何廷潤

【摘 要】

在論述國家網(wǎng)絡(luò)安全重要性及網(wǎng)絡(luò)周邊設(shè)備帶來安全威脅的基礎(chǔ)上，分析了我國在進(jìn)口通信測試儀表壟斷下，可能發(fā)生的網(wǎng)絡(luò)安全隱患類型，提出了緩解和解決進(jìn)口通信測試儀表安全隱患的路徑及其重要性。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全 壟斷 隱患類型 測試儀表

近期，習(xí)近平總書記在中央國家安全委員會第一次會議上強(qiáng)調(diào)：“沒有網(wǎng)絡(luò)安全就沒有國家安全”。網(wǎng)絡(luò)安全治理問題已經(jīng)成為維護(hù)國家安全與社會穩(wěn)定的重要組成部分。網(wǎng)絡(luò)安全最重要的是以國家通信網(wǎng)絡(luò)為主的基礎(chǔ)網(wǎng)絡(luò)設(shè)施的安全，包括網(wǎng)絡(luò)系統(tǒng)安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)技術(shù)安全和網(wǎng)絡(luò)管理安全。但是，當(dāng)前在基礎(chǔ)通信網(wǎng)絡(luò)安全范疇中，往往忽視了網(wǎng)絡(luò)周邊設(shè)備帶來的安全隱患，其中處于壟斷狀態(tài)下的進(jìn)口通信測試儀表是更嚴(yán)重的網(wǎng)絡(luò)安全隱患之一。因此，研究分析進(jìn)口通信測試儀表存在的安全隱患，并提出緩解措施成為本文的目標(biāo)。

1 網(wǎng)絡(luò)周邊設(shè)備是網(wǎng)絡(luò)攻擊的重要通道

對于國家通信等基礎(chǔ)網(wǎng)絡(luò)安全曾存在一種認(rèn)識誤區(qū)，認(rèn)為只要網(wǎng)絡(luò)的傳輸、交換、路由等核心設(shè)備與網(wǎng)絡(luò)安全可控即可，忽視了網(wǎng)絡(luò)周邊系統(tǒng)或設(shè)備存在的安全漏洞。

例如在1994年海灣戰(zhàn)爭爆發(fā)前，從美國情報(bào)部門獲悉，伊拉克將從法國進(jìn)口一種用于防空系統(tǒng)的新型網(wǎng)絡(luò)打印機(jī)，準(zhǔn)備經(jīng)由約旦運(yùn)往伊拉克首都巴格達(dá)。于是美國派遣特工在運(yùn)輸途中將帶有計(jì)算機(jī)病毒的同類芯片提前裝在打印機(jī)上，從而使病毒滲入伊拉克防空系統(tǒng)的主機(jī)內(nèi)。戰(zhàn)爭開始后，美軍通過網(wǎng)絡(luò)激活了病毒，癱瘓了伊拉克防空系統(tǒng)，使其最終輸?shù)袅苏麄€(gè)戰(zhàn)爭。

2010年，以西門子數(shù)據(jù)采集與監(jiān)控系統(tǒng)為攻擊目標(biāo)的“震網(wǎng)”病毒神秘出現(xiàn)，伊朗境內(nèi)包括布什爾核電站在內(nèi)的5個(gè)工業(yè)基礎(chǔ)設(shè)施遭到攻擊，這成為運(yùn)用網(wǎng)絡(luò)手段攻擊國家電力能源等重要基礎(chǔ)設(shè)施的典型例子。

2011年，美國與以色列對伊朗的核設(shè)施發(fā)動(dòng)了無聲的網(wǎng)絡(luò)攻擊，他們先在網(wǎng)上大量散布針對伊朗的核設(shè)施編寫的病毒程序，然后令1位伊朗技術(shù)人員違規(guī)將染有該病毒的U盤接入核設(shè)施的計(jì)算機(jī)系統(tǒng)，病毒使離心機(jī)不斷加速并最終失控，伊朗上千臺離心機(jī)損毀，大大延遲了伊朗制造核武器的時(shí)間。

