物联网信息系统安全测评服务模式的研究

陈星+霍珊珊+刘健

摘要：近年来物联网的快速发展导致物联网信息系统的安全性问题越来越被人们所关注。面对物联网信息系统所面临的新的安全威胁，如何对物联网信息系统进行有效、全面的安全测评成为新的挑战。本文介绍了当前信息系统测评服务的发展现状，分析探讨了物联网信息系统所面临的新的安全威胁，基于这些安全威胁给出了测评体系和测评指标的建立方法，并设计出物联网信息系统的安全测评服务模式，为开展物联网信息系统的安全测评工作提供理论基础。

关键词：物联网；安全性；测评指标；安全威胁；服务模式

中图分类号：TP309.2 文献标识码：A DOI：10.3969/j.issn.1003-6970.2016.03.003

0引言

物联网（Internet of things，IOT）是通过无线射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。随着物联网的应用范围迅速扩展，物联网信息系统的安全性问题越来越为人们所关注，其中之一就是物联网信息系统安全测评服务的探索。目前，我国信息安全测评工作已取得了很大的进步，信息安全测评已不仅仅局限于分析静态脆弱性，还对动态安全态势进行评估，基于主动防御思想对主机层面、网络层面、系统层面等进行安全漏洞的挖掘，对信息系统的安全脆弱性进行量化评估。基于安全咨询、体系规划、安全管理、应急响应等的信息安全服务已逐渐与信息安全测评形成一体化的服务模式，构成了信息系统生命周期的闭环保障体系，利用信息系统前期安全服务的分析数据，实现信息系统风险状况及发展态势的动态评估，为物联网的信息安全测评服务的开展提供基础性指导。但是，由于物联网应用和产业发展总体处于初级阶段，标准体系尚在建立，基于物联网的信息安全测评的服务综合性、复杂性、环境性、主体性、时间性、对策性和高技术等特点，无疑给测评服务提出了巨大的挑战，信息安全测评服务机构必须面对一轮一轮新的攻击威胁面前。物联网所面临的主要威胁有以下几类：

一是传统互联网的安全威胁。物联网是传感器、RFID等物联网技术与传统互联网相融合所形成的一个泛在网络，其核心与基础仍然是互联网，所以传统互联网的安全威胁内容是物联网安全的重要部分。互联网信息安全可分为三个方面：信息存储安全、信息计算处理安全和信息传输安全。

二是物联网节点产品安全威胁。物联网信息系统与传统互联网信息系统的区别在于物联网信息节点处的信息采集系统，在这部分的物联网相关产品一般具有较低的运算能力、电池使用寿命较短以及不完善的安全防护能力，无法有效抵御来自外界有意或无意的窃听、欺骗、拒绝服务、物理环境破坏攻击行为，尤其是物联网射频识别系统中的电子标签可以被嵌入任何目标物品中，这样标签的安全和隐私性就受到了极大地限制，根据产品分类可将物联网节点产品安全分为RFID安全、智能卡安全、读写器安全、空中接口安全、中间件安全、传感器安全等。

三是不同应用模式下的安全威胁。随着物联网技术的不断发展，物联网信息系统所应用的业务平台也层出不穷，在不同的应用模式下，物联网信息系统所面临的安全威胁也不尽相同。例如在医疗领域，物理环境安全部分要特别考虑的是电子标签和读写器等设备对消毒药剂等化学药品的抗腐蚀情况。

因此，相对于传统的互联网信息系统，物联网信息系统所体现的高度开放性、感知信息多样性、应用环境多样性等新的特点为物联网信息系统安全测评服务带来的新的挑战，本文将重点研究基于物联网信息系统的安全测评指标体系建立方法和服务模式，将分别从物联网信息系统产品测评和物联网信息系统测评两方面进行讨论，给出未来物联网信息系统安全测评服务提供理论基础。

