物聯網應用場景下自助終端網絡安全威脅評估與應對

邵林 牛偉納 張小松

自助終端作為傳統人工操作的補充，在政務、交通以及能源等領域廣泛應用. 隨著電子和信息技術的飛速發展，以及支付寶和微信等移動支付方式的普及，自助終端的性能不斷提升，成本不斷降低，其應用領域和范圍不再受設備體積、支付方式和網絡接入等因素制約. 然而，在自助終端日益普及的同時，相關的網絡安全問題不斷暴露. 在分析當前自助終端現狀的基礎上，本文以成都市范圍內的政務服務以及交通運輸領域為例，分析自助終端在關鍵基礎設施領域部署，應用及管理方面存在的網絡安全風險與隱患，并提出在物聯網應用場景下針對自助終端近源滲透攻擊的網絡安全威脅評估模型及應對策略.

物聯網； 自助終端； 近源滲透； 網絡安全； 威脅評估

TP391A2023.013004

收稿日期： 2022-07-27

基金項目： 教育部重點基金項目（6141A02011904）

作者簡介： 邵林（1985-）， 男， 碩士， 研究方向為物聯網安全和網絡對抗.

通訊作者： 張小松. E-mail： johnsonzxs@uestc.edu.cn

Cybersecurity threats assessment of self-service terminals in IoT application scenarios and corresponding countermeasures

SHAO Lin1，2， NIU Wei-Na1， ZHANG Xiao-Song1

（1.Institute for Cyber Security， University of Electronic Science and Technology of China， Chengdu 611731， China;

2.Department of Information Technology， Sichuan Business Vocational College， Chengdu 611131， China）

Self-service terminals are widely used in many fields， such as government services， transportation systems， energy systems and so on， as supplements to manual operations. With the rapid development of electronic and information technologies， as well as the popularity of mobile payment such as Alipay and WeChat pay， the performance of the self-service terminals gets stronger while the cost gets lower， there are less constraints on the shape， size and application of the self-service terminals. While the self-service terminals get more popular， cyber risks and threats in critical infrastructures which involve so many self-service terminals are constantly exposed. Based on the analysis of the current situations of the self-service terminals， taking the government services and transportation systems of Chengdu as an example， the cybersecurity risks and threats in the deployment， application and management of them are analyzed， the threats assessment model and corresponding countermeasures for the cyber security accidents caused by the nearby attack on self-service terminals in the Internet-of-Things （IoT） applications scenarios are proposed.

IoT; Self-service terminals; Nearby attack; Cybersecurity; Threats assessment

1 引 言

從上世紀60年代第一臺現代意義上的自助終端投入實際應用以來，自助終端發展迅猛.因其成本低廉、易于部署和便于使用等特點，在政務、交通、能源以及金融等諸多行業被廣泛應用. 在實際應用中，這些設備需要接入企業或機構內部網絡（后統稱內網）以獲取數據并對外提供服務. 自助終端一旦失陷，容易對內網安全造成威脅甚至嚴重破壞. 本文以成都市主城區范圍內政務服務和交通運輸領域為例，重點分析了這兩個領域自助終端存在的網絡安全風險與隱患，并在此基礎上提出了針對物聯網應用場景下自助終端網絡安全威脅評估模型以及應對策略. 本文的研究成果有助于內網運維管理人員評估因自助終端失陷所造成的網絡安全風險與隱患，可結合文中提出的網絡安全應對策略采取有針對性的處置措施.

2 自助終端概述

2.1 自助終端的定義

自助終端通常是以軟硬件復合體的形式存在，通過顯示器等輸出設備向使用者呈現系統操作界面及相關信息，同時借助觸摸屏、讀卡器以及鍵盤等輸入設備獲取使用者操作指令與數據，經終端設備的計算單元處理后給出相應的反饋，包括文字、圖片、視頻、音頻、實物以及服務等.自助終端最初的組成部分主要包括：輸入設備（鍵盤、麥克風等）、處理單元（PC機、工控機等）和輸出設備（顯示屏、打印機、揚聲器等）. 隨著信息技術的不斷發展以及移動支付技術的出現，自助終端已經不再是單一的處理單元，而是內網信息系統中的一部分.設備組成略有變化：輸入設備（觸摸屏、藍牙控制器、二維碼等）、處理單元（PC、平板電腦、一體機以及移動終端等）和輸出設備（顯示屏、打印機、傳送設備等）. 總的來說，自助終端正朝著功能多樣化和系統復雜化的方向發展.

2.2 自助終端發展脈絡

自助終端大致經歷了純機械時代、電子化時代、互聯網時代、移動互聯網時代以及物聯網時代等五個階段的發展歷程.

（1）? 現代意義上的自助終端最早出現在上世紀60年代，其中以英國人約翰·巴倫發明的銀行自動取款機（Auto Teller Machine，ATM）為典型代表［1］.

（2） 隨著PC機的普及，自助終端逐漸進入電子化階段，這一階段的代表是電子化的銀行自助取款機.

（3）? 2000年前后，金融、電信和醫療等行業逐漸引入自助終端，設備功能性得到了極大拓展.

（4）? 2010年以后，移動支付及人臉識別技術日趨成熟，傳統自助終端所占市場份額逐漸縮減，新型自助終端因其大小靈活且用途廣泛等優勢快速發展，并且已具有一定的物聯網特征，例如銀行業的新型ATM設備［2］和家居行業的智能門鎖［3］等.

