压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：劉繼順從分析智能物聯(lián)時(shí)代的安全事件入手，結(jié)合國(guó)家網(wǎng)絡(luò)空間安全的法律法規(guī)，深入分析智能物聯(lián)領(lǐng)域的安全威脅面、攻擊原因和攻擊點(diǎn)，以網(wǎng)絡(luò)攝像機(jī)等為例分析攻擊方式，并從技術(shù)、標(biāo)準(zhǔn)、認(rèn)證、創(chuàng)新金融服務(wù)等角度提出相應(yīng)安全對(duì)策。

劉繼順????公安部第三研究所，國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，網(wǎng)絡(luò)安全專家

我們現(xiàn)在的主要關(guān)注點(diǎn)是在智能物聯(lián)時(shí)代。這樣的時(shí)代下，它的網(wǎng)絡(luò)空間有什么樣的變化？有哪些新特點(diǎn)？它的安全態(tài)勢(shì)如何？

我們周圍的很多設(shè)備都已經(jīng)逐漸聯(lián)網(wǎng)。有數(shù)據(jù)顯示，在2016年，全球正在使用中的智能聯(lián)網(wǎng)設(shè)備已經(jīng)達(dá)到64億臺(tái)。到2017年，它的數(shù)量已經(jīng)超過(guò)全球人口總數(shù)，年增長(zhǎng)速度大約在30%左右。預(yù)計(jì)到2020年，全球聯(lián)網(wǎng)的智能設(shè)備的數(shù)量將達(dá)到240億臺(tái)。

為什么會(huì)有這么多設(shè)備接入網(wǎng)絡(luò)呢？因?yàn)槿蚨荚谶M(jìn)行各種戰(zhàn)略。比如，平安城市、智慧城市、智能制造2025、德國(guó)的工業(yè)4.0，這使得各行各業(yè)都連到網(wǎng)上。比如，公安行業(yè)、金融行業(yè)、電力行業(yè)、智慧建筑、數(shù)字化儀表、供應(yīng)鏈、FID標(biāo)簽、礦業(yè)開采、工業(yè)自動(dòng)化、工業(yè)機(jī)器人、移動(dòng)支付等等方面都會(huì)有所應(yīng)用。

國(guó)務(wù)院發(fā)布《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》指出“智能安防、智能交通、智能醫(yī)療、與智能家居等9大領(lǐng)域是智慧城市建設(shè)的堅(jiān)實(shí)基礎(chǔ)”。

據(jù)工信部的數(shù)據(jù)，預(yù)計(jì)到2020年，中國(guó)物聯(lián)網(wǎng)的整體規(guī)模將超過(guò)1.8萬(wàn)億元。智能安防產(chǎn)業(yè)在國(guó)內(nèi)生產(chǎn)總值中占千分之7，增速達(dá)到13%，國(guó)內(nèi)安防市場(chǎng)增速超過(guò)全球平均增速。安防系統(tǒng)中的核心是視頻監(jiān)控，市場(chǎng)年復(fù)合增長(zhǎng)率超過(guò)12%，而IT市場(chǎng)的年復(fù)合增長(zhǎng)率只有6%左右。安防市場(chǎng)的市場(chǎng)規(guī)模不斷擴(kuò)大，視頻監(jiān)控已經(jīng)占到49%，其他的還有防盜報(bào)警、實(shí)體防護(hù)、樓宇對(duì)講、出入口控制等等。

隨著智能化、信息化的發(fā)展，擴(kuò)大了的網(wǎng)絡(luò)空間的安全事件頻出。2007年，當(dāng)時(shí)美國(guó)副總統(tǒng)迪克·切尼心臟病突然發(fā)作，懷疑是他的心臟除顫器無(wú)線連接功能被暗殺者利用。這被認(rèn)為是物聯(lián)網(wǎng)攻擊造成人身傷害的案例之一。