1国内信息安全测评服务模式发展现状

所谓的信息安全测评是指遵循一个标准，使用相应的方法，对交付件（例如系统）安全所进行的验证，以建立与标准的符合性，并确定其保障。目前我国信息安全测评一般分为两类；一类是产品层面上的评估，一类是系统层面上的评审。产品层面上的评估通常是由独立第三方测评机构承担的，而后以产品形态投入市场，并部署到成千上万个系统之中。系统层面上的评审一般是由信息系统开发人员、系统集成人员、认证机构、审核员、信息系统拥有者和组织的信息安全有关领导等所进行的，对系统进行附加的评审。目前信息系统产品层面和系统层面上的测评服务模式可大致分为以下几类：

1.1信息系统产品层面安全测评服务模式

1.1.1信息系统产品认证服务

信息安全认证是认证机构证明信息系统产品、服务、管理体系符合相关技术规范或者标准的合格评定活动，信息安全认可则是指由认可机构对信息安全认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。信息系统产品认证服务可以分为以下两种认证模式：

（1）一站式受理

申请方向指定的认证机构申请认证，认证机构确认申请资料然后向实验室安排检测任务认证机构可从指定的实验室名单中选取检测实验室。实验室依据相关产品认证实施规则进行检测，完成检测后将完整的检测报告提交至认证机构。认证机构对检测报告进行审查，合格后由认证机构组织工厂检查，对型式试验、工厂检查结果进行综合评价，评价合格后向申请方颁发认证证书，并定期对已获得证书的产品厂商进行监督检查。

（2）分段式受理

申请方直接向实验室提交相关申请材料，检测实验室需从指定实验室名单中选取。实验室确认申请产品提交资料，合格后依据认证实施规则进行检测，检测通过后向认证机构提交检测报告。认证机构对检测报告进行审查，合格后申请方向认证机构提交认证所需资料。认证机构对所需资料进行确认，合格后由认证机构进行工厂检查。认证机构对型式试验、工厂检查结果进行综合评价，评价合格后向申请方颁发认证证书，并定期对已获得证书的产品厂商进行监督检查。

根据国家标准，信息技术安全产品的评估由低到高分为功能测试、结构测试等7个级别。这种等级评估的方式不仅可以确定信息系统产品是否足够安全，还可以确定产品使用过程中隐藏的安全风险是否可容忍，信息安全认证是对信息技术领域内产品、系统、服务提供商和人员的资质和能力符合规范及安全标准要求的一种确认活动，即检验评估过程是否正确并保证评估结果的正确性和权威性。

1.1.2信息系统产品定制测试

目前，随着信息安全服务提供商对信息安全产品质量的越来越关注，委托第三方的评测机构进行定制的安全测试也逐渐成为一种服务模式，在这种服务模式下，第三方评测机构一般是在信息安全产品领域具有专业技术能力并取得国家认可的测试实施机构，具体的测试活动可根据客户需求和评测机构的实施条件进行协商，所有可实现的测试内容需写入服务合同中，测试流程一般按照评测机构内部产品测试流程进行。

验收测试是定制测试的一种形式，是指信息安全产品交付时进行的测试活动，其测试活动一般包括五个方面：文档审核、功能测试、性能测试、安全性测试和按客户需求进行的其他测试项。对于信息安全产品验收测试应该由项目委托开发方组织实施，但是由于技术条件等诸多因素限制，项目委托开发方一般不具有完整的组织项目并实施验收测试的能力，所以对于质量要求比较严格的信息安全产品而言，项目组一般委托第三方评测机构完成产品验收测试工作。

1.1.3技术咨询与培训

许多评测机构提供信息安全产品的技术咨询与培训业务，包括传递与培训最新的有关信息安全产品的标准及最新进展，分析客户的业务需求以及产品特点，确定产品的安全目标，建立产品结构，进行风险分析，并依据风险分析结果选择控制措施，制定可执行的信息安全管理体系，编制培训资料，采用短训授课或专题讲座等形式为客户培训信息安全管理和技术人才。

