鮑逸明,男,1987年大學(xué)畢業(yè)進(jìn)入公安部第三研究所,從事檢測中心技術(shù)和管理工作三十余年,對(duì)安防電子、機(jī)械、信息安全領(lǐng)域技術(shù)發(fā)展有著豐富的經(jīng)驗(yàn)和熟悉度,現(xiàn)任國家安全防范報(bào)警系統(tǒng)產(chǎn)品質(zhì)量監(jiān)督檢測中心(上海)、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、公安部第三研究所認(rèn)證中心常務(wù)副主任,TC100標(biāo)委會(huì)實(shí)體防護(hù)分技委副主任委員。
他在黨和國家新發(fā)展理念的戰(zhàn)略引領(lǐng)下,在“質(zhì)量第一”建設(shè)“質(zhì)量強(qiáng)國”的進(jìn)程中,發(fā)揮自身技術(shù)優(yōu)勢,勇于擔(dān)當(dāng)、創(chuàng)新服務(wù),積極打造研究型檢測機(jī)構(gòu)。近年來,中心先后承擔(dān)了國家級(jí)、省部級(jí)等36項(xiàng)科研項(xiàng)目,獲得科研經(jīng)費(fèi)1.8億余元;共主持和參與130多項(xiàng)安全防范和信息安全產(chǎn)品的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制、修訂工作。在行為公正、方法科學(xué)、數(shù)據(jù)準(zhǔn)確、服務(wù)規(guī)范的質(zhì)量方針指引下,為公共安全防范行業(yè)和國家信息網(wǎng)絡(luò)安全把好了相關(guān)系統(tǒng)和產(chǎn)品質(zhì)量關(guān),以客觀、公正、嚴(yán)瑾、規(guī)范的檢驗(yàn)風(fēng)格樹立了自身的行業(yè)權(quán)威地位,實(shí)現(xiàn)了“公安第一、國內(nèi)領(lǐng)先”的目標(biāo)。
上近年來,以網(wǎng)絡(luò)攝像機(jī)等為代表的社會(huì)公共安全類產(chǎn)品技術(shù)發(fā)展迅速,在傳統(tǒng)安防技術(shù)上廣泛融入了計(jì)算機(jī)、人工智能、網(wǎng)絡(luò)通信、自動(dòng)控制等技術(shù),其智能化、聯(lián)網(wǎng)化水平越來越高,在預(yù)防和打擊違法犯罪工作中起著越來越重要的作用。但是,新技術(shù)的采用也帶來了新的問題和安全威脅,比如視頻的網(wǎng)絡(luò)安全等。
經(jīng)公安部、國家認(rèn)監(jiān)委批準(zhǔn),公安部第三研究所認(rèn)證中心承擔(dān)起社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證的重任。
那么,社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證有什么意義?對(duì)我國公共安全產(chǎn)業(yè)持續(xù)健康發(fā)展將產(chǎn)生什么積極影響?
為此,本刊記者對(duì)國家安全防范報(bào)警系統(tǒng)產(chǎn)品質(zhì)量監(jiān)督檢測中心(上海)、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、公安部第三研究所認(rèn)證中心常務(wù)副主任鮑逸明進(jìn)行了專訪。
中國公共安全:目前我國社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全現(xiàn)狀如何?主要存在哪些問題?
