压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：本文介紹了公安部安全與警用電子產品檢測中心簡介、物聯網中廣泛使用的安防及智能家居產品與設備技術特點、國內外物聯網安全主要事件回顧、安防視頻監控設備信息安全檢測情況、智能門鎖信息安全檢測情況、相關技術標準研究現狀、檢測技術研究方向等。

浮欣????公安部第一研究所+檢測中心物聯網產品檢測部副主任

我們中心是隸屬于公安部第一研究所，今天我跟大家分享的是我們檢測中心在安防和智能設備領域信息安全檢測的一些心得體會。我們中心成立業比較早，最早安防產業有二三十年的歷史了。首先跟大家介紹一下我們中心的基本概況。

我們的歷史沿革，也是當年公安部批準成立的，在公共安全行業我們和兄弟單位都是安防行業國內權威的第三方檢測機構，包括一些安防產品3C的強制性認證、自愿性認證，還有一些國外的認證，包括UL和IEC等等。

今天不仔細區分安防和物聯網的范圍到底是怎么劃分的，現在統一來講，因為安防行業是一個先行的行業，最早它主要還是處于一個模擬的時代，很多傳輸的數據都是載波的形式，當它進入到互聯網、廣域網、以太網，信息安全的問題就會隨之而來，尤其這兩年更是呈現爆發式的增長?；谏鲜龅那闆r，我們中心緊跟最新的技術動態，我們也是在物聯網安全這塊做了一些工作。這里列出的民用領域和公共安全領域，民用領域我們涉及的比較少，目前來講也就是作為一個智能家居的入口，智能門鎖的信息安全檢測在我們中心。這個智能門鎖產品后面我要稍微詳細地跟大家說一下，我們工作的重點主要是公共安全領域，最大的一塊就是視頻監控，這個可能大家也都知道，也是出的安全事件比較多的，包括它的一些常見的設備，我這里列出來的，數字相機、視頻存儲還有平臺分析軟件、出入1口口控制系統、入侵探測系統等等。

物聯網時代簡單的示意圖，這個圖在安防領域很早就有，最早安防僅僅限于簡單地模擬攝像機還有一些入侵探測器等等，現在它的內容是越來越多了。

說一下安防和智能設備的技術特點，就像我這里列出來的，一般現在終端的概念比較廣泛，作為前端很多物聯網的設備，我們也把它稱作終端，在五蓮方面和電子層面具有一些特點。還有一個顯著的特點就是嵌入式系統，不管是馬路上很多的電子警察，交通卡口拍照的攝像機或者我們家用的攝像頭都是屬于嵌入式系統，里面都是嵌入式的內核。嵌入式系統簡單來說這個系統比較小巧，它是通過裁減的系統，可能馬路攝像機上嵌入式系統有幾兆到幾十兆大小，很多不必要的模塊和服務它是沒有的。還有智能設備使用的通信協議，除了剛才說到的進入到互聯網時代我們可能更多的見到以太網的協議，USB協議，還有一些進場通信的協議，它的作用距離比較短，比如ZigBee/BLE/WiFi/NFC等等。

左圖是物聯網智能設備的參考模型，不管是聯網和互聯網，尤其是聯網型的使用場景，包括食品監控系統，包括后面的智能門鎖系統都是由前端設備、通信部分包括通信網絡、通信介質還有后臺的平臺服務，包括現在比較流行的云平臺的服務，基本上這么一個架構，用例是分行業的。右邊是資產劃分，一些資產范圍。

這個圖主要是體現了國際上統計的物聯網安全時間線，跟我們從事的工作關系比較大的主要是攝像頭的這塊安全，包括一些攻擊和國內大的品牌廠商他們的攝像頭出現了問題和被曝光出來的一些事件。

我要講的第三部分是安防視頻監控設備信息檢測。這塊跟大家講的多一些。首先，標準依據，國際標準、國家標準、公共安全行業標準和企業標準來從事這項工作。安防視頻監控設備有這么幾類，一類是前端的攝像機，包括各種各樣的攝像機，然后是數字編解碼器，編碼器是跟攝像機在一起的，解碼器是跟后臺的存儲在一起的，現在這種單獨的編解碼器越來越少，還有視頻存儲，包括還有其他的一些輔助設備，包括數字矩陣、電視墻等等。

這件事情發生之前，2014您甚至更遭不斷有安全事件涌現出來，只不過這個事件是一個標志性的事件，公司名稱也是我們合作伙伴，我們也不在公開場合再提了。他出了這個事情，里程碑的事件之后整個行業行動起來，包括企業也行動起來，對信息安全問題更加重視。

