□ 文/本刊記者 丁兆威

近年來(lái)，以網(wǎng)絡(luò)攝像機(jī)等為代表的社會(huì)公共安全類產(chǎn)品技術(shù)發(fā)展迅速，在傳統(tǒng)安防技術(shù)上廣泛融入了計(jì)算機(jī)、人工智能、網(wǎng)絡(luò)通信、自動(dòng)控制等技術(shù)，其智能化、聯(lián)網(wǎng)化水平越來(lái)越高，在預(yù)防和打擊違法犯罪工作中起著越來(lái)越重要的作用。但是，新技術(shù)的采用也帶來(lái)了新的問(wèn)題和安全威脅，比如視頻的網(wǎng)絡(luò)安全等。

經(jīng)公安部、國(guó)家認(rèn)監(jiān)委批準(zhǔn),公安部第三研究所認(rèn)證中心承擔(dān)起社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證的重任。

那么，社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證有什么意義？對(duì)我國(guó)公共安全產(chǎn)業(yè)持續(xù)健康發(fā)展將產(chǎn)生什么積極影響？

為此，本刊記者對(duì)國(guó)家安全防范報(bào)警系統(tǒng)產(chǎn)品質(zhì)量監(jiān)督檢測(cè)中心（上海）、國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、公安部第三研究所認(rèn)證中心常務(wù)副主任鮑逸明進(jìn)行了專訪。

中國(guó)公共安全：目前我國(guó)社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全現(xiàn)狀如何？主要存在哪些問(wèn)題？

鮑逸明：近年來(lái)，以網(wǎng)絡(luò)攝像機(jī)、智能門鎖等為代表的社會(huì)公共安全類產(chǎn)品技術(shù)發(fā)展迅速，在傳統(tǒng)安防技術(shù)上廣泛融入了計(jì)算機(jī)、網(wǎng)絡(luò)通信、自動(dòng)控制等技術(shù)，其智能化、聯(lián)網(wǎng)化水平越來(lái)越高，對(duì)于保衛(wèi)社會(huì)公共安全、預(yù)防和打擊違法犯罪，起著越來(lái)越重要的作用。但是，新技術(shù)的采用也帶來(lái)了新的安全威脅，出現(xiàn)了新的安全問(wèn)題，比如：在網(wǎng)絡(luò)攝像機(jī)中，存在著數(shù)據(jù)傳輸未加密導(dǎo)致重要信息泄露、大量攝像機(jī)使用弱口令導(dǎo)致設(shè)備被黑客惡意控制等問(wèn)題；在智能門鎖中，存在著網(wǎng)絡(luò)傳輸?shù)目刂菩盘?hào)未加密、抗故障注入能力弱等導(dǎo)致門鎖遠(yuǎn)程或者本地非法開(kāi)啟等問(wèn)題。這方面的安全事件也很多，比如：2015年江蘇省公安廳發(fā)現(xiàn)某型號(hào)的視頻監(jiān)控設(shè)備存在嚴(yán)重安全隱患，部分設(shè)備已經(jīng)被境外IP地址控制；2016年黑客利用大量智能聯(lián)網(wǎng)設(shè)備發(fā)起了“史上最嚴(yán)重DDoS攻擊”，致使美國(guó)東海岸地區(qū)長(zhǎng)時(shí)間互聯(lián)網(wǎng)癱瘓；2018年永康門博會(huì)上爆出了利用“特斯拉線圈”（俗稱“小黑盒”）秒開(kāi)智能門鎖的消息，引起了社會(huì)的廣泛關(guān)注。

中國(guó)公共安全：為什么要開(kāi)展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證？（必要性）開(kāi)展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證有什么意義？（重要性）

