邵林 牛偉納 張小松

自助終端作為傳統(tǒng)人工操作的補(bǔ)充，在政務(wù)、交通以及能源等領(lǐng)域廣泛應(yīng)用. 隨著電子和信息技術(shù)的飛速發(fā)展，以及支付寶和微信等移動支付方式的普及，自助終端的性能不斷提升，成本不斷降低，其應(yīng)用領(lǐng)域和范圍不再受設(shè)備體積、支付方式和網(wǎng)絡(luò)接入等因素制約. 然而，在自助終端日益普及的同時，相關(guān)的網(wǎng)絡(luò)安全問題不斷暴露. 在分析當(dāng)前自助終端現(xiàn)狀的基礎(chǔ)上，本文以成都市范圍內(nèi)的政務(wù)服務(wù)以及交通運(yùn)輸領(lǐng)域?yàn)槔?，分析自助終端在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域部署，應(yīng)用及管理方面存在的網(wǎng)絡(luò)安全風(fēng)險與隱患，并提出在物聯(lián)網(wǎng)應(yīng)用場景下針對自助終端近源滲透攻擊的網(wǎng)絡(luò)安全威脅評估模型及應(yīng)對策略.

物聯(lián)網(wǎng)； 自助終端； 近源滲透； 網(wǎng)絡(luò)安全； 威脅評估

TP391A2023.013004

收稿日期： 2022-07-27

基金項(xiàng)目： 教育部重點(diǎn)基金項(xiàng)目（6141A02011904）

作者簡介： 邵林（1985-）， 男， 碩士， 研究方向?yàn)槲锫?lián)網(wǎng)安全和網(wǎng)絡(luò)對抗.

通訊作者： 張小松. E-mail： johnsonzxs@uestc.edu.cn

Cybersecurity threats assessment of self-service terminals in IoT application scenarios and corresponding countermeasures

SHAO Lin1，2， NIU Wei-Na1， ZHANG Xiao-Song1

（1.Institute for Cyber Security， University of Electronic Science and Technology of China， Chengdu 611731， China;

2.Department of Information Technology， Sichuan Business Vocational College， Chengdu 611131， China）

Self-service terminals are widely used in many fields， such as government services， transportation systems， energy systems and so on， as supplements to manual operations. With the rapid development of electronic and information technologies， as well as the popularity of mobile payment such as Alipay and WeChat pay， the performance of the self-service terminals gets stronger while the cost gets lower， there are less constraints on the shape， size and application of the self-service terminals. While the self-service terminals get more popular， cyber risks and threats in critical infrastructures which involve so many self-service terminals are constantly exposed. Based on the analysis of the current situations of the self-service terminals， taking the government services and transportation systems of Chengdu as an example， the cybersecurity risks and threats in the deployment， application and management of them are analyzed， the threats assessment model and corresponding countermeasures for the cyber security accidents caused by the nearby attack on self-service terminals in the Internet-of-Things （IoT） applications scenarios are proposed.

IoT; Self-service terminals; Nearby attack; Cybersecurity; Threats assessment

1 引 言

從上世紀(jì)60年代第一臺現(xiàn)代意義上的自助終端投入實(shí)際應(yīng)用以來，自助終端發(fā)展迅猛.因其成本低廉、易于部署和便于使用等特點(diǎn)，在政務(wù)、交通、能源以及金融等諸多行業(yè)被廣泛應(yīng)用. 在實(shí)際應(yīng)用中，這些設(shè)備需要接入企業(yè)或機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)（后統(tǒng)稱內(nèi)網(wǎng)）以獲取數(shù)據(jù)并對外提供服務(wù). 自助終端一旦失陷，容易對內(nèi)網(wǎng)安全造成威脅甚至嚴(yán)重破壞. 本文以成都市主城區(qū)范圍內(nèi)政務(wù)服務(wù)和交通運(yùn)輸領(lǐng)域?yàn)槔攸c(diǎn)分析了這兩個領(lǐng)域自助終端存在的網(wǎng)絡(luò)安全風(fēng)險與隱患，并在此基礎(chǔ)上提出了針對物聯(lián)網(wǎng)應(yīng)用場景下自助終端網(wǎng)絡(luò)安全威脅評估模型以及應(yīng)對策略. 本文的研究成果有助于內(nèi)網(wǎng)運(yùn)維管理人員評估因自助終端失陷所造成的網(wǎng)絡(luò)安全風(fēng)險與隱患，可結(jié)合文中提出的網(wǎng)絡(luò)安全應(yīng)對策略采取有針對性的處置措施.

2 自助終端概述

2.1 自助終端的定義

自助終端通常是以軟硬件復(fù)合體的形式存在，通過顯示器等輸出設(shè)備向使用者呈現(xiàn)系統(tǒng)操作界面及相關(guān)信息，同時借助觸摸屏、讀卡器以及鍵盤等輸入設(shè)備獲取使用者操作指令與數(shù)據(jù)，經(jīng)終端設(shè)備的計(jì)算單元處理后給出相應(yīng)的反饋，包括文字、圖片、視頻、音頻、實(shí)物以及服務(wù)等.自助終端最初的組成部分主要包括：輸入設(shè)備（鍵盤、麥克風(fēng)等）、處理單元（PC機(jī)、工控機(jī)等）和輸出設(shè)備（顯示屏、打印機(jī)、揚(yáng)聲器等）. 隨著信息技術(shù)的不斷發(fā)展以及移動支付技術(shù)的出現(xiàn)，自助終端已經(jīng)不再是單一的處理單元，而是內(nèi)網(wǎng)信息系統(tǒng)中的一部分.設(shè)備組成略有變化：輸入設(shè)備（觸摸屏、藍(lán)牙控制器、二維碼等）、處理單元（PC、平板電腦、一體機(jī)以及移動終端等）和輸出設(shè)備（顯示屏、打印機(jī)、傳送設(shè)備等）. 總的來說，自助終端正朝著功能多樣化和系統(tǒng)復(fù)雜化的方向發(fā)展.

2.2 自助終端發(fā)展脈絡(luò)

自助終端大致經(jīng)歷了純機(jī)械時代、電子化時代、互聯(lián)網(wǎng)時代、移動互聯(lián)網(wǎng)時代以及物聯(lián)網(wǎng)時代等五個階段的發(fā)展歷程.

（1）? 現(xiàn)代意義上的自助終端最早出現(xiàn)在上世紀(jì)60年代，其中以英國人約翰·巴倫發(fā)明的銀行自動取款機(jī)（Auto Teller Machine，ATM）為典型代表［1］.

（2） 隨著PC機(jī)的普及，自助終端逐漸進(jìn)入電子化階段，這一階段的代表是電子化的銀行自助取款機(jī).

（3）? 2000年前后，金融、電信和醫(yī)療等行業(yè)逐漸引入自助終端，設(shè)備功能性得到了極大拓展.

（4）? 2010年以后，移動支付及人臉識別技術(shù)日趨成熟，傳統(tǒng)自助終端所占市場份額逐漸縮減，新型自助終端因其大小靈活且用途廣泛等優(yōu)勢快速發(fā)展，并且已具有一定的物聯(lián)網(wǎng)特征，例如銀行業(yè)的新型ATM設(shè)備［2］和家居行業(yè)的智能門鎖［3］等.

（5）? 2015年前后，自助終端廣泛應(yīng)用于政務(wù)、醫(yī)療、能源以及交通等國計(jì)民生領(lǐng)域，例如政務(wù)中心的叫號機(jī)，醫(yī)療機(jī)構(gòu)的自助打印設(shè)備［4-6］以及能源行業(yè)的燃?xì)饫U費(fèi)終端［7］等. 這一時期最顯著的特征是：關(guān)鍵基礎(chǔ)設(shè)施及關(guān)鍵信息基礎(chǔ)設(shè)施［8］領(lǐng)域大量引入自助終端，相應(yīng)的網(wǎng)絡(luò)安全風(fēng)險與隱患隨之增大［9］.