（5）? 2015年前后，自助終端廣泛應用于政務、醫療、能源以及交通等國計民生領域，例如政務中心的叫號機，醫療機構的自助打印設備［4-6］以及能源行業的燃氣繳費終端［7］等. 這一時期最顯著的特征是：關鍵基礎設施及關鍵信息基礎設施［8］領域大量引入自助終端，相應的網絡安全風險與隱患隨之增大［9］.

2.3 自助終端網絡安全特性

前期研究發現，自助終端具有一些共同的網絡安全特性，對內網安全而言存在較大威脅.

（1） 邊緣性. 自助終端因其用途以及受限的人機操作界面，往往處于內網安全運維管理的邊緣地帶甚至是“真空地帶”. 一方面，自助終端所處網絡位置特殊，既需要訪問內網資源，又需要對外提供業務服務；另一方面，自助終端因其特定業務服務和受限的人機操作界面，有別于傳統內網計算設備，極易被網絡運維人員忽略. 正是由于在內網運維管理中獨有的邊緣性，自助終端運行狀況和安全狀況通常取決于運維管理人員的工作經驗和能力水平.

（2） 粘黏性. 自助終端及其業務系統，通常是針對特定行業和業務定制研發的，其業務流程相對穩定鮮有變化，即便業務流程發生變化，也可以通過軟件層面的修改以適應新的業務應用場景. 再者，這類硬件設備投入應用之后，通常不會在短時間內報廢或棄用. 因此，自助終端一旦部署便會長期滯留、粘黏在內網之中，硬件上的配置缺陷以及軟件上的安全漏洞都會隨設備長期存在于企業或機構內網之中.

（3） 復雜性. 就自助終端硬件而言，由于實際應用場景紛繁復雜，自助終端在設計和實現時，所采用的硬件體系架構（Intel或Arm），設備所集成的傳感器和外設，以及設備最終呈現的外觀和形態都存在極大差異. 就軟件而言，自助終端部署的底層操作系統（Windows，Android或Linux等），業務系統所采用的網絡模型（B/S或C/S），以及業務應用軟件開發環境等都存在極大的多樣性. 正是這種多樣性使得自助終端在運維管理上非常復雜.甚至功能相同的設備因硬件平臺差異以及軟件設計和實現的不同，導致部分設備可以納入基于Windows域的內網管理，而其余設備無法納入內網統一管理，從而成為內網安全運維管理的盲點.

3 物聯網應用場景下自助終端存在的安全漏洞

雖然自助終端在外觀形狀、設備配置以及應用領域等方面存在極大差異，但在物聯網應用場景下普遍存在以下4類安全漏洞.

3.1 設備控制權限轉移

目前，絕大多數自助終端需要借助操作系統來運行定制化業務應用程序（后統稱業務應用）或者啟動瀏覽器展示特定業務場景下的Web頁面（后統稱業務頁面）.從設備上電開始，整個過程大致可分為以下步驟：

（1） 設備啟動或重啟，即設備上電；

（2） 操作系統加載；

（3） 登錄預先設定的賬戶（通常為操作系統管理員等高權限賬戶），并加載相應的配置文件；

（4） 以登錄用戶身份運行定制業務應用或啟動瀏覽器展示業務頁面；

（5） 設備控制權限由操作系統轉移至定制業務應用或者瀏覽器，從而接收用戶輸入并響應用戶操作.

由于自助終端長期處于無人看管狀態，且因軟件異常和上下班開關機等原因，設備無法完全自主運行，需要人工操作介入干預，例如啟動或重啟設備，網絡異常以及外設異常等. 在設備上電過程中，自助終端權限通常在可控范圍之內，即用戶無法繞過定制業務應用或者瀏覽器直接獲取操作系統的控制權限. 然而，由于底層操作系統在設計之初無法考慮到所有可能的應用場景，以及自助終端的不當配置等，難以在操作系統層面直接提供用于自助終端控制權限安全轉移的技術保障措施，涉及控制權限安全轉移的額外操作由開發人員、運維人員或設備管理人員負責完成.

目前，政務、交通、醫療以及能源等領域的自助終端大量存在設備控制權限轉移漏洞（后統稱權限轉移漏洞），主要原因在于底層操作系統安全策略配置不當，以及自助終端軟件配置缺陷等，導致自助終端未能有效處理用戶的異常操作及軟件運行時異常等，進而失去對底層操作系統的控制. 利用權限轉移漏洞，攻擊者可獲得操作系統當前登錄用戶的所有權限.在實際應用場景下，這類權限通常是操作系統管理員權限. 攻擊者可借此執行以下操作或者實施以下攻擊行為：

（1） 查看設備軟硬件信息；

（2） 查看設備使用痕跡，包括系統日志，終端歷史命令，近期訪問的文件，以及Web瀏覽器歷史記錄等；

（3） 查看設備網絡信息，包括IP地址，所處網絡信息以及路由追蹤信息等；

（4） 借助第三方黑客工具竊取操作系統登錄憑證，包括用戶的密碼哈希（hash）等；

（5） 開啟或關閉系統服務，包括Windows系統的遠程桌面服務和文件共享服務，以及Linux系統的telnet和SSH服務等；

（6） 創建設備管理賬戶.