鮑逸明:近年來,以網(wǎng)絡(luò)攝像機(jī)、智能門鎖等為代表的社會(huì)公共安全類產(chǎn)品技術(shù)發(fā)展迅速,在傳統(tǒng)安防技術(shù)上廣泛融入了計(jì)算機(jī)、網(wǎng)絡(luò)通信、自動(dòng)控制等技術(shù),其智能化、聯(lián)網(wǎng)化水平越來越高,對(duì)于保衛(wèi)社會(huì)公共安全、預(yù)防和打擊違法犯罪,起著越來越重要的作用。但是,新技術(shù)的采用也帶來了新的安全威脅,出現(xiàn)了新的安全問題,比如:在網(wǎng)絡(luò)攝像機(jī)中,存在著數(shù)據(jù)傳輸未加密導(dǎo)致重要信息泄露、大量攝像機(jī)使用弱口令導(dǎo)致設(shè)備被黑客惡意控制等問題;在智能門鎖中,存在著網(wǎng)絡(luò)傳輸?shù)目刂菩盘?hào)未加密、抗故障注入能力弱等導(dǎo)致門鎖遠(yuǎn)程或者本地非法開啟等問題。這方面的安全事件也很多,比如:2015年江蘇省公安廳發(fā)現(xiàn)某型號(hào)的視頻監(jiān)控設(shè)備存在嚴(yán)重安全隱患,部分設(shè)備已經(jīng)被境外IP地址控制;2016年黑客利用大量智能聯(lián)網(wǎng)設(shè)備發(fā)起了“史上最嚴(yán)重DDoS攻擊”,致使美國東海岸地區(qū)長時(shí)間互聯(lián)網(wǎng)癱瘓;2018年永康門博會(huì)上爆出了利用“特斯拉線圈”(俗稱“小黑盒”)秒開智能門鎖的消息,引起了社會(huì)的廣泛關(guān)注。
中國公共安全:為什么要開展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證?(必要性)開展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證有什么意義?(重要性)
鮑逸明:正是因?yàn)橹悄苈?lián)網(wǎng)產(chǎn)品出現(xiàn)了這些安全問題,國家采取了一系列行動(dòng)來應(yīng)對(duì),比如:2017年國家出臺(tái)了《中共中央 國務(wù)院關(guān)于開展質(zhì)量提升行動(dòng)的指導(dǎo)意見》,推動(dòng)我國經(jīng)濟(jì)發(fā)展進(jìn)入質(zhì)量時(shí)代,強(qiáng)調(diào)加強(qiáng)產(chǎn)品安全質(zhì)量。公安部、中央網(wǎng)信辦、工信部等國家相關(guān)部委也采取了一些行動(dòng)提升智能聯(lián)網(wǎng)產(chǎn)品的安全質(zhì)量,比如:2017年原國家質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司組織開展了智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)監(jiān)測,發(fā)布智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)警示。我中心正是順應(yīng)這種新的形勢,開展了社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證。認(rèn)證中產(chǎn)品需通過12大類55個(gè)測試點(diǎn)安全技術(shù)檢測,以及一致性檢查等持續(xù)質(zhì)量跟蹤檢查。因此,經(jīng)過認(rèn)證的產(chǎn)品可以基本解決已知安全漏洞和問題。而且,我們的認(rèn)證將動(dòng)態(tài)跟蹤最新安全威脅,及時(shí)調(diào)整技術(shù)規(guī)范,解決新的安全問題。
因此,開展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證,有利于引導(dǎo)和幫助智能聯(lián)網(wǎng)產(chǎn)品生產(chǎn)企業(yè)提升該類產(chǎn)品的安全防護(hù)技術(shù)能力,保障該類產(chǎn)品網(wǎng)絡(luò)安全方面的產(chǎn)品質(zhì)量。同時(shí),通過產(chǎn)品認(rèn)證證書的頒發(fā),將便于采購、使用該類產(chǎn)品的廣大用戶甄別其網(wǎng)絡(luò)安全防護(hù)能力,選購和使用防護(hù)能力強(qiáng)的產(chǎn)品,更好地發(fā)揮其預(yù)防和打擊違法犯罪行為的作用。
中國公共安全:2016年我國取消“安全技術(shù)防范產(chǎn)品生產(chǎn)登記批準(zhǔn)書核發(fā)”行政審批事項(xiàng)后,行業(yè)內(nèi)暴露出哪些新問題?
鮑逸明:2016年隨著國家行政審批制度改革的逐步深入,取消了“安全技術(shù)防范產(chǎn)品生產(chǎn)登記批準(zhǔn)書核發(fā)”行政審批事項(xiàng),安防產(chǎn)品不再核發(fā)生產(chǎn)、銷售許可證,公安機(jī)關(guān)不再對(duì)安防產(chǎn)品執(zhí)行技防管理。行政許可制度的取消,減輕了企業(yè)在行政審批方面花費(fèi)的精力、財(cái)力,降低了企業(yè)的行政支出,但管理的弱化也帶來了行業(yè)發(fā)展方面新的問題。
取消行政審批以后,公安機(jī)關(guān)對(duì)安防產(chǎn)品生產(chǎn)企業(yè)不再進(jìn)行直接管理,改變了原有的技防管理部門定期檢查和產(chǎn)品型式試驗(yàn)管理模式,企業(yè)完全依靠企業(yè)自律和市場需求開展生產(chǎn)經(jīng)營活動(dòng),一些企業(yè)主為了追求利潤最大化,通過降低質(zhì)量要求降低成本,市場上以次充好的現(xiàn)象逐漸增多,產(chǎn)品質(zhì)量有下滑的趨勢。同時(shí),安防產(chǎn)品不屬于普通的消費(fèi)品,產(chǎn)品向系統(tǒng)化、集成化方向發(fā)展,不再以單一的產(chǎn)品形態(tài)對(duì)外銷售,市場監(jiān)管部門很難通過市場監(jiān)督抽查獲得受檢樣品,造成了行業(yè)監(jiān)管的進(jìn)一步缺失。
中國公共安全:在對(duì)社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)信息安全的研究和檢測實(shí)踐工作中,遇到過哪些普遍存在、具有代表性和典型性問題?