鮑逸明：正是因?yàn)橹悄苈?lián)網(wǎng)產(chǎn)品出現(xiàn)了這些安全問(wèn)題，國(guó)家采取了一系列行動(dòng)來(lái)應(yīng)對(duì)，比如：2017年國(guó)家出臺(tái)了《中共中央 國(guó)務(wù)院關(guān)于開(kāi)展質(zhì)量提升行動(dòng)的指導(dǎo)意見(jiàn)》，推動(dòng)我國(guó)經(jīng)濟(jì)發(fā)展進(jìn)入質(zhì)量時(shí)代，強(qiáng)調(diào)加強(qiáng)產(chǎn)品安全質(zhì)量。公安部、中央網(wǎng)信辦、工信部等國(guó)家相關(guān)部委也采取了一些行動(dòng)提升智能聯(lián)網(wǎng)產(chǎn)品的安全質(zhì)量，比如：2017年原國(guó)家質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司組織開(kāi)展了智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)布智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)警示。我中心正是順應(yīng)這種新的形勢(shì)，開(kāi)展了社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證。認(rèn)證中產(chǎn)品需通過(guò)12大類55個(gè)測(cè)試點(diǎn)安全技術(shù)檢測(cè)，以及一致性檢查等持續(xù)質(zhì)量跟蹤檢查。因此，經(jīng)過(guò)認(rèn)證的產(chǎn)品可以基本解決已知安全漏洞和問(wèn)題。而且，我們的認(rèn)證將動(dòng)態(tài)跟蹤最新安全威脅，及時(shí)調(diào)整技術(shù)規(guī)范，解決新的安全問(wèn)題。

因此，開(kāi)展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證，有利于引導(dǎo)和幫助智能聯(lián)網(wǎng)產(chǎn)品生產(chǎn)企業(yè)提升該類產(chǎn)品的安全防護(hù)技術(shù)能力，保障該類產(chǎn)品網(wǎng)絡(luò)安全方面的產(chǎn)品質(zhì)量。同時(shí)，通過(guò)產(chǎn)品認(rèn)證證書的頒發(fā)，將便于采購(gòu)、使用該類產(chǎn)品的廣大用戶甄別其網(wǎng)絡(luò)安全防護(hù)能力，選購(gòu)和使用防護(hù)能力強(qiáng)的產(chǎn)品，更好地發(fā)揮其預(yù)防和打擊違法犯罪行為的作用。

中國(guó)公共安全：2016年我國(guó)取消“安全技術(shù)防范產(chǎn)品生產(chǎn)登記批準(zhǔn)書核發(fā)”行政審批事項(xiàng)后，行業(yè)內(nèi)暴露出哪些新問(wèn)題？

鮑逸明：2016年隨著國(guó)家行政審批制度改革的逐步深入，取消了“安全技術(shù)防范產(chǎn)品生產(chǎn)登記批準(zhǔn)書核發(fā)”行政審批事項(xiàng)，安防產(chǎn)品不再核發(fā)生產(chǎn)、銷售許可證，公安機(jī)關(guān)不再對(duì)安防產(chǎn)品執(zhí)行技防管理。行政許可制度的取消，減輕了企業(yè)在行政審批方面花費(fèi)的精力、財(cái)力，降低了企業(yè)的行政支出，但管理的弱化也帶來(lái)了行業(yè)發(fā)展方面新的問(wèn)題。

取消行政審批以后，公安機(jī)關(guān)對(duì)安防產(chǎn)品生產(chǎn)企業(yè)不再進(jìn)行直接管理，改變了原有的技防管理部門定期檢查和產(chǎn)品型式試驗(yàn)管理模式，企業(yè)完全依靠企業(yè)自律和市場(chǎng)需求開(kāi)展生產(chǎn)經(jīng)營(yíng)活動(dòng)，一些企業(yè)主為了追求利潤(rùn)最大化，通過(guò)降低質(zhì)量要求降低成本，市場(chǎng)上以次充好的現(xiàn)象逐漸增多，產(chǎn)品質(zhì)量有下滑的趨勢(shì)。同時(shí)，安防產(chǎn)品不屬于普通的消費(fèi)品，產(chǎn)品向系統(tǒng)化、集成化方向發(fā)展，不再以單一的產(chǎn)品形態(tài)對(duì)外銷售，市場(chǎng)監(jiān)管部門很難通過(guò)市場(chǎng)監(jiān)督抽查獲得受檢樣品，造成了行業(yè)監(jiān)管的進(jìn)一步缺失。

