中國軟件評測中心物聯(lián)網(wǎng)測試部劉冬： 工聯(lián)網(wǎng)安全正受四方面威脅

王改靜

在信息安全事件頻發(fā)的背景下，物聯(lián)網(wǎng)以及工業(yè)領(lǐng)域也成為新的安全重災(zāi)區(qū)

近日，2018中國物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)大會在北京舉行。在下午舉辦的工業(yè)互聯(lián)網(wǎng)推進論壇上，中國軟件評測中心物聯(lián)網(wǎng)測試部劉冬表示，現(xiàn)在的信息安全主要受到四方面威脅。

第一，由于傳感網(wǎng)絡(luò)其海量部署帶來的成本限制、異構(gòu)化程度高導(dǎo)致嚴重不確定性因素的環(huán)境存在，是物聯(lián)網(wǎng)安全性最為復(fù)雜也最為脆弱的環(huán)節(jié)。

第二，在無線環(huán)境傳輸過程中，被感知的信息通過網(wǎng)絡(luò)平臺進行傳輸時，信息的安全性相當脆弱。

第三，在物聯(lián)網(wǎng)的傳輸層和應(yīng)用層也存在諸多安全隱患，亟待加強安全防范。

第四，大多數(shù)攻擊專用系統(tǒng)多呈現(xiàn)為自上而下的形式，而通用系統(tǒng)是自下而上的。

據(jù)悉，中國軟件評測中心作為國內(nèi)權(quán)威的第三方軟、硬件產(chǎn)品及信息系統(tǒng)工程質(zhì)量安全與可靠性檢測機構(gòu)是直屬于工業(yè)和信息化部的一類科研事業(yè)單位。成立至今評測了將近十萬款軟硬件產(chǎn)品，出具的測試報告可以在61個國家和地區(qū)進行互認。

中國軟件評測中心先后申請了30余個國家科研項目，先后建立了包括國家云計算公共技術(shù)服務(wù)平臺等在內(nèi)的6個國家級公共服務(wù)平臺，開發(fā)了具有自主知識產(chǎn)權(quán)的30余種專用測試工具，獲得了10余項軟件著作權(quán)，參與了7項質(zhì)量領(lǐng)域國家標準和行業(yè)標準制定。

劉冬表示，中國軟件測評中心業(yè)務(wù)范圍涉及產(chǎn)品方面、系統(tǒng)方面、國家的新興技術(shù)方面以及物聯(lián)網(wǎng)相關(guān)政府公共服務(wù)平臺等測試，業(yè)務(wù)覆蓋全國500多個城市。

近些年來，信息安全事件成為行業(yè)發(fā)展的阻力，伊朗納坦茲鈾濃縮工廠、RFID芯片破解、Mirai病毒事件以及雙流機場無人機黑飛事件都是信息泄露的典型例子。根據(jù)相關(guān)數(shù)據(jù)顯示，制造業(yè)和能源行業(yè)發(fā)生的信息安全事件占事件總數(shù)的一半，成為重災(zāi)區(qū)。隨著工控系統(tǒng)安全事件不斷增加以及4G、5G技術(shù)應(yīng)用范圍逐步擴大，5G部署更多，所以相關(guān)的安全問題，變得愈發(fā)重要。

據(jù)了解，中國軟件評測中心物聯(lián)網(wǎng)測試部門成立于2012年，業(yè)務(wù)范圍主要是進行民爆行業(yè)安全生產(chǎn)監(jiān)控系統(tǒng)評測、安監(jiān)電力和石化控制系統(tǒng)評測、視頻網(wǎng)絡(luò)安全評測、人機控制系統(tǒng)安全評測以及農(nóng)林物聯(lián)網(wǎng)評測，同時承擔的公共服務(wù)平臺項目的評測等。

會上，劉冬還展示了物聯(lián)網(wǎng)測試的例子。例如油氣管道SCADA系統(tǒng)測試，依據(jù)油氣管道SCADA系統(tǒng)軟件國產(chǎn)化課題的要求和用戶的實際應(yīng)用需求，對國產(chǎn)化油氣管道SCADA系統(tǒng)軟件的基本功能和性能進行驗證，測試國產(chǎn)化油氣管道SCADA系統(tǒng)軟件數(shù)據(jù)采集的符合性、關(guān)鍵性能、安全性等。

在民爆混裝車遠程監(jiān)控系統(tǒng)安全測試方面，通過對六家企業(yè)的監(jiān)控系統(tǒng)進行系統(tǒng)安全性、代碼安全性、平臺安全性以及環(huán)境可靠性進行現(xiàn)場測試，檢測出多處漏洞和缺陷；在視頻監(jiān)控系統(tǒng)安全檢測中，在各種軟件和服務(wù)的弱口令、操作系統(tǒng)命令注入、緩沖區(qū)溢出、網(wǎng)絡(luò)服務(wù)認證缺失以及口令暴力破解等方面發(fā)現(xiàn)多種缺陷和漏洞。

劉冬給出關(guān)于視頻監(jiān)控系統(tǒng)安全監(jiān)測，漏洞掃描方面的一些安全方面的建議。他表示，安全隱患存在較多的就是漏洞方面的，比如說命令，以及緩沖區(qū)溢出等都是特別需要注意的。

本次大會由中國電子信息產(chǎn)業(yè)發(fā)展研究院和中國物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)聯(lián)盟主辦，由通信產(chǎn)業(yè)報社聯(lián)合賽迪智庫信息化研究中心、賽迪顧問股份有限公司、賽迪時代科技股份有限公司、中國軟件評測中心等承辦，其中工業(yè)互聯(lián)網(wǎng)推進論壇由“工業(yè)互聯(lián)網(wǎng)世界”微信公眾號承辦。