再以我國移動(dòng)互聯(lián)網(wǎng)為例，2013年CNCERT監(jiān)測發(fā)現(xiàn)移動(dòng)互聯(lián)網(wǎng)惡意程序傳播次數(shù)達(dá)到1 296萬余次，移動(dòng)互聯(lián)網(wǎng)惡意程序下載鏈接1 207萬個(gè)，用于傳播移動(dòng)互聯(lián)網(wǎng)惡意程序的域名15 247個(gè)、IP地址60 976個(gè)。僅2013年11月，境外木馬或僵尸程序控制境內(nèi)服務(wù)器的數(shù)量就接近90萬個(gè)主機(jī)IP。侵犯個(gè)人隱私等違法行為也時(shí)有發(fā)生，六成以上網(wǎng)民遭遇過個(gè)人信息被盜用的情況，并且這一數(shù)字還在持續(xù)增長。美國前情報(bào)人員斯諾登最近透露，美國國家安全局曾入侵華為總部的服務(wù)器，并曾監(jiān)控?cái)?shù)位中國前任國家領(lǐng)導(dǎo)人和多個(gè)政府部門及銀行。這些入侵和攻擊中，許多可能是經(jīng)由網(wǎng)絡(luò)的周邊設(shè)備引入的。

因此，在構(gòu)建通信基礎(chǔ)網(wǎng)絡(luò)安全體系時(shí)，不但要重視主系統(tǒng)設(shè)備的安全，也要關(guān)注如測試儀表、打印機(jī)等周邊設(shè)備的安全隱患。

2 進(jìn)口通信測試儀表存在安全隱患

長久以來，國內(nèi)中高端儀器市場一直被國外廠家壟斷，在通信領(lǐng)域尤其明顯。據(jù)2012年通信測試儀表行業(yè)統(tǒng)計(jì)報(bào)告顯示，進(jìn)口儀表品牌占全國市場份額超過70%，如網(wǎng)絡(luò)分析儀、寬帶頻譜分析儀等高端儀表等幾乎全部為進(jìn)口產(chǎn)品。移動(dòng)通信、數(shù)據(jù)傳輸和光纖網(wǎng)絡(luò)的高端測試儀表的廠家?guī)缀跬耆性诿?、日、?個(gè)國家，包括美國的安捷倫、泰克、理想、韋克斯及捷迪訊；日本的安立、藤倉；德國的羅德與施瓦茨等。在高端無線通信測試儀表領(lǐng)域，德國的羅德與施瓦茨，美國的安捷倫、泰克、思博倫和日本的安立成為中國進(jìn)口的主要品牌。

通信測試儀表是通信網(wǎng)絡(luò)建設(shè)、運(yùn)營、維護(hù)中確保通信網(wǎng)絡(luò)質(zhì)量的不可或缺的重要工具。網(wǎng)絡(luò)建設(shè)中進(jìn)行系統(tǒng)連接、安裝調(diào)試，網(wǎng)絡(luò)運(yùn)營后進(jìn)行維護(hù)檢查、判斷和排除故障都離不開測試儀表。以TD-LTE為例，TD-LTE的商用規(guī)模使得必然要構(gòu)建完善的TD-LTE產(chǎn)業(yè)鏈，而測試是整條產(chǎn)業(yè)鏈中重要的一環(huán)，目前以進(jìn)口為主的TD-LTE測試儀表已經(jīng)覆蓋了整個(gè)產(chǎn)業(yè)鏈的各個(gè)環(huán)節(jié)。

通信測試儀器產(chǎn)品的特點(diǎn)是種類繁多、制式多樣、專業(yè)性強(qiáng)、技術(shù)含量高，而通信和計(jì)算機(jī)融合的趨勢也促使測試儀器采用開放式結(jié)構(gòu)設(shè)計(jì)，并向數(shù)字化、網(wǎng)絡(luò)化和模塊化方向發(fā)展。比如，通過廣域網(wǎng)和局域網(wǎng)直接控制儀器儀表，即可對通信網(wǎng)絡(luò)的管理和應(yīng)用模式進(jìn)行遠(yuǎn)程控制和分析。并且，儀表廠商能通過網(wǎng)絡(luò)平臺與客戶進(jìn)行直接交流，可實(shí)現(xiàn)專家遠(yuǎn)程對儀器儀表進(jìn)行分析和維護(hù)。另外，隨著微處理器的成熟應(yīng)用，人工智能技術(shù)使儀器儀表行業(yè)向智能化和微型化的方向發(fā)展，一個(gè)小小的芯片可以存儲上萬條命令。