2013年，美國(guó)黑客發(fā)布了一個(gè)視頻，他利用一款基本型的民用無(wú)人機(jī)可以控制定位周圍的無(wú)人機(jī)站隊(duì)，形成僵尸無(wú)人機(jī)網(wǎng)絡(luò)。我們前不久也做過(guò)一個(gè)實(shí)驗(yàn)，利用無(wú)線發(fā)射器發(fā)射GPS的定位信號(hào)，這個(gè)定位信號(hào)可以干擾正在巡航中的無(wú)人機(jī)。無(wú)人機(jī)收到信號(hào)以后可以被我們控制，改變航向、高度，甚至可以迫降。

在汽車方面。2015年，安全專家利用比亞迪的云服務(wù)漏洞開啟比亞迪汽車的車門、發(fā)動(dòng)汽車、開啟后備箱。寶馬有220輛汽車配備了數(shù)字服務(wù)系統(tǒng)，這個(gè)服務(wù)系統(tǒng)存在安全漏洞，可以攻下寶馬品牌下一系列品牌。

如果說(shuō)以上案例只是侵犯到個(gè)人安全，2008年的土耳其石油管道爆炸事件侵犯到的是國(guó)家安全。土耳其石油管道從里海到地中海的1099英里長(zhǎng)的輸油管線遭到黑客攻擊。黑客首先入侵了該石油管理部門的網(wǎng)絡(luò)系統(tǒng)，然后安裝了一個(gè)惡意軟件，并關(guān)閉了警報(bào)、切斷了通信聯(lián)系，給管道內(nèi)的原油大幅度增壓，由于管道內(nèi)壓力不斷增大，該石油管道最終發(fā)生了爆炸，爆炸火焰高度達(dá)到150英尺。這個(gè)事件很簡(jiǎn)單，最初只是攻入了管線上的視頻監(jiān)控?cái)z像頭，控制攝像頭的權(quán)限以后，以此為跳板，不斷向內(nèi)部攻擊，獲得提權(quán)，獲得油壓的控制權(quán)。

美國(guó)的斷網(wǎng)事件也是轟動(dòng)一時(shí)。美國(guó)互聯(lián)網(wǎng)在黑客攻擊下出現(xiàn)大面積癱瘓，這次攻擊主要是DDOS攻擊，利用攝像頭、路由器的弱口令漏洞。黑客利用病毒不斷的掃描聯(lián)入互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備，物聯(lián)網(wǎng)的防護(hù)水平確實(shí)是低于PC機(jī)、手機(jī)，很容易獲取大量的肉雞。利用肉雞，在適當(dāng)?shù)臅r(shí)機(jī)發(fā)起分布式的DDOS攻擊。

我們看到了這么多的安全事件，觸目驚心。它背后的攻擊目的是什么呢？一般來(lái)講分為幾個(gè)類別。土耳其的案例就是危害國(guó)家安全；如果我們想攻擊人身安全，它可以威脅到人的生命。如果是智能門鎖，我可以攻擊它，在你不知不覺(jué)的情況下進(jìn)入到你的家里；可以通過(guò)攻擊竊取信息，進(jìn)行惡意敲詐。在國(guó)外是有這樣的案例的，把智能設(shè)備鎖住，如果不支付一定的費(fèi)用，設(shè)備不能恢復(fù)正常。如果你不認(rèn)為聯(lián)網(wǎng)設(shè)備很重要，是不是不需要防護(hù)呢？其實(shí)不是。通過(guò)這樣一個(gè)簡(jiǎn)單的設(shè)備攻入到網(wǎng)絡(luò)內(nèi)部，可以把它作為攻擊的跳板。土耳其的例子就是通過(guò)網(wǎng)絡(luò)攝像頭為跳板進(jìn)入油壓控制系統(tǒng)。或者是成為肉雞，造成大量的僵尸網(wǎng)絡(luò)，這給互聯(lián)網(wǎng)帶來(lái)的威脅是相當(dāng)大的。

物聯(lián)網(wǎng)的攻擊手段，最常見(jiàn)的是利用弱口令、默認(rèn)口令，進(jìn)行設(shè)備的劫持，獲得設(shè)備的控制權(quán)；或者進(jìn)行信息的竊取。如果說(shuō)是有執(zhí)行能力的設(shè)備，通過(guò)信息的篡改，可以進(jìn)行物理攻擊。

