當前位置:行業資訊 >> 人物專訪 >>
嚴把信息網絡安全關,為推動公共安全產業發展保駕護航——專訪公安部第三研究所認證中心常務副主任鮑逸明
2019-12 來源:上海安全防范報警協會 作者:丁兆威
字號:
鮑逸明,男,1987年大學畢業進入公安部第三研究所,從事檢測中心技術和管理工作三十余年,對安防電子、機械、信息安全領域技術發展有著豐富的經驗和熟悉度,現任國家安全防范報警系統產品質量監督檢測中心(上海)、國家網絡與信息系統安全產品質量監督檢驗中心、公安部第三研究所認證中心常務副主任,TC100標委會實體防護分技委副主任委員。
他在黨和國家新發展理念的戰略引領下,在“質量第一”建設“質量強國”的進程中,發揮自身技術優勢,勇于擔當、創新服務,積極打造研究型檢測機構。近年來,中心先后承擔了國家級、省部級等36項科研項目,獲得科研經費1.8億余元;共主持和參與130多項安全防范和信息安全產品的國際標準、國家標準、行業標準的制、修訂工作。在行為公正、方法科學、數據準確、服務規范的質量方針指引下,為公共安全防范行業和國家信息網絡安全把好了相關系統和產品質量關,以客觀、公正、嚴瑾、規范的檢驗風格樹立了自身的行業權威地位,實現了“公安第一、國內領先”的目標。
上近年來,以網絡攝像機等為代表的社會公共安全類產品技術發展迅速,在傳統安防技術上廣泛融入了計算機、人工智能、網絡通信、自動控制等技術,其智能化、聯網化水平越來越高,在預防和打擊違法犯罪工作中起著越來越重要的作用。但是,新技術的采用也帶來了新的問題和安全威脅,比如視頻的網絡安全等。
經公安部、國家認監委批準,公安部第三研究所認證中心承擔起社會公共安全類智能聯網產品網絡安全自愿性認證的重任。
那么,社會公共安全類智能聯網產品網絡安全自愿性認證有什么意義?對我國公共安全產業持續健康發展將產生什么積極影響?
為此,本刊記者對國家安全防范報警系統產品質量監督檢測中心(上海)、國家網絡與信息系統安全產品質量監督檢驗中心、公安部第三研究所認證中心常務副主任鮑逸明進行了專訪。
中國公共安全:目前我國社會公共安全類智能聯網產品網絡安全現狀如何?主要存在哪些問題?
鮑逸明:近年來,以網絡攝像機、智能門鎖等為代表的社會公共安全類產品技術發展迅速,在傳統安防技術上廣泛融入了計算機、網絡通信、自動控制等技術,其智能化、聯網化水平越來越高,對于保衛社會公共安全、預防和打擊違法犯罪,起著越來越重要的作用。但是,新技術的采用也帶來了新的安全威脅,出現了新的安全問題,比如:在網絡攝像機中,存在著數據傳輸未加密導致重要信息泄露、大量攝像機使用弱口令導致設備被黑客惡意控制等問題;在智能門鎖中,存在著網絡傳輸的控制信號未加密、抗故障注入能力弱等導致門鎖遠程或者本地非法開啟等問題。這方面的安全事件也很多,比如:2015年江蘇省公安廳發現某型號的視頻監控設備存在嚴重安全隱患,部分設備已經被境外IP地址控制;2016年黑客利用大量智能聯網設備發起了“史上最嚴重DDoS攻擊”,致使美國東海岸地區長時間互聯網癱瘓;2018年永康門博會上爆出了利用“特斯拉線圈”(俗稱“小黑盒”)秒開智能門鎖的消息,引起了社會的廣泛關注。
中國公共安全:為什么要開展社會公共安全類智能聯網產品網絡安全自愿性認證?(必要性)開展社會公共安全類智能聯網產品網絡安全自愿性認證有什么意義?(重要性)
鮑逸明:正是因為智能聯網產品出現了這些安全問題,國家采取了一系列行動來應對,比如:2017年國家出臺了《中共中央 國務院關于開展質量提升行動的指導意見》,推動我國經濟發展進入質量時代,強調加強產品安全質量。公安部、中央網信辦、工信部等國家相關部委也采取了一些行動提升智能聯網產品的安全質量,比如:2017年原國家質檢總局產品質量監督司組織開展了智能攝像頭質量安全風險監測,發布智能攝像頭質量安全風險警示。我中心正是順應這種新的形勢,開展了社會公共安全類智能聯網產品網絡安全自愿性認證。認證中產品需通過12大類55個測試點安全技術檢測,以及一致性檢查等持續質量跟蹤檢查。因此,經過認證的產品可以基本解決已知安全漏洞和問題。而且,我們的認證將動態跟蹤最新安全威脅,及時調整技術規范,解決新的安全問題。
因此,開展社會公共安全類智能聯網產品網絡安全自愿性認證,有利于引導和幫助智能聯網產品生產企業提升該類產品的安全防護技術能力,保障該類產品網絡安全方面的產品質量。同時,通過產品認證證書的頒發,將便于采購、使用該類產品的廣大用戶甄別其網絡安全防護能力,選購和使用防護能力強的產品,更好地發揮其預防和打擊違法犯罪行為的作用。
中國公共安全:2016年我國取消“安全技術防范產品生產登記批準書核發”行政審批事項后,行業內暴露出哪些新問題?
