物联网是指通过各种信息传感设备,实时采集任何需要监控、连接、互动的物体或过程等各种需要的信息,与互联网结合形成的一个巨大网络,其目的是实现物与物、物与人,所有的物品与网络的连接,方便识别、管理和控制。物联网是新一代信息技术的高度集成和综合运用,已成为全球新一轮科技革命与产业变革的核心驱动和经济社会绿色、智能、可持续发展的关键基础与重要引擎。
物联网安全已上升至国家安全,本专题通过对物联网“云、管、端”安全三个方面进行分析,阐述了物联网目前主要面临的安全威胁,并对物联网安全管控进行分析。物联网安全管控也需根据物联网发展趋势相适应,能够为物联网的健康、稳定、高速发展保驾护航。
一、物联网终端安全
根据对物联网智能终端的研究,如家电智能设备、网络摄像头等,发现物联网智能终端安全主要有四大安全威胁。
1、物联网智能终端安全威胁
安全威胁
1)物联网智能终端设备存在弱口令问题;
2)物联网智能终端设备操作系统、内置Web应用、数据库等存在安全漏洞和用于窃取数据、发动DDoS攻击、发送垃圾邮件或被操纵攻击其他网络等严重安全事件后面;
3)物联网智能终端设备身份认证识别弱;
4)物联网智能终端设备被植入恶意代码或成为僵尸网络。
安全威胁特征
1)物联网智能终端设备存在弱口令数量、种类巨大,覆盖范围广;
2)物联网智能终端设备被恶意控制后,可直接影响个人生活、财产、隐私、生命安全;
3)恶意利用简单;
4)物联网智能终端设备后期加固的难度较大,需在设计开发阶段开始考虑安全问题;
5)物联网智能终端设备分布范围广泛,使用场景各异,很难进行统一升级补丁加固;
6)身份伪造、伪冒后可进行恶意攻击;7)用于窃取数据、发动DDoS攻击、发送垃圾邮件或被操纵攻击其他网络等严重安全事件。
2、物联网智能终端安全管控分析
物联网智能终端在设计开发阶段时应同步设计考虑安全管控措施;在终端生产发布前同步做好安全防护测试;在终端发布投入使用阶段同步做好固件漏洞更新管理及智能终端的安全性监控。具体物联网终端安全管控分析如以下五点:
1)针对物联网智能终端分布范围广、数量多的特点,物联网应该在网络侧开展病毒的感知和探测。
2)物联网智能终端的信息留存,应该建立相应的规范,在信息留存的类型、时长、方法、加密手段、访问措施等方面于以限制。
3)物联网智能终端的身份认证策略应建立较强的身份认证措施及完善的密码管理策略。
4)物联网智能终端生产发布前,应做好安全测试,终端发布后及时做好固件更新和漏洞管理,必要的情况下进行入网许可。
5)针对物联网智能终端建设安全性检查平台或建设相应的安全性监控手段,能够检测到异常终端,隔离可疑应用程序或阻止攻击扩散。
3、物联网非智能终端安全威胁
根据对物联网非智能终端的研究,如传感器、射频识别(RFID)等,目前物联网非智能终端在网络安全层面未发现安全威胁,在物理安全层面存在被攻击者物理操纵安全威胁。
二、物联网管道安全
物联网“管”则是连接“云”和“端”之间的管道,物联网“管”安全为大容量智能化的信息管道安全。根据对物联网信息管道的调研,发现物联网管道安全主要有四大安全威胁。
1、物联网管道安全威胁
物联网管道安全威胁
1)没有统一物联网通信协议标准,可采用自有协议进行通信;
2)物联网卡监管体系不健全;
3)物联网管道存在多样化,部分技术未纳入安全管控,例如蓝牙、红外、NFC;
4)物联网管道的中间人攻击。
物联网管道安全威胁特征
1)导致敏感信息泄露等风险;
2)不同物联网通信协议之间兼容困难;
3)与现有的互联网通信协议存在差异,现有安全工具无法移植到物联网;
4)存在物联网专用卡、物联网行业卡被违规使用的风险,导致物联网卡滥用且无法溯源;
5)传统的网络安全管理面临挑战;
6)物联网管道攻击手段多样化;
7)攻击可导致关系国计民生的重要生产系统异常;
8)攻击形成的破坏力更大。
2、物联网管道安全管控分析
在物联网管道设计阶段应考虑采用安全的通信协议、传输介质等,在物联网管道建设阶段应考虑为安全监控、态势感知预留相应数据接口,在物联网管道投入使用阶段应做好物联网信息管道安全监控。具体物联网管道安全管控分析如以下两点:
1)开发商、生产商、管理部门尽快制定物联网通信协议标准。
2)建立物联网系统接入管控设施,尤其是接入涉及国计民生的重要物联网系统。区分传统网络中是否存在物联网信号传递,并建设物联网信号监控手段。
三、物联网云服务安全
通俗来说,物联网云服务在做信息与其他方资源共享时使用,因此保护好云服务安全也是保护好物联网安全的关键环节。
根据对目前主流云产品的调研,发现物联网云服务安全主要有八大安全威胁。
1、物联网云服务安全威胁
物联网云服务安全威胁
1)数据泄露;
3)API(应用程序编程接口)被恶意攻击者攻击;
4)系统漏洞利用;
5)系统漏洞利用;
6)恶意人员;
7)系统永久的数据丢失;
8)拒绝服务攻击威胁;
9)云服务共享技术,共享风险。
安全威胁的特征
1)泄露数据量大;
2)容易形成APT(高级持续性威胁)攻击目标;
3)泄露数据的价值高;
4)对个人和社会影响大;
5)物联网身份伪造容易;
6)如果凭据控制不当,数据无法进行隔离保护;
7)物联网API接口多,容易被恶意攻击者攻击;
8)物联网API接口种类复杂,攻击多样化;
9)物联网云服务系统漏洞被恶意攻击者攻击后影响很大;
10)内部人员对数据的恶意行为;
11)外部人员的攻击威胁;
12)云端数据破坏会造成整个物联网系统损毁
13)影响国计民生;
14)造成物联网系统异常服务;
15)由共享技术导致病毒攻击行为。
2、物联网云服务安全管控分析
在物联网云服务系统新建、改建、扩建等工程项目中,应当同步建设物联网云服务系统安全保障设施,并与主体工程同步进行验收和投入运行。具体物联网云服务安全管控分析如以下六点:
1)物联网云服务实行准入制,物联网云服务系统应该进行备案并经过安全评估准许入网。
2)物联网云服务的身份认证策略应建立较强的身份认证措施及完善的密码管理策略。
3)物联网云服务应该具备攻击防御能力和感知能力。
4)建立物联网云服务备份机制。
5)物联网云服务系统定期开展风险评估;
6)开展重要敏感信息系统管理运维人员认证,建立重要岗位人员管控机制。