攻擊方式，以智能聯(lián)網(wǎng)鎖為例。很多高端樓盤會(huì)安裝智能門鎖，用起來(lái)比較方便，可以聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程操控。如果它的安全防護(hù)做的不是很好，它容易造成很多的安全隱患。可以通過(guò)嗅探的方式，這種方式在滲透中是比較常見(jiàn)的。可以嗅探它的銘文密碼。智能門鎖的最大特點(diǎn)是用電子鑰匙替代機(jī)械鑰匙。電子鑰匙其實(shí)就是一串?dāng)?shù)據(jù)。開門的時(shí)候，這串電子數(shù)據(jù)輸入到控制設(shè)備。藍(lán)牙是可以建立加密信道的，但大家并不開啟它。我們?cè)谶M(jìn)行產(chǎn)品檢測(cè)的時(shí)候遇到很多藍(lán)牙設(shè)備不開啟加密信道，但我們要求它必須開啟。藍(lán)牙設(shè)備沒(méi)有采用非銘文的傳輸，用銘文傳輸。很簡(jiǎn)單，用一個(gè)藍(lán)牙的探測(cè)器就可以把它抓下來(lái)，抓包之后進(jìn)行攻擊。

如果進(jìn)行加密是不是就可以保證萬(wàn)無(wú)一失呢？也不行。可以利用中間人的重放攻擊，把信號(hào)攔截，進(jìn)行重放，門鎖還是可以被打開的。這需要結(jié)合更多的安全措施，標(biāo)識(shí)、設(shè)備、時(shí)間戳。

還有服務(wù)器攻擊。物聯(lián)網(wǎng)設(shè)備都是上服務(wù)機(jī)，云上面會(huì)存在各種各樣的漏洞，攻擊者可以利用這些漏洞對(duì)云端的數(shù)據(jù)進(jìn)行篡改，改成簡(jiǎn)單一致的密碼，而且是永久有效的。用同步機(jī)制把命令下達(dá)下去，所有的門鎖都可以被控制。

這么多的安全事件引起了國(guó)內(nèi)外的重視。以美國(guó)為例，先后出臺(tái)了《2010網(wǎng)絡(luò)安全法案》《2010網(wǎng)絡(luò)安全加強(qiáng)法案》《2015網(wǎng)絡(luò)安全法案》《2017年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》。

我們國(guó)內(nèi)對(duì)網(wǎng)絡(luò)空間安全的重視是前所未有的，《網(wǎng)絡(luò)安全法》提出了“網(wǎng)絡(luò)空間主權(quán)”的概念，網(wǎng)絡(luò)空間是物理空間的延展。《網(wǎng)絡(luò)安全法》開宗明義，提出了“保障網(wǎng)絡(luò)安全、維護(hù)網(wǎng)絡(luò)空間主權(quán)”的概念，以此為目的制定《網(wǎng)絡(luò)安全法》。《網(wǎng)絡(luò)安全法》第5條的內(nèi)容，監(jiān)測(cè)防御處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免收攻擊、侵入、干擾和破壞。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施是這樣定義的，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄漏可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。信息基礎(chǔ)設(shè)施處在虛擬的網(wǎng)絡(luò)空間和物理空間的交匯面上，一旦被黑客利用攻擊，它會(huì)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全性造成非常大的影響，影響國(guó)家安全和社會(huì)安全。

去年，中共中央國(guó)務(wù)院發(fā)布《關(guān)于開展質(zhì)量提升行動(dòng)的指導(dǎo)意見(jiàn)》，《意見(jiàn)》中指出“下大力氣全面提高質(zhì)量，推動(dòng)我國(guó)經(jīng)濟(jì)發(fā)展進(jìn)入質(zhì)量時(shí)代。充分釋放國(guó)家質(zhì)量基礎(chǔ)設(shè)施的效能，充分利用目前的標(biāo)準(zhǔn)、檢測(cè)、認(rèn)證等手段來(lái)提升質(zhì)量能力。強(qiáng)化產(chǎn)品信息安全和隱私保護(hù)，提高關(guān)鍵元器件的制造能力。提高產(chǎn)品的安全、環(huán)保、可靠性等要求和標(biāo)準(zhǔn)。建立健全產(chǎn)品損害賠償、產(chǎn)品質(zhì)量安全責(zé)任保險(xiǎn)和社會(huì)幫扶并行發(fā)展的多元救濟(jì)機(jī)制。加強(qiáng)政府采購(gòu)需求確定和采購(gòu)活動(dòng)組織管理，將質(zhì)量、服務(wù)、安全等要求貫徹到采購(gòu)文件制定、評(píng)審活動(dòng)、采購(gòu)合同簽定全過(guò)程，形成保障質(zhì)量和安全的政府采購(gòu)機(jī)制”。