2.3 自助終端網(wǎng)絡(luò)安全特性

前期研究發(fā)現(xiàn)，自助終端具有一些共同的網(wǎng)絡(luò)安全特性，對內(nèi)網(wǎng)安全而言存在較大威脅.

（1） 邊緣性. 自助終端因其用途以及受限的人機(jī)操作界面，往往處于內(nèi)網(wǎng)安全運(yùn)維管理的邊緣地帶甚至是“真空地帶”. 一方面，自助終端所處網(wǎng)絡(luò)位置特殊，既需要訪問內(nèi)網(wǎng)資源，又需要對外提供業(yè)務(wù)服務(wù)；另一方面，自助終端因其特定業(yè)務(wù)服務(wù)和受限的人機(jī)操作界面，有別于傳統(tǒng)內(nèi)網(wǎng)計(jì)算設(shè)備，極易被網(wǎng)絡(luò)運(yùn)維人員忽略. 正是由于在內(nèi)網(wǎng)運(yùn)維管理中獨(dú)有的邊緣性，自助終端運(yùn)行狀況和安全狀況通常取決于運(yùn)維管理人員的工作經(jīng)驗(yàn)和能力水平.

（2） 粘黏性. 自助終端及其業(yè)務(wù)系統(tǒng)，通常是針對特定行業(yè)和業(yè)務(wù)定制研發(fā)的，其業(yè)務(wù)流程相對穩(wěn)定鮮有變化，即便業(yè)務(wù)流程發(fā)生變化，也可以通過軟件層面的修改以適應(yīng)新的業(yè)務(wù)應(yīng)用場景. 再者，這類硬件設(shè)備投入應(yīng)用之后，通常不會在短時間內(nèi)報廢或棄用. 因此，自助終端一旦部署便會長期滯留、粘黏在內(nèi)網(wǎng)之中，硬件上的配置缺陷以及軟件上的安全漏洞都會隨設(shè)備長期存在于企業(yè)或機(jī)構(gòu)內(nèi)網(wǎng)之中.

（3） 復(fù)雜性. 就自助終端硬件而言，由于實(shí)際應(yīng)用場景紛繁復(fù)雜，自助終端在設(shè)計(jì)和實(shí)現(xiàn)時，所采用的硬件體系架構(gòu)（Intel或Arm），設(shè)備所集成的傳感器和外設(shè)，以及設(shè)備最終呈現(xiàn)的外觀和形態(tài)都存在極大差異. 就軟件而言，自助終端部署的底層操作系統(tǒng)（Windows，Android或Linux等），業(yè)務(wù)系統(tǒng)所采用的網(wǎng)絡(luò)模型（B/S或C/S），以及業(yè)務(wù)應(yīng)用軟件開發(fā)環(huán)境等都存在極大的多樣性. 正是這種多樣性使得自助終端在運(yùn)維管理上非常復(fù)雜.甚至功能相同的設(shè)備因硬件平臺差異以及軟件設(shè)計(jì)和實(shí)現(xiàn)的不同，導(dǎo)致部分設(shè)備可以納入基于Windows域的內(nèi)網(wǎng)管理，而其余設(shè)備無法納入內(nèi)網(wǎng)統(tǒng)一管理，從而成為內(nèi)網(wǎng)安全運(yùn)維管理的盲點(diǎn).

3 物聯(lián)網(wǎng)應(yīng)用場景下自助終端存在的安全漏洞

雖然自助終端在外觀形狀、設(shè)備配置以及應(yīng)用領(lǐng)域等方面存在極大差異，但在物聯(lián)網(wǎng)應(yīng)用場景下普遍存在以下4類安全漏洞.

3.1 設(shè)備控制權(quán)限轉(zhuǎn)移

目前，絕大多數(shù)自助終端需要借助操作系統(tǒng)來運(yùn)行定制化業(yè)務(wù)應(yīng)用程序（后統(tǒng)稱業(yè)務(wù)應(yīng)用）或者啟動瀏覽器展示特定業(yè)務(wù)場景下的Web頁面（后統(tǒng)稱業(yè)務(wù)頁面）.從設(shè)備上電開始，整個過程大致可分為以下步驟：

（1） 設(shè)備啟動或重啟，即設(shè)備上電；

（2） 操作系統(tǒng)加載；

（3） 登錄預(yù)先設(shè)定的賬戶（通常為操作系統(tǒng)管理員等高權(quán)限賬戶），并加載相應(yīng)的配置文件；

（4） 以登錄用戶身份運(yùn)行定制業(yè)務(wù)應(yīng)用或啟動瀏覽器展示業(yè)務(wù)頁面；

（5） 設(shè)備控制權(quán)限由操作系統(tǒng)轉(zhuǎn)移至定制業(yè)務(wù)應(yīng)用或者瀏覽器，從而接收用戶輸入并響應(yīng)用戶操作.

由于自助終端長期處于無人看管狀態(tài)，且因軟件異常和上下班開關(guān)機(jī)等原因，設(shè)備無法完全自主運(yùn)行，需要人工操作介入干預(yù)，例如啟動或重啟設(shè)備，網(wǎng)絡(luò)異常以及外設(shè)異常等. 在設(shè)備上電過程中，自助終端權(quán)限通常在可控范圍之內(nèi)，即用戶無法繞過定制業(yè)務(wù)應(yīng)用或者瀏覽器直接獲取操作系統(tǒng)的控制權(quán)限. 然而，由于底層操作系統(tǒng)在設(shè)計(jì)之初無法考慮到所有可能的應(yīng)用場景，以及自助終端的不當(dāng)配置等，難以在操作系統(tǒng)層面直接提供用于自助終端控制權(quán)限安全轉(zhuǎn)移的技術(shù)保障措施，涉及控制權(quán)限安全轉(zhuǎn)移的額外操作由開發(fā)人員、運(yùn)維人員或設(shè)備管理人員負(fù)責(zé)完成.

目前，政務(wù)、交通、醫(yī)療以及能源等領(lǐng)域的自助終端大量存在設(shè)備控制權(quán)限轉(zhuǎn)移漏洞（后統(tǒng)稱權(quán)限轉(zhuǎn)移漏洞），主要原因在于底層操作系統(tǒng)安全策略配置不當(dāng)，以及自助終端軟件配置缺陷等，導(dǎo)致自助終端未能有效處理用戶的異常操作及軟件運(yùn)行時異常等，進(jìn)而失去對底層操作系統(tǒng)的控制. 利用權(quán)限轉(zhuǎn)移漏洞，攻擊者可獲得操作系統(tǒng)當(dāng)前登錄用戶的所有權(quán)限.在實(shí)際應(yīng)用場景下，這類權(quán)限通常是操作系統(tǒng)管理員權(quán)限. 攻擊者可借此執(zhí)行以下操作或者實(shí)施以下攻擊行為：

（1） 查看設(shè)備軟硬件信息；

（2） 查看設(shè)備使用痕跡，包括系統(tǒng)日志，終端歷史命令，近期訪問的文件，以及Web瀏覽器歷史記錄等；

（3） 查看設(shè)備網(wǎng)絡(luò)信息，包括IP地址，所處網(wǎng)絡(luò)信息以及路由追蹤信息等；

（4） 借助第三方黑客工具竊取操作系統(tǒng)登錄憑證，包括用戶的密碼哈希（hash）等；

（5） 開啟或關(guān)閉系統(tǒng)服務(wù)，包括Windows系統(tǒng)的遠(yuǎn)程桌面服務(wù)和文件共享服務(wù)，以及Linux系統(tǒng)的telnet和SSH服務(wù)等；

（6） 創(chuàng)建設(shè)備管理賬戶.

