打造物联网一体化安全检测专业化服务,促物联网产业健康发展——专访公安部第一研究所所长仇保利
2014-03-07本刊张晓多
本刊 张晓多
物联网被视为继计算机、互联网和移动通信网络之后的第三次信息产业浪潮,对提升整个国家的信息化水平和推动产业升级有着重大意义。然而,我国物联网安全缺乏系统性专业化检测的现状却限制了其技术和产业的大规模发展。
2012年,国家发展改革委提出了建设“物联网一体化安全检测专业化服务”项目,这是在国家层面对物联网行业发展进行规范管理的重要工作部署。公安部第一研究所作为该项目的承担单位,已先行开展了许多工作。本期专题人物,我们带您走近该项目的负责人、公安部第一研究所所长仇保利,请他为我们分析我国物联网安全的现状,并就物联网安全检测专业化服务进行深入剖析。
仇保利
1969年2月生,硕士,现任公安部第一研究所所长、党委副书记。曾任公安部治安管理局副巡视员、公安部网络安全保卫局副局长等职务。
多年来,他主持完成了“全国治安管理信息系统示范工程”、“全国百城市人口信息管理系统联网工程”、“全国人口信息管理系统”、“派出所综合信息管理系统”、“第二代居民身份证信息管理总体框架”等多项重大项目;主起草完成了《常住人口信息管理规范》等33项行业标准,其中“第二代居民身份证标准体系及系列标准”获公安部科学技术进步一等奖。
记者:随着物联网技术在更多领域中的应用,物联网的安全问题也成为人们关注的焦点。那么,当前我国的物联网安全主要存在的问题有哪些?针对这些问题是否有合适的解决途径?
仇保利:物联网是互联网在现实世界的延伸,它一方面继承了互联网固有的安全问题,另一方面由于物联网全面感知以及宽泛互联的特性,出现了一些新的安全问题。首先,物联网感知层节点大多部署在无人区,且计算、存储性能有限,易被攻击者破坏(电子破坏、物理破坏)、冒充或越权、屏蔽干扰、重放、篡改或泄漏数据,形成大量的损坏、恶意节点;其次,物联网大多使用无线射频方式通信,攻击者可以在设定通信距离外偷听信息,可以传递、截取或修改通信消息,也可以搭建“扒手”系统进行中间人攻击;再次,攻击者可以通过不完整的交互请求消耗系统资源,如产生标签冲突影响正常读取或传感节点发起认证消息消耗系统计算资源,也可以消耗有限的标签或传感器内部状态,使之无法被正常识别;第四,攻击者可以在节点中注入一定量的代码,获取重要信息,还可以监听并采集到加密设备运行时泄漏的某些旁路信息,如运行时间、功耗、电磁辐射等,甚至可以干预密码变换的正常运行使其出错,然后利用这些采集的旁路信息或者出错导致的信息对密码设备进行有效的密码破译。
以上这些安全问题可以通过密钥管理机制、数据处理与隐私技术、安全路由协议、认证与访问控制、入侵检测等安全技术进行防护。但由于物联网的自身特点,使得传统安全技术无法直接应用,且相对物联网应用的发展,物联网安全技术相对滞后。目前,物联网安全技术和安全状况缺乏有效的检测和评价手段,因此,建设物联网安全检测专业化服务能力,是解决物联网安全问题必不可少的关键工作。在国家对物联网安全工作的重要部署以及现实需求环境下,国家发展改革委组织实施了2012年国家信息安全专项“物联网一体化安全检测专业化服务”项目。该项目致力于通过物联网安全检测专业化服务来保障物联网安全,促进物联网相关产业的健康发展。
记者:作为国家信息安全专项“物联网一体化安全检测专业化服务”项目的负责人,能否请您为我们详细介绍一下提出这个项目的背景及意义?
仇保利:近年来,国家高度重视物联网安全,出台了一系列政策。在《物联网“十二五”发展规划》、《物联网白皮书》、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》、《关于推进物联网有序健康发展的指导意见》等文件中都明确提出了“建立健全监督、检查和安全评估机制。加强物联网重要应用和系统的安全测评、风险评估和安全防护工作”。特别在2012年,根据《关于组织实施2012年国家信息安全专项有关事项的通知》要求,公安部第一研究所抓住机遇,承担了“物联网一体化安全检测专业化服务”项目。
“物联网一体化安全检测专业化服务”项目是为了保障物联网健康顺利发展,面向全社会,构建感知设备安全检测服务、物联网系统安全测评和风险评估服务、物联网集成化安全管理检查服务以及漏洞与补丁服务等一体化安全检测服务体系,以满足物联网集成化安全检测需求。其核心内容一是建立物联网产品安全检测能力,通过软硬件设备购置、场地设计构建产品检测环境,初期形成56个产品族群自愿性认证业务的检测能力,未来可扩展至产品销售许可检测业务;二是建立系统安全检测、安全管理检查能力建设,制定通用系统检测与检查的安全技术要求,采购系统类检测工具;三是物联网漏洞分析与风险评估相结合,构建标准及指标库、漏洞与补丁库、生物特征库;四是建立信息化综合服务平台,为物联网产品、系统检测/检查提供业务运行支撑平台,完成检测流程管理、检测样品管理、检测报告管理等业务管理功能。
目前国内外虽已开展了物联网安全测评的相关研究,但各测试系统缺乏综合性,尚没有统一的方法或准则。面对庞杂的产品和广泛的物联网应用,大部分产品与系统的检测、风险评估与可靠性评估或无法开展、或分散在传统的检测机构中,缺乏专业、综合的物联网产品与系统安全检测机构,集成化测试服务需求无法得到满足,这个项目的实施能够积极发挥第三方检测机构的监管作用,增强物联网主动安全保障能力,降低物联网系统安全风险,维护国家安全和社会秩序。另一方面由于信息安全服务机构对重要信息系统提供此系列服务时不可避免地可能知晓重要信息系统中的国家秘密或者商业秘密等重要信息,因此不但要求安全服务机构具有较高的技术能力和服务水平,而且要求具有较高的可信度和可靠性。通过该项目的实施,将以公安部第一研究所的技术队伍为基础,建立起一支技术能力强、政治素质可靠的信息安全服务队伍,为物联网安全运行提供检测支持。
记者:公安部第一研究所作为该项目的承担单位,在项目建设方面具有哪些优势?