2016年的一個安全事件，美國在阿富汗的大使館也是使用了國內一個頂尖品牌公司的視頻監控產品，而且是用在非敏感區，即使用了中國便宜的產品也不會用在核心區域，即使這樣，后來相當于莫名其妙曝光說向中國回傳數據，實際上它是專網，肯定不可能通過互聯網把這個數據傳到中國。所以，這個是有些欲加之罪。包括下面寫的，因為我們國內這幾家大的龍頭企業他們的產品是向全世界銷售的，基本上海外市場占他們1/4-1/3，即使在美國還是有很多民用領域使用到我們國內企業的視頻監控產品，甚至有一些安全部門，包括這里列出來的美國密蘇里州的軍事基地。前一陣中興事件后來有一個密蘇里州的議員相當于補了一刀，提了一個補充議案，除了制裁中興，還要把國內排名前兩位的視頻監控廠商，還有一家深圳做手持終端的廠商也列入建議制裁范圍。最后也說到美國任何政府部門對這個也沒有說對我們國家任何品牌的監控產品進行安全審查，而且他們銷售到海外的產品也都是做國國際上合規性的檢查和搜索掃描。

2017年的一個事件，當年質檢總局，現在已經改組了，對市場上采集樣品40批次，依據等級保護老的標準進行信息安全檢測。它抽檢的產品都是民用領域的產品，也就是大家能在電商上買到的家用的塑料外殼的這種攝像頭，它的功能要求都非常簡單，只要能拍視頻，能傳視頻，能看就OK，沒有任何其他的要求，比如防水要求，電磁兼容都不涉及。但是我們公共安全領域的攝像機馬路上能看到的大大小小的球機和墻機都是需要嚴格的信息安全防護的檢測，給它數據檢測報告才能銷售。這是列出的發現的問題，因為民用市場之前沒任何規范，問題多是正常的。

我在當時烏云漏洞平臺還沒被封的時候劫的圖，還有很多這樣的截圖，也是國內大的廠商產品銷售到韓國，IP地址也是韓國的，連接互聯網的視頻監控設備有的是非常簡單的安全漏洞。買來也沒有改，就是123456，還有一些個別的應該放在內網的設備他可能因為有意或者無意暴露在互聯網上，結果也被黑客發現，就造成了很多問題。

國際標準現在對視頻監控產品的信息安全檢測主要是依據15408國內翻譯叫18336，其實就是CC的標準，用得最多的是第二部分，第三部分有一些，根據具體產品的情況，有點像搭積木的方式，選取不同的安全控制點組合起來進行檢測，這是目前國際上標準的用法，國內也有一些機構也試圖這么用，但是現在這個標準沒有用起來。還有其他的這些標準可能我們也不掌握的。

國內的標準很多，我這兒列出來4個重要的標準。其中需要說一下的就是第二個和第三個標準。第二個標準主要是講的數據層面的安全，也就是我們視頻傳輸的數據的編解碼格式，因為視頻是非結構化數據，需要編碼之后再傳輸，在數據端解碼之后才能觀看。它編碼的方式和技術要求都是在25724標準里進行了規定。第三個標準，現在在我們行業是比較熱，他也是去年年底才發布的，到今年11月份才開始執行，而且還是一個強制標準，這個標準引入了國內的安全模塊，對我們前端的網絡攝像機進行了安全等級劃分，分成ABC三個等級，C級最高要求全碼流加密，B級要求敏感信息加密，A級要求和平臺之間有數字證書的認證就可以了。國內這幾個標準主要是約束和規范我們公共安全行業的視頻監控的行業應用，對我們家用是不要求的。

我們用一些滲透測試框架，開源的，對網絡攝像機產品進行掃描，包括2014年的緩沖區漏洞看它有沒有。我們研發的威脅態勢感知平臺，對互聯網上使用的，肯定是民用產品了，對這些產品進行掃描。這個工作還是蠻難做的，因為畢竟互聯網太大了，而且掃描性能各方面的限制也是比較多。所以，這項工作目前我們也是在邊研究邊往前推進。

第四條，講一下智能摸索的信息安全檢測。為什么把這個產品單獨拎出來？因為智能家居也好，安分領域也好，智能門鎖都是一個如產品，這兩年天貓和京東平臺上智能門鎖打得比較熱，電商平臺比較熱心，組織了很多團體標準，評分和排名作為他們商業的營銷手段，這種產品在我們檢測中心檢測也越來越多。