3.2 異構(gòu)網(wǎng)接入

由于自助終端通常安裝在固定位置且體積較大不易移動，加之企業(yè)、機(jī)構(gòu)對業(yè)務(wù)應(yīng)用穩(wěn)定性的考慮，自助終端通常采用有線網(wǎng)絡(luò)接入內(nèi)網(wǎng)，且一旦部署不會輕易變動設(shè)備位置. 另一方面，當(dāng)前自助終端硬件集成度較高，其主板通常集成了CPU、內(nèi)存、固態(tài)硬盤、USB接口以及無線網(wǎng)卡等部件. 在當(dāng)前物聯(lián)網(wǎng)應(yīng)用場景下，如果內(nèi)網(wǎng)運(yùn)維管理人員不能移除或者屏蔽多余的無線網(wǎng)卡或藍(lán)牙網(wǎng)卡等部件，攻擊者突破業(yè)務(wù)應(yīng)用或?yàn)g覽器的權(quán)限控制后，便可利用未移除或未屏蔽的部件（例如無線網(wǎng)卡和藍(lán)牙網(wǎng)卡等），將自助終端接入攻擊者預(yù)先設(shè)置的無線網(wǎng)絡(luò)，或者將自助終端設(shè)置為攻擊者可接入的無線熱點(diǎn)，從而打通攻擊者與自助終端之間的網(wǎng)絡(luò)通路，見圖1. 由此可見，異構(gòu)網(wǎng)接入漏洞是一個軟硬件復(fù)合型的安全漏洞，硬件上需要有未被業(yè)務(wù)應(yīng)用使用的數(shù)據(jù)傳輸接口，軟件上需要有操作數(shù)據(jù)傳輸接口的權(quán)限. 從“等保2. 0”、公安以及電力等行業(yè)制定的物聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)［10，11］來看，異構(gòu)網(wǎng)絡(luò)接入到內(nèi)網(wǎng)，或者內(nèi)網(wǎng)中的設(shè)備接入異構(gòu)網(wǎng)絡(luò)時，應(yīng)當(dāng)遵循嚴(yán)格的認(rèn)證和管控措施，其中《GB/T 22239-2019》國家標(biāo)準(zhǔn)［11］就物聯(lián)網(wǎng)安全區(qū)域邊界明確規(guī)定“應(yīng)保證只有授權(quán)的感知節(jié)點(diǎn)可以接入”.

3.3 竊取物理憑證

隨著應(yīng)用領(lǐng)域的不斷拓展，自助終端被賦予更多的功能特性，例如自助打印、自助辦證以及自助取證等. 這些設(shè)備一旦失控，所引發(fā)的危害不僅限于信息泄露，還包括設(shè)備所存儲的各種物理憑證的安全，以及由此衍生的社會安全風(fēng)險和隱患. 這些物理憑證包括但不限于特定領(lǐng)域的身份證明憑證，如臨時身份證、駕駛證以及健康證等. 這類憑證（包括已加蓋發(fā)證機(jī)關(guān)印章的憑證模板）一旦失竊將對社會秩序，公共安全乃至國家安全造成嚴(yán)重危害［7，12］.

3.4 竊取資產(chǎn)與服務(wù)

竊取資產(chǎn)與服務(wù)類漏洞主要集中在傳統(tǒng)的售販類自助終端. 當(dāng)攻擊者突破定制業(yè)務(wù)應(yīng)用或?yàn)g覽器的部分操作限制后，利用自助終端存在的軟硬件缺陷，包括未屏蔽的調(diào)試接口以及軟件漏洞等，非法獲得設(shè)備所管理的資產(chǎn)（包括數(shù)字資產(chǎn)）以及服務(wù). 就此類攻擊而言，攻擊者不僅需要獲得設(shè)備控制權(quán)限，往往還需要基于真實(shí)設(shè)備進(jìn)行軟硬件脆弱性分析，從而達(dá)到攻擊自助終端并獲取資產(chǎn)與服務(wù)的目的. 對于自助終端而言，基于此類漏洞的攻擊難度更高，周期更長，但是所造成的經(jīng)濟(jì)損失往往更大.

4 重點(diǎn)行業(yè)自助終端安全性分析

自助終端廣泛應(yīng)用于社會生活的各個方面，本文選擇政務(wù)服務(wù)以及交通運(yùn)輸領(lǐng)域作為代表，重點(diǎn)研究這2個領(lǐng)域的自助終端安全性. 之所以選擇這2個領(lǐng)域，主要從兩方面考慮：一方面，上述2個領(lǐng)域?qū)儆谖覈P(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵信息基礎(chǔ)設(shè)施范疇，對其進(jìn)行網(wǎng)絡(luò)安全研究意義重大；另一方面，上述2個領(lǐng)域部署了大量面向公眾的自助終端，客觀上存在較大的網(wǎng)絡(luò)安全風(fēng)險和隱患. 在政務(wù)服務(wù)領(lǐng)域，本文針對成都市主城區(qū)范圍內(nèi)7個區(qū)級政務(wù)服務(wù)中心（后統(tǒng)稱政務(wù)中心），包括成華區(qū)、錦江區(qū)、金牛區(qū)、青羊區(qū)、武侯區(qū)、高新區(qū)及天府新區(qū)等7個政務(wù)中心，進(jìn)行了自助終端安全性研究. 在交通運(yùn)輸領(lǐng)域，本文對成都市范圍內(nèi)部分高速公路（G4201成都繞城高速以及G4215蓉遵高速），成都地鐵系統(tǒng)以及成都雙流國際機(jī)場進(jìn)行了自助終端安全性研究. 以下是對上述2個領(lǐng)域自助終端安全性研究結(jié)果以及對發(fā)現(xiàn)的網(wǎng)絡(luò)安全隱患的分析.

4.1 政務(wù)服務(wù)領(lǐng)域自助終端安全性研究

政務(wù)中心作為政府職能部門向廣大市民提供政務(wù)服務(wù)的場所，通常會將各個職能部門集中于政務(wù)中心辦公，為市民提供更加高效、便捷的服務(wù). 為提高辦事效率，應(yīng)對政務(wù)中心人員緊張的狀況，政務(wù)中心通常會部署來自不同職能部門和不同廠商的自助終端. 通過實(shí)地調(diào)研，獲得了成都市主城區(qū)7個政務(wù)中心自助終端以及終端所部署的操作系統(tǒng)統(tǒng)計(jì)情況，見表1.

一方面，從設(shè)備所屬職能部門來看，這些終端可分為： 稅務(wù)自助終端，社保自助終端，公安戶證自助終端，公安出入境自助終端及其它政務(wù)服務(wù)自助終端. 其中，公安戶證自助終端和出入境自助終端在各政務(wù)中心均有部署，且在設(shè)備部署和運(yùn)維管理上均嚴(yán)格遵循公安機(jī)關(guān)信息化建設(shè)相關(guān)的行業(yè)標(biāo)準(zhǔn)［10］，例如自助終端所在網(wǎng)絡(luò)與政務(wù)中心網(wǎng)絡(luò)物理隔離，嚴(yán)格限制自助終端對外暴露的硬件接口等，即便攻擊者通過權(quán)限轉(zhuǎn)移漏洞獲得自助終端控制權(quán)限，仍舊無法建立與自助終端之間的數(shù)據(jù)通路，例如無線網(wǎng)絡(luò)連接，藍(lán)牙連接或U盤拷貝等. 因此，針對公安系統(tǒng)的自助終端，攻擊者通常只能實(shí)施一些危害性相對較小的操作，例如格式化硬盤，修改賬戶密碼，關(guān)閉業(yè)務(wù)應(yīng)用，修改業(yè)務(wù)頁面以及關(guān)閉自助終端等，信息外泄風(fēng)險相對可控. 稅務(wù)自助終端和社保自助終端設(shè)備也普遍存在權(quán)限轉(zhuǎn)移漏洞，并且與政務(wù)中心共享內(nèi)網(wǎng)，存在嚴(yán)重的信息外泄風(fēng)險. 除此之外，政務(wù)中心還部署了大量的自助查詢終端，例如叫號機(jī)，樓層信息導(dǎo)引終端，政務(wù)信息展示終端等，甚至部分政務(wù)中心還部署了問詢機(jī)器人. 值得注意的是，部分政務(wù)中心還部署了大量移動自助終端，例如平板電腦和智能手機(jī). 這些移動自助終端多部署Android系統(tǒng)，并且部分設(shè)備存在權(quán)限轉(zhuǎn)移漏洞和異構(gòu)網(wǎng)接入漏洞，導(dǎo)致設(shè)備信息泄露甚至設(shè)備失陷，例如攻擊者通過智能手機(jī)、平板電腦獲取業(yè)務(wù)應(yīng)用文件（App）， 以及設(shè)備所連接的無線網(wǎng)絡(luò)（包括政務(wù)中心內(nèi)網(wǎng)專用的隱藏?zé)o線網(wǎng)絡(luò)）名稱（SSID）和密碼等，攻擊者獲得相關(guān)信息后可發(fā)起針對政務(wù)中心內(nèi)網(wǎng)的攻擊.

