打造物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)，促物聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展——專訪公安部第一研究所所長(zhǎng)仇保利

本刊 張曉多

物聯(lián)網(wǎng)被視為繼計(jì)算機(jī)、互聯(lián)網(wǎng)和移動(dòng)通信網(wǎng)絡(luò)之后的第三次信息產(chǎn)業(yè)浪潮，對(duì)提升整個(gè)國(guó)家的信息化水平和推動(dòng)產(chǎn)業(yè)升級(jí)有著重大意義。然而，我國(guó)物聯(lián)網(wǎng)安全缺乏系統(tǒng)性專業(yè)化檢測(cè)的現(xiàn)狀卻限制了其技術(shù)和產(chǎn)業(yè)的大規(guī)模發(fā)展。

2012年，國(guó)家發(fā)展改革委提出了建設(shè)“物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)”項(xiàng)目，這是在國(guó)家層面對(duì)物聯(lián)網(wǎng)行業(yè)發(fā)展進(jìn)行規(guī)范管理的重要工作部署。公安部第一研究所作為該項(xiàng)目的承擔(dān)單位，已先行開展了許多工作。本期專題人物，我們帶您走近該項(xiàng)目的負(fù)責(zé)人、公安部第一研究所所長(zhǎng)仇保利，請(qǐng)他為我們分析我國(guó)物聯(lián)網(wǎng)安全的現(xiàn)狀，并就物聯(lián)網(wǎng)安全檢測(cè)專業(yè)化服務(wù)進(jìn)行深入剖析。

仇保利

1969年2月生，碩士，現(xiàn)任公安部第一研究所所長(zhǎng)、黨委副書記。曾任公安部治安管理局副巡視員、公安部網(wǎng)絡(luò)安全保衛(wèi)局副局長(zhǎng)等職務(wù)。

多年來(lái)，他主持完成了“全國(guó)治安管理信息系統(tǒng)示范工程”、“全國(guó)百城市人口信息管理系統(tǒng)聯(lián)網(wǎng)工程”、“全國(guó)人口信息管理系統(tǒng)”、“派出所綜合信息管理系統(tǒng)”、“第二代居民身份證信息管理總體框架”等多項(xiàng)重大項(xiàng)目；主起草完成了《常住人口信息管理規(guī)范》等33項(xiàng)行業(yè)標(biāo)準(zhǔn)，其中“第二代居民身份證標(biāo)準(zhǔn)體系及系列標(biāo)準(zhǔn)”獲公安部科學(xué)技術(shù)進(jìn)步一等獎(jiǎng)。

記者：隨著物聯(lián)網(wǎng)技術(shù)在更多領(lǐng)域中的應(yīng)用，物聯(lián)網(wǎng)的安全問題也成為人們關(guān)注的焦點(diǎn)。那么，當(dāng)前我國(guó)的物聯(lián)網(wǎng)安全主要存在的問題有哪些？針對(duì)這些問題是否有合適的解決途徑？