1.2信息系统层面安全测评服务模式

1.2.1信息系统安全等级保护测评

信息安全等级保护是指国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品信息系统安全等级保护工作包含系统定级、系统备案、安全建设、等级测评和监督检查五个工作环节。测评通常用于判断信息系统的安全保护能力与国家要求之间的复合程度，也可用于安全建设或安全改建的需求分析工作中，通过对特定级别的信息系统进行等级测评，寻找安全保护水平与国家要求之间的差距，作为安全需求用于指导信息系统的安全建设或安全改造。实行按等级管理，对信息系统发生的信息安全事件分等级响应和处置。

依据《信息安全技术信息系统安全案等级保护测评要求》等技术标准，定期根据信息系统安全等级状况开展等级测评，第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统主管部门、信息系统运营和使用单位应根据《信息安全等级保护管理办法》和安全等级保护相关标准开展安全等级测评工作。按照《管理办法》中规定选择安全等级测评机构，由测评机构制定安全等级保护测评方案，测评报告应规范、完整，测评结果应客观、公正，一般测评机构的等级测评服务流程如下图所示：

目前安全测评工作是依据相关标准、规范，通过有经验的测评人员进行检测和分析，但信息系统安全测评是一个复杂的系统工程，涉及到信息系统中的安全技术、管理体系、人员、资质等各方面，并且测评人员水平高低不同，从而导致评估结果主观性强，并且评估周期难以控制，随着评估方法的发展，信息系统测评的过程逐渐转向自动化和标准化，信息系统安全测评工具的开发不仅可以将分析人员从繁重的手工劳动中解脱出来，还能够帮助企业了解相关标准和技术、提高企业的自我评估的能力，使企业能够更清晰的认识到系统与标准和规范之间的差距。国内许多评测机构在深入分析信息系统的相关标准和技术要求、面临的安全威胁，并结合多年积累的信息系统等级测评的经验和知识基础上研制出了许多可以为产品提供支持和服务的系列工具，并已投入许多实践测评项目中，取得了良好的效果，大大提高了测评工作的效益，这些测评工具不仅可以使相关单位和企业尽快掌握信息安全产品的标准和知识应用，还提供了详细的操作流程、步骤说明，为提高企业的自我检查和测评水平提高了自动化程度和工作效率。

1.2.2信息系统风险评估

信息系统风险评估是依据国家有关政策、法律法规和信息技术标准，运用科学的方法和手段，对信息系统及其信息在机密性、完整性和可用性等安全属性面临的风险进行科学、系统、公正的综合评估。采用信息系统风险评估可以帮助用户清楚的认识到信息系统的安全环境和安全状况，以及信息化建设中各级的责任，在相关指导建议下采取或完善更加经济、有效地安全保障措施，来保证信息安全策略的一致性和持续性，提高系统安全保障能力。

风险评估应贯穿信息系统的整个生命周期，一般过程为：从信息系统的安全目标出发，分析资源的重要程度和分布情况、风险分布情况，评估信息系统的风险大小和信息系统采取的安全措施和实施情况，确定系统是否达到安全目标或相应的安全等级。许多测评机构的风险评估的服务流程采用等级测评的服务流程，但工作内容仍有区别，一般工作流程如下图所示：

1.2.3信息系统安全审计

信息系统安全审计是评判一个信息系统是否真正安全的重要方法之一。在国际通用的CC准则中对信息系统安全审计（ISSA，Information SystemSecurity Audit）给出了明确定义：信息系统安全审计主要指对与安全有关活动的相关信息进行识别、记录、存储和分析，审计记录的结果用于检查网络上发生了哪些与安全有关的活动，哪个用户对这个活动负责。一般情况下测评机构有关信息系统审计的服务内容包括：依据相关标准和规范，采用监测、记录、存储和分析等技术方法，开展信息系统审计服务，通过对信息系统的策划、开发、使用、维护等相关活动和产物完整有效的审计，判断信息系统和IT环境能否保证资产安全、数据完整、资源有效利用和是否达到预定业务目标等。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到最安全和最低风险的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。