3.2 異構網接入

由于自助終端通常安裝在固定位置且體積較大不易移動，加之企業、機構對業務應用穩定性的考慮，自助終端通常采用有線網絡接入內網，且一旦部署不會輕易變動設備位置. 另一方面，當前自助終端硬件集成度較高，其主板通常集成了CPU、內存、固態硬盤、USB接口以及無線網卡等部件. 在當前物聯網應用場景下，如果內網運維管理人員不能移除或者屏蔽多余的無線網卡或藍牙網卡等部件，攻擊者突破業務應用或瀏覽器的權限控制后，便可利用未移除或未屏蔽的部件（例如無線網卡和藍牙網卡等），將自助終端接入攻擊者預先設置的無線網絡，或者將自助終端設置為攻擊者可接入的無線熱點，從而打通攻擊者與自助終端之間的網絡通路，見圖1. 由此可見，異構網接入漏洞是一個軟硬件復合型的安全漏洞，硬件上需要有未被業務應用使用的數據傳輸接口，軟件上需要有操作數據傳輸接口的權限. 從“等保2. 0”、公安以及電力等行業制定的物聯網安全相關標準［10，11］來看，異構網絡接入到內網，或者內網中的設備接入異構網絡時，應當遵循嚴格的認證和管控措施，其中《GB/T 22239-2019》國家標準［11］就物聯網安全區域邊界明確規定“應保證只有授權的感知節點可以接入”.

3.3 竊取物理憑證

隨著應用領域的不斷拓展，自助終端被賦予更多的功能特性，例如自助打印、自助辦證以及自助取證等. 這些設備一旦失控，所引發的危害不僅限于信息泄露，還包括設備所存儲的各種物理憑證的安全，以及由此衍生的社會安全風險和隱患. 這些物理憑證包括但不限于特定領域的身份證明憑證，如臨時身份證、駕駛證以及健康證等. 這類憑證（包括已加蓋發證機關印章的憑證模板）一旦失竊將對社會秩序，公共安全乃至國家安全造成嚴重危害［7，12］.

3.4 竊取資產與服務

竊取資產與服務類漏洞主要集中在傳統的售販類自助終端. 當攻擊者突破定制業務應用或瀏覽器的部分操作限制后，利用自助終端存在的軟硬件缺陷，包括未屏蔽的調試接口以及軟件漏洞等，非法獲得設備所管理的資產（包括數字資產）以及服務. 就此類攻擊而言，攻擊者不僅需要獲得設備控制權限，往往還需要基于真實設備進行軟硬件脆弱性分析，從而達到攻擊自助終端并獲取資產與服務的目的. 對于自助終端而言，基于此類漏洞的攻擊難度更高，周期更長，但是所造成的經濟損失往往更大.

4 重點行業自助終端安全性分析

自助終端廣泛應用于社會生活的各個方面，本文選擇政務服務以及交通運輸領域作為代表，重點研究這2個領域的自助終端安全性. 之所以選擇這2個領域，主要從兩方面考慮：一方面，上述2個領域屬于我國關鍵基礎設施和關鍵信息基礎設施范疇，對其進行網絡安全研究意義重大；另一方面，上述2個領域部署了大量面向公眾的自助終端，客觀上存在較大的網絡安全風險和隱患. 在政務服務領域，本文針對成都市主城區范圍內7個區級政務服務中心（后統稱政務中心），包括成華區、錦江區、金牛區、青羊區、武侯區、高新區及天府新區等7個政務中心，進行了自助終端安全性研究. 在交通運輸領域，本文對成都市范圍內部分高速公路（G4201成都繞城高速以及G4215蓉遵高速），成都地鐵系統以及成都雙流國際機場進行了自助終端安全性研究. 以下是對上述2個領域自助終端安全性研究結果以及對發現的網絡安全隱患的分析.

4.1 政務服務領域自助終端安全性研究

政務中心作為政府職能部門向廣大市民提供政務服務的場所，通常會將各個職能部門集中于政務中心辦公，為市民提供更加高效、便捷的服務. 為提高辦事效率，應對政務中心人員緊張的狀況，政務中心通常會部署來自不同職能部門和不同廠商的自助終端. 通過實地調研，獲得了成都市主城區7個政務中心自助終端以及終端所部署的操作系統統計情況，見表1.

一方面，從設備所屬職能部門來看，這些終端可分為： 稅務自助終端，社保自助終端，公安戶證自助終端，公安出入境自助終端及其它政務服務自助終端. 其中，公安戶證自助終端和出入境自助終端在各政務中心均有部署，且在設備部署和運維管理上均嚴格遵循公安機關信息化建設相關的行業標準［10］，例如自助終端所在網絡與政務中心網絡物理隔離，嚴格限制自助終端對外暴露的硬件接口等，即便攻擊者通過權限轉移漏洞獲得自助終端控制權限，仍舊無法建立與自助終端之間的數據通路，例如無線網絡連接，藍牙連接或U盤拷貝等. 因此，針對公安系統的自助終端，攻擊者通常只能實施一些危害性相對較小的操作，例如格式化硬盤，修改賬戶密碼，關閉業務應用，修改業務頁面以及關閉自助終端等，信息外泄風險相對可控. 稅務自助終端和社保自助終端設備也普遍存在權限轉移漏洞，并且與政務中心共享內網，存在嚴重的信息外泄風險. 除此之外，政務中心還部署了大量的自助查詢終端，例如叫號機，樓層信息導引終端，政務信息展示終端等，甚至部分政務中心還部署了問詢機器人. 值得注意的是，部分政務中心還部署了大量移動自助終端，例如平板電腦和智能手機. 這些移動自助終端多部署Android系統，并且部分設備存在權限轉移漏洞和異構網接入漏洞，導致設備信息泄露甚至設備失陷，例如攻擊者通過智能手機、平板電腦獲取業務應用文件（App）， 以及設備所連接的無線網絡（包括政務中心內網專用的隱藏無線網絡）名稱（SSID）和密碼等，攻擊者獲得相關信息后可發起針對政務中心內網的攻擊.