仇保利：物聯(lián)網(wǎng)是互聯(lián)網(wǎng)在現(xiàn)實(shí)世界的延伸，它一方面繼承了互聯(lián)網(wǎng)固有的安全問題，另一方面由于物聯(lián)網(wǎng)全面感知以及寬泛互聯(lián)的特性，出現(xiàn)了一些新的安全問題。首先，物聯(lián)網(wǎng)感知層節(jié)點(diǎn)大多部署在無(wú)人區(qū)，且計(jì)算、存儲(chǔ)性能有限，易被攻擊者破壞（電子破壞、物理破壞）、冒充或越權(quán)、屏蔽干擾、重放、篡改或泄漏數(shù)據(jù)，形成大量的損壞、惡意節(jié)點(diǎn)；其次，物聯(lián)網(wǎng)大多使用無(wú)線射頻方式通信，攻擊者可以在設(shè)定通信距離外偷聽信息，可以傳遞、截取或修改通信消息，也可以搭建“扒手”系統(tǒng)進(jìn)行中間人攻擊；再次，攻擊者可以通過不完整的交互請(qǐng)求消耗系統(tǒng)資源，如產(chǎn)生標(biāo)簽沖突影響正常讀取或傳感節(jié)點(diǎn)發(fā)起認(rèn)證消息消耗系統(tǒng)計(jì)算資源，也可以消耗有限的標(biāo)簽或傳感器內(nèi)部狀態(tài)，使之無(wú)法被正常識(shí)別；第四，攻擊者可以在節(jié)點(diǎn)中注入一定量的代碼，獲取重要信息，還可以監(jiān)聽并采集到加密設(shè)備運(yùn)行時(shí)泄漏的某些旁路信息，如運(yùn)行時(shí)間、功耗、電磁輻射等，甚至可以干預(yù)密碼變換的正常運(yùn)行使其出錯(cuò)，然后利用這些采集的旁路信息或者出錯(cuò)導(dǎo)致的信息對(duì)密碼設(shè)備進(jìn)行有效的密碼破譯。

以上這些安全問題可以通過密鑰管理機(jī)制、數(shù)據(jù)處理與隱私技術(shù)、安全路由協(xié)議、認(rèn)證與訪問控制、入侵檢測(cè)等安全技術(shù)進(jìn)行防護(hù)。但由于物聯(lián)網(wǎng)的自身特點(diǎn)，使得傳統(tǒng)安全技術(shù)無(wú)法直接應(yīng)用，且相對(duì)物聯(lián)網(wǎng)應(yīng)用的發(fā)展，物聯(lián)網(wǎng)安全技術(shù)相對(duì)滯后。目前，物聯(lián)網(wǎng)安全技術(shù)和安全狀況缺乏有效的檢測(cè)和評(píng)價(jià)手段，因此，建設(shè)物聯(lián)網(wǎng)安全檢測(cè)專業(yè)化服務(wù)能力，是解決物聯(lián)網(wǎng)安全問題必不可少的關(guān)鍵工作。在國(guó)家對(duì)物聯(lián)網(wǎng)安全工作的重要部署以及現(xiàn)實(shí)需求環(huán)境下，國(guó)家發(fā)展改革委組織實(shí)施了2012年國(guó)家信息安全專項(xiàng)“物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)”項(xiàng)目。該項(xiàng)目致力于通過物聯(lián)網(wǎng)安全檢測(cè)專業(yè)化服務(wù)來(lái)保障物聯(lián)網(wǎng)安全，促進(jìn)物聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)的健康發(fā)展。

記者：作為國(guó)家信息安全專項(xiàng)“物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)”項(xiàng)目的負(fù)責(zé)人，能否請(qǐng)您為我們?cè)敿?xì)介紹一下提出這個(gè)項(xiàng)目的背景及意義？

仇保利：近年來(lái)，國(guó)家高度重視物聯(lián)網(wǎng)安全，出臺(tái)了一系列政策。在《物聯(lián)網(wǎng)“十二五”發(fā)展規(guī)劃》、《物聯(lián)網(wǎng)白皮書》、《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》、《關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》等文件中都明確提出了“建立健全監(jiān)督、檢查和安全評(píng)估機(jī)制。加強(qiáng)物聯(lián)網(wǎng)重要應(yīng)用和系統(tǒng)的安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全防護(hù)工作”。特別在2012年，根據(jù)《關(guān)于組織實(shí)施2012年國(guó)家信息安全專項(xiàng)有關(guān)事項(xiàng)的通知》要求，公安部第一研究所抓住機(jī)遇，承擔(dān)了“物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)”項(xiàng)目。