國(guó)家政策的制定是有原因的。2017年6月18號(hào)，質(zhì)檢總局開展了對(duì)智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)監(jiān)測(cè)。在市場(chǎng)上抽查了40批次，其中有32批次存在不同程度的安全問(wèn)題。比如，惡意代碼防護(hù)、身份鑒別、弱口令校驗(yàn)、訪問(wèn)控制等等。

中央網(wǎng)信辦、工信部、公安部高度重視產(chǎn)品安全，去年分別召開多次會(huì)議，各種政策和管理辦法正在制定出臺(tái)過(guò)程中。

我們作為公安部領(lǐng)導(dǎo)下的國(guó)家級(jí)權(quán)威第三方機(jī)構(gòu)，在網(wǎng)絡(luò)安全方面擔(dān)負(fù)著國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、公安部計(jì)算機(jī)信息系統(tǒng)產(chǎn)品質(zhì)量?jī)煞矫娴穆氊?zé)。我們參與制定了國(guó)家標(biāo)準(zhǔn)，尤其是《智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南》是網(wǎng)信辦特別提出的，最初是打算制定為強(qiáng)制性標(biāo)準(zhǔn)，后來(lái)是作為重點(diǎn)標(biāo)準(zhǔn)進(jìn)行制定的，可能后期還會(huì)有進(jìn)一步動(dòng)作。公安行業(yè)標(biāo)準(zhǔn)方面做了《網(wǎng)絡(luò)攝像機(jī)技術(shù)要求》。我們制定了《物聯(lián)網(wǎng)終端設(shè)備》標(biāo)準(zhǔn)。在公安部、認(rèn)監(jiān)委、網(wǎng)信辦的支持下，開展了“社會(huì)公共安全領(lǐng)域智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全認(rèn)證”工作，不同于以往的安防功能認(rèn)證，為政府采購(gòu)機(jī)制的完善做好準(zhǔn)備。我們也比較關(guān)注物聯(lián)網(wǎng)專用的產(chǎn)品測(cè)試研發(fā)工作。網(wǎng)絡(luò)安全的專用產(chǎn)品都要按照《網(wǎng)絡(luò)安全法》的要求進(jìn)行檢測(cè)認(rèn)證，拿到銷售許可，這個(gè)工作主要在我們這里實(shí)施。

智能物聯(lián)時(shí)代網(wǎng)絡(luò)安全的新問(wèn)題。首先，物聯(lián)網(wǎng)設(shè)備的數(shù)量非常大，增長(zhǎng)速度非常快，而且防護(hù)能力參差不齊。NB-IoT就是弱終端，它的處理能力是非常有限的。一般這種設(shè)備部署在無(wú)人值守的地方，可能是深埋地下或者是非常惡劣的環(huán)境下，不像PC、手機(jī)就在我們手邊，用起來(lái)非常方便。比較突出的是弱口令問(wèn)題、硬編碼問(wèn)題等等。弱口令問(wèn)題說(shuō)起來(lái)很簡(jiǎn)單，就是口令設(shè)置的太簡(jiǎn)單了。對(duì)于一個(gè)設(shè)備來(lái)講，這個(gè)問(wèn)題很好解決。但是，對(duì)于海量設(shè)備，這個(gè)問(wèn)題很難解決。我一個(gè)人要管幾百臺(tái)，甚至上千臺(tái)設(shè)備，讓我定期的更改口令，而且每一臺(tái)設(shè)備的口令設(shè)置成一致的是可以暴力破解的。人力所不可能就需要技術(shù)的創(chuàng)新和新產(chǎn)品來(lái)支撐。可喜的是這方面的產(chǎn)品已經(jīng)陸續(xù)開始出現(xiàn)。