另一方面，從設備所部署的操作系統來看，這些設備可以劃分為基于Windows系統的自助終端和基于Android系統的自助終端. 從表1統計數據來看，自助終端所部署的操作系統主要是Windows系統，其次是Android系統，目前尚未發現基于Linux或蘋果MacOS/iOS系統的自助終端. 經分析發現，導致此類情況的主要原因包括以下幾點：

（1） 自助終端行業上游主板廠商在芯片選擇上傾向于價格低廉、性能穩定且極具兼容性的芯片，例如Intel桌面系列芯片和Arm移動終端系列芯片，而與之匹配的操作系統主要是Windows系統和Android系統；

（2） 行業下游的軟件開發商傾向于更為成熟且具備敏捷開發能力的Windows系統和Android系統作為軟件運行的目標操作系統，并且在業務應用的網絡模型上多采用B/S架構以提高軟件開發效率，降低軟件開發成本，增強軟件應對需求變更的能力；

（3） 從表1數據來看，部署Windows系統的自助終端明顯多于部署Android系統的自助終端. 這也從側面反映出了當前自助終端領域軟件開發商對Windows系統以及微軟公司軟件開發生態的嚴重依賴.

另外，本文就物聯網應用場景下自助終端常見的4類安全漏洞，包括權限轉移，異構網接入，竊取物理憑證以及竊取資產與服務，進行了全面分析，并給出了各政務中心自助終端存在的安全漏洞以及漏洞占比情況，見表2.

從表2數據來看，成都市主城區范圍內區級政務中心的自助終端普遍存在安全漏洞和隱患，其中以權限轉移漏洞最為突出，詳細情況如下.

（1） 權限轉移. 由于操作系統特性，軟件開發和運維管理等原因，Windows系統出現權限轉移的情況顯著多于Android系統. 以成華區政務中心為例，該中心自助終端幾乎全部存在權限轉移漏洞，即攻擊者可以通過非法觸控操作或者運行存在配置缺陷的應用（點擊位于業務應用上層的懸浮圖標喚醒后臺服務進程）繞過前端業務應用，進入Windows系統界面，從而獲得當前Windows登錄用戶權限以及訪問Windows其他系統的權限. 出現該類情況的原因主要有2個方面： ① 開發者在軟件開發過程中沒有充分考慮自助終端可能面臨的復雜工作環境，包括用戶的非法觸控，軟件運行時異常以及外設運行異常等； ② 系統運維人員在自助終端軟件部署和運維管理時，未能正確配置自助終端、業務應用和支撐軟件，進而導致使用者突破業務應用權限限制，獲得當前Windows登錄用戶甚至是Windows管理員用戶權限.

再者，由于Windows系統（不包括Windows Embedded或Windows IoT系統）主要應用于傳統的PC領域，難以適應物聯網應用場景下的復雜工作環境，例如Windows登錄用戶的權限控制，觸摸屏和軟鍵盤控制等. 一旦攻擊者突破業務應用權限控制便可控制自助終端，進而下載和安裝惡意軟件，創建新的管理員用戶，開啟高危網絡服務以及破壞終端軟硬件等. 相較于Windows系統而言，Android系統存在權限轉移的情況較少，因為Android系統是針對移動終端開發的操作系統，具有較好的用戶權限管理和應用程序管控等安全特性，能夠很好地適應物聯網應用場景.

（2） 異構網接入. 從統計情況來看，除成華區政服務中心外，其余6個區級政務中心均存在異構網接入漏洞. 值得注意的是，這類漏洞主要存在于運行Android系統的自助終端，基于Windows系統的自助終端鮮有此類漏洞. 經分析發現，存在異構網接入漏洞的Android自助終端至少配置了2個硬件網絡接口，即RJ45接口（有線以太網接口）以及無線網卡接口（802.11無線網絡接口），而政務中心在內網建設時出于安全考慮通常選擇有線網絡進行部署和建設，但并未移除或屏蔽設備多余的無線網卡接口. 因此，攻擊者一旦獲得設備控制權限便可啟用無線網卡突破網絡接入限制，侵入政務中心內網，例如將自助終端接入攻擊者預先設置的Wi-Fi熱點，或者將自助終端設置為 Wi-Fi熱點便于攻擊者接入政務中心內網，如圖2.

（3） 竊取物理憑證. 從表2中可以看出，前述7個區級政務中心存在竊取物理憑證的風險相對較小，僅金牛區政務中心存在此類情況，并且攻擊者通過該漏洞所能竊取到的憑證未加蓋政府部門印章，不具有法律效力，因此危害性相對較小.

由于自助終端進入政務服務領域相對較晚，加之該類設備所具有的雙重屬性，即功能上屬于物聯網終端設備，而在管理上則屬于內網計算機，因此在實際運維管理工作中往往處于“真空地帶”，尤其是基于Android系統的自助終端，尚無法納入基于工作組或Windows域環境的內網管理之中. 然而，在近源滲透攻擊場景中，攻擊者可以利用這些自助終端直接對政務中心內網實施近源滲透. 由圖2可見，如果僅借助互聯網對政務中心內網實施遠程網絡攻擊，攻擊者需要精確定位中心外網出口，繞過政府機構部署的邊界網絡安全設備，例如防火墻、入侵檢測等系統，才有可能滲透至政務中心內網. 顯然，這種遠程攻擊方式難度大，成本高，周期長且見效慢. 然而，在基于物聯網的近源滲透場景中，攻擊者只需抵近存在安全漏洞的Windows或Android自助終端便可直接滲透至政務中心內網，將存在權限轉移漏洞的Windows自助終端作為內網“支點”，還可進一步獲得設備管理員權限，建立對自助終端的持久化控制. 對于這種近源滲透而言，傳統網絡邊界防護設備難以檢測此類攻擊. 可見，隨著物聯網的不斷發展，內網攻擊面隨之增大，內網可能遭受的網絡威脅也已經超越傳統的內網安全防護范疇.