另一方面，從設(shè)備所部署的操作系統(tǒng)來看，這些設(shè)備可以劃分為基于Windows系統(tǒng)的自助終端和基于Android系統(tǒng)的自助終端. 從表1統(tǒng)計(jì)數(shù)據(jù)來看，自助終端所部署的操作系統(tǒng)主要是Windows系統(tǒng)，其次是Android系統(tǒng)，目前尚未發(fā)現(xiàn)基于Linux或蘋果MacOS/iOS系統(tǒng)的自助終端. 經(jīng)分析發(fā)現(xiàn)，導(dǎo)致此類情況的主要原因包括以下幾點(diǎn)：

（1） 自助終端行業(yè)上游主板廠商在芯片選擇上傾向于價格低廉、性能穩(wěn)定且極具兼容性的芯片，例如Intel桌面系列芯片和Arm移動終端系列芯片，而與之匹配的操作系統(tǒng)主要是Windows系統(tǒng)和Android系統(tǒng)；

（2） 行業(yè)下游的軟件開發(fā)商傾向于更為成熟且具備敏捷開發(fā)能力的Windows系統(tǒng)和Android系統(tǒng)作為軟件運(yùn)行的目標(biāo)操作系統(tǒng)，并且在業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)模型上多采用B/S架構(gòu)以提高軟件開發(fā)效率，降低軟件開發(fā)成本，增強(qiáng)軟件應(yīng)對需求變更的能力；

（3） 從表1數(shù)據(jù)來看，部署Windows系統(tǒng)的自助終端明顯多于部署Android系統(tǒng)的自助終端. 這也從側(cè)面反映出了當(dāng)前自助終端領(lǐng)域軟件開發(fā)商對Windows系統(tǒng)以及微軟公司軟件開發(fā)生態(tài)的嚴(yán)重依賴.

另外，本文就物聯(lián)網(wǎng)應(yīng)用場景下自助終端常見的4類安全漏洞，包括權(quán)限轉(zhuǎn)移，異構(gòu)網(wǎng)接入，竊取物理憑證以及竊取資產(chǎn)與服務(wù)，進(jìn)行了全面分析，并給出了各政務(wù)中心自助終端存在的安全漏洞以及漏洞占比情況，見表2.

從表2數(shù)據(jù)來看，成都市主城區(qū)范圍內(nèi)區(qū)級政務(wù)中心的自助終端普遍存在安全漏洞和隱患，其中以權(quán)限轉(zhuǎn)移漏洞最為突出，詳細(xì)情況如下.

（1） 權(quán)限轉(zhuǎn)移. 由于操作系統(tǒng)特性，軟件開發(fā)和運(yùn)維管理等原因，Windows系統(tǒng)出現(xiàn)權(quán)限轉(zhuǎn)移的情況顯著多于Android系統(tǒng). 以成華區(qū)政務(wù)中心為例，該中心自助終端幾乎全部存在權(quán)限轉(zhuǎn)移漏洞，即攻擊者可以通過非法觸控操作或者運(yùn)行存在配置缺陷的應(yīng)用（點(diǎn)擊位于業(yè)務(wù)應(yīng)用上層的懸浮圖標(biāo)喚醒后臺服務(wù)進(jìn)程）繞過前端業(yè)務(wù)應(yīng)用，進(jìn)入Windows系統(tǒng)界面，從而獲得當(dāng)前Windows登錄用戶權(quán)限以及訪問Windows其他系統(tǒng)的權(quán)限. 出現(xiàn)該類情況的原因主要有2個方面： ① 開發(fā)者在軟件開發(fā)過程中沒有充分考慮自助終端可能面臨的復(fù)雜工作環(huán)境，包括用戶的非法觸控，軟件運(yùn)行時異常以及外設(shè)運(yùn)行異常等； ② 系統(tǒng)運(yùn)維人員在自助終端軟件部署和運(yùn)維管理時，未能正確配置自助終端、業(yè)務(wù)應(yīng)用和支撐軟件，進(jìn)而導(dǎo)致使用者突破業(yè)務(wù)應(yīng)用權(quán)限限制，獲得當(dāng)前Windows登錄用戶甚至是Windows管理員用戶權(quán)限.

再者，由于Windows系統(tǒng)（不包括Windows Embedded或Windows IoT系統(tǒng)）主要應(yīng)用于傳統(tǒng)的PC領(lǐng)域，難以適應(yīng)物聯(lián)網(wǎng)應(yīng)用場景下的復(fù)雜工作環(huán)境，例如Windows登錄用戶的權(quán)限控制，觸摸屏和軟鍵盤控制等. 一旦攻擊者突破業(yè)務(wù)應(yīng)用權(quán)限控制便可控制自助終端，進(jìn)而下載和安裝惡意軟件，創(chuàng)建新的管理員用戶，開啟高危網(wǎng)絡(luò)服務(wù)以及破壞終端軟硬件等. 相較于Windows系統(tǒng)而言，Android系統(tǒng)存在權(quán)限轉(zhuǎn)移的情況較少，因?yàn)锳ndroid系統(tǒng)是針對移動終端開發(fā)的操作系統(tǒng)，具有較好的用戶權(quán)限管理和應(yīng)用程序管控等安全特性，能夠很好地適應(yīng)物聯(lián)網(wǎng)應(yīng)用場景.

（2） 異構(gòu)網(wǎng)接入. 從統(tǒng)計(jì)情況來看，除成華區(qū)政服務(wù)中心外，其余6個區(qū)級政務(wù)中心均存在異構(gòu)網(wǎng)接入漏洞. 值得注意的是，這類漏洞主要存在于運(yùn)行Android系統(tǒng)的自助終端，基于Windows系統(tǒng)的自助終端鮮有此類漏洞. 經(jīng)分析發(fā)現(xiàn)，存在異構(gòu)網(wǎng)接入漏洞的Android自助終端至少配置了2個硬件網(wǎng)絡(luò)接口，即RJ45接口（有線以太網(wǎng)接口）以及無線網(wǎng)卡接口（802.11無線網(wǎng)絡(luò)接口），而政務(wù)中心在內(nèi)網(wǎng)建設(shè)時出于安全考慮通常選擇有線網(wǎng)絡(luò)進(jìn)行部署和建設(shè)，但并未移除或屏蔽設(shè)備多余的無線網(wǎng)卡接口. 因此，攻擊者一旦獲得設(shè)備控制權(quán)限便可啟用無線網(wǎng)卡突破網(wǎng)絡(luò)接入限制，侵入政務(wù)中心內(nèi)網(wǎng)，例如將自助終端接入攻擊者預(yù)先設(shè)置的Wi-Fi熱點(diǎn)，或者將自助終端設(shè)置為 Wi-Fi熱點(diǎn)便于攻擊者接入政務(wù)中心內(nèi)網(wǎng)，如圖2.

（3） 竊取物理憑證. 從表2中可以看出，前述7個區(qū)級政務(wù)中心存在竊取物理憑證的風(fēng)險相對較小，僅金牛區(qū)政務(wù)中心存在此類情況，并且攻擊者通過該漏洞所能竊取到的憑證未加蓋政府部門印章，不具有法律效力，因此危害性相對較小.