“物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)”項(xiàng)目是為了保障物聯(lián)網(wǎng)健康順利發(fā)展，面向全社會(huì)，構(gòu)建感知設(shè)備安全檢測(cè)服務(wù)、物聯(lián)網(wǎng)系統(tǒng)安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估服務(wù)、物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)以及漏洞與補(bǔ)丁服務(wù)等一體化安全檢測(cè)服務(wù)體系，以滿足物聯(lián)網(wǎng)集成化安全檢測(cè)需求。其核心內(nèi)容一是建立物聯(lián)網(wǎng)產(chǎn)品安全檢測(cè)能力，通過軟硬件設(shè)備購(gòu)置、場(chǎng)地設(shè)計(jì)構(gòu)建產(chǎn)品檢測(cè)環(huán)境，初期形成56個(gè)產(chǎn)品族群自愿性認(rèn)證業(yè)務(wù)的檢測(cè)能力，未來(lái)可擴(kuò)展至產(chǎn)品銷售許可檢測(cè)業(yè)務(wù)；二是建立系統(tǒng)安全檢測(cè)、安全管理檢查能力建設(shè)，制定通用系統(tǒng)檢測(cè)與檢查的安全技術(shù)要求，采購(gòu)系統(tǒng)類檢測(cè)工具；三是物聯(lián)網(wǎng)漏洞分析與風(fēng)險(xiǎn)評(píng)估相結(jié)合，構(gòu)建標(biāo)準(zhǔn)及指標(biāo)庫(kù)、漏洞與補(bǔ)丁庫(kù)、生物特征庫(kù)；四是建立信息化綜合服務(wù)平臺(tái)，為物聯(lián)網(wǎng)產(chǎn)品、系統(tǒng)檢測(cè)/檢查提供業(yè)務(wù)運(yùn)行支撐平臺(tái)，完成檢測(cè)流程管理、檢測(cè)樣品管理、檢測(cè)報(bào)告管理等業(yè)務(wù)管理功能。

目前國(guó)內(nèi)外雖已開展了物聯(lián)網(wǎng)安全測(cè)評(píng)的相關(guān)研究，但各測(cè)試系統(tǒng)缺乏綜合性，尚沒有統(tǒng)一的方法或準(zhǔn)則。面對(duì)龐雜的產(chǎn)品和廣泛的物聯(lián)網(wǎng)應(yīng)用，大部分產(chǎn)品與系統(tǒng)的檢測(cè)、風(fēng)險(xiǎn)評(píng)估與可靠性評(píng)估或無(wú)法開展、或分散在傳統(tǒng)的檢測(cè)機(jī)構(gòu)中，缺乏專業(yè)、綜合的物聯(lián)網(wǎng)產(chǎn)品與系統(tǒng)安全檢測(cè)機(jī)構(gòu)，集成化測(cè)試服務(wù)需求無(wú)法得到滿足，這個(gè)項(xiàng)目的實(shí)施能夠積極發(fā)揮第三方檢測(cè)機(jī)構(gòu)的監(jiān)管作用，增強(qiáng)物聯(lián)網(wǎng)主動(dòng)安全保障能力，降低物聯(lián)網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)，維護(hù)國(guó)家安全和社會(huì)秩序。另一方面由于信息安全服務(wù)機(jī)構(gòu)對(duì)重要信息系統(tǒng)提供此系列服務(wù)時(shí)不可避免地可能知曉重要信息系統(tǒng)中的國(guó)家秘密或者商業(yè)秘密等重要信息，因此不但要求安全服務(wù)機(jī)構(gòu)具有較高的技術(shù)能力和服務(wù)水平，而且要求具有較高的可信度和可靠性。通過該項(xiàng)目的實(shí)施，將以公安部第一研究所的技術(shù)隊(duì)伍為基礎(chǔ)，建立起一支技術(shù)能力強(qiáng)、政治素質(zhì)可靠的信息安全服務(wù)隊(duì)伍，為物聯(lián)網(wǎng)安全運(yùn)行提供檢測(cè)支持。