4.2 交通運輸領域自助終端安全性研究

與政務服務領域不同，交通運輸領域自助終端在分布上呈現明顯的分散性.以成都地鐵系統和成都周邊高速公路為例，自助終端分布于各個地鐵站點和高速公路服務區，彼此之間物理距離相對較遠. 再者，交通運輸領域自助終端總數以及局部部署數量較少. 由于前述原因，交通運輸領域自助終端在運維管理和應急處置上面臨的問題較之政務服務領域更為嚴峻. 此外，交通運輸領域自助終端面臨的最為嚴峻的網絡安全問題是物理憑證（即涉及身份信息與身份識別的物理憑證）竊取和偽造.犯罪分子可利用相關漏洞竊取自助終端存儲或管理的合法憑證，或利用竊取的有效憑證模板偽造合法憑證，從而冒用他人名義乘坐交通工具，逃避法律懲處，破壞社會穩定，甚至危害國家安全.

4.2.1 高速公路自助終端安全性研究 高速公路信息系統向駕乘人員提供的信息交互接口主要包括高速公路出入口處的ETC終端（電子不停車收費終端）以及在高速公路服務區所提供的道路信息自助查詢終端. 受制于ETC終端傳輸速率以及極短時間的交互場景，難以實施有效的近源滲透攻擊. 然而，高速公路服務區部署的道路信息自助查詢終端卻為針對高速公路信息系統的近源滲透提供了可能的攻擊面. 一方面，基于Windows系統的自助終端存在權限轉移漏洞，且直接暴露Windows系統管理員權限；另一方面，自助終端具有豐富的網絡接口，可以通過設備自身配備的無線網卡實現異構網接入，即攻擊者可通過自助終端接入高速公路信息系統內網，或通過自助終端將高速公路信息系統內網與互聯網連接，如圖3.

4.2.2 成都地鐵自助終端安全性 自2018年以來，成都地鐵年日均客流量已超300萬，近兩年來年日均客流量已突破400萬［13］，自動售票終端以及智能票務查詢終端極大減輕了人工操作負擔，有效提升了地鐵系統的運行效率. 然而，成都地鐵部署的智能票務查詢終端以及周邊信息查詢終端均存在網絡安全漏洞.

由于內網運維管理人員通過Windows系統管理員賬戶運行相關業務應用，因此攻擊者突破前端業務應用限制后，便獲得Windows系統管理員權限，并憑借該權限啟用無線網卡實現異構網接入，進而訪問地鐵站點內部的其他計算設備和網絡設備，見圖4. 從成都地鐵官方給出的地鐵運營信息來看［13］，成都地鐵目前投入運營的12條線路，共計373個地鐵站，所部署的智能票務查詢終端以及周邊信息查詢終端均存在權限轉移和異構網接入漏洞. 從技術層面來看，攻擊者完全有能力控制各個地鐵站，發起針對地鐵票務信息系統甚至是地鐵閘機系統的網絡攻擊.

4.2.3 成都機場自助終端安全性研究 機場作為重要的交通設施和關鍵基礎設施，提供給乘客使用的信息接口較少，僅包括實時航班信息，客票信息和值機信息等. 此外，民航系統對乘客身份的審核極為嚴格，要求乘客必須持有有效身份證件以及登機牌才能值機. 此外，成都雙流國際機場信息化建設極為成熟，提供給乘客使用的自助終端都進行了嚴格的軟硬件安全檢測，能夠有效應對常見的自助終端攻擊行為. 然而，在研究過程中發現，雙流國際機場部署的多臺某型號自助證照打印終端，存在竊取物理憑證的安全漏洞. 該型自助終端設備的業務流程如下：

（1） 用戶輸入手機號碼，接收驗證短信；

（2） 用戶向自助終端提交短信驗證碼；

（3） 短信驗證成功，用戶填寫個人信息，打印值機所需的相關證照；

（4） 短信驗證失敗，提示錯誤，返回步驟（1）.

對于普通乘客而言，通過手機短信驗證后，按照要求提交個人信息便可獲取值機所需證照. 由于未能充分過濾用戶輸入，攻擊者可以通過非法輸入繞過手機短信驗證，以接近25%的概率獲取到具有法律效力的空白證照模板（已加蓋相關部門印章）. 在獲得空白證照模板后，攻擊者通過比對按照正常流程獲取的有效證照信息，即可利用互聯網等渠道泄露的個人信息，包括個人照片、居民身份證以及家庭住址等信息，偽造具有法律效力的證照，從而繞過民航系統的居民身份驗證，如圖5. 通過對該案例的進一步分析發現，該型自助終端已經采取了多重安全加固措施，包括監管Windows啟動程序從而防止對設備的重啟攻擊；業務應用基于B/S網絡模型開發，并禁用了Windows系統彈窗功能，將用戶操作限制在瀏覽器范圍內，徹底杜絕攻擊者獲得Windows其他系統權限的可能.

