鮑逸明,男,1987年大學(xué)畢業(yè)進入公安部第三研究所,從事檢測中心技術(shù)和管理工作三十余年,對安防電子、機械、信息安全領(lǐng)域技術(shù)發(fā)展有著豐富的經(jīng)驗和熟悉度,現(xiàn)任國家安全防范報警系統(tǒng)產(chǎn)品質(zhì)量監(jiān)督檢測中心(上海)、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心、公安部第三研究所認證中心常務(wù)副主任,TC100標(biāo)委會實體防護分技委副主任委員。
他在黨和國家新發(fā)展理念的戰(zhàn)略引領(lǐng)下,在“質(zhì)量第一”建設(shè)“質(zhì)量強國”的進程中,發(fā)揮自身技術(shù)優(yōu)勢,勇于擔(dān)當(dāng)、創(chuàng)新服務(wù),積極打造研究型檢測機構(gòu)。近年來,中心先后承擔(dān)了國家級、省部級等36項科研項目,獲得科研經(jīng)費1.8億余元;共主持和參與130多項安全防范和信息安全產(chǎn)品的國際標(biāo)準、國家標(biāo)準、行業(yè)標(biāo)準的制、修訂工作。在行為公正、方法科學(xué)、數(shù)據(jù)準確、服務(wù)規(guī)范的質(zhì)量方針指引下,為公共安全防范行業(yè)和國家信息網(wǎng)絡(luò)安全把好了相關(guān)系統(tǒng)和產(chǎn)品質(zhì)量關(guān),以客觀、公正、嚴瑾、規(guī)范的檢驗風(fēng)格樹立了自身的行業(yè)權(quán)威地位,實現(xiàn)了“公安第一、國內(nèi)領(lǐng)先”的目標(biāo)。
上近年來,以網(wǎng)絡(luò)攝像機等為代表的社會公共安全類產(chǎn)品技術(shù)發(fā)展迅速,在傳統(tǒng)安防技術(shù)上廣泛融入了計算機、人工智能、網(wǎng)絡(luò)通信、自動控制等技術(shù),其智能化、聯(lián)網(wǎng)化水平越來越高,在預(yù)防和打擊違法犯罪工作中起著越來越重要的作用。但是,新技術(shù)的采用也帶來了新的問題和安全威脅,比如視頻的網(wǎng)絡(luò)安全等。
經(jīng)公安部、國家認監(jiān)委批準,公安部第三研究所認證中心承擔(dān)起社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證的重任。
那么,社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證有什么意義?對我國公共安全產(chǎn)業(yè)持續(xù)健康發(fā)展將產(chǎn)生什么積極影響?
為此,本刊記者對國家安全防范報警系統(tǒng)產(chǎn)品質(zhì)量監(jiān)督檢測中心(上海)、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心、公安部第三研究所認證中心常務(wù)副主任鮑逸明進行了專訪。
中國公共安全:目前我國社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全現(xiàn)狀如何?主要存在哪些問題?