目前，随着信息安全建设的深入，安全审计已成为国内信息安全建设的重要技术手段。总体来看，由于信息系统发展水平和业务需求的不同，各行业对安全审计的具体关注点存在一定差异，但均是基于政策合规、自身安全建设要求，如政府主要关注如何满足《信息系统安全等级保护》等政策要求的合规安全审计，电信运营商则基于自身信息系统风险内控需求进行，电力行业则将信息系统分为管理类信息系统和生产控制类信息系统，对于生产控制类信息系统增强了对电力二次系统的安全要求，金融行业和证券期货类行业也根据自身业务特点适当调整了信息系统安全等级保护基本要求。

1.2.4信息系统的渗透测试

信息系统的渗透测试，也称为黑盒测试或正派黑客测试，是在经过用户授权批准后，由信息安全专业人员采用攻击者的视角、使用同攻击者相同的技术和工具来尝试攻入信息系统的一种测评服务，它用攻击来发现目标网络、系统、主机和应用系统所存在的漏洞，从而帮助用户了解、改善和提高其信息系统安全的一种手段。

对于信息系统的渗透测试方法，并没有一个统一的标准和规范，开放信息系统安全组（OISSG）提出了一种比较具有代表性的3阶段的渗透测试框架。方案包括下列阶段和步骤：

阶段1：计划和准备

在这个阶段，双方应签署一份正式的评估协议。这份协议内容包含指定工作小组、实际日期、测试时间、问题升级方式和其他工作安排。具体活动包含：指定双方联系人；首次会议确定范围、方案、方法和测试计划；就特定测试用例和问题升级路径达成协议。

阶段2：评估

在评估阶段，应使用分层的方案，每一层代表对信息资产更大一层的访问。执行步骤大致可分为以下几个内容：信息搜集、网络绘制、漏洞识别、渗透、获取访问和特权升级、进一步枚举、攻入远程用户或站点、维持访问、覆盖踪迹。执行步骤是循环和反复的。

阶段3：报告、清除和破坏测试过程产物

在此阶段，报告内容包含口头报告和最终报告，口头报告是指在渗透测试过程中对发现的关键问题及时报告被测方，讨论关于这些问题的保护措施，最终报告时在完成了工作中所定义的所有测试用例后测评机构出具的一份描述测试和审核详细结果以及改进推荐的书面报告。测试过程完毕后，应从被测系统上删除所有创建或存储的信息。

1.2.5信息系统安全等级保护测评

非金融机构支付业务设施技术认证，是指对申请《支付业务许可证》的非金融机构或《非金融机构支付服务管理办法》所指的支付机构，其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性认证工作。非金融机构支付业务设施技术认证业务包括互联网支付、移动电话支付、固定电话支付、数字电视支付、预付卡发行与受理、银行卡收单以及中国人民银行确定的其他支付服务。认证依据《非金融机构支付业务设施技术认证规范》，并将认证分为两级，一级认证包含《非金融机构支付业务设施技术认证规范》中的基本要求，二级认证包含《非金融机构支付业务设施技术认证规范》中的基本要求和增强要求，认证的基本环节依据标准《ISCCC-SR-001：2014非金融机构支付业务设施技术认证实施规则》，主要包括以下内容：认证申请及受理、检测、文件审查、现场审查、认证决定、获证后监督、再认证。

1.2.6信息系统安全等级保护测评

信息系统安全建设是一个复杂的过程，涉及到诸多方面，如信息系统中安全保障措施、人员能力建设、管理体系建设等，信息系统安全测评服务中的技术培训与咨询是由专业的测评机构提供的一项服务，可指导和帮助被测方建立符合标准和技术要求的信息系统和管理体系，并提升被测方的技术和管理能力。

技术培训与咨询服务项目可以在服务周期的各个阶段来展开，技术资讯主要包括对安全策略的指导和规划，技术培训主要包括人员意识教育培训、管理培训和技术培训等。

2物联网信息系统安全测评指标体系

为保障物联网信息系统安全、可靠、有效地运行以及数据的完整性、保密性，需根据标准规范的测评指标对系统安全进行有效性评审，如何根据物联网信息系统安全性需求建立有效的测评服务保障论据，需要从以下几个方面进行考虑：