鮑逸明:我中心自2014年以來,組織技術(shù)力量持續(xù)跟蹤研究社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全威脅,對(duì)網(wǎng)絡(luò)攝像機(jī)、智能門鎖、電子貓眼、樓宇對(duì)講等10余類產(chǎn)品進(jìn)行了檢測。比如:針對(duì)智能門鎖安全問題,我們?cè)O(shè)法獲取了數(shù)種典型的“小黑盒”,研究了在頻率、功率、時(shí)間、空間方位等維度可以全面模擬“小黑盒”的檢測技術(shù),通過對(duì)智能門鎖的系統(tǒng)檢測,可以找出智能門鎖故障注入的漏洞。再比如:我們?cè)趯?duì)網(wǎng)絡(luò)攝像機(jī)的滲透測試中,我們采用黑客模擬技術(shù),在實(shí)驗(yàn)室中全面模擬黑客可能的攻擊行為,發(fā)現(xiàn)該類產(chǎn)品的安全漏洞。通過研究我們發(fā)現(xiàn),很多產(chǎn)品存在著“重功能、輕安全”的現(xiàn)象,典型問題有:數(shù)據(jù)傳輸不加密、弱口令、管理員賬戶共用、管理行為無法審計(jì)、設(shè)備固件漏洞無法及時(shí)發(fā)現(xiàn)、漏洞補(bǔ)丁無法升級(jí)或者升級(jí)方式不安全等,這些問題可能導(dǎo)致用戶重要數(shù)據(jù)泄露、或者智能聯(lián)網(wǎng)設(shè)備被惡意控制等。
中國公共安全:為開展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證,認(rèn)證中心都做了哪些工作?
鮑逸明:國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心對(duì)智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)信息安全的研究和檢測實(shí)踐工作始于2014年,四年多來我中心承接了多款智能門鎖、網(wǎng)絡(luò)攝像機(jī)等產(chǎn)品的委托測試工作,掌握了科學(xué)的測試方法,積累了大量的測試數(shù)據(jù),就各類網(wǎng)絡(luò)安全漏洞進(jìn)行了分析和歸類,制定了一套完善的測試評(píng)價(jià)方法。具體準(zhǔn)備情況有:
1、開展專題研討,制定認(rèn)證所需的相關(guān)標(biāo)準(zhǔn),做好認(rèn)證技術(shù)依據(jù)的準(zhǔn)備工作
為了了解開展網(wǎng)絡(luò)安全自愿性認(rèn)證工作的必要性、技術(shù)性和可行性,我中心牽頭組織召開了十余次的專題研討會(huì),會(huì)議收集了大量與會(huì)代表就此類產(chǎn)品網(wǎng)絡(luò)安全防護(hù)的意見和建議,就網(wǎng)絡(luò)安全認(rèn)證工作開展的重要性達(dá)成了共識(shí)。
針對(duì)目前智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全標(biāo)準(zhǔn)缺失的問題,我中心牽頭和參與制定了一系列國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和聯(lián)盟標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)規(guī)范的研究和制訂奠定了我中心智能聯(lián)網(wǎng)產(chǎn)品測評(píng)的堅(jiān)實(shí)理論技術(shù)基礎(chǔ),為認(rèn)證工作的開展提供了強(qiáng)有力的技術(shù)支撐。
2、發(fā)揮中心技術(shù)優(yōu)勢,制定了認(rèn)證實(shí)施規(guī)則和技術(shù)規(guī)范,有能力保障認(rèn)證工作的順利開展
科學(xué)、規(guī)范、合理的認(rèn)證實(shí)施規(guī)則是開展產(chǎn)品認(rèn)證的前提條件,我中心制訂了《社會(huì)公共安全領(lǐng)域自愿性認(rèn)證實(shí)施規(guī)則智能聯(lián)網(wǎng)產(chǎn)品(網(wǎng)絡(luò)安全)》,規(guī)則對(duì)社會(huì)公共安全行業(yè)智能聯(lián)網(wǎng)產(chǎn)品開展自愿性認(rèn)證的適用范圍、認(rèn)證依據(jù)標(biāo)準(zhǔn)、認(rèn)證模式、認(rèn)證流程、型式試驗(yàn)、工廠檢查、認(rèn)證證書、認(rèn)證標(biāo)志等內(nèi)容做了規(guī)定,完成了該認(rèn)證實(shí)施規(guī)則的國家認(rèn)監(jiān)委備案工作。