這個外形基本上就是這樣的外形，內部還是機械鎖芯，也是機械鎖體，前面板上會有一些傳感器，包括物理鍵盤和機械鍵盤，指紋模塊，甚至有的還有虹膜模塊。

右圖是我們測試狀態的一個產品。這種產品現在在政府的公租房領域用得比較多，家用可能還有一些經濟成本的考慮或者改造的可行性可能還不是特別廣，但是公租房領域有很多。

內部結構，各種組成部分，最左邊叫前面板，中間叫鎖體或者鎖芯，后面在你房間這面叫后面板。這個鎖比攝像機那種要簡單，它就是一個類似于單片機的，里面是一個主控板，上面有一些控制芯片。有電機、傳統電路控制鎖體工作，控制鎖的開或者閉。

剛才我們說的終端，傳輸網絡到后臺的平臺?，F在的智能鎖也是為了管理方便起見，很多管理平臺使用第三方的云平臺，對于這種情況又擴大了他的安全風險面，引入了新的風險點。我們經過調研，因為云計算系統現在屬于國家重要的信息系統，必須要過等保，云平臺上所有的東西它的安全就交給等保解決，我們只關心鎖提舉自身包括鎖體內部板子也好，芯片也好，敏感信息傳輸存儲，我們主要是關注鎖體自身的安全。

他列出了一些硬件安全風險和我們要做的實驗，不再詳細展開了，除了傳統的信息安全風險還有一些其他的侵入式的測試。

這是一個使用的簡單拓撲，現在這種智能鎖的產品一個典型的使用場景是這個鎖裝在門上，家里肯定假設是有無線路由器的，還有一個網關也好，叫什么也好，他通過這個網關連接云平臺，這里這個場景演示的是有訪客來開這個門，他是沒有密碼也沒有密鑰開門的，他首先應該通過電話提前告知戶主人，戶主人登陸云平臺，告訴云平臺下發臨時密碼，通過運營商的網絡下發到無線網關再傳到鎖上，這個臨時密碼可能是用戶首次使用這個鎖的時候就注冊號的密鑰，下發好這個密鑰就到鎖的內部，戶主再通過互聯網，短信或者微信或者電話告知訪客你使用什么臨時密碼現在可以開鎖，訪客再正常開鎖。這個場景設想得是比較好，但是我們檢測起來目前使用這種場景的還不算很多，主要還是擔心安全問題，使用最多的還是傳統的在物理鍵盤上輸入密碼或者指紋或者NFC藍牙的刷卡方式。

安全芯片檢驗，自從出了中興事件以后，國內芯片行業比較火，現在也試圖在智能家居行業里對產品上安全模塊安全芯片，針對這種芯片測試我們也進行了一些初步的設計。涉及到生物特征識別的安全處理，因為現在智能鎖上都有指紋識別模塊，對敏感信息的存儲和處理應該是有一定的考慮的，而且本身生物特征識別這塊又有矩陣率這些重要的技術點，這塊測試起來還是比較費工夫的。

國際上針對鎖的一些安全標準。我們中心從最早傳統的機械鎖的時候它的行業標準就已經開始參與起草，包括374-2001，701標準到最近701標準升級，根據傳統機械防護的概念對鎖分了A、B兩級，我們在新的智能鎖的信息安全標準里也借鑒這個概念對安全分級，敏感區域的鎖要求使用安全芯片，對民用的領域的鎖適當降低安全要求。

我們分的級肯定控制點不是所有級都是一樣的，是可以根據要求，這個還在起草階段，這塊還沒有最終確定下來，包括我們要做的信息安全的攻擊和測試。一些傳統的安全防護的內容。

最后一點，目前安防領域在信息安全檢測這塊研究的方向和熱點。第一個是可視化的管理，為什么現在在這個行業提的比較多？就是因為在安防和物聯網行業終端數量實在是太多了，比如我們攝像機如果沒有接觸過就沒有這個概念，一個城市公共攝像頭可能好幾千個，怎么精確定位其中某一些設備難度比較大。應該進行可視化管理，便于主管單位進行管理和控制。我們也遇到在平安城市里攝像機哪些出了問題，有時誤報率或者定位難度比較大。一批采購了好幾千上萬臺，但是用起來就比較費勁。

資產管理，終端，還有中間這些設備的數量實在太大，怎么能把資源很好地管理整合起來，給管理部門提供比較高效的技術支持。所以，可能這需要后面通過大數據的技術進行建設。

威脅態勢感知我們也做了一些常識，剛才給大家看的威脅態勢感知平臺，希望他能夠有一些預見性的對威脅的發現，不要總是被動響應。當然，這也是隨著技術的發展慢慢推動。