物联网一体化安全保障监督检验体系研究与实践*

2014-03-03范红胡志昂公安部第一研究所

警察技术 2014年4期

关键词：检测工具漏洞信息安全

范红胡志昂公安部第一研究所

范红胡志昂公安部第一研究所

物联网面临的安全问题更轻量级、更复杂、更平民化，传统的安全技术无法满足现实需求。为此，提出了物联网一体化安全保障监督检验体系，通过产品检测、系统检测/检查、基础库和信息化安全服务平台保障物联网安全。

物联网信息安全安全保障检测

一、引言

2013年，中央和地方政府对物联网产业依然保持着相当高的扶持力度，出台政策不断。2013年上半年，不但有国务院出台的《关于推进物联网有序健康发展的指导意见》，还有中央和地方的持续性扶持政策及关于落实实施的政策。如4月25日福建省印发了《福建省加快物联网发展行动方案（2013～2015年）》；4月28日，工业和信息化部办公厅、财政部办公厅联合发布了《关于做好2013年物联网发展专项资金项目申报工作的通知》；8月6日，住建部公布了2013年度国家智慧城市试点名单，试点城市合计多达190个。

物联网一方面能够带来巨大的经济发展机遇，促进、保障社会和谐发展，另一方面又会带来信息安全和隐私泄露等方面的问题。目前来看，物联网在信息安全方面存在的问题如下：一是存在信号受到干扰的可能。如果安置在物品上的传感设备信号受到恶意干扰，就很容易造成重要物品损失以及重要信息被篡改、丢失的隐患；二是存在恶意入侵的隐患。如果病毒、黑客、恶意软件绕过了相关安全技术的防范，对物联网的授权管理进行恶意操作，掌控他人的物品，就会造成对用户隐私权的侵犯。如果爆炸物、枪支等危险物品被其它人掌控，后果会十分严重，不仅会造成个人经济损失，还会对整个社会的安全造成威胁。因此，要实现物联网的大规模应用，必须着力加强物联网安全检测，保证障物联网安全。

二、安全保障监督检验体系

目前，物联网安全技术和安全状况缺乏有效的检测和评价手段，建设物联网安全保障监督检验专业化服务能力显得十分关键。国内外已对物联网安全体系架构进行了相关研讨[1-3]，但对于安全保障监督检验体系均未涉及，为此本文提出物联网一体化安全保障监督检验体系（如图1），具体内容包括：

·产品检测：提供产品检测环境，开展物联网产品族群自愿性认证业务，未来可扩展至产品销售许可检测业务。

·物联网系统检测与检查：根据通用系统检测与检查的安全技术要求，提供系统功能、系统性能、系统安全性和一致性的检测与检查能力，并关联外部漏洞、脆弱性等风险进行风险评估。

·基础库：将物联网漏洞分析与安全评估相结合形成漏洞与补丁库，通过构建标准及指标库和生物特征基础库，对外提供咨询服务。

·信息化综合服务平台：建立信息化检测流程，为物联网产品、系统检测/检查提供业务运行支撑平台，完成检测流程管理、检测样品管理、检测报告管理等业务管理功能。

（一）产品安全检测

产品检测可以实现物联网产品的功能符合性检测、性能检测、安全性检测以及安全保证检测，其涵盖范围包括：

·智能感知产品检测：包括单向读取、双向读取、单向控制和双向控制。

·接入传输产品检测：包括数据接入、视频接入、无线接入和单向接入。

·业务应用产品检测：包括计算环境、通信网络、区域边界和安全管理。

目前，上述3个大类目录12项子目录共涉及56种产品族群，物联网产品认证清单如表1所示。

产品检测以开展物联网信息安全产品自愿性认证、销售许可检测以及产品入围检测业务为目的，直接面向政府、各个行业部委以及企事业单位，为全社会提供物联网产品的功能、性能、安全、安全保证等检测。

1.检测标准

包括支持产品检测的各类国际、国内标准、规范和技术要求，如《公安物联网感知层通用安全要求导则》、《射频标签产品安全技术要求》，《物联网产品信息安全认证实施规则_射频标签》、《信息安全技术网络型入侵防御产品技术要求和测试评价方法》、《物联网网关产品安全技术要求》，《物联网产品信息安全认证实施规则_物联网网关》等。