綜上所述，處于壟斷地位的進(jìn)口通信測試儀表己覆蓋和滲入到我國通信產(chǎn)業(yè)的各個(gè)層面，而且其網(wǎng)絡(luò)化、智能化和微型化的發(fā)展方向都對我國的通信網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重威脅。

3 進(jìn)口通信測試儀表安全隱患類型分析

進(jìn)口通信測試儀表的安全隱患，可以依據(jù)其使用方式分為在線測試（包括監(jiān)控）和離線測試安全隱患；依據(jù)進(jìn)口通信測試儀表的工作方式可分為遠(yuǎn)程網(wǎng)絡(luò)化控制和單機(jī)侵入式安全隱患；依據(jù)進(jìn)口通信測試儀表的技術(shù)復(fù)雜程度可分為軟件升級式與部件升級式安全隱患。

3.1 在線測試（包括監(jiān)控）和離線測試形成的安全

隱患

現(xiàn)代通信網(wǎng)絡(luò)中在線測試和監(jiān)控是不可或缺的保障方式，進(jìn)口通信測試儀表在通信網(wǎng)絡(luò)中承擔(dān)排查網(wǎng)絡(luò)故障、測試與分析網(wǎng)絡(luò)與通信質(zhì)量以及監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)的重任。但是，由于進(jìn)口通信測試儀表在使用中與通信網(wǎng)絡(luò)需要物理連接，因此存在安全隱患。以規(guī)程分析測試儀為例，將規(guī)程測試分析儀跨接在接口處，監(jiān)測兩個(gè)方向網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，用來監(jiān)視工作狀態(tài)、跟蹤規(guī)程和查找錯(cuò)誤。具備接口狀態(tài)監(jiān)測、實(shí)時(shí)捕獲數(shù)據(jù)、監(jiān)測符合用戶定義條件的數(shù)據(jù)、流量和事件的統(tǒng)計(jì)等功能。規(guī)程分析測試儀還具有仿真功能，內(nèi)裝仿真應(yīng)用程序，自動(dòng)產(chǎn)生相應(yīng)規(guī)程的仿真?？煞抡妗坝脩簟痹嚲W(wǎng)絡(luò)的相關(guān)性能；可仿真“網(wǎng)絡(luò)”試用戶設(shè)備的相應(yīng)功能。仿真時(shí)，能使用實(shí)時(shí)功能，同時(shí)顯示仿真和實(shí)時(shí)狀態(tài)，進(jìn)行各層的譯碼、統(tǒng)計(jì)，也可捕獲數(shù)據(jù)。規(guī)程分析測試儀也具有分析功能，實(shí)時(shí)分析統(tǒng)計(jì)或事后回送分析，能將分析結(jié)果編輯、列表和打印。由此可見，在線測試的進(jìn)口通信測試儀表，完全可能通過儀表出廠時(shí)內(nèi)置的后門程序記錄通信網(wǎng)絡(luò)中上述測試形成的敏感信息和數(shù)據(jù)，存儲在儀表內(nèi)置的隱密存儲空間內(nèi)并伺機(jī)向外界傳遞。

進(jìn)口通信測試儀表離線測試的安全隱患表現(xiàn)為，經(jīng)過特殊處理的進(jìn)口通信測試儀表在出廠時(shí)可能內(nèi)置木馬病毒、偽程序等，并設(shè)置該儀表在使用一定時(shí)間后出現(xiàn)隨機(jī)故障，故障后，通常做法是將故障儀表送歸原廠維修，此時(shí)國外的相關(guān)情報(bào)或安全部門會使用特殊方法獲取己存儲在儀表內(nèi)的敏感信息和數(shù)據(jù)，從而對我國的網(wǎng)絡(luò)安全構(gòu)成威脅。