3、工廠檢查員和簽約實(shí)驗(yàn)室已滿足開展認(rèn)證工作的各項(xiàng)要求
為了滿足即將開展的網(wǎng)絡(luò)安全自愿性認(rèn)證需要,2017年我中心共有具有網(wǎng)絡(luò)信息安全專業(yè)經(jīng)歷的21名人員通過了CCAA自愿性認(rèn)證工廠檢查員考試,同時(shí),認(rèn)證中心對(duì)工廠檢查員進(jìn)行了17065認(rèn)證機(jī)構(gòu)質(zhì)量管理體系和工廠檢查專業(yè)培訓(xùn),有足夠的能力承擔(dān)工廠檢查任務(wù)。
此外,我中心多年來承擔(dān)了大約300多項(xiàng)信息安全產(chǎn)品的認(rèn)證檢測任務(wù),具有豐富的認(rèn)證產(chǎn)品檢測經(jīng)驗(yàn)和工廠檢查經(jīng)驗(yàn)。實(shí)驗(yàn)室能力方面,為了滿足智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證的需要,中心向國家認(rèn)可委申請(qǐng)了能力擴(kuò)項(xiàng),已獲得CNAS認(rèn)可的智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全相關(guān)檢驗(yàn)檢測能力。
中國公共安全:因?yàn)槭亲栽刚J(rèn)證,有些企業(yè)可能積極性會(huì)不高。請(qǐng)問認(rèn)證能夠?yàn)橄嚓P(guān)企業(yè)帶來什么益處?
鮑逸明:認(rèn)證是獲得信任、傳遞信任的一個(gè)過程,企業(yè)通過我中心的自愿性認(rèn)證,即可被允許在其產(chǎn)品上加施我中心的認(rèn)證標(biāo)志,證明其產(chǎn)品能符合相應(yīng)標(biāo)準(zhǔn)要求,生產(chǎn)過程處于可控狀態(tài),產(chǎn)品質(zhì)量保持一致。公安部第三研究所在網(wǎng)絡(luò)安全領(lǐng)域是最權(quán)威的技術(shù)機(jī)構(gòu)之一,產(chǎn)品通過我中心的認(rèn)證以后:1.有助于企業(yè)樹立品牌,提高市場競爭力,實(shí)現(xiàn)經(jīng)濟(jì)效益和社會(huì)效益的最大化。2.有助于大大提升企業(yè)的社會(huì)公信力,同時(shí)降低企業(yè)需要承擔(dān)的產(chǎn)品風(fēng)險(xiǎn)。3.有助于企業(yè)不斷的提高工廠質(zhì)量保證能力,完善現(xiàn)代化的企業(yè)管理制度,促進(jìn)企業(yè)的可持續(xù)發(fā)展。
中國公共安全:開展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證對(duì)我國安防行業(yè)持續(xù)健康發(fā)展將產(chǎn)生什么積極影響?
鮑逸明:隨著安防產(chǎn)業(yè)的發(fā)展,傳統(tǒng)安防產(chǎn)品的智能化、聯(lián)網(wǎng)化已成為行業(yè)發(fā)展的新趨勢。網(wǎng)絡(luò)安全問題已經(jīng)成為“智慧城市”、“智慧公安”建設(shè)中亟待解決的問題,開展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證,一方面有利于促進(jìn)安防產(chǎn)品在智能化、聯(lián)網(wǎng)化方面的技術(shù)創(chuàng)新,提升其網(wǎng)絡(luò)安全防護(hù)技術(shù)能力,促進(jìn)安防產(chǎn)品的升級(jí)換代,在預(yù)防和打擊違法犯罪方面發(fā)揮更大的作用;另一方面,將全面提升該類產(chǎn)品的安全質(zhì)量,消除公眾的安全疑慮,增強(qiáng)其使用信心,從而擴(kuò)大產(chǎn)業(yè)規(guī)模,促進(jìn)我國安防行業(yè)持續(xù)快速健康發(fā)展。
滬公網(wǎng)安備 31011202001934號(hào)
建議使用最新版瀏覽器,以獲得最佳瀏覽效果。