2.检测方法

根据产品形态的不同，产品安全检测的检测方法主要有图像性能检测、功能验证、电磁兼容试验、性能检测、渗透测试、文档审查与分析、网络抓包与协议分析等。如图像性能检测指标包括信噪比、水平中心分辨率、灰度等级、场同步信号幅度；电磁兼容试验包括工作频率、电场强度阀值、静电放电抗扰度、射频电磁场抗扰度；渗透测试包括抗干扰渗透测试、简单攻击探测、恶意代码检测、越权检测、病毒渗透测试等。

3.检测工具

针对产品安全检测所需的各种功能、性能、安全和安全保证检测方法，需要有先进的检测工具作为支撑。产品检测工具根据其应用范围划分为产品功能检测工具集、产品性能检测工具集及产品安全检测工具集3个部分，如图2所示。

检测工具包括：测试机、示波器、抓包工具、渗透测试工具集、配套充电装置、功率计、功耗分析仪、矢量信号分析仪、无线通信性能测试设备、频谱分析仪、干扰源、综合测试仪、激光测距仪、智能卡、协议分析仪、网络包捕获工具、网络协议分析、漏洞扫描工具、渗透测试工具集、视频点播终端、网络摄像头、CA认证设备、应用/视频服务器、Tag Reader软件、解码分析仪、微波暗室、天线、校准夹具、RFID综合测试仪、射频信号发生器、场强探头、压力试验机、振动试验台、恒温恒湿箱、脆弱性扫描工具、操作系统安全基线检查工具、数据库安全评估工具、Web安全检查工具、源代码安全分析工具、数据恢复工具等。

4.检测环境

由于物联网产品种类繁多，安全特性不一，需要构建部件组成灵活、形式多样的开放式检测环境。图3是针对单向读取类产品的典型检测环境，包括条码扫描器产品检测环境、摄像机产品检测环境、GPS产品检测环境、智能电表产品检测环境等。

（二）物联网系统检测与检查

物联网系统检测与检查既对外提供安全功能符合性、系统产品溯源、系统整体结构以及业务连续性等实验室检测、检查服务，又提供便携式检测工具开展现场检测/检查服务。

·实验室检测：对系统建设入围产品以及系统实施实验室进行检测，并以模拟实际系统检测环境作为支撑。

·现场检测：提供便携式检测工具，如漏洞扫描工具、自动化攻击工具等。

1.检测标准

包括《警用装备智能管理系统安全技术要求》、《天安门地区运行调度系统安全技术要求》、《人防工程建设和运维检测预警系统安全技术要求》、《北京市城市安全运行和应急管理物联网应用辅助决策系统安全技术要求》、《北京市超高层安全物联网检测与应用救援系统安全技术要求》、《物联网系统安全管理检查要求》等。

2.检测设备

检测设备包括射频综合分析仪、频谱分析仪、网络协议分析仪、脆弱性扫描工具、网络安全分析仪、渗透测试工具集、操作系统安全基线检查工具、数据库安全评估工具、Web安全检查工具等。

3.检测环境

系统检测与检查环境包括物联网系统三层结构，由感知层支撑设备、接入传输设备和应用支撑设备组成，如图4所示。其中应用层通过云管理平台定制化Linux、Windows、AIX等系统，Web Logic、Web Service等架构，实现重要区域管控、人员识别、危险物品监控、GPS定位感知、汽车牌照识别等多类型运行支撑环境。

（三）基础库

基础库建立漏洞与补丁库、标准库、指标库以及生物特征基础库，以支撑产品、系统检测与检查，并适时对外提供咨询服务。

1.物联网漏洞与补丁库

收集物联网信息安全漏洞与补丁知识，形成一个全面、专业的物联网信息安全漏洞与补丁知识库，为物联网系统安全检测、产品检测、风险评估及安全检查提供技术支撑服务；同时对外提供咨询服务，包括网上发布漏洞信息、定制客户漏洞处理方案、提供漏洞补丁和专用杀毒工具下载等服务。针对物联网在使用过程中出现的安全漏洞，不断对漏洞和补丁知识库进行更新，以保证知识库的全面性和可用性。

2.标准库

采纳、借鉴国际/国家标准、行业标准、地方标准、企业标准以及工程设计规范，研究适用感、传、知、用的标准。其标准体系如图5所示。

3.指标库

根据标准技术要求，结合漏洞与补丁情况，按照物联网三层结构生成指标体系。指标体系内容包括产品检测指标、系统检测指标、风险评估指标、集成化安全管理检查指标。指标体系架构如图6所示。

4.生物特征基础库

利用二代证指纹库等已有的生物特征库以及收集生物识读产品厂商的基础数据，逐步建立指纹、掌纹、虹膜、面部特征、DNA等生物特征基础库。