5 自助終端威脅評估模型

在物聯網與傳統內網融合過程中，網絡安全風險與隱患越發突出. 為有效應對此類風險，本文基于自助終端對企業、機構內部信息系統可能造成的危害，進行威脅評估建模，大致分為以下4個威脅級別.

L1為第1級，即最高風險級別. 當內部信息系統中自助終端同時存在權限轉移和異構網接入漏洞時，可將該設備對內部信息系統的威脅評定為L1級別. 值得注意的是，如果自助終端之間通過內部信息系統可以互連，即攻擊者利用僅存在異構網接入漏洞的自助終端可訪問僅存在權限轉移漏洞的自助終端時，威脅級別也應評定為L1級別. 此種情況下，攻擊者可利用異構網接入漏洞侵入內網，并通過內網遠程控制存在權限轉移漏洞的失陷自助終端，進而獲得在內網中的持續控制權限，如圖6.

L2為第2級，自助終端僅存在異構網接入漏洞，攻擊者通過對自助終端的近源滲透只能獲得內網接入權限. 相較于L1而言，攻擊者僅獲得了接入內部網絡的權限，難以在短時間內建立內網持久化控制. 此種情況下，攻擊者可以利用失陷的自助終端作為接入內部網絡的“橋梁”，對內網進行大規模的網絡掃描、漏洞掃描甚至實施弱口令攻擊，為后期內網橫向滲透獲取有用信息. 再者，攻擊者可在失陷終端附近設置無線網絡熱點，將失陷終端接入到攻擊者預先設置的無線網絡中，這樣攻擊者可在一定程度上擺脫與目標設備之間的距離限制，在一段時間內實現非抵近的網絡攻擊. 如果能夠徹底解決前端攻擊設備電源供給問題，攻擊者完全可以將整個內網長時間連接至互聯網，甚至徹底擺脫必須近距離接觸目標設備的限制，如圖7.

L3為第3級，攻擊者只能通過權限轉移漏洞獲得自助終端的控制權限，但無法接入內網或建立與失陷自助終端之間的數據交換通道. 由于無法將攻擊設備接入內網，或將用于網絡攻擊的惡意軟件上傳至自助終端，攻擊者能實施的攻擊行為較為有限，對內網可能造成的危害相對較小. 具體而言，攻擊者所能實施的攻擊行為，包括獲取設備和網絡信息，修改自助終端所呈現的業務頁面，通過卸載業務應用、關閉自助終端以及格式化磁盤等惡意操作對自助終端實施拒絕服務攻擊.

L4為第4級，攻擊者只能利用自助終端的具體業務應用漏洞繞過身份認證獲取由自助終端保存或管理的物理憑證，或者資產與服務. 在此情況下，攻擊者往往無法取得自助終端的完全控制權，也無法接入內網或建立與自助終端間的數據交換通道，對內網整體安全性而言，攻擊者所能造成的危害極為有限. 然而，攻擊者利用竊取的物理憑證或者濫用自助終端提供的資產與服務所造成的社會危害或經濟損失，視具體情而定.

6 自助終端安全防范對策

隨著物聯網的飛速發展，物聯網與傳統內網融合過程中的網絡安全風險與隱患越發突出. 在“等保2.0”網絡安全等級保護國家標準［14］提出后，關鍵基礎設施以及關鍵信息基礎設施領域的物聯網安全日益受到國家重視. 自助終端作為內網中廣泛應用的物聯網設備，因其具有物聯網和內網雙重屬性，在內網運維管理中經常處于“真空地帶”. 因此，有必要站在物聯網安全角度，重新審視自助終端在物聯網應用場景下的網絡安全風險和隱患，制定宏觀層面的應對策略以及技術層面的應對措施.

（1） 擴展內網安全運維管理覆蓋面，壓縮物聯網融入傳統內網時所產生的運維管理“真空地帶”. 雖然物聯網終端設備在功能，用途以及使用方式上與傳統計算機有著顯著區別，但很大一部分設備仍可通過工作組或Windows域管理方式納入傳統的內網運維管理之中，并且有必要將該類設備盡可能全部納入內網統一管理［15］.

應對措施：

① 參照“等保2. 0”等涉及物聯網安全運維的相關國家、行業標準［10，11］，對涉及自助終端的內網進行有針對性的升級改造，例如采用虛擬局域網（后統稱VLAN）技術，盡可能將自助終端部署在同一個VLAN中.

② 加強網絡邊界防護，針對自助終端僅訪問內網資源的特點，一方面有針對性的設置防火墻訪問控制規則，重點檢測來自自助終端的出網請求；另一方面，可采用基于機器學習的方法對內網流量進行分析［16］，例如內網掃描等高危操作所產生的的網絡流量，從而及時發現和定位內網異常自助終端.

③ 基于設備信息與強制策略的防御技術［15］，基于設備行為的檢測技術［17］，基于上下文感知的檢測技術［18］等在物聯網應用場景下也具有一定可行性，可結合具體的應用場景選擇部署.

（2） 按照前述自助終端威脅評估模型，結合具體的物聯網應用場景以及“等保2.0”相關的信息安全國家、行業標準［10，11］，制定切實可行的自助終端網絡安全應急處置措施. 一方面，針對失陷自助終端制定網絡安全事件應急處置方案，方案制定應當以最大限度減小失陷設備對內網的影響作為首要原則. 另一方面，還需制定內部網絡應對自助終端失陷的分級處置措施，例如涉密網絡與非涉密網絡采取不同的處置措施，子網與核心網絡采取不同處置措施.