鮑逸明:2016年隨著國家行政審批制度改革的逐步深入,取消了“安全技術防范產品生產登記批準書核發”行政審批事項,安防產品不再核發生產、銷售許可證,公安機關不再對安防產品執行技防管理。行政許可制度的取消,減輕了企業在行政審批方面花費的精力、財力,降低了企業的行政支出,但管理的弱化也帶來了行業發展方面新的問題。
取消行政審批以后,公安機關對安防產品生產企業不再進行直接管理,改變了原有的技防管理部門定期檢查和產品型式試驗管理模式,企業完全依靠企業自律和市場需求開展生產經營活動,一些企業主為了追求利潤最大化,通過降低質量要求降低成本,市場上以次充好的現象逐漸增多,產品質量有下滑的趨勢。同時,安防產品不屬于普通的消費品,產品向系統化、集成化方向發展,不再以單一的產品形態對外銷售,市場監管部門很難通過市場監督抽查獲得受檢樣品,造成了行業監管的進一步缺失。
中國公共安全:在對社會公共安全類智能聯網產品網絡信息安全的研究和檢測實踐工作中,遇到過哪些普遍存在、具有代表性和典型性問題?
鮑逸明:我中心自2014年以來,組織技術力量持續跟蹤研究社會公共安全類智能聯網產品網絡安全威脅,對網絡攝像機、智能門鎖、電子貓眼、樓宇對講等10余類產品進行了檢測。比如:針對智能門鎖安全問題,我們設法獲取了數種典型的“小黑盒”,研究了在頻率、功率、時間、空間方位等維度可以全面模擬“小黑盒”的檢測技術,通過對智能門鎖的系統檢測,可以找出智能門鎖故障注入的漏洞。再比如:我們在對網絡攝像機的滲透測試中,我們采用黑客模擬技術,在實驗室中全面模擬黑客可能的攻擊行為,發現該類產品的安全漏洞。通過研究我們發現,很多產品存在著“重功能、輕安全”的現象,典型問題有:數據傳輸不加密、弱口令、管理員賬戶共用、管理行為無法審計、設備固件漏洞無法及時發現、漏洞補丁無法升級或者升級方式不安全等,這些問題可能導致用戶重要數據泄露、或者智能聯網設備被惡意控制等。
中國公共安全:為開展社會公共安全類智能聯網產品網絡安全自愿性認證,認證中心都做了哪些工作?
