陶源 公安部信息安全等级保护评估中心副研究员

摘要：结合等级保护2.0制度，以及国内外相关法律法规和物联网安全标准，对物联网的网络安全等级保护技术原理、安全风险、防护技术进行阐述和分析，并以联网视频监控系统的网络安全等级测评实践为例，对等级保护2.0中物联网安全要求的相关条款进行解读。

主要介绍的内容分为三部分：网络安全等级保护、物联网安全要求解读、物联网安全等级保护应用实践。

网络安全等级保护

从1994年发布了147号令，明确了计算机信息系统实行安全等级保护，因此我们当时认为这是等级保护1.0，当时是叫信息安全等级保护。经过25年的发展，等级保护也是进入了2.0时代，是以2017年7月1号正式实施的《网络安全法》为标志，在《网络安全法》第21条里面明确了国家实行网络安全等级保护制度，第31条是明确了管理信息基础设施是在网络安全等级保护制度的基础上实行重点保护。因此我们认为《网络安全法》是标志着等级保护进入2.0时代。同时，在今年5月10号，等级保护2.0的三个核心标准，分别是22239、28448、25070这三个核心标准分别是机构要求、测评要求、设计要求，这三个标准的正式发布，也标志着等级保护2.0标准的落地和实施。

我们首先对等级保护2239进行阐述，等级保护的基本要求可以说叫做1+N，一个新系统究竟是等级保护基本要求的哪几个内容？我们是要1+N。如果这个论坛是物联网论坛，如果这个系统使用了物联网技术，我们认为应该是安全通用要求+物联网安全拓展要求。如果这个新系统采用了云计算技术，又采用了物联网技术，同时又采用了移动互联技术，那么就是1+3，安全通用要求+移动互联要求+物联网拓展要求，同时再加云计算拓展要求。我这个主要是对物联网拓展要求进行阐述。物联网拓展要求包括了4个层面、8个控制点、20个测评项在PPT上有显示，后面是安全物理环境、安全区域边界、安全计算环境、安全运维管理。

在介绍之前先阐述一下术语和定义，物联网将感知节点设备通过互联网等网络连接起来构成的系统，就是说我们保护的对象是一个系统，而不是单独的一张网。另外还有两个概念：感知节点设备和网关节点设备。在2239里面定义感知节点设备是对物或环境进行信息采集和执行操作，并能联网进行通信的装置，我们叫做感知终端，定义为感知节点设备。另外一个叫做网关节点设备，这个在有一些标准里面定义为物联网网关，实际上是将感知节点所采集的数据进行汇总适当处理所形成并行转发的装置。所以说有时候大家在看标准的时候，可能这个对应的是感知终端，这个对应的就是物联网网关。

2239里面我们也是借鉴了传统的物联网三层架构：感知层、网络传输层、应用层。一般来说感知层主要是物联网有的最多，而处理应用层和网络传输层一般来说还是使用2239里面的安全通用要求，一般来说的话如果像应用层里面有时候会使用云平台的技术，一般来说是安全通用要求+云拓展要求，正常来说一般认为是安全通用要求为主优势。感知层履行系统要求2239里面的物联网安全拓展优势。

在介绍物联网基本要求之前先介绍物联网的特点，我们归纳为四个特点。

第一个，大量终端。很多平安城市，或者是雪亮工程往往拥有大量的摄像头优势，像智能农业和矿山等等也是用了大量海量的物联网终端优势，同时考虑到物联网的成本低廉，一般来说使用的算法，或者是通信协议叫做轻量级的加密算法，或者轻量级的计算资源优势。另外一种，物联网的通信协议特别多样，短距离通信协议包括像Zigbee、蓝牙、WIFI、RFID等通信短距离协议。物联网最重要的特点为了解放人类，一般叫做无人监管、无人职守，许多物联网的感知终端，或者感知节点是散落在无人职守区域，信息传输肯定还是需要受到安全保护的。物联网我们归纳因为，正因为它有这四种特点，所以说物联网的扩展要求一般围绕这四个特点和相应的威胁进行展开和保护的优势。