應對措施：

① 針對自助終端構建專用VLAN，將自助終端部署在同一VLAN中，并限制VLAN可訪問的內網資源，從而將針對自助終端的潛在攻擊行為限制在特定網絡范圍內，減小網絡攻擊行為可能導致的破壞.

② 參照“等保2.0”標準［11］中“物聯網安全擴展要求”，公安機關數字取證相關標準［19，20］，結合企業、機構自身網絡的涉密情況，分類、分級制定符合實際情況的自助終端網絡安全應急處置措施，例如在發現攻擊行并定位失陷自助終端后，是否立即關閉設備電源，是否將設備進行網絡隔離，或將設備轉移至取證用的隔離網絡等.

③ 考慮到針對物聯網系統的攻擊日益頻繁［21，22］，加之自助終端自身具有的內網設備屬性，內網建設和升級改造時，應當充分考慮內部信息系遭受該類攻擊后的恢復能力［23］，尤其是涉及政務服務、交通運輸等關鍵基礎設施和關鍵信息基礎設施領域.

（3）從軟硬件兩個方面著手，提升自助終端安全性. 就硬件而言，在確保自助終端能用性的前提下，盡量移除不必要的硬件或傳感器［11］，減少自助終端對外暴露接口，提升自助終端物理安全；就軟件而言，采用更加安全可靠的業務應用模型［24］，合理配置底層操作系統安全策略，加固業務應用運行所需的支撐軟件等.

應對措施：

① 遵循“等保2.0”等國家和行業標準［11］，結合本文前期調研情況，在自助終端部署前應當移除設備中的多余部件，例如無線網卡、藍牙網卡以及USB接口等，從而最大程度提高設備的物理安全性［25］. 考慮自助終端開發、部署以及運維管理環節可能產生的額外成本，在無法徹底移除多余部件的情況下，可考慮物理屏蔽或遮擋多余接口，至少應當從系統層面禁用多余部件，或者卸載部件對應的硬件驅動程序.

② 從系統安全角度出發，自助終端應盡量選擇部署適用于物聯網應用場景的操作系統，例如Android，Windows Embedded Standard 7，Windows Embedded 8 Standard/Industry，Windows 10 IoT Core/Enterprise［26］以及Windows 11 IoT Enterprise［27］等操作系統.

③ 就軟件開發而言，自助終端業務系統應盡量采用B/S網絡模型［24］，通過系統自帶的瀏覽器實現用戶交互以及業務頁面呈現，將可能的攻擊面限制在底層操作系統和瀏覽器等支撐軟件層面. 一方面，可以充分利用支撐軟件的安全性提高攻擊的技術門檻和實施攻擊的成本；另一方面，由于業務數據存儲于遠端服務器，可進一步減小自助終端失陷后可能造成的數據丟失風險.

④ 在自助終端部署和運維過程中，應充分利用操作系統和瀏覽器等支撐軟件所提供的安全特性，制定有效的自助終端網絡安全防護策略. 就Windows系統而言，運維管理人員應啟用Windows IoT 或Windows Embedded系統提供的展臺模式［28］（Kiosk Mode），確保自助終端始終以全屏模式運行業務應用，或通過Windows自帶瀏覽器展示業務頁面，阻止使用者對Windows其他系統功能的訪問［28，29］. 就Android系統而言，運維管理人員應當將系統自帶的Chrome瀏覽器設置為展臺模式以全屏方式呈現業務頁面，或者將Android系統設置為鎖定任務模式［30］（Lock Task Mode）以類似展臺模式的方式運行業務應用，從而阻止用戶對Android其他系統功能的訪問［30，31］.

7 結 論

物聯網的飛速發展勢必會引入新的網絡安全風險與隱患，尤其是物聯網與傳統內網融合過程中，難免存在運維管理“真空地帶”. 通過分析物聯網應用場景下自助終端存在的網絡安全漏洞，結合政務服務和交通運輸領域的實際案例，本文提出了物聯網應用場景下自助終端網絡安全威脅評估模型，企業、機構可據此制定內網安全應對策略，并采取有針對性的技術應對措施.

參考文獻：

［1］ Falconi F， Zapata C， Moquillaza A， et al. Security guidelines for the design of ATM interfaces［C］//Proceedings of the Advances in Usability， User Experience， Wearable and Assistive Technology. AHFE 2020. Advances in Intelligent Systems and Computing. San Diego， USA： Springer， 2020.

［2］ Thirumoorthy D， Rastogi U， Sundaram B， et al. An IoT implementation to ATM safety system ［C］//Proceedings of the 2021 Third International Conference on Inventive Research in Computing Applications （ICIRCA）. Coimbatore， India： IEEE， 2021.

［3］ Ho G， Leung D， Mishra P， et al. Smart locks： lessons for securing commodity internet of things devices ［C］//Proceedings of the 11th ACM on Asia Conference on Computer and Communications Security. New York， USA： ASSOC Computing Machinery， 2016.

［4］ 王時群， 許占民. 基于AHP-TOPSIS法的醫院自助終端掛號系統可用性評價研［J］. 工業設計， 2022， 32： 33.

［5］ 黃正茂， 劉桂新， 喬國凱. 國產化自助終端應用現狀及發展研究［J］. 信息技術與信息化， 2020， 193： 197.

［6］ Shang H， Shi X， Wang C. Research on the design of medical self-service terminal for the elderly ［C］//Proceedings of the Advances in Human Factors and Ergonomics in Healthcare and Medical Devices. AHFE 2020. Advances in Intelligent Systems and Computing. USA： Springer， 2020.