鮑逸明:國家網絡與信息系統安全產品質量監督檢驗中心對智能聯網產品網絡信息安全的研究和檢測實踐工作始于2014年,四年多來我中心承接了多款智能門鎖、網絡攝像機等產品的委托測試工作,掌握了科學的測試方法,積累了大量的測試數據,就各類網絡安全漏洞進行了分析和歸類,制定了一套完善的測試評價方法。具體準備情況有:
1、開展專題研討,制定認證所需的相關標準,做好認證技術依據的準備工作
為了了解開展網絡安全自愿性認證工作的必要性、技術性和可行性,我中心牽頭組織召開了十余次的專題研討會,會議收集了大量與會代表就此類產品網絡安全防護的意見和建議,就網絡安全認證工作開展的重要性達成了共識。
針對目前智能聯網產品網絡安全標準缺失的問題,我中心牽頭和參與制定了一系列國家標準、行業標準和聯盟標準。這些標準規范的研究和制訂奠定了我中心智能聯網產品測評的堅實理論技術基礎,為認證工作的開展提供了強有力的技術支撐。
2、發揮中心技術優勢,制定了認證實施規則和技術規范,有能力保障認證工作的順利開展
科學、規范、合理的認證實施規則是開展產品認證的前提條件,我中心制訂了《社會公共安全領域自愿性認證實施規則智能聯網產品(網絡安全)》,規則對社會公共安全行業智能聯網產品開展自愿性認證的適用范圍、認證依據標準、認證模式、認證流程、型式試驗、工廠檢查、認證證書、認證標志等內容做了規定,完成了該認證實施規則的國家認監委備案工作。
3、工廠檢查員和簽約實驗室已滿足開展認證工作的各項要求
為了滿足即將開展的網絡安全自愿性認證需要,2017年我中心共有具有網絡信息安全專業經歷的21名人員通過了CCAA自愿性認證工廠檢查員考試,同時,認證中心對工廠檢查員進行了17065認證機構質量管理體系和工廠檢查專業培訓,有足夠的能力承擔工廠檢查任務。
此外,我中心多年來承擔了大約300多項信息安全產品的認證檢測任務,具有豐富的認證產品檢測經驗和工廠檢查經驗。實驗室能力方面,為了滿足智能聯網產品網絡安全自愿性認證的需要,中心向國家認可委申請了能力擴項,已獲得CNAS認可的智能聯網產品網絡安全相關檢驗檢測能力。
中國公共安全:因為是自愿認證,有些企業可能積極性會不高。請問認證能夠為相關企業帶來什么益處?
鮑逸明:認證是獲得信任、傳遞信任的一個過程,企業通過我中心的自愿性認證,即可被允許在其產品上加施我中心的認證標志,證明其產品能符合相應標準要求,生產過程處于可控狀態,產品質量保持一致。公安部第三研究所在網絡安全領域是最權威的技術機構之一,產品通過我中心的認證以后:1.有助于企業樹立品牌,提高市場競爭力,實現經濟效益和社會效益的最大化。2.有助于大大提升企業的社會公信力,同時降低企業需要承擔的產品風險。3.有助于企業不斷的提高工廠質量保證能力,完善現代化的企業管理制度,促進企業的可持續發展。
中國公共安全:開展社會公共安全類智能聯網產品網絡安全自愿性認證對我國安防行業持續健康發展將產生什么積極影響?
鮑逸明:隨著安防產業的發展,傳統安防產品的智能化、聯網化已成為行業發展的新趨勢。網絡安全問題已經成為“智慧城市”、“智慧公安”建設中亟待解決的問題,開展社會公共安全類智能聯網產品網絡安全自愿性認證,一方面有利于促進安防產品在智能化、聯網化方面的技術創新,提升其網絡安全防護技術能力,促進安防產品的升級換代,在預防和打擊違法犯罪方面發揮更大的作用;另一方面,將全面提升該類產品的安全質量,消除公眾的安全疑慮,增強其使用信心,從而擴大產業規模,促進我國安防行業持續快速健康發展。
TOP
主辦單位:上海安全防范報警協會
shanghai security defense & alarm association
地址:上海市普陀區云嶺東路235號3號樓404室 電話:021-54732822 傳真:021-54732822
協會標準咨詢郵箱:sdaasc2015@126.com 協會工程咨詢郵箱:sdaapc2015@126.com 協會申訴咨詢郵箱:shanfang2701@126.com
ICP備案號: 滬ICP備14004542號-2
技術支持 : 愛建網
建議使用最新版瀏覽器,以獲得最佳瀏覽效果。
shanghai security defense & alarm association
地址:上海市普陀區云嶺東路235號3號樓404室 電話:021-54732822 傳真:021-54732822
協會標準咨詢郵箱:sdaasc2015@126.com 協會工程咨詢郵箱:sdaapc2015@126.com 協會申訴咨詢郵箱:shanfang2701@126.com
ICP備案號: 滬ICP備14004542號-2
滬公網安備 31011202001934號
技術支持 : 愛建網
建議使用最新版瀏覽器,以獲得最佳瀏覽效果。