e-works数字化企业网  »  文章频道  »  基础信息化  »  物联网

物联网安全综述白皮书

2017/3/29    来源:绿盟科技    作者:佚名      
关键字:物联网安全  工控安全  
早在1999年,MIT AutoID 研究室的Kevin Ashton 在研究将射频识别信息与互联网相连接的时候首先提到了物联网的概念。

    四、物联网安全公司及产品介绍
 
    1、引言
 
    消费行业的市场处于物联网普及的开端,可穿戴设备、智能家庭产品、照明设备和其他的智能设备正在成为主流。商业和公共部门对于物联网的采用在消费市场之后,Verizon在2015年的物联网报告中预测2011年到2020年之间的企业对企业(Business-to-Business,B2B)的物联网连接每年将以28%的速度增长。工业,如制造型、能源、交通和零售已经采用了物联网initiatives。埃森哲在其2015年的工业物联网市场定位报告中预测,到2030年,单纯美国的工业物联网将价值7.1万亿美元,将支持效率、安全、生产力和service provisioning的增强。
 
    2、赛门铁克
 
    由于物联网设备的资源受限,因此并不完全支持传统的安全解决方案。赛门铁克[1]将物联网安全分为四个部分:通信保护、设备保护、设备管理和理解当前的系统。这几个部分可以结合起来组成一个功能强大的、易于部署的安全架构来移除物联网中的大部分的安全威胁,如APT和复杂的威胁。白皮书“An Internet of Things Reference Architecture”中对这四部分进行了介绍。
 
    [1] https://www.symantec.com/solutions/internet-of-things
 
    3、CUJO
 
    智能家居(smart home, home automation)是以住宅为平台,利用综合布线技术、网络通信技术、 安全防范技术、自动控制技术、音视频技术将家居生活有关的设施集成,构建高效的住宅设施与家庭日程事务的管理系统,提升家居安全性、便利性、舒适性、艺术性,并实现环保节能的居住环境。但是“便利”向来是把双刃剑,在物联网中传输的数据越多,信息暴露的可能性就越大,存在的安全隐患也因此而剧增。
 
    在智能家庭中,一个很流行的应用是Nest公司的智能恒温器,该设备可以控制家庭的温度。但是,由于设备搜集家庭中的人的信息,因此,智能恒温器知道家中什么时候有人,他们的日程安排是什么,他们什么时候起床、什么时候睡觉,他们偏好于多少温度。
 
    许多智能电视带有摄像头,即便电视没有打开,入侵智能电视的攻击者可以使用摄像头来监视你和你的家人。由于缺乏安全标准,攻击者甚至会锁定电视从而达到勒索的目的。
 
    许多智能家庭的用户将车库开门器、门锁、摄像头等安防系统连接到网络上,通过手机APP可对其进行控制。攻击者一旦攻破这样的系统很明显会带来问题。比如攻击者在你去度假的时候打开房门,或者在午夜打开车库门等等。
 
    五、总结及思考
 
    通过前几章的介绍,我们可以了解到:物联网覆盖的范围较为广泛,物联网安全问题所需要关注的方面也非常多,不仅包含传统网络安全问题,还存在着一些物联网特有的安全问题。
 
    本章中我们总结出了物联网安全研究可以切入的三个领域:工业控制、智能汽车和智能家居,然后又列出了六点需要重点关注的方面,公司可以从这些点作为物联网安全研究的切入点。
 
    1、物联网安全可以作为切入点的领域
 
    (1)工控安全
 
    针对工业控制系统的攻击将导致严重的后果。工业4.0驱动制造业、过程控制、基础设施、其他工业控制系统的连通性,对于这些系统的威胁不断上升。
 
    (2)智能汽车安全
 
    随着特斯拉汽车的推出,以及苹果、谷歌等互联网巨头新的智能汽车系统的成熟,车联网正在从概念变为现实,但是智能汽车一旦遭受黑客攻击,发生安全问题,可能会造成严重的交通事故,威胁人们的生命安全。
 
    (3)智能家居安全
 
    随着物联网技术的迅速发展,智能家居概念颇为火热,但是如果黑客能轻松的利用网络攻破一些智能家用产品的安全防线, 如:黑客侵占智能设备(恒温控制器、智能TV、摄像头),可以获取用户隐私信息,带来安全隐患。
 
    2、物联网安全研究点
 
    基于调研,我们总结了物联网安全的六个关注点:
 
    (1)物联网安全网关
 
    物联网设备缺乏认证和授权标准,有些甚至没有相关设计,对于连接到公网的设备,这将导致可通过公网直接对其进行访问。另外,也很难保证设备的认证和授权实现没有问题,所有设备都进行完备的认证未必现实(设备的功耗等),可考虑额外加一层认证环节,只有认证通过,才能够对其进行访问。结合大数据分析提供自适应访问控制。
 
