中国软件评测中心物联网测试部刘冬： 工联网安全正受四方面威胁

王改静

在信息安全事件频发的背景下，物联网以及工业领域也成为新的安全重灾区

近日，2018中国物联网产业生态大会在北京举行。在下午举办的工业互联网推进论坛上，中国软件评测中心物联网测试部刘冬表示，现在的信息安全主要受到四方面威脅。

第一，由于传感网络其海量部署带来的成本限制、异构化程度高导致严重不确定性因素的环境存在，是物联网安全性最为复杂也最为脆弱的环节。

第二，在无线环境传输过程中，被感知的信息通过网络平台进行传输时，信息的安全性相当脆弱。

第三，在物联网的传输层和应用层也存在诸多安全隐患，亟待加强安全防范。

第四，大多数攻击专用系统多呈现为自上而下的形式，而通用系统是自下而上的。

据悉，中国软件评测中心作为国内权威的第三方软、硬件产品及信息系统工程质量安全与可靠性检测机构是直属于工业和信息化部的一类科研事业单位。成立至今评测了将近十万款软硬件产品，出具的测试报告可以在61个国家和地区进行互认。

中国软件评测中心先后申请了30余个国家科研项目，先后建立了包括国家云计算公共技术服务平台等在内的6个国家级公共服务平台，开发了具有自主知识产权的30余种专用测试工具，获得了10余项软件著作权，参与了7项质量领域国家标准和行业标准制定。

刘冬表示，中国软件测评中心业务范围涉及产品方面、系统方面、国家的新兴技术方面以及物联网相关政府公共服务平台等测试，业务覆盖全国500多个城市。

近些年来，信息安全事件成为行业发展的阻力，伊朗纳坦兹铀浓缩工厂、RFID芯片破解、Mirai病毒事件以及双流机场无人机黑飞事件都是信息泄露的典型例子。根据相关数据显示，制造业和能源行业发生的信息安全事件占事件总数的一半，成为重灾区。随着工控系统安全事件不断增加以及4G、5G技术应用范围逐步扩大，5G部署更多，所以相关的安全问题，变得愈发重要。

据了解，中国软件评测中心物联网测试部门成立于2012年，业务范围主要是进行民爆行业安全生产监控系统评测、安监电力和石化控制系统评测、视频网络安全评测、人机控制系统安全评测以及农林物联网评测，同时承担的公共服务平台项目的评测等。

会上，刘冬还展示了物联网测试的例子。例如油气管道SCADA系统测试，依据油气管道SCADA系统软件国产化课题的要求和用户的实际应用需求，对国产化油气管道SCADA系统软件的基本功能和性能进行验证，测试国产化油气管道SCADA系统软件数据采集的符合性、关键性能、安全性等。

在民爆混装车远程监控系统安全测试方面，通过对六家企业的监控系统进行系统安全性、代码安全性、平台安全性以及环境可靠性进行现场测试，检测出多处漏洞和缺陷；在视频监控系统安全检测中，在各种软件和服务的弱口令、操作系统命令注入、缓冲区溢出、网络服务认证缺失以及口令暴力破解等方面发现多种缺陷和漏洞。

刘冬给出关于视频监控系统安全监测，漏洞扫描方面的一些安全方面的建议。他表示，安全隐患存在较多的就是漏洞方面的，比如说命令，以及缓冲区溢出等都是特别需要注意的。

本次大会由中国电子信息产业发展研究院和中国物联网产业生态联盟主办，由通信产业报社联合赛迪智库信息化研究中心、赛迪顾问股份有限公司、赛迪时代科技股份有限公司、中国软件评测中心等承办，其中工业互联网推进论坛由“工业互联网世界”微信公众号承办。