另外就是升級(jí)的問(wèn)題。這些產(chǎn)品一旦部署下去，人很難接觸到它，我們甚至不知道它放在什么地方。但是，大家知道這些硬件、固件、軟件是有可能有漏洞的，而且肯定有漏洞。漏洞發(fā)現(xiàn)是一個(gè)動(dòng)態(tài)的過(guò)程，不是靜態(tài)的過(guò)程。你現(xiàn)在發(fā)現(xiàn)沒(méi)有，過(guò)一段時(shí)間就可能法有漏洞，這很正常。漏洞的更新、管理是非常難以落地的問(wèn)題。現(xiàn)在有很多廠家在做這方面的事情。

我們對(duì)等級(jí)保護(hù)提出了新的要求。這個(gè)標(biāo)準(zhǔn)已經(jīng)在制定過(guò)程中，還沒(méi)有最后形成。網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求的第4部分是對(duì)物聯(lián)網(wǎng)安全擴(kuò)展的要求，相信今后會(huì)被廣泛采用。

在制定的過(guò)程中，首先是根據(jù)等級(jí)保護(hù)思想研究通用的物聯(lián)網(wǎng)安全保護(hù)模型。然后，根據(jù)物聯(lián)網(wǎng)不同行業(yè)的不同應(yīng)用研究信息保護(hù)等級(jí)的劃分，必須進(jìn)行合理的劃分。第三是制定三級(jí)要求。最后在三級(jí)要求的基礎(chǔ)上進(jìn)行增強(qiáng)或者削弱，變成四級(jí)或者二級(jí)的要求。一共分為五級(jí)，一級(jí)系統(tǒng)基本上可以自主管理的，五級(jí)系統(tǒng)基本上很難見(jiàn)得到。

在更大的網(wǎng)絡(luò)空間范圍內(nèi)，挑戰(zhàn)和機(jī)遇并存。因?yàn)橛辛诵碌氖挛锖托碌淖兓覀儾庞行碌臋C(jī)遇。我們認(rèn)為通過(guò)以下舉措可以提升安全：加強(qiáng)風(fēng)險(xiǎn)評(píng)估和安全培訓(xùn)，提高安全意識(shí)。這是最重要的。因?yàn)榘踩谧畲蟮某潭壬先Q于人；加強(qiáng)技術(shù)合作，強(qiáng)強(qiáng)聯(lián)合，引進(jìn)新技術(shù)。比如，強(qiáng)標(biāo)識(shí)技術(shù)、安全準(zhǔn)入技術(shù)、區(qū)塊鏈技術(shù)。目前的人機(jī)通信還好控制，很多設(shè)備之間的通信是缺乏設(shè)備之間的標(biāo)識(shí)和認(rèn)證的；建立智能物聯(lián)安全標(biāo)準(zhǔn)體系。比如，建立行業(yè)標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、國(guó)際標(biāo)準(zhǔn)，提升物聯(lián)網(wǎng)安全能力；采購(gòu)、使用符合標(biāo)準(zhǔn)要求、通過(guò)網(wǎng)絡(luò)安全認(rèn)證的智能物聯(lián)產(chǎn)品，有利于保障網(wǎng)絡(luò)安全；落實(shí)質(zhì)量提升計(jì)劃要求，開展網(wǎng)絡(luò)安全保險(xiǎn)試水。

我們相信通過(guò)國(guó)家、社會(huì)各方的努力，一定能夠形成端、管、云完整的安全鏈，形成責(zé)任明晰、保障有力的有效安全機(jī)制。因?yàn)橥隽藛?wèn)題以后，大家會(huì)說(shuō)這是你出了問(wèn)題。比如，終端設(shè)備攝像頭出了問(wèn)題，實(shí)際上這不是攝像頭單方面能解決的問(wèn)題，應(yīng)該形成一個(gè)安全鏈。切實(shí)提升智能物聯(lián)設(shè)備的網(wǎng)絡(luò)安全防護(hù)能力。通過(guò)大家的一起努力，能夠更好的維護(hù)智能物聯(lián)時(shí)代下的網(wǎng)絡(luò)空間主權(quán)安全。