由于自助終端進(jìn)入政務(wù)服務(wù)領(lǐng)域相對較晚，加之該類設(shè)備所具有的雙重屬性，即功能上屬于物聯(lián)網(wǎng)終端設(shè)備，而在管理上則屬于內(nèi)網(wǎng)計(jì)算機(jī)，因此在實(shí)際運(yùn)維管理工作中往往處于“真空地帶”，尤其是基于Android系統(tǒng)的自助終端，尚無法納入基于工作組或Windows域環(huán)境的內(nèi)網(wǎng)管理之中. 然而，在近源滲透攻擊場景中，攻擊者可以利用這些自助終端直接對政務(wù)中心內(nèi)網(wǎng)實(shí)施近源滲透. 由圖2可見，如果僅借助互聯(lián)網(wǎng)對政務(wù)中心內(nèi)網(wǎng)實(shí)施遠(yuǎn)程網(wǎng)絡(luò)攻擊，攻擊者需要精確定位中心外網(wǎng)出口，繞過政府機(jī)構(gòu)部署的邊界網(wǎng)絡(luò)安全設(shè)備，例如防火墻、入侵檢測等系統(tǒng)，才有可能滲透至政務(wù)中心內(nèi)網(wǎng). 顯然，這種遠(yuǎn)程攻擊方式難度大，成本高，周期長且見效慢. 然而，在基于物聯(lián)網(wǎng)的近源滲透場景中，攻擊者只需抵近存在安全漏洞的Windows或Android自助終端便可直接滲透至政務(wù)中心內(nèi)網(wǎng)，將存在權(quán)限轉(zhuǎn)移漏洞的Windows自助終端作為內(nèi)網(wǎng)“支點(diǎn)”，還可進(jìn)一步獲得設(shè)備管理員權(quán)限，建立對自助終端的持久化控制. 對于這種近源滲透而言，傳統(tǒng)網(wǎng)絡(luò)邊界防護(hù)設(shè)備難以檢測此類攻擊. 可見，隨著物聯(lián)網(wǎng)的不斷發(fā)展，內(nèi)網(wǎng)攻擊面隨之增大，內(nèi)網(wǎng)可能遭受的網(wǎng)絡(luò)威脅也已經(jīng)超越傳統(tǒng)的內(nèi)網(wǎng)安全防護(hù)范疇.

4.2 交通運(yùn)輸領(lǐng)域自助終端安全性研究

與政務(wù)服務(wù)領(lǐng)域不同，交通運(yùn)輸領(lǐng)域自助終端在分布上呈現(xiàn)明顯的分散性.以成都地鐵系統(tǒng)和成都周邊高速公路為例，自助終端分布于各個地鐵站點(diǎn)和高速公路服務(wù)區(qū)，彼此之間物理距離相對較遠(yuǎn). 再者，交通運(yùn)輸領(lǐng)域自助終端總數(shù)以及局部部署數(shù)量較少. 由于前述原因，交通運(yùn)輸領(lǐng)域自助終端在運(yùn)維管理和應(yīng)急處置上面臨的問題較之政務(wù)服務(wù)領(lǐng)域更為嚴(yán)峻. 此外，交通運(yùn)輸領(lǐng)域自助終端面臨的最為嚴(yán)峻的網(wǎng)絡(luò)安全問題是物理憑證（即涉及身份信息與身份識別的物理憑證）竊取和偽造.犯罪分子可利用相關(guān)漏洞竊取自助終端存儲或管理的合法憑證，或利用竊取的有效憑證模板偽造合法憑證，從而冒用他人名義乘坐交通工具，逃避法律懲處，破壞社會穩(wěn)定，甚至危害國家安全.

4.2.1 高速公路自助終端安全性研究 高速公路信息系統(tǒng)向駕乘人員提供的信息交互接口主要包括高速公路出入口處的ETC終端（電子不停車收費(fèi)終端）以及在高速公路服務(wù)區(qū)所提供的道路信息自助查詢終端. 受制于ETC終端傳輸速率以及極短時間的交互場景，難以實(shí)施有效的近源滲透攻擊. 然而，高速公路服務(wù)區(qū)部署的道路信息自助查詢終端卻為針對高速公路信息系統(tǒng)的近源滲透提供了可能的攻擊面. 一方面，基于Windows系統(tǒng)的自助終端存在權(quán)限轉(zhuǎn)移漏洞，且直接暴露Windows系統(tǒng)管理員權(quán)限；另一方面，自助終端具有豐富的網(wǎng)絡(luò)接口，可以通過設(shè)備自身配備的無線網(wǎng)卡實(shí)現(xiàn)異構(gòu)網(wǎng)接入，即攻擊者可通過自助終端接入高速公路信息系統(tǒng)內(nèi)網(wǎng)，或通過自助終端將高速公路信息系統(tǒng)內(nèi)網(wǎng)與互聯(lián)網(wǎng)連接，如圖3.

4.2.2 成都地鐵自助終端安全性 自2018年以來，成都地鐵年日均客流量已超300萬，近兩年來年日均客流量已突破400萬［13］，自動售票終端以及智能票務(wù)查詢終端極大減輕了人工操作負(fù)擔(dān)，有效提升了地鐵系統(tǒng)的運(yùn)行效率. 然而，成都地鐵部署的智能票務(wù)查詢終端以及周邊信息查詢終端均存在網(wǎng)絡(luò)安全漏洞.

由于內(nèi)網(wǎng)運(yùn)維管理人員通過Windows系統(tǒng)管理員賬戶運(yùn)行相關(guān)業(yè)務(wù)應(yīng)用，因此攻擊者突破前端業(yè)務(wù)應(yīng)用限制后，便獲得Windows系統(tǒng)管理員權(quán)限，并憑借該權(quán)限啟用無線網(wǎng)卡實(shí)現(xiàn)異構(gòu)網(wǎng)接入，進(jìn)而訪問地鐵站點(diǎn)內(nèi)部的其他計(jì)算設(shè)備和網(wǎng)絡(luò)設(shè)備，見圖4. 從成都地鐵官方給出的地鐵運(yùn)營信息來看［13］，成都地鐵目前投入運(yùn)營的12條線路，共計(jì)373個地鐵站，所部署的智能票務(wù)查詢終端以及周邊信息查詢終端均存在權(quán)限轉(zhuǎn)移和異構(gòu)網(wǎng)接入漏洞. 從技術(shù)層面來看，攻擊者完全有能力控制各個地鐵站，發(fā)起針對地鐵票務(wù)信息系統(tǒng)甚至是地鐵閘機(jī)系統(tǒng)的網(wǎng)絡(luò)攻擊.

4.2.3 成都機(jī)場自助終端安全性研究 機(jī)場作為重要的交通設(shè)施和關(guān)鍵基礎(chǔ)設(shè)施，提供給乘客使用的信息接口較少，僅包括實(shí)時航班信息，客票信息和值機(jī)信息等. 此外，民航系統(tǒng)對乘客身份的審核極為嚴(yán)格，要求乘客必須持有有效身份證件以及登機(jī)牌才能值機(jī). 此外，成都雙流國際機(jī)場信息化建設(shè)極為成熟，提供給乘客使用的自助終端都進(jìn)行了嚴(yán)格的軟硬件安全檢測，能夠有效應(yīng)對常見的自助終端攻擊行為. 然而，在研究過程中發(fā)現(xiàn)，雙流國際機(jī)場部署的多臺某型號自助證照打印終端，存在竊取物理憑證的安全漏洞. 該型自助終端設(shè)備的業(yè)務(wù)流程如下：

（1） 用戶輸入手機(jī)號碼，接收驗(yàn)證短信；

（2） 用戶向自助終端提交短信驗(yàn)證碼；

（3） 短信驗(yàn)證成功，用戶填寫個人信息，打印值機(jī)所需的相關(guān)證照；

（4） 短信驗(yàn)證失敗，提示錯誤，返回步驟（1）.