鮑逸明:近年來,以網(wǎng)絡(luò)攝像機、智能門鎖等為代表的社會公共安全類產(chǎn)品技術(shù)發(fā)展迅速,在傳統(tǒng)安防技術(shù)上廣泛融入了計算機、網(wǎng)絡(luò)通信、自動控制等技術(shù),其智能化、聯(lián)網(wǎng)化水平越來越高,對于保衛(wèi)社會公共安全、預(yù)防和打擊違法犯罪,起著越來越重要的作用。但是,新技術(shù)的采用也帶來了新的安全威脅,出現(xiàn)了新的安全問題,比如:在網(wǎng)絡(luò)攝像機中,存在著數(shù)據(jù)傳輸未加密導(dǎo)致重要信息泄露、大量攝像機使用弱口令導(dǎo)致設(shè)備被黑客惡意控制等問題;在智能門鎖中,存在著網(wǎng)絡(luò)傳輸?shù)目刂菩盘栁醇用堋⒖构收献⑷肽芰θ醯葘?dǎo)致門鎖遠程或者本地非法開啟等問題。這方面的安全事件也很多,比如:2015年江蘇省公安廳發(fā)現(xiàn)某型號的視頻監(jiān)控設(shè)備存在嚴重安全隱患,部分設(shè)備已經(jīng)被境外IP地址控制;2016年黑客利用大量智能聯(lián)網(wǎng)設(shè)備發(fā)起了“史上最嚴重DDoS攻擊”,致使美國東海岸地區(qū)長時間互聯(lián)網(wǎng)癱瘓;2018年永康門博會上爆出了利用“特斯拉線圈”(俗稱“小黑盒”)秒開智能門鎖的消息,引起了社會的廣泛關(guān)注。
中國公共安全:為什么要開展社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證?(必要性)開展社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證有什么意義?(重要性)
鮑逸明:正是因為智能聯(lián)網(wǎng)產(chǎn)品出現(xiàn)了這些安全問題,國家采取了一系列行動來應(yīng)對,比如:2017年國家出臺了《中共中央 國務(wù)院關(guān)于開展質(zhì)量提升行動的指導(dǎo)意見》,推動我國經(jīng)濟發(fā)展進入質(zhì)量時代,強調(diào)加強產(chǎn)品安全質(zhì)量。公安部、中央網(wǎng)信辦、工信部等國家相關(guān)部委也采取了一些行動提升智能聯(lián)網(wǎng)產(chǎn)品的安全質(zhì)量,比如:2017年原國家質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司組織開展了智能攝像頭質(zhì)量安全風(fēng)險監(jiān)測,發(fā)布智能攝像頭質(zhì)量安全風(fēng)險警示。我中心正是順應(yīng)這種新的形勢,開展了社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證。認證中產(chǎn)品需通過12大類55個測試點安全技術(shù)檢測,以及一致性檢查等持續(xù)質(zhì)量跟蹤檢查。因此,經(jīng)過認證的產(chǎn)品可以基本解決已知安全漏洞和問題。而且,我們的認證將動態(tài)跟蹤最新安全威脅,及時調(diào)整技術(shù)規(guī)范,解決新的安全問題。
因此,開展社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證,有利于引導(dǎo)和幫助智能聯(lián)網(wǎng)產(chǎn)品生產(chǎn)企業(yè)提升該類產(chǎn)品的安全防護技術(shù)能力,保障該類產(chǎn)品網(wǎng)絡(luò)安全方面的產(chǎn)品質(zhì)量。同時,通過產(chǎn)品認證證書的頒發(fā),將便于采購、使用該類產(chǎn)品的廣大用戶甄別其網(wǎng)絡(luò)安全防護能力,選購和使用防護能力強的產(chǎn)品,更好地發(fā)揮其預(yù)防和打擊違法犯罪行為的作用。
中國公共安全:2016年我國取消“安全技術(shù)防范產(chǎn)品生產(chǎn)登記批準書核發(fā)”行政審批事項后,行業(yè)內(nèi)暴露出哪些新問題?
鮑逸明:2016年隨著國家行政審批制度改革的逐步深入,取消了“安全技術(shù)防范產(chǎn)品生產(chǎn)登記批準書核發(fā)”行政審批事項,安防產(chǎn)品不再核發(fā)生產(chǎn)、銷售許可證,公安機關(guān)不再對安防產(chǎn)品執(zhí)行技防管理。行政許可制度的取消,減輕了企業(yè)在行政審批方面花費的精力、財力,降低了企業(yè)的行政支出,但管理的弱化也帶來了行業(yè)發(fā)展方面新的問題。
取消行政審批以后,公安機關(guān)對安防產(chǎn)品生產(chǎn)企業(yè)不再進行直接管理,改變了原有的技防管理部門定期檢查和產(chǎn)品型式試驗管理模式,企業(yè)完全依靠企業(yè)自律和市場需求開展生產(chǎn)經(jīng)營活動,一些企業(yè)主為了追求利潤最大化,通過降低質(zhì)量要求降低成本,市場上以次充好的現(xiàn)象逐漸增多,產(chǎn)品質(zhì)量有下滑的趨勢。同時,安防產(chǎn)品不屬于普通的消費品,產(chǎn)品向系統(tǒng)化、集成化方向發(fā)展,不再以單一的產(chǎn)品形態(tài)對外銷售,市場監(jiān)管部門很難通過市場監(jiān)督抽查獲得受檢樣品,造成了行業(yè)監(jiān)管的進一步缺失。
中國公共安全:在對社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)信息安全的研究和檢測實踐工作中,遇到過哪些普遍存在、具有代表性和典型性問題?