中國(guó)公共安全：在對(duì)社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)信息安全的研究和檢測(cè)實(shí)踐工作中，遇到過(guò)哪些普遍存在、具有代表性和典型性問(wèn)題？

鮑逸明：我中心自2014年以來(lái)，組織技術(shù)力量持續(xù)跟蹤研究社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全威脅，對(duì)網(wǎng)絡(luò)攝像機(jī)、智能門鎖、電子貓眼、樓宇對(duì)講等10余類產(chǎn)品進(jìn)行了檢測(cè)。比如：針對(duì)智能門鎖安全問(wèn)題，我們?cè)O(shè)法獲取了數(shù)種典型的“小黑盒”，研究了在頻率、功率、時(shí)間、空間方位等維度可以全面模擬“小黑盒”的檢測(cè)技術(shù)，通過(guò)對(duì)智能門鎖的系統(tǒng)檢測(cè)，可以找出智能門鎖故障注入的漏洞。再比如：我們?cè)趯?duì)網(wǎng)絡(luò)攝像機(jī)的滲透測(cè)試中，我們采用黑客模擬技術(shù)，在實(shí)驗(yàn)室中全面模擬黑客可能的攻擊行為，發(fā)現(xiàn)該類產(chǎn)品的安全漏洞。通過(guò)研究我們發(fā)現(xiàn)，很多產(chǎn)品存在著“重功能、輕安全”的現(xiàn)象，典型問(wèn)題有：數(shù)據(jù)傳輸不加密、弱口令、管理員賬戶共用、管理行為無(wú)法審計(jì)、設(shè)備固件漏洞無(wú)法及時(shí)發(fā)現(xiàn)、漏洞補(bǔ)丁無(wú)法升級(jí)或者升級(jí)方式不安全等，這些問(wèn)題可能導(dǎo)致用戶重要數(shù)據(jù)泄露、或者智能聯(lián)網(wǎng)設(shè)備被惡意控制等。

中國(guó)公共安全：為開(kāi)展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證，認(rèn)證中心都做了哪些工作？

鮑逸明：國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心對(duì)智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)信息安全的研究和檢測(cè)實(shí)踐工作始于2014年，四年多來(lái)我中心承接了多款智能門鎖、網(wǎng)絡(luò)攝像機(jī)等產(chǎn)品的委托測(cè)試工作，掌握了科學(xué)的測(cè)試方法，積累了大量的測(cè)試數(shù)據(jù)，就各類網(wǎng)絡(luò)安全漏洞進(jìn)行了分析和歸類，制定了一套完善的測(cè)試評(píng)價(jià)方法。具體準(zhǔn)備情況有：

1.開(kāi)展專題研討，制定認(rèn)證所需的相關(guān)標(biāo)準(zhǔn),做好認(rèn)證技術(shù)依據(jù)的準(zhǔn)備工作

為了了解開(kāi)展網(wǎng)絡(luò)安全自愿性認(rèn)證工作的必要性、技術(shù)性和可行性，我中心牽頭組織召開(kāi)了十余次的專題研討會(huì)，會(huì)議收集了大量與會(huì)代表就此類產(chǎn)品網(wǎng)絡(luò)安全防護(hù)的意見(jiàn)和建議，就網(wǎng)絡(luò)安全認(rèn)證工作開(kāi)展的重要性達(dá)成了共識(shí)。