（1）从威胁源确定测评指标：根据物联网信息系统的业务特点和网络特点，对物联网信息系统的现实和潜在的威胁源进行分析，了解主要的威胁源，并对威胁源进行分类。物联网信息系统应用体系结构可以分为三层：感知层、网络层和应用层，每一层涉及若干相关技术领域，例如在感知层就包含了各种传感器和RHD、二维码、视频采集终端等，涉及的技术包括了RHD技术、传感器技术和通信和网络技术等，基于各层所采用的关键技术对系统可能面临的威胁源进行识别，由于物联网信息系统相比于传统的互联网信息系统的主要区别在于感知层的组网和信息采集处理系统，故可总结物联网信息系统威胁源如下图所示：

（2）威胁源影响分析：分析威胁源对物联网信息系统的影响，确定威胁源的重要等级。

（3）威胁源量化和定性分析：基于对威胁源的量化和定性分析，制定抵御威胁的量化指标。

（4）设置权重：首先对指标的类别设置权重，对关键类别的指标设置较重的权重，然后根据指标对信息系统的安全影响进行权重设置。

3物联网信息系统安全测评服务模型

通过对物联网信息系统的研究，结合现有的国内发展较为成熟的信息系统测评服务模式，提出一套适用于物联网信息系统的安全测评服务模型，该模型仍将物联网信息系统安全测评服务分为产品层面和系统层面两大类，结合物联网信息系统的特点，形成以测评指标体系为核心，以准备阶段、实施阶段、评估阶段、审定阶段、入库阶段服务活动为途径，以技术支持与培训为保障的物联网铁路信息系统的安全服务模型。下图为物联网信息系统安全测评服务模型：

（1）技术支持与咨询：该服务在安全服务整个周期里均有所体现。主要包含两方面的内容，一方面就测评服务具体内容，另一方面，就系统的设计与管理方面的安全目标、策略、方案等内容。

（2）准备阶段：此阶段是开展安全测评服务工作的基础，在此阶段测评机构需对物联网信息系统当前业务和环境进行调研和分析，充分了解被测系统的详细情况，包括安全体系架构、业务架构、组织及人员结构、信息采集与处理端所使用的技术、安全策略等，在此基础上制定测评方案。

（3）实施阶段：在此阶段，测评机构根据测评方案和测评体系及测评指标，采用多种测评手段对物联网信息系统进行定性和定量的测评，以了解系统的真实防护情况，获取足够证据，发现系统存在的安全问题，主要的服务措施分为代码检测、漏洞扫描、渗透测试、现场审核与访谈等。

（4）评估阶段：在此阶段，主要根据现场实施的内容对系统进行深入评估，来判断现有安全措施的有效性以及是否符合标准测评体系的要求，分析系统部署情况与测评标准之间的差距，并生成详细的测评报告。

（5）审定阶段：在此阶段，测评机构相关人员对测评报告内容进行审查，对其中不合理之处与测评人员进行核实并形成最终测评报告，对测评过程中发现的阿全漏洞和威胁对被侧方进行安全通告。

（6）入库阶段：测评服务机构将系统测评报告和测评结果以及相关过程记录进行归档保存，将相关测试经验形成知识库。

（7）培训服务：在安全测评服务中添加培训服务内容能够为构建安全可靠的信息系统、提高安全服务测评效率发挥重要作用，主要的培训服务内容包括：人员意识培训、管理培训和技术培训。

5结论

物联网的快速发展给物联网信息系统的安全问题提出了新的挑战，也给针对物联网信息系统的测评服务提出来越来越高的要求。如何快速有效的发现物联网信息系统的运行风险和潜在威胁，对物联网信息系统做出合理、全面、有效的安全评估成为一个新的课题。本文针对这个问题提出了如何基于物联网信息系统的安全威胁建立测评指标体系的方法，并给出了一套完整的物联网信息系统的测评服务模式，其中包含物联网信息系统产品层面和系统层面的相关内容，为物联网信息系统的安全测评提供理论基础。