3.2 遠(yuǎn)程網(wǎng)絡(luò)化控制安全隱患和單機(jī)侵入式安全隱患

網(wǎng)絡(luò)化成為進(jìn)口通信測試儀表一個(gè)重要的發(fā)展方向，伴隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，使儀器儀表在實(shí)現(xiàn)智能化的基礎(chǔ)上同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)化。由于以功能強(qiáng)大的微處理器和嵌入式操作系統(tǒng)為支撐，使基于網(wǎng)絡(luò)化的通信測試儀表前端模塊不僅完成了對信號的采集和控制，還兼顧實(shí)施對信號的分析與傳輸。經(jīng)授權(quán)的儀器使用者，通過網(wǎng)絡(luò)可以遠(yuǎn)程對儀器進(jìn)行功能操作、獲取測量結(jié)果，并對儀器實(shí)時(shí)監(jiān)控、設(shè)置參數(shù)和故障診斷，對網(wǎng)絡(luò)進(jìn)行分析、識別事件、分析問題、指出原因、提出解決辦法。用戶通過瀏覽器或符合規(guī)范的應(yīng)用程序即可實(shí)時(shí)瀏覽到相關(guān)信息（包括處理后的數(shù)據(jù)、儀器儀表的面板圖像等）。因此，進(jìn)口通信測試儀表遠(yuǎn)程網(wǎng)絡(luò)化控制安全隱患表現(xiàn)為：儀表廠家不但可通過網(wǎng)絡(luò)獲取敏感信息，也可通過網(wǎng)絡(luò)對儀表發(fā)送特殊指令，遠(yuǎn)程控制儀表啟動(dòng)后門、木馬等監(jiān)控程序，收集、記錄和獲取通信網(wǎng)絡(luò)的敏感信息，從而構(gòu)成嚴(yán)重安全隱患。

單機(jī)侵入式安全隱患表現(xiàn)為兩點(diǎn)。一是由于專用的通信測試儀表屬于保有量很小的專用電子測量設(shè)備，其操作系統(tǒng)為專用系統(tǒng)，目前尚無專門針對進(jìn)口通信測試儀表的信息安全檢測與防范的法規(guī)和技術(shù)手段，也缺乏針對儀表的殺毒軟件和防病毒軟件。因此，這種安全手段欠缺的“小眾”型電子測試儀表極易成為國外相關(guān)機(jī)構(gòu)竊取通信網(wǎng)絡(luò)敏感信息的渠道，構(gòu)成安全隱患。二是隨著進(jìn)口通信測試儀表的智能化和微型化趨勢，可將微型處理器芯片嵌入儀表，成為數(shù)據(jù)采集、處理和分析的核心部件。由于這些核心芯片不能自主可控，其測試的敏感信息和數(shù)據(jù)存在被竊取和篡改的隱患。

3.3 軟件升級與部件升級式安全隱患

當(dāng)前進(jìn)口通信測試儀表大多采用了模塊化設(shè)計(jì)，其測試所需的不同軟件與硬件單元可不斷組合與升級。由于初始進(jìn)口時(shí)，因經(jīng)費(fèi)及測試項(xiàng)目不全等原因，國內(nèi)進(jìn)口的通信測試儀表在具體應(yīng)用中都需要不斷購置升級軟件或硬件模塊，這就給國外某些部門提供了在升級軟件或硬件模塊中嵌入病毒程序的機(jī)會，造成新的安全威脅。

綜上所述，在進(jìn)口通信測試儀表壟斷我國基礎(chǔ)通信網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、運(yùn)行和優(yōu)化全程測試評估的形勢下，對我國的經(jīng)濟(jì)、社會、政治和國防等領(lǐng)域都將形成重大的網(wǎng)絡(luò)安全隱患。而一旦發(fā)生國際沖突或戰(zhàn)爭，敵對勢力完全可通過這些進(jìn)口通信測試儀表竊取我國情報(bào)和敏感信息，進(jìn)而通過這些進(jìn)口通信測試儀表發(fā)起對我國基礎(chǔ)通信網(wǎng)絡(luò)的癱瘓式攻擊。因此，必須盡快堵上由進(jìn)口通信測試儀表引起的網(wǎng)絡(luò)安全漏洞。