針對(duì)目前智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全標(biāo)準(zhǔn)缺失的問(wèn)題，我中心牽頭和參與制定了一系列國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和聯(lián)盟標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)規(guī)范的研究和制訂奠定了我中心智能聯(lián)網(wǎng)產(chǎn)品測(cè)評(píng)的堅(jiān)實(shí)理論技術(shù)基礎(chǔ)，為認(rèn)證工作的開(kāi)展提供了強(qiáng)有力的技術(shù)支撐。

2.發(fā)揮中心技術(shù)優(yōu)勢(shì)，制定了認(rèn)證實(shí)施規(guī)則和技術(shù)規(guī)范，有能力保障認(rèn)證工作的順利開(kāi)展

科學(xué)、規(guī)范、合理的認(rèn)證實(shí)施規(guī)則是開(kāi)展產(chǎn)品認(rèn)證的前提條件，我中心制訂了《社會(huì)公共安全領(lǐng)域自愿性認(rèn)證實(shí)施規(guī)則智能聯(lián)網(wǎng)產(chǎn)品(網(wǎng)絡(luò)安全)》,規(guī)則對(duì)社會(huì)公共安全行業(yè)智能聯(lián)網(wǎng)產(chǎn)品開(kāi)展自愿性認(rèn)證的適用范圍、認(rèn)證依據(jù)標(biāo)準(zhǔn)、認(rèn)證模式、認(rèn)證流程、型式試驗(yàn)、工廠檢查、認(rèn)證證書、認(rèn)證標(biāo)志等內(nèi)容做了規(guī)定，完成了該認(rèn)證實(shí)施規(guī)則的國(guó)家認(rèn)監(jiān)委備案工作。

3.工廠檢查員和簽約實(shí)驗(yàn)室已滿足開(kāi)展認(rèn)證工作的各項(xiàng)要求

為了滿足即將開(kāi)展的網(wǎng)絡(luò)安全自愿性認(rèn)證需要，2017年我中心共有具有網(wǎng)絡(luò)信息安全專業(yè)經(jīng)歷的21名人員通過(guò)了CCAA自愿性認(rèn)證工廠檢查員考試，同時(shí)，認(rèn)證中心對(duì)工廠檢查員進(jìn)行了17065認(rèn)證機(jī)構(gòu)質(zhì)量管理體系和工廠檢查專業(yè)培訓(xùn)，有足夠的能力承擔(dān)工廠檢查任務(wù)。

此外，我中心多年來(lái)承擔(dān)了大約300多項(xiàng)信息安全產(chǎn)品的認(rèn)證檢測(cè)任務(wù)，具有豐富的認(rèn)證產(chǎn)品檢測(cè)經(jīng)驗(yàn)和工廠檢查經(jīng)驗(yàn)。實(shí)驗(yàn)室能力方面，為了滿足智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證的需要，中心向國(guó)家認(rèn)可委申請(qǐng)了能力擴(kuò)項(xiàng)，已獲得CNAS認(rèn)可的智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全相關(guān)檢驗(yàn)檢測(cè)能力。

中國(guó)公共安全：因?yàn)槭亲栽刚J(rèn)證，有些企業(yè)可能積極性會(huì)不高。請(qǐng)問(wèn)認(rèn)證能夠?yàn)橄嚓P(guān)企業(yè)帶來(lái)什么益處？

鮑逸明：認(rèn)證是獲得信任、傳遞信任的一個(gè)過(guò)程，企業(yè)通過(guò)我中心的自愿性認(rèn)證，即可被允許在其產(chǎn)品上加施我中心的認(rèn)證標(biāo)志，證明其產(chǎn)品能符合相應(yīng)標(biāo)準(zhǔn)要求，生產(chǎn)過(guò)程處于可控狀態(tài)，產(chǎn)品質(zhì)量保持一致。公安部第三研究所在網(wǎng)絡(luò)安全領(lǐng)域是最權(quán)威的技術(shù)機(jī)構(gòu)之一，產(chǎn)品通過(guò)我中心的認(rèn)證以后：1.有助于企業(yè)樹(shù)立品牌，提高市場(chǎng)競(jìng)爭(zhēng)力，實(shí)現(xiàn)經(jīng)濟(jì)效益和社會(huì)效益的最大化。2.有助于大大提升企業(yè)的社會(huì)公信力，同時(shí)降低企業(yè)需要承擔(dān)的產(chǎn)品風(fēng)險(xiǎn)。3.有助于企業(yè)不斷的提高工廠質(zhì)量保證能力，完善現(xiàn)代化的企業(yè)管理制度，促進(jìn)企業(yè)的可持續(xù)發(fā)展。