對于普通乘客而言，通過手機(jī)短信驗(yàn)證后，按照要求提交個人信息便可獲取值機(jī)所需證照. 由于未能充分過濾用戶輸入，攻擊者可以通過非法輸入繞過手機(jī)短信驗(yàn)證，以接近25%的概率獲取到具有法律效力的空白證照模板（已加蓋相關(guān)部門印章）. 在獲得空白證照模板后，攻擊者通過比對按照正常流程獲取的有效證照信息，即可利用互聯(lián)網(wǎng)等渠道泄露的個人信息，包括個人照片、居民身份證以及家庭住址等信息，偽造具有法律效力的證照，從而繞過民航系統(tǒng)的居民身份驗(yàn)證，如圖5. 通過對該案例的進(jìn)一步分析發(fā)現(xiàn)，該型自助終端已經(jīng)采取了多重安全加固措施，包括監(jiān)管Windows啟動程序從而防止對設(shè)備的重啟攻擊；業(yè)務(wù)應(yīng)用基于B/S網(wǎng)絡(luò)模型開發(fā)，并禁用了Windows系統(tǒng)彈窗功能，將用戶操作限制在瀏覽器范圍內(nèi)，徹底杜絕攻擊者獲得Windows其他系統(tǒng)權(quán)限的可能.

5 自助終端威脅評估模型

在物聯(lián)網(wǎng)與傳統(tǒng)內(nèi)網(wǎng)融合過程中，網(wǎng)絡(luò)安全風(fēng)險與隱患越發(fā)突出. 為有效應(yīng)對此類風(fēng)險，本文基于自助終端對企業(yè)、機(jī)構(gòu)內(nèi)部信息系統(tǒng)可能造成的危害，進(jìn)行威脅評估建模，大致分為以下4個威脅級別.

L1為第1級，即最高風(fēng)險級別. 當(dāng)內(nèi)部信息系統(tǒng)中自助終端同時存在權(quán)限轉(zhuǎn)移和異構(gòu)網(wǎng)接入漏洞時，可將該設(shè)備對內(nèi)部信息系統(tǒng)的威脅評定為L1級別. 值得注意的是，如果自助終端之間通過內(nèi)部信息系統(tǒng)可以互連，即攻擊者利用僅存在異構(gòu)網(wǎng)接入漏洞的自助終端可訪問僅存在權(quán)限轉(zhuǎn)移漏洞的自助終端時，威脅級別也應(yīng)評定為L1級別. 此種情況下，攻擊者可利用異構(gòu)網(wǎng)接入漏洞侵入內(nèi)網(wǎng)，并通過內(nèi)網(wǎng)遠(yuǎn)程控制存在權(quán)限轉(zhuǎn)移漏洞的失陷自助終端，進(jìn)而獲得在內(nèi)網(wǎng)中的持續(xù)控制權(quán)限，如圖6.

L2為第2級，自助終端僅存在異構(gòu)網(wǎng)接入漏洞，攻擊者通過對自助終端的近源滲透只能獲得內(nèi)網(wǎng)接入權(quán)限. 相較于L1而言，攻擊者僅獲得了接入內(nèi)部網(wǎng)絡(luò)的權(quán)限，難以在短時間內(nèi)建立內(nèi)網(wǎng)持久化控制. 此種情況下，攻擊者可以利用失陷的自助終端作為接入內(nèi)部網(wǎng)絡(luò)的“橋梁”，對內(nèi)網(wǎng)進(jìn)行大規(guī)模的網(wǎng)絡(luò)掃描、漏洞掃描甚至實(shí)施弱口令攻擊，為后期內(nèi)網(wǎng)橫向滲透獲取有用信息. 再者，攻擊者可在失陷終端附近設(shè)置無線網(wǎng)絡(luò)熱點(diǎn)，將失陷終端接入到攻擊者預(yù)先設(shè)置的無線網(wǎng)絡(luò)中，這樣攻擊者可在一定程度上擺脫與目標(biāo)設(shè)備之間的距離限制，在一段時間內(nèi)實(shí)現(xiàn)非抵近的網(wǎng)絡(luò)攻擊. 如果能夠徹底解決前端攻擊設(shè)備電源供給問題，攻擊者完全可以將整個內(nèi)網(wǎng)長時間連接至互聯(lián)網(wǎng)，甚至徹底擺脫必須近距離接觸目標(biāo)設(shè)備的限制，如圖7.

L3為第3級，攻擊者只能通過權(quán)限轉(zhuǎn)移漏洞獲得自助終端的控制權(quán)限，但無法接入內(nèi)網(wǎng)或建立與失陷自助終端之間的數(shù)據(jù)交換通道. 由于無法將攻擊設(shè)備接入內(nèi)網(wǎng)，或?qū)⒂糜诰W(wǎng)絡(luò)攻擊的惡意軟件上傳至自助終端，攻擊者能實(shí)施的攻擊行為較為有限，對內(nèi)網(wǎng)可能造成的危害相對較小. 具體而言，攻擊者所能實(shí)施的攻擊行為，包括獲取設(shè)備和網(wǎng)絡(luò)信息，修改自助終端所呈現(xiàn)的業(yè)務(wù)頁面，通過卸載業(yè)務(wù)應(yīng)用、關(guān)閉自助終端以及格式化磁盤等惡意操作對自助終端實(shí)施拒絕服務(wù)攻擊.

L4為第4級，攻擊者只能利用自助終端的具體業(yè)務(wù)應(yīng)用漏洞繞過身份認(rèn)證獲取由自助終端保存或管理的物理憑證，或者資產(chǎn)與服務(wù). 在此情況下，攻擊者往往無法取得自助終端的完全控制權(quán)，也無法接入內(nèi)網(wǎng)或建立與自助終端間的數(shù)據(jù)交換通道，對內(nèi)網(wǎng)整體安全性而言，攻擊者所能造成的危害極為有限. 然而，攻擊者利用竊取的物理憑證或者濫用自助終端提供的資產(chǎn)與服務(wù)所造成的社會危害或經(jīng)濟(jì)損失，視具體情而定.

6 自助終端安全防范對策

隨著物聯(lián)網(wǎng)的飛速發(fā)展，物聯(lián)網(wǎng)與傳統(tǒng)內(nèi)網(wǎng)融合過程中的網(wǎng)絡(luò)安全風(fēng)險與隱患越發(fā)突出. 在“等保2.0”網(wǎng)絡(luò)安全等級保護(hù)國家標(biāo)準(zhǔn)［14］提出后，關(guān)鍵基礎(chǔ)設(shè)施以及關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全日益受到國家重視. 自助終端作為內(nèi)網(wǎng)中廣泛應(yīng)用的物聯(lián)網(wǎng)設(shè)備，因其具有物聯(lián)網(wǎng)和內(nèi)網(wǎng)雙重屬性，在內(nèi)網(wǎng)運(yùn)維管理中經(jīng)常處于“真空地帶”. 因此，有必要站在物聯(lián)網(wǎng)安全角度，重新審視自助終端在物聯(lián)網(wǎng)應(yīng)用場景下的網(wǎng)絡(luò)安全風(fēng)險和隱患，制定宏觀層面的應(yīng)對策略以及技術(shù)層面的應(yīng)對措施.

（1） 擴(kuò)展內(nèi)網(wǎng)安全運(yùn)維管理覆蓋面，壓縮物聯(lián)網(wǎng)融入傳統(tǒng)內(nèi)網(wǎng)時所產(chǎn)生的運(yùn)維管理“真空地帶”. 雖然物聯(lián)網(wǎng)終端設(shè)備在功能，用途以及使用方式上與傳統(tǒng)計(jì)算機(jī)有著顯著區(qū)別，但很大一部分設(shè)備仍可通過工作組或Windows域管理方式納入傳統(tǒng)的內(nèi)網(wǎng)運(yùn)維管理之中，并且有必要將該類設(shè)備盡可能全部納入內(nèi)網(wǎng)統(tǒng)一管理［15］.