4 減緩進(jìn)口通信測試儀表安全隱患的

思考

伴隨中國通信事業(yè)的日新月異，進(jìn)口通信測試儀表的安全隱患如影隨形，一直游離于安全管控之外。在網(wǎng)絡(luò)安全提升至國家安全的層面之后，應(yīng)盡快將進(jìn)口通信測試儀表安全納入國家網(wǎng)絡(luò)安全總體戰(zhàn)略之中，以確保我國通信網(wǎng)絡(luò)的安全。

（1）在目前仍以進(jìn)口通信測試儀表為主的狀況下，需建立進(jìn)口通信測試儀表的安全評估和審核制度，審核手段包括進(jìn)口審批、入境檢驗(yàn)與檢測、使用環(huán)境甄別、應(yīng)用狀況的記錄、維修和升級流程等，一并納入網(wǎng)絡(luò)安全管理范疇。

（2）建立嚴(yán)格的進(jìn)口通信測試儀表使用安全法規(guī)與制度。例如，對于單機(jī)式測試儀表應(yīng)建立詳細(xì)使用登記備案制度和使用安全規(guī)則。如測試完成后及時(shí)與網(wǎng)絡(luò)斷開，在使用后立即切斷電源，不與任何網(wǎng)絡(luò)違規(guī)連接等。對于在線測試儀表，因其與通信網(wǎng)絡(luò)的長連接狀態(tài)，應(yīng)納入通信網(wǎng)絡(luò)設(shè)備安全管理范疇，并且需特別關(guān)注其敏感信息和數(shù)據(jù)的存儲與外泄。

（3）建立進(jìn)口通信測試儀表安全技術(shù)保障的部門或隊(duì)伍，以應(yīng)對進(jìn)口通信測試儀表暗藏的安全后門，破解進(jìn)口通信測試儀表故障檢修與軟件升級中可能存在的安全隱患。

（4）在國家層面落實(shí)和推進(jìn)“十二五”國家儀器儀表行業(yè)發(fā)展戰(zhàn)略規(guī)劃，發(fā)揚(yáng)自主創(chuàng)新精神，在高端通信測試儀表產(chǎn)業(yè)實(shí)現(xiàn)整體突破，從而打造獨(dú)立自主的通信測試儀表安全體系。

5 結(jié)束語

處于壟斷地位的進(jìn)口通信測試儀表己覆蓋和滲入到我國通信產(chǎn)業(yè)的各個(gè)層面，對我國的通信網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重威脅。在嚴(yán)峻的網(wǎng)絡(luò)安全形勢下，必須高度重視進(jìn)口通信測試儀表帶來的安全隱患，將其納入網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃范疇并認(rèn)真應(yīng)對。

參考文獻(xiàn)：

[1] 徐姍姍. 網(wǎng)絡(luò)安全呼喚自主操作系統(tǒng)[N]. 通信產(chǎn)業(yè)報(bào)， 2014-05-08（16）.

[2] 張琪. 高端傳感器及儀器儀表過分依賴進(jìn)口影響信息安全[EB/OL]. （2013-06-09）. http：//news.wjw.cn/NewsList-57/348267.xhtml.

[3] 趙光磊. 通信測試演進(jìn)軌跡及未來走向[J]. 通信世界周刊， 2010（35）： 34-35.

[4] 杜鴿，王欣. 通信測試儀表的自主可控研究[C]. 中國通信學(xué)會國防委員會第九屆年會論文集. 2012.

[5] 安德明. 智能儀器儀表的網(wǎng)絡(luò)化體系結(jié)構(gòu)及特點(diǎn)[EB/OL]. （2010-08-23）. http：//www.21ic.com/app/test/201008/63932.htm.