这是一些常见的物联网终端，像视频监控设备、视频监控资源、无人职守停车收费系统、智能电网。另外，像心脏起搏器等等医疗设备他们也认为是物联网设备。

我们现在对于物联网安全相关内容进行简介。讲之前我们先提一下，安全的进步是由重大的安全事件所推动。在所有场合一般提到物联网就会提到美国东海岸的Mirai病毒，2016年第一次大规模爆发，控制摄像头导致DDoS攻击，当时是国内知名的厂商，中国有五个部委让知名的厂商写原因分析，当时我们分析了一下，当时是把摄像头的弱口令改掉，不要用弱口令和默认口令就会解决很多问题。我当时也跟这个厂商工程师沟通了一下，他说实际上量特别大，如果一个城市级的摄像头，改量特别慢，他们也研发新的设备，比如可以用批量的方式对物联网的终端，或者叫做摄像头批量修改口令。现在很多单位在做网络空间设备，很多大量的摄像头在网上分布，直接可以用默认口令、弱口令就可以探测到，并且获取相应的资源监控优势。

我们结合这个Mirai病毒举四个物联网安全要求进行分析。首先看一下安全物理环境的感知节点设备物理防护，我们看到是L3-ABS4-02，这是我们撰写28448测评要求里面的单元测评项，L3是表示第三级，ABS是安全物理环境的缩写，4代表了物联网的序号，扩展要求标注为4，安全通知要求为1，-02是表示在物理环境里面第二个要求项。我们看一下，感知节点设备在所处的工作环境应能正确反映状态，里面有一个假设（温湿度传感器不能安装在阳光直射区域），这个我们要求解读是因为这个安全要求是为了防止感知节点设备所处的物理环境，或者是安装错误导致采集到错误信息，或者采集不到信息。当时写这个要求项的时候是借鉴智慧农业，因为在智慧农业里面很多温湿度传感器是要采集农场里面的温度、湿度，如果在阳光直射的情况下取得的数值并不是最准的优势。所以说当时的测评方法是分析两条，第一个是检查感知节点设备所处物理环境，或者是是否具有感知设备在工作状态时的物理说明是否与实质情况一致。第二个是核查感知节点设备在工作状态所处物理环境是否能正确反映状态，例如像温湿度传感器不能安装在阳光直射的区域。

下面我们看一个安全区域边界这里面的要求项是叫入侵防范，这个入侵防范是应能够限制与感知节点通信的目标地址，以避免对陌生地址的攻击行为。这个我们对感知节点，或者叫感知终端、摄像头，目标地址进行限制，防止攻陷后参与DDoS攻击。比如我们在物联网网关上对它的抵制进行控制的话，这样即使攻陷了要发生DDoS攻击的话也是难度很大的。当时检测的方法主要还是通过核查它的设备文档，同时对于设备进行相应的检测，当时考虑到实际情况提出来对它进行生物测试，看看是否能够限制感知节点设备对于违法访问控制策略的通信地址进行相应的访问，或者攻击优势。

下面我们来看一个安全计算环境的要求项，我们这个要求是抗数据重放里面提出来的要求项，这个要求项是要求能够鉴别数据的新鲜性，避免历史数据的重放攻击。这个数据新鲜性是物联网里面所特有的一个词，它实际上是指对接收的历史数据，或者超出时限的数据进行识别的特性，一般来说通过计算、时间戳、计数器提供数据新鲜性的保护优势，因为物联网终端毕竟是轻量级的终端优势，如果用加密算法可能更好，但是因为它是轻量级的计算资源，所以一般来说还是用时间戳，或者计数器比较多一点。这个主要作用是防止非法替换一些数据，举个例子是在联网监控视频系统里面，如果替换视频监控，如果有时间戳和计数器就可以判断感知摄像头和感知阶段终端被控制住了，是否可以避免历史数据的重放攻击。第二个方法就是把一些历史数据进行抓包进行重放，看看是不是可以有效的保护它。

