严把信息网络安全关,为推动公共安全产业发展保驾护航
——专访国家安全防范报警系统产品质量监督检测中心(上海)国家网络与信息系统安全产品质量监督检验中心公安部第三研究所认证中心 常务副主任鲍逸明
2018-12-06丁兆威
□ 文/本刊记者 丁兆威
近年来,以网络摄像机等为代表的社会公共安全类产品技术发展迅速,在传统安防技术上广泛融入了计算机、人工智能、网络通信、自动控制等技术,其智能化、联网化水平越来越高,在预防和打击违法犯罪工作中起着越来越重要的作用。但是,新技术的采用也带来了新的问题和安全威胁,比如视频的网络安全等。
经公安部、国家认监委批准,公安部第三研究所认证中心承担起社会公共安全类智能联网产品网络安全自愿性认证的重任。
那么,社会公共安全类智能联网产品网络安全自愿性认证有什么意义?对我国公共安全产业持续健康发展将产生什么积极影响?
为此,本刊记者对国家安全防范报警系统产品质量监督检测中心(上海)、国家网络与信息系统安全产品质量监督检验中心、公安部第三研究所认证中心常务副主任鲍逸明进行了专访。
中国公共安全:目前我国社会公共安全类智能联网产品网络安全现状如何?主要存在哪些问题?
鲍逸明:近年来,以网络摄像机、智能门锁等为代表的社会公共安全类产品技术发展迅速,在传统安防技术上广泛融入了计算机、网络通信、自动控制等技术,其智能化、联网化水平越来越高,对于保卫社会公共安全、预防和打击违法犯罪,起着越来越重要的作用。但是,新技术的采用也带来了新的安全威胁,出现了新的安全问题,比如:在网络摄像机中,存在着数据传输未加密导致重要信息泄露、大量摄像机使用弱口令导致设备被黑客恶意控制等问题;在智能门锁中,存在着网络传输的控制信号未加密、抗故障注入能力弱等导致门锁远程或者本地非法开启等问题。这方面的安全事件也很多,比如:2015年江苏省公安厅发现某型号的视频监控设备存在严重安全隐患,部分设备已经被境外IP地址控制;2016年黑客利用大量智能联网设备发起了“史上最严重DDoS攻击”,致使美国东海岸地区长时间互联网瘫痪;2018年永康门博会上爆出了利用“特斯拉线圈”(俗称“小黑盒”)秒开智能门锁的消息,引起了社会的广泛关注。
中国公共安全:为什么要开展社会公共安全类智能联网产品网络安全自愿性认证?(必要性)开展社会公共安全类智能联网产品网络安全自愿性认证有什么意义?(重要性)
鲍逸明:正是因为智能联网产品出现了这些安全问题,国家采取了一系列行动来应对,比如:2017年国家出台了《中共中央 国务院关于开展质量提升行动的指导意见》,推动我国经济发展进入质量时代,强调加强产品安全质量。公安部、中央网信办、工信部等国家相关部委也采取了一些行动提升智能联网产品的安全质量,比如:2017年原国家质检总局产品质量监督司组织开展了智能摄像头质量安全风险监测,发布智能摄像头质量安全风险警示。我中心正是顺应这种新的形势,开展了社会公共安全类智能联网产品网络安全自愿性认证。认证中产品需通过12大类55个测试点安全技术检测,以及一致性检查等持续质量跟踪检查。因此,经过认证的产品可以基本解决已知安全漏洞和问题。而且,我们的认证将动态跟踪最新安全威胁,及时调整技术规范,解决新的安全问题。
因此,开展社会公共安全类智能联网产品网络安全自愿性认证,有利于引导和帮助智能联网产品生产企业提升该类产品的安全防护技术能力,保障该类产品网络安全方面的产品质量。同时,通过产品认证证书的颁发,将便于采购、使用该类产品的广大用户甄别其网络安全防护能力,选购和使用防护能力强的产品,更好地发挥其预防和打击违法犯罪行为的作用。
中国公共安全:2016年我国取消“安全技术防范产品生产登记批准书核发”行政审批事项后,行业内暴露出哪些新问题?
鲍逸明:2016年随着国家行政审批制度改革的逐步深入,取消了“安全技术防范产品生产登记批准书核发”行政审批事项,安防产品不再核发生产、销售许可证,公安机关不再对安防产品执行技防管理。行政许可制度的取消,减轻了企业在行政审批方面花费的精力、财力,降低了企业的行政支出,但管理的弱化也带来了行业发展方面新的问题。
取消行政审批以后,公安机关对安防产品生产企业不再进行直接管理,改变了原有的技防管理部门定期检查和产品型式试验管理模式,企业完全依靠企业自律和市场需求开展生产经营活动,一些企业主为了追求利润最大化,通过降低质量要求降低成本,市场上以次充好的现象逐渐增多,产品质量有下滑的趋势。同时,安防产品不属于普通的消费品,产品向系统化、集成化方向发展,不再以单一的产品形态对外销售,市场监管部门很难通过市场监督抽查获得受检样品,造成了行业监管的进一步缺失。
中国公共安全:在对社会公共安全类智能联网产品网络信息安全的研究和检测实践工作中,遇到过哪些普遍存在、具有代表性和典型性问题?