鮑逸明:我中心自2014年以來,組織技術(shù)力量持續(xù)跟蹤研究社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全威脅,對網(wǎng)絡(luò)攝像機、智能門鎖、電子貓眼、樓宇對講等10余類產(chǎn)品進行了檢測。比如:針對智能門鎖安全問題,我們設(shè)法獲取了數(shù)種典型的“小黑盒”,研究了在頻率、功率、時間、空間方位等維度可以全面模擬“小黑盒”的檢測技術(shù),通過對智能門鎖的系統(tǒng)檢測,可以找出智能門鎖故障注入的漏洞。再比如:我們在對網(wǎng)絡(luò)攝像機的滲透測試中,我們采用黑客模擬技術(shù),在實驗室中全面模擬黑客可能的攻擊行為,發(fā)現(xiàn)該類產(chǎn)品的安全漏洞。通過研究我們發(fā)現(xiàn),很多產(chǎn)品存在著“重功能、輕安全”的現(xiàn)象,典型問題有:數(shù)據(jù)傳輸不加密、弱口令、管理員賬戶共用、管理行為無法審計、設(shè)備固件漏洞無法及時發(fā)現(xiàn)、漏洞補丁無法升級或者升級方式不安全等,這些問題可能導(dǎo)致用戶重要數(shù)據(jù)泄露、或者智能聯(lián)網(wǎng)設(shè)備被惡意控制等。
中國公共安全:為開展社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證,認證中心都做了哪些工作?
鮑逸明:國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心對智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)信息安全的研究和檢測實踐工作始于2014年,四年多來我中心承接了多款智能門鎖、網(wǎng)絡(luò)攝像機等產(chǎn)品的委托測試工作,掌握了科學(xué)的測試方法,積累了大量的測試數(shù)據(jù),就各類網(wǎng)絡(luò)安全漏洞進行了分析和歸類,制定了一套完善的測試評價方法。具體準備情況有:
1、開展專題研討,制定認證所需的相關(guān)標(biāo)準,做好認證技術(shù)依據(jù)的準備工作
為了了解開展網(wǎng)絡(luò)安全自愿性認證工作的必要性、技術(shù)性和可行性,我中心牽頭組織召開了十余次的專題研討會,會議收集了大量與會代表就此類產(chǎn)品網(wǎng)絡(luò)安全防護的意見和建議,就網(wǎng)絡(luò)安全認證工作開展的重要性達成了共識。
針對目前智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全標(biāo)準缺失的問題,我中心牽頭和參與制定了一系列國家標(biāo)準、行業(yè)標(biāo)準和聯(lián)盟標(biāo)準。這些標(biāo)準規(guī)范的研究和制訂奠定了我中心智能聯(lián)網(wǎng)產(chǎn)品測評的堅實理論技術(shù)基礎(chǔ),為認證工作的開展提供了強有力的技術(shù)支撐。
2、發(fā)揮中心技術(shù)優(yōu)勢,制定了認證實施規(guī)則和技術(shù)規(guī)范,有能力保障認證工作的順利開展
科學(xué)、規(guī)范、合理的認證實施規(guī)則是開展產(chǎn)品認證的前提條件,我中心制訂了《社會公共安全領(lǐng)域自愿性認證實施規(guī)則智能聯(lián)網(wǎng)產(chǎn)品(網(wǎng)絡(luò)安全)》,規(guī)則對社會公共安全行業(yè)智能聯(lián)網(wǎng)產(chǎn)品開展自愿性認證的適用范圍、認證依據(jù)標(biāo)準、認證模式、認證流程、型式試驗、工廠檢查、認證證書、認證標(biāo)志等內(nèi)容做了規(guī)定,完成了該認證實施規(guī)則的國家認監(jiān)委備案工作。