下面举一个安全项，这个是安全运维层面的。安全运维层面要求指定人员定期巡视感知节点设备、网关节点设备的部署环境，对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护。我们之前提过物联网最大的优势是解放人力，是部署在无人职守的环境中，在无人职守的环境中有可能被非法关闭、物理损坏，一方面一些数据损坏采集了，另一方面被恶意人员，或者非法攻击者物理进行相应的伪造和攻击，我们提出来是在物联网系统里面有人员定期进行巡检。这个测评方法主要是网关系统是否有专门的人员对感知节点、网关节点进行定期维护，由哪些人进行维护的，维护周期是多长？还有一个是说我们也是核查维护记录，一般来说如果有维护记录像维护日期、维护人、维护设备、故障原因、维护结果这方面内容看看是否有详细记录。

下面我们看一下视频联网摄像头的一些等级保护实践。

分析一个系统看看它存在哪些风险，我们看一下在视频联网监控系统里面，因为设备数量多，同时24小时在线，摄像头防护资源特别轻量级，很多时候成为不法分子的目标，可以通过弱口令和其他系统漏洞实施相应的不法行为，如果摄像头、联网系统监控系统被攻陷之后，我们分析了一下一般有以下几个：监控视频泄露、视频安防监控功能失效、成为攻击跳板，另外还有产品功能缺失等等。之前我们也是和单位合作，做一些网络空间资源测算，在这里面搜索了大量的摄像头，可以选的是默认口令，直接可以用一些简单的字节可以进去，进去之后摄像头所能监测的数据我们能够监测到。摄像头不仅是你自己在监控，也可能成为别人通过摄像头监控你，或者监控你的单位。如果是视频安防监控功能失效的话后果也很严重，事后取证，或者是视频资源没有保存好，或者是丢失，或者是没有录存，一旦发生一些法律纠纷再调取录像发现没有相应的视频也很麻烦。成为攻击跳板最典型的例子是美国的Mirai病毒，当时爆发成为大规模的DDoS攻击。

下面看一下对于物联网联网监控系统的等级保护定级要求，我们可以分一下等级保护对象，以前叫做定级对象，进入等级保护2.0时代，保护对象不仅是网络、信息系统，同时还有云计算、物联网、工控系统，所以我们统一改名叫做等级保护对象。在视频联网里面，等级保护对象分为了三个：视频监控网络、视频监控设备、视频监控资源。视频监控网络主要是对视频进行应用联网，如果被攻陷，或者受到破坏我们认为受侵害的客体是公民、法人和其他组织的合法权益。视频监控设备主要是对视频图像录制，一般来说有可能随着平安城市、雪亮工程的建设它的量非常大，分布非常广泛，它受到侵害的客体包括社会秩序、公共利益都会受到损伤。视频监控资源更为敏感，涉及到敏感信息数据量巨大，如果受到泄露和破坏的话，有可能会危害到国家安全。视频联网监控系统如果在定级的时候如果是城市级的视频联网监控系统，一般来说级别不会低于三级。

如果目前安全防护主要使用2239-2019，这里面使用的安全通用要求，像物联网安全拓展要求就是。同时，安全防护的关注点主要关注这些内容，最主要的是前端资产不清，因为项目分布太广、量太大，如果没有统一的管理和规范的话，大量的摄像头，或者是分布太多，资产不清，另外还有弱口令、非法替换、身份假冒等等这些特点，所以说在做视频联网监控系统安全保护的时候关注点主要是从这些地方开始进行防护和加固，同时要防止数据泄露。

习主席曾经说过没有网络安全就没有国家安全，但是没有网络安全的保障就难以实现网络强国的战略目标。所以说我们希望基于等级保护构建我国关键信息基础设施的保障体系，为数字中国保驾护航。