記者：公安部第一研究所作為該項(xiàng)目的承擔(dān)單位，在項(xiàng)目建設(shè)方面具有哪些優(yōu)勢(shì)？

仇保利：公安部第一研究所作為公安部的技術(shù)支撐單位，在物聯(lián)網(wǎng)安全領(lǐng)域積極開展基礎(chǔ)性技術(shù)研究和服務(wù)平臺(tái)建設(shè)工作，為公安部的政策制定提供技術(shù)支持，為全社會(huì)提供物聯(lián)網(wǎng)安全專業(yè)化服務(wù)，實(shí)現(xiàn)技術(shù)和政策的無(wú)縫銜接，為保障物聯(lián)網(wǎng)安全貢獻(xiàn)力量。研究所對(duì)物聯(lián)網(wǎng)這一新興技術(shù)的發(fā)展和前景有著清晰的認(rèn)識(shí)，已將物聯(lián)網(wǎng)技術(shù)列為今后幾年需要重點(diǎn)研究開發(fā)的內(nèi)容，并投入了大量的人力、物力、財(cái)力，提出并承擔(dān)了“十二五”國(guó)家科技支撐計(jì)劃項(xiàng)目“公共安全物聯(lián)網(wǎng)技術(shù)研究與應(yīng)用示范”、“公安物聯(lián)網(wǎng)建設(shè)與應(yīng)用戰(zhàn)略規(guī)劃研究”等項(xiàng)目，建立了“警務(wù)物聯(lián)網(wǎng)應(yīng)用技術(shù)公安部重點(diǎn)實(shí)驗(yàn)室”。

同時(shí)，公安部第一研究所已與中國(guó)信息安全認(rèn)證中心建立戰(zhàn)略合作關(guān)系，推動(dòng)物聯(lián)網(wǎng)產(chǎn)品安全檢測(cè)業(yè)務(wù)拓展。隨著市場(chǎng)化與國(guó)際化的發(fā)展，物聯(lián)網(wǎng)安全檢測(cè)勢(shì)必以自愿認(rèn)證為驅(qū)動(dòng)。研究所檢測(cè)中心根據(jù)戰(zhàn)略合作協(xié)議，成立其首個(gè)物聯(lián)網(wǎng)I T產(chǎn)品檢測(cè)實(shí)驗(yàn)室，實(shí)驗(yàn)室將分批分次開展涵蓋物聯(lián)網(wǎng)各類感知設(shè)備、接入設(shè)備和業(yè)務(wù)應(yīng)用設(shè)備共3大類12項(xiàng)56個(gè)產(chǎn)品族群涉及幾百款產(chǎn)品的檢測(cè)。在檢測(cè)數(shù)據(jù)逐漸積累，并對(duì)其進(jìn)行綜合分析的基礎(chǔ)上，研究所檢測(cè)中心將編制物聯(lián)網(wǎng)行業(yè)年度安全態(tài)勢(shì)報(bào)告，逐漸形成物聯(lián)網(wǎng)安全情況的年度對(duì)比，為國(guó)家有關(guān)部門制定物聯(lián)網(wǎng)方面的方針和政策提供支持。

記者：請(qǐng)您為我們介紹一下該項(xiàng)目的進(jìn)展情況，下一步的具體工作將有何部署？

仇保利：2013年6月，國(guó)家發(fā)展改革委辦公廳正式批復(fù)項(xiàng)目實(shí)施。2013年12月公安部科技信息化局在北京組織召開了“物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)項(xiàng)目實(shí)施方案”專家評(píng)審會(huì)，評(píng)審專家一致同意方案通過評(píng)審。隨著項(xiàng)目實(shí)施方案評(píng)審?fù)ㄟ^，項(xiàng)目組開始著手產(chǎn)品檢測(cè)能力、系統(tǒng)檢測(cè)/檢查能力以及風(fēng)險(xiǎn)評(píng)估服務(wù)能力、基礎(chǔ)庫(kù)（漏洞與補(bǔ)丁庫(kù)、標(biāo)準(zhǔn)及指標(biāo)庫(kù)、生物特征庫(kù)）能力的建設(shè)。

