(wù)需求以及產(chǎn)品特點(diǎn)，確定產(chǎn)品的安全目標(biāo)，建立產(chǎn)品結(jié)構(gòu)，進(jìn)行風(fēng)險(xiǎn)分析，并依據(jù)風(fēng)險(xiǎn)分析結(jié)果選擇控制措施，制定可執(zhí)行的信息安全管理體系，編制培訓(xùn)資料，采用短訓(xùn)授課或?qū)ｎ}講座等形式為客戶培訓(xùn)信息安全管理和技術(shù)人才。

1.2信息系統(tǒng)層面安全測評服務(wù)模式

1.2.1信息系統(tǒng)安全等級保護(hù)測評

信息安全等級保護(hù)是指國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品信息系統(tǒng)安全等級保護(hù)工作包含系統(tǒng)定級、系統(tǒng)備案、安全建設(shè)、等級測評和監(jiān)督檢查五個工作環(huán)節(jié)。測評通常用于判斷信息系統(tǒng)的安全保護(hù)能力與國家要求之間的復(fù)合程度，也可用于安全建設(shè)或安全改建的需求分析工作中，通過對特定級別的信息系統(tǒng)進(jìn)行等級測評，尋找安全保護(hù)水平與國家要求之間的差距，作為安全需求用于指導(dǎo)信息系統(tǒng)的安全建設(shè)或安全改造。實(shí)行按等級管理，對信息系統(tǒng)發(fā)生的信息安全事件分等級響應(yīng)和處置。

依據(jù)《信息安全技術(shù)信息系統(tǒng)安全案等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期根據(jù)信息系統(tǒng)安全等級狀況開展等級測評，第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。信息系統(tǒng)主管部門、信息系統(tǒng)運(yùn)營和使用單位應(yīng)根據(jù)《信息安全等級保護(hù)管理辦法》和安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)開展安全等級測評工作。按照《管理辦法》中規(guī)定選擇安全等級測評機(jī)構(gòu)，由測評機(jī)構(gòu)制定安全等級保護(hù)測評方案，測評報(bào)告應(yīng)規(guī)范、完整，測評結(jié)果應(yīng)客觀、公正，一般測評機(jī)構(gòu)的等級測評服務(wù)流程如下圖所示：

目前安全測評工作是依據(jù)相關(guān)標(biāo)準(zhǔn)、規(guī)范，通過有經(jīng)驗(yàn)的測評人員進(jìn)行檢測和分析，但信息系統(tǒng)安全測評是一個復(fù)雜的系統(tǒng)工程，涉及到信息系統(tǒng)中的安全技術(shù)、管理體系、人員、資質(zhì)等各方面，并且測評人員水平高低不同，從而導(dǎo)致評估結(jié)果主觀性強(qiáng)，并且評估周期難以控制，隨著評估方法的發(fā)展，信息系統(tǒng)測評的過程逐漸轉(zhuǎn)向自動化和標(biāo)準(zhǔn)化，信息系統(tǒng)安全測評工具的開發(fā)不僅可以將分析人員從繁重的手工勞動中解脫出來，還能夠幫助企業(yè)了解相關(guān)標(biāo)準(zhǔn)和技術(shù)、提高企業(yè)的自我評估的能力，使企業(yè)能夠更清晰的認(rèn)識到系統(tǒng)與標(biāo)準(zhǔn)和規(guī)范之間的差距。國內(nèi)許多評測機(jī)構(gòu)在深入分析信息系統(tǒng)的相關(guān)標(biāo)準(zhǔn)和技術(shù)要求、面臨的安全威脅，并結(jié)合多年積累的信息系統(tǒng)等級測評的經(jīng)驗(yàn)和知識基礎(chǔ)上研制出了許多可以為產(chǎn)品提供支持和服務(wù)的系列工具，并已投入許多實(shí)踐測評項(xiàng)目中，取得了良好的效果，大大提高了測評工作的效益，這些測評工具不僅可以使相關(guān)單位和企業(yè)盡快掌握信息安全產(chǎn)品的標(biāo)準(zhǔn)和知識應(yīng)用，還提供了詳細(xì)的操作流程、步驟說明，為提高企業(yè)的自我檢查和測評水平提高了自動化程度和工作效率。