    对于智能家居内部设备(如摄像头)的访问,可将访问视为申请,由网关记录并通知网关APP,由用户在网关APP端进行访问授权。
 
    未来物联网网关可以发展成富应用平台,就像当下的手机一样。一是对于用户体验和交互性来说拥有本地接口和数据存储是非常有用的,二是即使与互联网的连接中断,这些应用也需要持续工作。物理网关对于嵌入式设备可以提供有用的安全保护。低功耗操作和受限的软件支持意味着频繁的固件更新代价太高甚至不可能实现。反而,网关可以主动更新软件(高级防火墙)以保护嵌入式设备免受攻击。实现这些特性需要重新思考运行在网关上的操作系统和其机制。
 
    软件定义边界可以被用来隐藏服务器和服务器与设备的交互,从而最大化地保障安全和运行时间。
 
    细粒度访问控制:研究基于属性的访问控制模型,使设备根据其属性按需细粒度访问内部网络的资源;
 
    自适应访问控制:研究安全设备按需编排模型,对于设备的异常行为进行安全防护,限制恶意用户对于物联网设备的访问。
 
    同时,安全网关还可与云端通信,实现对于设备的OTA升级,可以定期对内网设备状态进行检测,并将检测结果上传到云端进行分析等等。
 
    但是,也应意识到安全网关的局限性,安全网关更适用于对于固定场所中外部与内部连接之间的防护,如家庭、企业等,对于一些需要移动的设备的安全,如智能手环等,或者内部使用无线通信的环境,则可能需要使用其他的方式来解决。
 
    (2)应用层的物联网安全服务
 
    应用层的物联网安全服务主要包含两个方面,一是大数据分析驱动的安全,二是对于已有的安全能力的集成。
 
    由于感知层的设备性能所限,并不具备分析海量数据的能力,也不具备关联多种数据发现异常的能力,一种自然的思路是在感知层与网络层的连接处提供一个安全网关,安全网关负责采集数据,如流量数据、设备状态等等,这些数据上传到应用层,利用应用层的数据分析能力进行分析,根据分析结果,下发相应指令。
 
    传统的Web安全中的安全能力,如URL信誉服务、IP信誉服务等等,同样可以集成到物联网环境中,可作为安全服务模块,由用户自行选择。
 
 

利用云端进行大数据分析

 
    利用云端进行大数据分析
 
    (3)漏洞挖掘研究
 
    物联网漏洞挖掘主要关注两个方面,一个是网络协议的漏洞挖掘,一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层,应用层大多采用云平台,属于云安全的范畴,可应用已有的云安全防护措施。
 
    在现代的汽车、工控等物联网行业,各种网络协议被广泛使用,这些网络协议带来了大量的安全问题。需要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘,先于攻击者发现并及时修补漏洞,有效减少来自黑客的威胁,提升系统的安全性。
 
    物联网设备多使用嵌入式操作系统,如果这些嵌入式操作系统遭受了攻击,将会对整个设备造成很大的影响。对嵌入式操作系统的漏洞挖掘也是一个重要的物联网安全研究方向。
 
    (4)物联网僵尸网络研究
 
    今年最为有名的物联网僵尸网络便是Mirai了,它通过感染网络摄像头等物联网设备进行传播,可发动大规模的DDoS攻击,它对Brian Krebs个人网站和法国网络服务商OVH发动DDoS攻击,对于美国Dyn公司的攻击Mirai也贡献了部分流量。
 
    对于物联网僵尸网络的研究包括传播机理、检测、防护和清除方法。
 
    (5)区块链技术
 
    区块链解决的核心问题是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系。
 
    在物联网环境中,所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动,但是必须解决物联网设备之间的信任问题。
 
    传统的中心化系统中,信任机制比较容易建立,存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中设备众多,未来可能会达到百亿级别,这会对可信第三方造成很大的压力。
 
    区块链系统网络是典型的P2P网络,具有分布式异构特征,而物联网天然具备分布式特征,网中的每一个设备都能管理自己在交互作用中的角色、行为和规则,对建立区块链系统的共识机制具有重要的支持作用。
 
    (6)物联网设备安全设计
 
    物联网设备制造商并没有很强的安全背景,也缺乏标准来说明一个产品是否是安全的。很多安全问题来自于不安全的设计。信息安全厂商可以做三点:一是提供安全的开发规范,进行安全开发培训,指导物联网领域的开发人员进行安全开发,提高产品的安全性;二是将安全模块内置于物联网产品中,比如工控领域对于实时性的要求很高,而且一旦部署可能很多年都不会对其进行替换,这是的安全可能更偏重于安全评估和检测,如果将安全模块融入设备的制造过程,将能显著降低安全模块的开销,对设备提供更好的安全防护;三是对出厂设备进行安全检测,及时发现设备中的漏洞并协助厂商进行修复。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