中國(guó)公共安全：開(kāi)展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證對(duì)我國(guó)安防行業(yè)持續(xù)健康發(fā)展將產(chǎn)生什么積極影響？

鮑逸明：隨著安防產(chǎn)業(yè)的發(fā)展，傳統(tǒng)安防產(chǎn)品的智能化、聯(lián)網(wǎng)化已成為行業(yè)發(fā)展的新趨勢(shì)。網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為“智慧城市”、“智慧公安”建設(shè)中亟待解決的問(wèn)題，開(kāi)展社會(huì)公共安全類智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全自愿性認(rèn)證，一方面有利于促進(jìn)安防產(chǎn)品在智能化、聯(lián)網(wǎng)化方面的技術(shù)創(chuàng)新，提升其網(wǎng)絡(luò)安全防護(hù)技術(shù)能力，促進(jìn)安防產(chǎn)品的升級(jí)換代，在預(yù)防和打擊違法犯罪方面發(fā)揮更大的作用；另一方面，將全面提升該類產(chǎn)品的安全質(zhì)量，消除公眾的安全疑慮，增強(qiáng)其使用信心，從而擴(kuò)大產(chǎn)業(yè)規(guī)模，促進(jìn)我國(guó)安防行業(yè)持續(xù)快速健康發(fā)展。

人物介紹

鮑逸明

男，1987年大學(xué)畢業(yè)進(jìn)入公安部第三研究所，從事檢測(cè)中心技術(shù)和管理工作三十余年，對(duì)安防電子、機(jī)械、信息安全領(lǐng)域技術(shù)發(fā)展有著豐富的經(jīng)驗(yàn)和熟悉度，現(xiàn)任國(guó)家安全防范報(bào)警系統(tǒng)產(chǎn)品質(zhì)量監(jiān)督檢測(cè)中心（上海）、國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、公安部第三研究所認(rèn)證中心常務(wù)副主任，TC100標(biāo)委會(huì)實(shí)體防護(hù)分技委副主任委員。

他在黨和國(guó)家新發(fā)展理念的戰(zhàn)略引領(lǐng)下，在“質(zhì)量第一”建設(shè)“質(zhì)量強(qiáng)國(guó)”的進(jìn)程中，發(fā)揮自身技術(shù)優(yōu)勢(shì)，勇于擔(dān)當(dāng)、創(chuàng)新服務(wù)，積極打造研究型檢測(cè)機(jī)構(gòu)。近年來(lái)，中心先后承擔(dān)了國(guó)家級(jí)、省部級(jí)等36項(xiàng)科研項(xiàng)目，獲得科研經(jīng)費(fèi)1.8億余元；共主持和參與130多項(xiàng)安全防范和信息安全產(chǎn)品的國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制、修訂工作。在行為公正、方法科學(xué)、數(shù)據(jù)準(zhǔn)確、服務(wù)規(guī)范的質(zhì)量方針指引下，為公共安全防范行業(yè)和國(guó)家信息網(wǎng)絡(luò)安全把好了相關(guān)系統(tǒng)和產(chǎn)品質(zhì)量關(guān)，以客觀、公正、嚴(yán)瑾、規(guī)范的檢驗(yàn)風(fēng)格樹(shù)立了自身的行業(yè)權(quán)威地位，實(shí)現(xiàn)了“公安第一、國(guó)內(nèi)領(lǐng)先”的目標(biāo)。