1.2.2信息系統(tǒng)風(fēng)險(xiǎn)評估

信息系統(tǒng)風(fēng)險(xiǎn)評估是依據(jù)國家有關(guān)政策、法律法規(guī)和信息技術(shù)標(biāo)準(zhǔn)，運(yùn)用科學(xué)的方法和手段，對信息系統(tǒng)及其信息在機(jī)密性、完整性和可用性等安全屬性面臨的風(fēng)險(xiǎn)進(jìn)行科學(xué)、系統(tǒng)、公正的綜合評估。采用信息系統(tǒng)風(fēng)險(xiǎn)評估可以幫助用戶清楚的認(rèn)識到信息系統(tǒng)的安全環(huán)境和安全狀況，以及信息化建設(shè)中各級的責(zé)任，在相關(guān)指導(dǎo)建議下采取或完善更加經(jīng)濟(jì)、有效地安全保障措施，來保證信息安全策略的一致性和持續(xù)性，提高系統(tǒng)安全保障能力。

風(fēng)險(xiǎn)評估應(yīng)貫穿信息系統(tǒng)的整個生命周期，一般過程為：從信息系統(tǒng)的安全目標(biāo)出發(fā)，分析資源的重要程度和分布情況、風(fēng)險(xiǎn)分布情況，評估信息系統(tǒng)的風(fēng)險(xiǎn)大小和信息系統(tǒng)采取的安全措施和實(shí)施情況，確定系統(tǒng)是否達(dá)到安全目標(biāo)或相應(yīng)的安全等級。許多測評機(jī)構(gòu)的風(fēng)險(xiǎn)評估的服務(wù)流程采用等級測評的服務(wù)流程，但工作內(nèi)容仍有區(qū)別，一般工作流程如下圖所示：

1.2.3信息系統(tǒng)安全審計(jì)

信息系統(tǒng)安全審計(jì)是評判一個信息系統(tǒng)是否真正安全的重要方法之一。在國際通用的CC準(zhǔn)則中對信息系統(tǒng)安全審計(jì)（ISSA，Information SystemSecurity Audit）給出了明確定義：信息系統(tǒng)安全審計(jì)主要指對與安全有關(guān)活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析，審計(jì)記錄的結(jié)果用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動，哪個用戶對這個活動負(fù)責(zé)。一般情況下測評機(jī)構(gòu)有關(guān)信息系統(tǒng)審計(jì)的服務(wù)內(nèi)容包括：依據(jù)相關(guān)標(biāo)準(zhǔn)和規(guī)范，采用監(jiān)測、記錄、存儲和分析等技術(shù)方法，開展信息系統(tǒng)審計(jì)服務(wù)，通過對信息系統(tǒng)的策劃、開發(fā)、使用、維護(hù)等相關(guān)活動和產(chǎn)物完整有效的審計(jì)，判斷信息系統(tǒng)和IT環(huán)境能否保證資產(chǎn)安全、數(shù)據(jù)完整、資源有效利用和是否達(dá)到預(yù)定業(yè)務(wù)目標(biāo)等。通過安全審計(jì)收集、分析、評估安全信息、掌握安全狀態(tài)，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統(tǒng)調(diào)整到最安全和最低風(fēng)險(xiǎn)的狀態(tài)。安全審計(jì)已成為企業(yè)內(nèi)控、信息系統(tǒng)安全風(fēng)險(xiǎn)控制等不可或缺的關(guān)鍵手段，也是威懾、打擊內(nèi)部計(jì)算機(jī)犯罪的重要手段。

目前，隨著信息安全建設(shè)的深入，安全審計(jì)已成為國內(nèi)信息安全建設(shè)的重要技術(shù)手段?？傮w來看，由于信息系統(tǒng)發(fā)展水平和業(yè)務(wù)需求的不同，各行業(yè)對安全審計(jì)的具體關(guān)注點(diǎn)存在一定差異，但均是基于政策合規(guī)、自身安全建設(shè)要求，如政府主要關(guān)注如何滿足《信息系統(tǒng)安全等級保護(hù)》等政策要求的合規(guī)安全審計(jì)，電信運(yùn)營商則基于自身信息系統(tǒng)風(fēng)險(xiǎn)內(nèi)控需求進(jìn)行，電力行業(yè)則將信息系統(tǒng)分為管理類信息系統(tǒng)和生產(chǎn)控制類信息系統(tǒng)，對于生產(chǎn)控制類信息系統(tǒng)增強(qiáng)了對電力二次系統(tǒng)的安全要求，金融行業(yè)和證券期貨類行業(yè)也根據(jù)自身業(yè)務(wù)特點(diǎn)適當(dāng)調(diào)整了信息系統(tǒng)安全等級保護(hù)基本要求。