3、工廠檢查員和簽約實驗室已滿足開展認證工作的各項要求
為了滿足即將開展的網(wǎng)絡(luò)安全自愿性認證需要,2017年我中心共有具有網(wǎng)絡(luò)信息安全專業(yè)經(jīng)歷的21名人員通過了CCAA自愿性認證工廠檢查員考試,同時,認證中心對工廠檢查員進行了17065認證機構(gòu)質(zhì)量管理體系和工廠檢查專業(yè)培訓(xùn),有足夠的能力承擔(dān)工廠檢查任務(wù)。
此外,我中心多年來承擔(dān)了大約300多項信息安全產(chǎn)品的認證檢測任務(wù),具有豐富的認證產(chǎn)品檢測經(jīng)驗和工廠檢查經(jīng)驗。實驗室能力方面,為了滿足智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證的需要,中心向國家認可委申請了能力擴項,已獲得CNAS認可的智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全相關(guān)檢驗檢測能力。
中國公共安全:因為是自愿認證,有些企業(yè)可能積極性會不高。請問認證能夠為相關(guān)企業(yè)帶來什么益處?
鮑逸明:認證是獲得信任、傳遞信任的一個過程,企業(yè)通過我中心的自愿性認證,即可被允許在其產(chǎn)品上加施我中心的認證標(biāo)志,證明其產(chǎn)品能符合相應(yīng)標(biāo)準要求,生產(chǎn)過程處于可控狀態(tài),產(chǎn)品質(zhì)量保持一致。公安部第三研究所在網(wǎng)絡(luò)安全領(lǐng)域是最權(quán)威的技術(shù)機構(gòu)之一,產(chǎn)品通過我中心的認證以后:1.有助于企業(yè)樹立品牌,提高市場競爭力,實現(xiàn)經(jīng)濟效益和社會效益的最大化。2.有助于大大提升企業(yè)的社會公信力,同時降低企業(yè)需要承擔(dān)的產(chǎn)品風(fēng)險。3.有助于企業(yè)不斷的提高工廠質(zhì)量保證能力,完善現(xiàn)代化的企業(yè)管理制度,促進企業(yè)的可持續(xù)發(fā)展。
中國公共安全:開展社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證對我國安防行業(yè)持續(xù)健康發(fā)展將產(chǎn)生什么積極影響?
鮑逸明:隨著安防產(chǎn)業(yè)的發(fā)展,傳統(tǒng)安防產(chǎn)品的智能化、聯(lián)網(wǎng)化已成為行業(yè)發(fā)展的新趨勢。網(wǎng)絡(luò)安全問題已經(jīng)成為“智慧城市”、“智慧公安”建設(shè)中亟待解決的問題,開展社會公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認證,一方面有利于促進安防產(chǎn)品在智能化、聯(lián)網(wǎng)化方面的技術(shù)創(chuàng)新,提升其網(wǎng)絡(luò)安全防護技術(shù)能力,促進安防產(chǎn)品的升級換代,在預(yù)防和打擊違法犯罪方面發(fā)揮更大的作用;另一方面,將全面提升該類產(chǎn)品的安全質(zhì)量,消除公眾的安全疑慮,增強其使用信心,從而擴大產(chǎn)業(yè)規(guī)模,促進我國安防行業(yè)持續(xù)快速健康發(fā)展。
滬公網(wǎng)安備 31011202001934號
建議使用最新版瀏覽器,以獲得最佳瀏覽效果。