仇保利:公安部第一研究所作为公安部的技术支撑单位,在物联网安全领域积极开展基础性技术研究和服务平台建设工作,为公安部的政策制定提供技术支持,为全社会提供物联网安全专业化服务,实现技术和政策的无缝衔接,为保障物联网安全贡献力量。研究所对物联网这一新兴技术的发展和前景有着清晰的认识,已将物联网技术列为今后几年需要重点研究开发的内容,并投入了大量的人力、物力、财力,提出并承担了“十二五”国家科技支撑计划项目“公共安全物联网技术研究与应用示范”、“公安物联网建设与应用战略规划研究”等项目,建立了“警务物联网应用技术公安部重点实验室”。
同时,公安部第一研究所已与中国信息安全认证中心建立战略合作关系,推动物联网产品安全检测业务拓展。随着市场化与国际化的发展,物联网安全检测势必以自愿认证为驱动。研究所检测中心根据战略合作协议,成立其首个物联网I T产品检测实验室,实验室将分批分次开展涵盖物联网各类感知设备、接入设备和业务应用设备共3大类12项56个产品族群涉及几百款产品的检测。在检测数据逐渐积累,并对其进行综合分析的基础上,研究所检测中心将编制物联网行业年度安全态势报告,逐渐形成物联网安全情况的年度对比,为国家有关部门制定物联网方面的方针和政策提供支持。
记者:请您为我们介绍一下该项目的进展情况,下一步的具体工作将有何部署?
仇保利:2013年6月,国家发展改革委办公厅正式批复项目实施。2013年12月公安部科技信息化局在北京组织召开了“物联网一体化安全检测专业化服务项目实施方案”专家评审会,评审专家一致同意方案通过评审。随着项目实施方案评审通过,项目组开始着手产品检测能力、系统检测/检查能力以及风险评估服务能力、基础库(漏洞与补丁库、标准及指标库、生物特征库)能力的建设。
与此同时,我们积极开展与各部委、认证机构、院校、国家标准化管理局以及公安部相关业务局的广泛交流与合作,共同促进物联网安全检测产业发展。首先,我们同清华大学公共安全研究院进行合作交流,并就进一步的合作模式等问题进行了深入探讨;其次,2014年1月,研究所检测中心与中国信息安全认证中心签署实验室委托协议,成为其首个物联网I T产品自愿性认证授权实验室。3月,中国信息安全认证中心正式发布与检测中心联合编制的多类产品的《认证实施规则》和《安全技术要求》。4月,中国信息安全认证中心在公安部第一研究所召开物联网类产品信息安全认证检测宣介会,标志着物联网产品安全检测工作正式开展。
目前,项目组已对人员基础信息采集一体化设备、通信终端信息采集设备、单向隔离网闸、物联网网关等多款产品开展安全检测,下一步将根据近1000家企业事业单位关于物联网产品检测需求的反馈情况,开展安全管理平台、门禁控制设备、3 G接入网关、We b安全应用检测系统产品、紧急报警装置、无线传输交换系统、云操作系统安全加固等产品安全技术标准起草以及产品检测工作。
记者:“物联网一体化安全检测专业化服务”项目的完成对于我国的物联网安全将产生怎样的意义?
仇保利:经过多年的发展,为国家信息化建设和重要信息系统安全运行提供技术支持的信息安全专业化服务已经得到了长足的发展,相关的机构和单位已经形成规模。我国信息安全专业化服务虽然已具有一定水准,但物联网系统及产品安全检测服务尚处于起步阶段,存在着检测技术单一等问题,物联网一体化安全检测专业化服务可以促进我国物联网信息安全专业化检测服务的发展,从而推动物联网信息安全专业化检测服务向着智能化、网络化、集成化方向发展,提高我国物联网信息安全专业化服务市场竞争力。同时,物联网一体化安全检测也可促进物联网相关产业的健康发展。