1.2.4信息系統(tǒng)的滲透測試

信息系統(tǒng)的滲透測試，也稱為黑盒測試或正派黑客測試，是在經(jīng)過用戶授權(quán)批準(zhǔn)后，由信息安全專業(yè)人員采用攻擊者的視角、使用同攻擊者相同的技術(shù)和工具來嘗試攻入信息系統(tǒng)的一種測評服務(wù)，它用攻擊來發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)、系統(tǒng)、主機(jī)和應(yīng)用系統(tǒng)所存在的漏洞，從而幫助用戶了解、改善和提高其信息系統(tǒng)安全的一種手段。

對于信息系統(tǒng)的滲透測試方法，并沒有一個統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，開放信息系統(tǒng)安全組（OISSG）提出了一種比較具有代表性的3階段的滲透測試框架。方案包括下列階段和步驟：

階段1：計(jì)劃和準(zhǔn)備

在這個階段，雙方應(yīng)簽署一份正式的評估協(xié)議。這份協(xié)議內(nèi)容包含指定工作小組、實(shí)際日期、測試時間、問題升級方式和其他工作安排。具體活動包含：指定雙方聯(lián)系人；首次會議確定范圍、方案、方法和測試計(jì)劃；就特定測試用例和問題升級路徑達(dá)成協(xié)議。

階段2：評估

在評估階段，應(yīng)使用分層的方案，每一層代表對信息資產(chǎn)更大一層的訪問。執(zhí)行步驟大致可分為以下幾個內(nèi)容：信息搜集、網(wǎng)絡(luò)繪制、漏洞識別、滲透、獲取訪問和特權(quán)升級、進(jìn)一步枚舉、攻入遠(yuǎn)程用戶或站點(diǎn)、維持訪問、覆蓋蹤跡。執(zhí)行步驟是循環(huán)和反復(fù)的。

階段3：報(bào)告、清除和破壞測試過程產(chǎn)物

在此階段，報(bào)告內(nèi)容包含口頭報(bào)告和最終報(bào)告，口頭報(bào)告是指在滲透測試過程中對發(fā)現(xiàn)的關(guān)鍵問題及時報(bào)告被測方，討論關(guān)于這些問題的保護(hù)措施，最終報(bào)告時在完成了工作中所定義的所有測試用例后測評機(jī)構(gòu)出具的一份描述測試和審核詳細(xì)結(jié)果以及改進(jìn)推薦的書面報(bào)告。測試過程完畢后，應(yīng)從被測系統(tǒng)上刪除所有創(chuàng)建或存儲的信息。

1.2.5信息系統(tǒng)安全等級保護(hù)測評

非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認(rèn)證，是指對申請《支付業(yè)務(wù)許可證》的非金融機(jī)構(gòu)或《非金融機(jī)構(gòu)支付服務(wù)管理辦法》所指的支付機(jī)構(gòu)，其支付業(yè)務(wù)處理系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)以及容納上述系統(tǒng)的專用機(jī)房進(jìn)行的技術(shù)標(biāo)準(zhǔn)符合性和安全性認(rèn)證工作。非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認(rèn)證業(yè)務(wù)包括互聯(lián)網(wǎng)支付、移動電話支付、固定電話支付、數(shù)字電視支付、預(yù)付卡發(fā)行與受理、銀行卡收單以及中國人民銀行確定的其他支付服務(wù)。認(rèn)證依據(jù)《非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認(rèn)證規(guī)范》，并將認(rèn)證分為兩級，一級認(rèn)證包含《非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認(rèn)證規(guī)范》中的基本要求，二級認(rèn)證包含《非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認(rèn)證規(guī)范》中的基本要求和增強(qiáng)要求，認(rèn)證的基本環(huán)節(jié)依據(jù)標(biāo)準(zhǔn)《ISCCC-SR-001：2014非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認(rèn)證實(shí)施規(guī)則》，主要包括以下內(nèi)容：認(rèn)證申請及受理、檢測、文件審查、現(xiàn)場審查、認(rèn)證決定、獲證后監(jiān)督、再認(rèn)證。