與此同時(shí)，我們積極開展與各部委、認(rèn)證機(jī)構(gòu)、院校、國(guó)家標(biāo)準(zhǔn)化管理局以及公安部相關(guān)業(yè)務(wù)局的廣泛交流與合作，共同促進(jìn)物聯(lián)網(wǎng)安全檢測(cè)產(chǎn)業(yè)發(fā)展。首先，我們同清華大學(xué)公共安全研究院進(jìn)行合作交流，并就進(jìn)一步的合作模式等問題進(jìn)行了深入探討；其次，2014年1月，研究所檢測(cè)中心與中國(guó)信息安全認(rèn)證中心簽署實(shí)驗(yàn)室委托協(xié)議，成為其首個(gè)物聯(lián)網(wǎng)I T產(chǎn)品自愿性認(rèn)證授權(quán)實(shí)驗(yàn)室。3月，中國(guó)信息安全認(rèn)證中心正式發(fā)布與檢測(cè)中心聯(lián)合編制的多類產(chǎn)品的《認(rèn)證實(shí)施規(guī)則》和《安全技術(shù)要求》。4月，中國(guó)信息安全認(rèn)證中心在公安部第一研究所召開物聯(lián)網(wǎng)類產(chǎn)品信息安全認(rèn)證檢測(cè)宣介會(huì)，標(biāo)志著物聯(lián)網(wǎng)產(chǎn)品安全檢測(cè)工作正式開展。

目前，項(xiàng)目組已對(duì)人員基礎(chǔ)信息采集一體化設(shè)備、通信終端信息采集設(shè)備、單向隔離網(wǎng)閘、物聯(lián)網(wǎng)網(wǎng)關(guān)等多款產(chǎn)品開展安全檢測(cè)，下一步將根據(jù)近1000家企業(yè)事業(yè)單位關(guān)于物聯(lián)網(wǎng)產(chǎn)品檢測(cè)需求的反饋情況，開展安全管理平臺(tái)、門禁控制設(shè)備、3 G接入網(wǎng)關(guān)、We b安全應(yīng)用檢測(cè)系統(tǒng)產(chǎn)品、緊急報(bào)警裝置、無(wú)線傳輸交換系統(tǒng)、云操作系統(tǒng)安全加固等產(chǎn)品安全技術(shù)標(biāo)準(zhǔn)起草以及產(chǎn)品檢測(cè)工作。

記者：“物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)”項(xiàng)目的完成對(duì)于我國(guó)的物聯(lián)網(wǎng)安全將產(chǎn)生怎樣的意義？

仇保利：經(jīng)過多年的發(fā)展，為國(guó)家信息化建設(shè)和重要信息系統(tǒng)安全運(yùn)行提供技術(shù)支持的信息安全專業(yè)化服務(wù)已經(jīng)得到了長(zhǎng)足的發(fā)展，相關(guān)的機(jī)構(gòu)和單位已經(jīng)形成規(guī)模。我國(guó)信息安全專業(yè)化服務(wù)雖然已具有一定水準(zhǔn)，但物聯(lián)網(wǎng)系統(tǒng)及產(chǎn)品安全檢測(cè)服務(wù)尚處于起步階段，存在著檢測(cè)技術(shù)單一等問題，物聯(lián)網(wǎng)一體化安全檢測(cè)專業(yè)化服務(wù)可以促進(jìn)我國(guó)物聯(lián)網(wǎng)信息安全專業(yè)化檢測(cè)服務(wù)的發(fā)展，從而推動(dòng)物聯(lián)網(wǎng)信息安全專業(yè)化檢測(cè)服務(wù)向著智能化、網(wǎng)絡(luò)化、集成化方向發(fā)展，提高我國(guó)物聯(lián)網(wǎng)信息安全專業(yè)化服務(wù)市場(chǎng)競(jìng)爭(zhēng)力。同時(shí)，物聯(lián)網(wǎng)一體化安全檢測(cè)也可促進(jìn)物聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)的健康發(fā)展。