鲍逸明:我中心自2014年以来,组织技术力量持续跟踪研究社会公共安全类智能联网产品网络安全威胁,对网络摄像机、智能门锁、电子猫眼、楼宇对讲等10余类产品进行了检测。比如:针对智能门锁安全问题,我们设法获取了数种典型的“小黑盒”,研究了在频率、功率、时间、空间方位等维度可以全面模拟“小黑盒”的检测技术,通过对智能门锁的系统检测,可以找出智能门锁故障注入的漏洞。再比如:我们在对网络摄像机的渗透测试中,我们采用黑客模拟技术,在实验室中全面模拟黑客可能的攻击行为,发现该类产品的安全漏洞。通过研究我们发现,很多产品存在着“重功能、轻安全”的现象,典型问题有:数据传输不加密、弱口令、管理员账户共用、管理行为无法审计、设备固件漏洞无法及时发现、漏洞补丁无法升级或者升级方式不安全等,这些问题可能导致用户重要数据泄露、或者智能联网设备被恶意控制等。
中国公共安全:为开展社会公共安全类智能联网产品网络安全自愿性认证,认证中心都做了哪些工作?
鲍逸明:国家网络与信息系统安全产品质量监督检验中心对智能联网产品网络信息安全的研究和检测实践工作始于2014年,四年多来我中心承接了多款智能门锁、网络摄像机等产品的委托测试工作,掌握了科学的测试方法,积累了大量的测试数据,就各类网络安全漏洞进行了分析和归类,制定了一套完善的测试评价方法。具体准备情况有:
1.开展专题研讨,制定认证所需的相关标准,做好认证技术依据的准备工作
为了了解开展网络安全自愿性认证工作的必要性、技术性和可行性,我中心牵头组织召开了十余次的专题研讨会,会议收集了大量与会代表就此类产品网络安全防护的意见和建议,就网络安全认证工作开展的重要性达成了共识。
针对目前智能联网产品网络安全标准缺失的问题,我中心牵头和参与制定了一系列国家标准、行业标准和联盟标准。这些标准规范的研究和制订奠定了我中心智能联网产品测评的坚实理论技术基础,为认证工作的开展提供了强有力的技术支撑。
2.发挥中心技术优势,制定了认证实施规则和技术规范,有能力保障认证工作的顺利开展
科学、规范、合理的认证实施规则是开展产品认证的前提条件,我中心制订了《社会公共安全领域自愿性认证实施规则智能联网产品(网络安全)》,规则对社会公共安全行业智能联网产品开展自愿性认证的适用范围、认证依据标准、认证模式、认证流程、型式试验、工厂检查、认证证书、认证标志等内容做了规定,完成了该认证实施规则的国家认监委备案工作。
3.工厂检查员和签约实验室已满足开展认证工作的各项要求
为了满足即将开展的网络安全自愿性认证需要,2017年我中心共有具有网络信息安全专业经历的21名人员通过了CCAA自愿性认证工厂检查员考试,同时,认证中心对工厂检查员进行了17065认证机构质量管理体系和工厂检查专业培训,有足够的能力承担工厂检查任务。
此外,我中心多年来承担了大约300多项信息安全产品的认证检测任务,具有丰富的认证产品检测经验和工厂检查经验。实验室能力方面,为了满足智能联网产品网络安全自愿性认证的需要,中心向国家认可委申请了能力扩项,已获得CNAS认可的智能联网产品网络安全相关检验检测能力。
中国公共安全:因为是自愿认证,有些企业可能积极性会不高。请问认证能够为相关企业带来什么益处?
鲍逸明:认证是获得信任、传递信任的一个过程,企业通过我中心的自愿性认证,即可被允许在其产品上加施我中心的认证标志,证明其产品能符合相应标准要求,生产过程处于可控状态,产品质量保持一致。公安部第三研究所在网络安全领域是最权威的技术机构之一,产品通过我中心的认证以后:1.有助于企业树立品牌,提高市场竞争力,实现经济效益和社会效益的最大化。2.有助于大大提升企业的社会公信力,同时降低企业需要承担的产品风险。3.有助于企业不断的提高工厂质量保证能力,完善现代化的企业管理制度,促进企业的可持续发展。
中国公共安全:开展社会公共安全类智能联网产品网络安全自愿性认证对我国安防行业持续健康发展将产生什么积极影响?
鲍逸明:随着安防产业的发展,传统安防产品的智能化、联网化已成为行业发展的新趋势。网络安全问题已经成为“智慧城市”、“智慧公安”建设中亟待解决的问题,开展社会公共安全类智能联网产品网络安全自愿性认证,一方面有利于促进安防产品在智能化、联网化方面的技术创新,提升其网络安全防护技术能力,促进安防产品的升级换代,在预防和打击违法犯罪方面发挥更大的作用;另一方面,将全面提升该类产品的安全质量,消除公众的安全疑虑,增强其使用信心,从而扩大产业规模,促进我国安防行业持续快速健康发展。
人物介绍
鲍逸明
男,1987年大学毕业进入公安部第三研究所,从事检测中心技术和管理工作三十余年,对安防电子、机械、信息安全领域技术发展有着丰富的经验和熟悉度,现任国家安全防范报警系统产品质量监督检测中心(上海)、国家网络与信息系统安全产品质量监督检验中心、公安部第三研究所认证中心常务副主任,TC100标委会实体防护分技委副主任委员。
他在党和国家新发展理念的战略引领下,在“质量第一”建设“质量强国”的进程中,发挥自身技术优势,勇于担当、创新服务,积极打造研究型检测机构。近年来,中心先后承担了国家级、省部级等36项科研项目,获得科研经费1.8亿余元;共主持和参与130多项安全防范和信息安全产品的国际标准、国家标准、行业标准的制、修订工作。在行为公正、方法科学、数据准确、服务规范的质量方针指引下,为公共安全防范行业和国家信息网络安全把好了相关系统和产品质量关,以客观、公正、严瑾、规范的检验风格树立了自身的行业权威地位,实现了“公安第一、国内领先”的目标。