1.2.6信息系統(tǒng)安全等級保護(hù)測評

信息系統(tǒng)安全建設(shè)是一個復(fù)雜的過程，涉及到諸多方面，如信息系統(tǒng)中安全保障措施、人員能力建設(shè)、管理體系建設(shè)等，信息系統(tǒng)安全測評服務(wù)中的技術(shù)培訓(xùn)與咨詢是由專業(yè)的測評機(jī)構(gòu)提供的一項(xiàng)服務(wù)，可指導(dǎo)和幫助被測方建立符合標(biāo)準(zhǔn)和技術(shù)要求的信息系統(tǒng)和管理體系，并提升被測方的技術(shù)和管理能力。

技術(shù)培訓(xùn)與咨詢服務(wù)項(xiàng)目可以在服務(wù)周期的各個階段來展開，技術(shù)資訊主要包括對安全策略的指導(dǎo)和規(guī)劃，技術(shù)培訓(xùn)主要包括人員意識教育培訓(xùn)、管理培訓(xùn)和技術(shù)培訓(xùn)等。

2物聯(lián)網(wǎng)信息系統(tǒng)安全測評指標(biāo)體系

為保障物聯(lián)網(wǎng)信息系統(tǒng)安全、可靠、有效地運(yùn)行以及數(shù)據(jù)的完整性、保密性，需根據(jù)標(biāo)準(zhǔn)規(guī)范的測評指標(biāo)對系統(tǒng)安全進(jìn)行有效性評審，如何根據(jù)物聯(lián)網(wǎng)信息系統(tǒng)安全性需求建立有效的測評服務(wù)保障論據(jù)，需要從以下幾個方面進(jìn)行考慮：

（1）從威脅源確定測評指標(biāo)：根據(jù)物聯(lián)網(wǎng)信息系統(tǒng)的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)特點(diǎn)，對物聯(lián)網(wǎng)信息系統(tǒng)的現(xiàn)實(shí)和潛在的威脅源進(jìn)行分析，了解主要的威脅源，并對威脅源進(jìn)行分類。物聯(lián)網(wǎng)信息系統(tǒng)應(yīng)用體系結(jié)構(gòu)可以分為三層：感知層、網(wǎng)絡(luò)層和應(yīng)用層，每一層涉及若干相關(guān)技術(shù)領(lǐng)域，例如在感知層就包含了各種傳感器和RHD、二維碼、視頻采集終端等，涉及的技術(shù)包括了RHD技術(shù)、傳感器技術(shù)和通信和網(wǎng)絡(luò)技術(shù)等，基于各層所采用的關(guān)鍵技術(shù)對系統(tǒng)可能面臨的威脅源進(jìn)行識別，由于物聯(lián)網(wǎng)信息系統(tǒng)相比于傳統(tǒng)的互聯(lián)網(wǎng)信息系統(tǒng)的主要區(qū)別在于感知層的組網(wǎng)和信息采集處理系統(tǒng)，故可總結(jié)物聯(lián)網(wǎng)信息系統(tǒng)威脅源如下圖所示：

（2）威脅源影響分析：分析威脅源對物聯(lián)網(wǎng)信息系統(tǒng)的影響，確定威脅源的重要等級。

（3）威脅源量化和定性分析：基于對威脅源的量化和定性分析，制定抵御威脅的量化指標(biāo)。

（4）設(shè)置權(quán)重：首先對指標(biāo)的類別設(shè)置權(quán)重，對關(guān)鍵類別的指標(biāo)設(shè)置較重的權(quán)重，然后根據(jù)指標(biāo)對信息系統(tǒng)的安全影響進(jìn)行權(quán)重設(shè)置。

3物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)模型

通過對物聯(lián)網(wǎng)信息系統(tǒng)的研究，結(jié)合現(xiàn)有的國內(nèi)發(fā)展較為成熟的信息系統(tǒng)測評服務(wù)模式，提出一套適用于物聯(lián)網(wǎng)信息系統(tǒng)的安全測評服務(wù)模型，該模型仍將物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)分為產(chǎn)品層面和系統(tǒng)層面兩大類，結(jié)合物聯(lián)網(wǎng)信息系統(tǒng)的特點(diǎn)，形成以測評指標(biāo)體系為核心，以準(zhǔn)備階段、實(shí)施階段、評估階段、審定階段、入庫階段服務(wù)活動為途徑，以技術(shù)支持與培訓(xùn)為保障的物聯(lián)網(wǎng)鐵路信息系統(tǒng)的安全服務(wù)模型。下圖為物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)模型：