應(yīng)對措施：

① 參照“等保2. 0”等涉及物聯(lián)網(wǎng)安全運(yùn)維的相關(guān)國家、行業(yè)標(biāo)準(zhǔn)［10，11］，對涉及自助終端的內(nèi)網(wǎng)進(jìn)行有針對性的升級改造，例如采用虛擬局域網(wǎng)（后統(tǒng)稱VLAN）技術(shù)，盡可能將自助終端部署在同一個VLAN中.

② 加強(qiáng)網(wǎng)絡(luò)邊界防護(hù)，針對自助終端僅訪問內(nèi)網(wǎng)資源的特點(diǎn)，一方面有針對性的設(shè)置防火墻訪問控制規(guī)則，重點(diǎn)檢測來自自助終端的出網(wǎng)請求；另一方面，可采用基于機(jī)器學(xué)習(xí)的方法對內(nèi)網(wǎng)流量進(jìn)行分析［16］，例如內(nèi)網(wǎng)掃描等高危操作所產(chǎn)生的的網(wǎng)絡(luò)流量，從而及時發(fā)現(xiàn)和定位內(nèi)網(wǎng)異常自助終端.

③ 基于設(shè)備信息與強(qiáng)制策略的防御技術(shù)［15］，基于設(shè)備行為的檢測技術(shù)［17］，基于上下文感知的檢測技術(shù)［18］等在物聯(lián)網(wǎng)應(yīng)用場景下也具有一定可行性，可結(jié)合具體的應(yīng)用場景選擇部署.

（2） 按照前述自助終端威脅評估模型，結(jié)合具體的物聯(lián)網(wǎng)應(yīng)用場景以及“等保2.0”相關(guān)的信息安全國家、行業(yè)標(biāo)準(zhǔn)［10，11］，制定切實(shí)可行的自助終端網(wǎng)絡(luò)安全應(yīng)急處置措施. 一方面，針對失陷自助終端制定網(wǎng)絡(luò)安全事件應(yīng)急處置方案，方案制定應(yīng)當(dāng)以最大限度減小失陷設(shè)備對內(nèi)網(wǎng)的影響作為首要原則. 另一方面，還需制定內(nèi)部網(wǎng)絡(luò)應(yīng)對自助終端失陷的分級處置措施，例如涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)采取不同的處置措施，子網(wǎng)與核心網(wǎng)絡(luò)采取不同處置措施.

應(yīng)對措施：

① 針對自助終端構(gòu)建專用VLAN，將自助終端部署在同一VLAN中，并限制VLAN可訪問的內(nèi)網(wǎng)資源，從而將針對自助終端的潛在攻擊行為限制在特定網(wǎng)絡(luò)范圍內(nèi)，減小網(wǎng)絡(luò)攻擊行為可能導(dǎo)致的破壞.

② 參照“等保2.0”標(biāo)準(zhǔn)［11］中“物聯(lián)網(wǎng)安全擴(kuò)展要求”，公安機(jī)關(guān)數(shù)字取證相關(guān)標(biāo)準(zhǔn)［19，20］，結(jié)合企業(yè)、機(jī)構(gòu)自身網(wǎng)絡(luò)的涉密情況，分類、分級制定符合實(shí)際情況的自助終端網(wǎng)絡(luò)安全應(yīng)急處置措施，例如在發(fā)現(xiàn)攻擊行并定位失陷自助終端后，是否立即關(guān)閉設(shè)備電源，是否將設(shè)備進(jìn)行網(wǎng)絡(luò)隔離，或?qū)⒃O(shè)備轉(zhuǎn)移至取證用的隔離網(wǎng)絡(luò)等.

③ 考慮到針對物聯(lián)網(wǎng)系統(tǒng)的攻擊日益頻繁［21，22］，加之自助終端自身具有的內(nèi)網(wǎng)設(shè)備屬性，內(nèi)網(wǎng)建設(shè)和升級改造時，應(yīng)當(dāng)充分考慮內(nèi)部信息系遭受該類攻擊后的恢復(fù)能力［23］，尤其是涉及政務(wù)服務(wù)、交通運(yùn)輸?shù)汝P(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域.

（3）從軟硬件兩個方面著手，提升自助終端安全性. 就硬件而言，在確保自助終端能用性的前提下，盡量移除不必要的硬件或傳感器［11］，減少自助終端對外暴露接口，提升自助終端物理安全；就軟件而言，采用更加安全可靠的業(yè)務(wù)應(yīng)用模型［24］，合理配置底層操作系統(tǒng)安全策略，加固業(yè)務(wù)應(yīng)用運(yùn)行所需的支撐軟件等.

應(yīng)對措施：

① 遵循“等保2.0”等國家和行業(yè)標(biāo)準(zhǔn)［11］，結(jié)合本文前期調(diào)研情況，在自助終端部署前應(yīng)當(dāng)移除設(shè)備中的多余部件，例如無線網(wǎng)卡、藍(lán)牙網(wǎng)卡以及USB接口等，從而最大程度提高設(shè)備的物理安全性［25］. 考慮自助終端開發(fā)、部署以及運(yùn)維管理環(huán)節(jié)可能產(chǎn)生的額外成本，在無法徹底移除多余部件的情況下，可考慮物理屏蔽或遮擋多余接口，至少應(yīng)當(dāng)從系統(tǒng)層面禁用多余部件，或者卸載部件對應(yīng)的硬件驅(qū)動程序.

② 從系統(tǒng)安全角度出發(fā)，自助終端應(yīng)盡量選擇部署適用于物聯(lián)網(wǎng)應(yīng)用場景的操作系統(tǒng)，例如Android，Windows Embedded Standard 7，Windows Embedded 8 Standard/Industry，Windows 10 IoT Core/Enterprise［26］以及Windows 11 IoT Enterprise［27］等操作系統(tǒng).

③ 就軟件開發(fā)而言，自助終端業(yè)務(wù)系統(tǒng)應(yīng)盡量采用B/S網(wǎng)絡(luò)模型［24］，通過系統(tǒng)自帶的瀏覽器實(shí)現(xiàn)用戶交互以及業(yè)務(wù)頁面呈現(xiàn)，將可能的攻擊面限制在底層操作系統(tǒng)和瀏覽器等支撐軟件層面. 一方面，可以充分利用支撐軟件的安全性提高攻擊的技術(shù)門檻和實(shí)施攻擊的成本；另一方面，由于業(yè)務(wù)數(shù)據(jù)存儲于遠(yuǎn)端服務(wù)器，可進(jìn)一步減小自助終端失陷后可能造成的數(shù)據(jù)丟失風(fēng)險.

④ 在自助終端部署和運(yùn)維過程中，應(yīng)充分利用操作系統(tǒng)和瀏覽器等支撐軟件所提供的安全特性，制定有效的自助終端網(wǎng)絡(luò)安全防護(hù)策略. 就Windows系統(tǒng)而言，運(yùn)維管理人員應(yīng)啟用Windows IoT 或Windows Embedded系統(tǒng)提供的展臺模式［28］（Kiosk Mode），確保自助終端始終以全屏模式運(yùn)行業(yè)務(wù)應(yīng)用，或通過Windows自帶瀏覽器展示業(yè)務(wù)頁面，阻止使用者對Windows其他系統(tǒng)功能的訪問［28，29］. 就Android系統(tǒng)而言，運(yùn)維管理人員應(yīng)當(dāng)將系統(tǒng)自帶的Chrome瀏覽器設(shè)置為展臺模式以全屏方式呈現(xiàn)業(yè)務(wù)頁面，或者將Android系統(tǒng)設(shè)置為鎖定任務(wù)模式［30］（Lock Task Mode）以類似展臺模式的方式運(yùn)行業(yè)務(wù)應(yīng)用，從而阻止用戶對Android其他系統(tǒng)功能的訪問［30，31］.