［7］ Scaife N， Bowers J， Peeters C， et al. Kiss from a rogue： evaluating detectability of pay-at-the-pump card skimmers ［C］//Proceedings of the IEEE Symposium on Security and Privacy. San Francisco， USA： IEEE， 2019.

［8］ 國務院. 關鍵信息基礎設施安全保護條例［EB/OL］.（2021-07-30）［2022-09-30］. http：//www.gov.cn/gongbao/content/2021/content_5636138.htm.

［9］ Ivanov N， Yan Q. AutoThing： a secure transaction framework for self-service things ［J］. IEEE T Serv Comput， 2022， 1： 13.

［10］ 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會. 公安物聯網系統信息安全等級保護要求： GB/T 35317-2017［S］.北京： 中國質檢出版社， 2017.

［11］ 國家市場監督管理總局，中國國家標準化管理委員會.? 信息安全技術—網絡安全等級保護基本要求： GB/T 22239-2019［S］.北京： 中國質檢出版社， 2019.

［12］ 馮鵬鈺， 葉翔. 政務自助終端機安全隱患及加固研究［J］. 中國有線電視， 2020， 797： 799.

［13］ 成都地鐵. 成都地鐵信息概覽［EB/OL］. ［2022-09-30］. https：//metrodb.org/index/chengdu.html.

［14］ 公安部. 公安部出臺指導意見進一步健全完善國家網絡安全綜合防控體系［EB/OL］. （2020-09-22） ［2022-09-30］. http：//www.gov.cn/xinwen/2020-09/22/content_5546104.htm.

［15］ Celik B， Tan G， McDaniel P. IoTGuard： dynamic enforcement of security and safety policy in commodity IoT［C］//Proceedings of the Network and Distributed System Security Symposium （NDSS）. San Diego， USA： Internet SOC， 2019.

［16］ Fehmi J， Darine A， Amine B， et al. Identification of compromised IoT devices： combined approach based on energy consumption and network traffic analysis［C］//Proceedings of the 21st International Conference on Software Quality， Reliability and Security （QRS）. Hainan， China： IEEE， 2021.

［17］ Babun L， Aksu H， Uluagac A. A system-level behavioral detection framework for compromised CPS devices： smart-grid case ［J］. ACM Trans Cyber： Phys， 2020， 1： 28.

［18］ Sikder S， Babun L， Aksu H， et al. Aegis： a context-aware security framework for smart home systems ［C］//Proceedings of the 35th Annual Computer Security Applications Conference （ACSAC）. Austin， USA： ACM， 2019.

［19］ 公安部第三研究所. 電子證據數據現場獲取通用方法： GA/T 1174-2014［S］.北京： 中國標準出版社， 2014.

［20］ 中國刑事警察學院， 公安部物證鑒定中心， 公安部網絡安全保衛局. 法庭科學： 電子物證Windows操作系統日志檢驗技術規范GA/T 1071-2021［S］.北京： 中國質檢出版社， 2021.

［21］ Kelli Young. Cyber Case Study： The mirai DDoS attack on dyn［EB/OL］. （2022-01-10） ［2022-09-30］. https：//coverlink.com/case-study/mirai-ddos-attack-on-dyn/#：～：text=The%20Mirai%20DDoS%20Attack%20on%20Dyn%20was%20one，unavailable%20to%20users%20throughout%20North%20America%20and%20Europe.

［22］ Andy Greenberg. The colonial pipeline hack is a new extreme for ran-somware ［EB/OL］. （2021-05-08） ［2022-09-30］. https：//www.wired.com/story/colonial-pipeline-ransomware-attack/.

［23］ Medwed M， Nikov V， Renes J， et al. Cyber resilience for self-monitoring IoT devices ［C］//Proceedings of the IEEE International Conference on Cyber Security and Resilience （CSR）. Rhodes， Greece：IEEE， 2021： 160.

［24］ Google LLC. 創建和部署Chrome自助服務終端應用［EB/OL］. ［2022-09-30］.https：//support.google.com/chrome/a/answer/3316168？hl=zh-Hans.

［25］ Yang X， Shu L， Liu Y， et al. Physical security and safety of IoT equipment： a survey of recent advances and opportunities ［J］. IEEE T Ind Inform， 2022， 18： 4319.

［26］ Microsoft. Windows 10 IoT 概述［EB/OL］. ［2022-09-30］. https：//learn.microsoft.com/zh-cn/windows/iot-core/windows-iot.

［27］ Microsoft. Windows 11 IoT 企業版中有哪些新增功能？［EB/OL］.［2022-09-30］. https：//learn.microsoft.com/zh-cn/windows/iot/product-family/what's-new-in-windows-11-iot-enterprise.

［28］ Microsoft.展臺模式［EB/OL］. ［2022-09-30］. https：//learn.microsoft.com/zh-cn/windows/iot/iot-enterprise/kiosk-mode/kiosk-mode.

［29］ Microsoft. 什么是通用 Windows 平臺 （UWP） 應用？［EB/OL］. ［2022-09-30］. https：//learn.microsoft.com/zh-cn/windows/uwp/get-started/universal-application-platform-guide.

［30］ Google LLC. Dedicated devices overview ［EB/OL］. ［2022-09-30］. https：//developer.android.com/work/dpc/dedicated-devices.

［31］ Google LLC. Create and deploy Chrome kiosk apps［EB/OL］. ［2022-09-30］.https：//support.google.com/chrome/a/answer/3316168？hl=en.