（1）技術(shù)支持與咨詢：該服務(wù)在安全服務(wù)整個周期里均有所體現(xiàn)。主要包含兩方面的內(nèi)容，一方面就測評服務(wù)具體內(nèi)容，另一方面，就系統(tǒng)的設(shè)計(jì)與管理方面的安全目標(biāo)、策略、方案等內(nèi)容。

（2）準(zhǔn)備階段：此階段是開展安全測評服務(wù)工作的基礎(chǔ)，在此階段測評機(jī)構(gòu)需對物聯(lián)網(wǎng)信息系統(tǒng)當(dāng)前業(yè)務(wù)和環(huán)境進(jìn)行調(diào)研和分析，充分了解被測系統(tǒng)的詳細(xì)情況，包括安全體系架構(gòu)、業(yè)務(wù)架構(gòu)、組織及人員結(jié)構(gòu)、信息采集與處理端所使用的技術(shù)、安全策略等，在此基礎(chǔ)上制定測評方案。

（3）實(shí)施階段：在此階段，測評機(jī)構(gòu)根據(jù)測評方案和測評體系及測評指標(biāo)，采用多種測評手段對物聯(lián)網(wǎng)信息系統(tǒng)進(jìn)行定性和定量的測評，以了解系統(tǒng)的真實(shí)防護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題，主要的服務(wù)措施分為代碼檢測、漏洞掃描、滲透測試、現(xiàn)場審核與訪談等。

（4）評估階段：在此階段，主要根據(jù)現(xiàn)場實(shí)施的內(nèi)容對系統(tǒng)進(jìn)行深入評估，來判斷現(xiàn)有安全措施的有效性以及是否符合標(biāo)準(zhǔn)測評體系的要求，分析系統(tǒng)部署情況與測評標(biāo)準(zhǔn)之間的差距，并生成詳細(xì)的測評報(bào)告。

（5）審定階段：在此階段，測評機(jī)構(gòu)相關(guān)人員對測評報(bào)告內(nèi)容進(jìn)行審查，對其中不合理之處與測評人員進(jìn)行核實(shí)并形成最終測評報(bào)告，對測評過程中發(fā)現(xiàn)的阿全漏洞和威脅對被側(cè)方進(jìn)行安全通告。

（6）入庫階段：測評服務(wù)機(jī)構(gòu)將系統(tǒng)測評報(bào)告和測評結(jié)果以及相關(guān)過程記錄進(jìn)行歸檔保存，將相關(guān)測試經(jīng)驗(yàn)形成知識庫。

（7）培訓(xùn)服務(wù)：在安全測評服務(wù)中添加培訓(xùn)服務(wù)內(nèi)容能夠?yàn)闃?gòu)建安全可靠的信息系統(tǒng)、提高安全服務(wù)測評效率發(fā)揮重要作用，主要的培訓(xùn)服務(wù)內(nèi)容包括：人員意識培訓(xùn)、管理培訓(xùn)和技術(shù)培訓(xùn)。

5結(jié)論

物聯(lián)網(wǎng)的快速發(fā)展給物聯(lián)網(wǎng)信息系統(tǒng)的安全問題提出了新的挑戰(zhàn)，也給針對物聯(lián)網(wǎng)信息系統(tǒng)的測評服務(wù)提出來越來越高的要求。如何快速有效的發(fā)現(xiàn)物聯(lián)網(wǎng)信息系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)和潛在威脅，對物聯(lián)網(wǎng)信息系統(tǒng)做出合理、全面、有效的安全評估成為一個新的課題。本文針對這個問題提出了如何基于物聯(lián)網(wǎng)信息系統(tǒng)的安全威脅建立測評指標(biāo)體系的方法，并給出了一套完整的物聯(lián)網(wǎng)信息系統(tǒng)的測評服務(wù)模式，其中包含物聯(lián)網(wǎng)信息系統(tǒng)產(chǎn)品層面和系統(tǒng)層面的相關(guān)內(nèi)容，為物聯(lián)網(wǎng)信息系統(tǒng)的安全測評提供理論基礎(chǔ)。