7 結(jié) 論

物聯(lián)網(wǎng)的飛速發(fā)展勢必會引入新的網(wǎng)絡(luò)安全風(fēng)險與隱患，尤其是物聯(lián)網(wǎng)與傳統(tǒng)內(nèi)網(wǎng)融合過程中，難免存在運(yùn)維管理“真空地帶”. 通過分析物聯(lián)網(wǎng)應(yīng)用場景下自助終端存在的網(wǎng)絡(luò)安全漏洞，結(jié)合政務(wù)服務(wù)和交通運(yùn)輸領(lǐng)域的實(shí)際案例，本文提出了物聯(lián)網(wǎng)應(yīng)用場景下自助終端網(wǎng)絡(luò)安全威脅評估模型，企業(yè)、機(jī)構(gòu)可據(jù)此制定內(nèi)網(wǎng)安全應(yīng)對策略，并采取有針對性的技術(shù)應(yīng)對措施.

參考文獻(xiàn)：

［1］ Falconi F， Zapata C， Moquillaza A， et al. Security guidelines for the design of ATM interfaces［C］//Proceedings of the Advances in Usability， User Experience， Wearable and Assistive Technology. AHFE 2020. Advances in Intelligent Systems and Computing. San Diego， USA： Springer， 2020.

［2］ Thirumoorthy D， Rastogi U， Sundaram B， et al. An IoT implementation to ATM safety system ［C］//Proceedings of the 2021 Third International Conference on Inventive Research in Computing Applications （ICIRCA）. Coimbatore， India： IEEE， 2021.

［3］ Ho G， Leung D， Mishra P， et al. Smart locks： lessons for securing commodity internet of things devices ［C］//Proceedings of the 11th ACM on Asia Conference on Computer and Communications Security. New York， USA： ASSOC Computing Machinery， 2016.

［4］ 王時群， 許占民. 基于AHP-TOPSIS法的醫(yī)院自助終端掛號系統(tǒng)可用性評價研［J］. 工業(yè)設(shè)計(jì)， 2022， 32： 33.

［5］ 黃正茂， 劉桂新， 喬國凱. 國產(chǎn)化自助終端應(yīng)用現(xiàn)狀及發(fā)展研究［J］. 信息技術(shù)與信息化， 2020， 193： 197.

［6］ Shang H， Shi X， Wang C. Research on the design of medical self-service terminal for the elderly ［C］//Proceedings of the Advances in Human Factors and Ergonomics in Healthcare and Medical Devices. AHFE 2020. Advances in Intelligent Systems and Computing. USA： Springer， 2020.

［7］ Scaife N， Bowers J， Peeters C， et al. Kiss from a rogue： evaluating detectability of pay-at-the-pump card skimmers ［C］//Proceedings of the IEEE Symposium on Security and Privacy. San Francisco， USA： IEEE， 2019.

［8］ 國務(wù)院. 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例［EB/OL］.（2021-07-30）［2022-09-30］. http：//www.gov.cn/gongbao/content/2021/content_5636138.htm.

［9］ Ivanov N， Yan Q. AutoThing： a secure transaction framework for self-service things ［J］. IEEE T Serv Comput， 2022， 1： 13.

［10］ 中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會. 公安物聯(lián)網(wǎng)系統(tǒng)信息安全等級保護(hù)要求： GB/T 35317-2017［S］.北京： 中國質(zhì)檢出版社， 2017.

［11］ 國家市場監(jiān)督管理總局，中國國家標(biāo)準(zhǔn)化管理委員會.? 信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求： GB/T 22239-2019［S］.北京： 中國質(zhì)檢出版社， 2019.

［12］ 馮鵬鈺， 葉翔. 政務(wù)自助終端機(jī)安全隱患及加固研究［J］. 中國有線電視， 2020， 797： 799.

［13］ 成都地鐵. 成都地鐵信息概覽［EB/OL］. ［2022-09-30］. https：//metrodb.org/index/chengdu.html.

［14］ 公安部. 公安部出臺指導(dǎo)意見進(jìn)一步健全完善國家網(wǎng)絡(luò)安全綜合防控體系［EB/OL］. （2020-09-22） ［2022-09-30］. http：//www.gov.cn/xinwen/2020-09/22/content_5546104.htm.

［15］ Celik B， Tan G， McDaniel P. IoTGuard： dynamic enforcement of security and safety policy in commodity IoT［C］//Proceedings of the Network and Distributed System Security Symposium （NDSS）. San Diego， USA： Internet SOC， 2019.

［16］ Fehmi J， Darine A， Amine B， et al. Identification of compromised IoT devices： combined approach based on energy consumption and network traffic analysis［C］//Proceedings of the 21st International Conference on Software Quality， Reliability and Security （QRS）. Hainan， China： IEEE， 2021.

［17］ Babun L， Aksu H， Uluagac A. A system-level behavioral detection framework for compromised CPS devices： smart-grid case ［J］. ACM Trans Cyber： Phys， 2020， 1： 28.

［18］ Sikder S， Babun L， Aksu H， et al. Aegis： a context-aware security framework for smart home systems ［C］//Proceedings of the 35th Annual Computer Security Applications Conference （ACSAC）. Austin， USA： ACM， 2019.

［19］ 公安部第三研究所. 電子證據(jù)數(shù)據(jù)現(xiàn)場獲取通用方法： GA/T 1174-2014［S］.北京： 中國標(biāo)準(zhǔn)出版社， 2014.

［20］ 中國刑事警察學(xué)院， 公安部物證鑒定中心， 公安部網(wǎng)絡(luò)安全保衛(wèi)局. 法庭科學(xué)： 電子物證Windows操作系統(tǒng)日志檢驗(yàn)技術(shù)規(guī)范GA/T 1071-2021［S］.北京： 中國質(zhì)檢出版社， 2021.

［21］ Kelli Young. Cyber Case Study： The mirai DDoS attack on dyn［EB/OL］. （2022-01-10） ［2022-09-30］. https：//coverlink.com/case-study/mirai-ddos-attack-on-dyn/#：～：text=The%20Mirai%20DDoS%20Attack%20on%20Dyn%20was%20one，unavailable%20to%20users%20throughout%20North%20America%20and%20Europe.

［22］ Andy Greenberg. The colonial pipeline hack is a new extreme for ran-somware ［EB/OL］. （2021-05-08） ［2022-09-30］. https：//www.wired.com/story/colonial-pipeline-ransomware-attack/.

［23］ Medwed M， Nikov V， Renes J， et al. Cyber resilience for self-monitoring IoT devices ［C］//Proceedings of the IEEE International Conference on Cyber Security and Resilience （CSR）. Rhodes， Greece：IEEE， 2021： 160.

［24］ Google LLC. 創(chuàng)建和部署Chrome自助服務(wù)終端應(yīng)用［EB/OL］. ［2022-09-30］.https：//support.google.com/chrome/a/answer/3316168？hl=zh-Hans.

［25］ Yang X， Shu L， Liu Y， et al. Physical security and safety of IoT equipment： a survey of recent advances and opportunities ［J］. IEEE T Ind Inform， 2022， 18： 4319.

［26］ Microsoft. Windows 10 IoT 概述［EB/OL］. ［2022-09-30］. https：//learn.microsoft.com/zh-cn/windows/iot-core/windows-iot.

［27］ Microsoft. Windows 11 IoT 企業(yè)版中有哪些新增功能？［EB/OL］.［2022-09-30］. https：//learn.microsoft.com/zh-cn/windows/iot/product-family/what's-new-in-windows-11-iot-enterprise.

［28］ Microsoft.展臺模式［EB/OL］. ［2022-09-30］. https：//learn.microsoft.com/zh-cn/windows/iot/iot-enterprise/kiosk-mode/kiosk-mode.

［29］ Microsoft. 什么是通用 Windows 平臺 （UWP） 應(yīng)用？［EB/OL］. ［2022-09-30］. https：//learn.microsoft.com/zh-cn/windows/uwp/get-started/universal-application-platform-guide.

［30］ Google LLC. Dedicated devices overview ［EB/OL］. ［2022-09-30］. https：//developer.android.com/work/dpc/dedicated-devices.

［31］ Google LLC. Create and deploy Chrome kiosk apps［EB/OL］. ［2022-09-30］.https：//support.google.com/chrome/a/answer/3316168？hl=en.