據(jù)《2106-2017年中國物聯(lián)網(wǎng)發(fā)展年度報告》統(tǒng)計,2016年我國物聯(lián)網(wǎng)市場規(guī)模超9000億元,同比增速連續(xù)多年超過20%。預(yù)計到2020年,我國物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模將超過1.5萬億元,物聯(lián)網(wǎng)的應(yīng)用發(fā)展非常迅猛。在今年6月,我國正式發(fā)布《關(guān)于全面推進移動物聯(lián)網(wǎng)(NB-IOT)建設(shè)發(fā)展的通知》,要求加快推進移動物聯(lián)網(wǎng)部署,構(gòu)建NB-IOT網(wǎng)絡(luò)基礎(chǔ)設(shè)施。到2017年末,實現(xiàn)NB-IOT網(wǎng)絡(luò)覆蓋直轄市、省會城市等主要城市,基站規(guī)模達到40萬個。并且隨著現(xiàn)代城市的發(fā)展和國家“十三五”規(guī)劃物聯(lián)網(wǎng)的應(yīng)用推廣,預(yù)計許多城市也把建設(shè)智慧城市作為城市發(fā)展的核心戰(zhàn)略,以提高城市的效率和競爭力。但是針對物聯(lián)網(wǎng)的國家標(biāo)準、行業(yè)標(biāo)準遲遲未正式發(fā)布,對于測評機構(gòu)而言存在如何檢查發(fā)現(xiàn)風(fēng)險以及如何解讀標(biāo)準要求存在一定的局限性,以下是我公司對物聯(lián)網(wǎng)試點測評的一些情況匯報。
一、物聯(lián)網(wǎng)的應(yīng)用
物聯(lián)網(wǎng)最為明顯的特征是網(wǎng)絡(luò)智慧化,通過信息化的手段實現(xiàn)物物相連,提高不同行業(yè)的自動化管理水平,減少人為干預(yù),從而極大程度地提升效率,同時降低人工帶來的不穩(wěn)定性。通過感應(yīng)設(shè)備將電網(wǎng)、鐵路、橋梁、隧道、公路、建筑、供水系統(tǒng)、大壩、油氣管道等數(shù)據(jù)信息化,并通過網(wǎng)絡(luò)傳輸方式實現(xiàn)信息的采集及管理,將物聯(lián)網(wǎng)與現(xiàn)有的互聯(lián)網(wǎng)整合起來,實現(xiàn)人類社會與物理系統(tǒng)的整合。因此,物聯(lián)網(wǎng)在許多行業(yè)應(yīng)用中將發(fā)揮巨大的潛力。
物聯(lián)網(wǎng)作為一個系統(tǒng)網(wǎng)絡(luò),與其他網(wǎng)絡(luò)一樣,也有其內(nèi)部特有的架構(gòu)。物聯(lián)網(wǎng)的系統(tǒng)架構(gòu)劃分為三個層次。
■ (一)感知層,即利用 RFID、傳感器、二維碼等隨時隨地獲取物體的信息;
■ (二)網(wǎng)絡(luò)層,通過各種電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)的融合,將物體的信息實時準確地傳遞出去;
■ (三)應(yīng)用層,把感知層的得到的信息進行處理,實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理等實際應(yīng)用。
總之,物聯(lián)網(wǎng)概念是在互聯(lián)網(wǎng)概念的基礎(chǔ)上,將其用戶端延伸和擴展到任何物品與任何物品之間,進行信息交換和通信的一種網(wǎng)絡(luò)概念。
二、物聯(lián)網(wǎng)的安全現(xiàn)狀
2016年10月21日,美國多個城市出現(xiàn)互聯(lián)網(wǎng)癱瘓情況,包括Twitter、Shopify、Reddit等在內(nèi)的大量互聯(lián)網(wǎng)知名網(wǎng)站數(shù)小時無法正常訪問。其中,為上述眾多網(wǎng)站提供域名解析服務(wù)的美國Dyn公司稱,公司遭到大規(guī)模的“拒絕訪問服務(wù)(DDoS)”攻擊。后據(jù)調(diào)查,這是Mirai僵尸網(wǎng)絡(luò)發(fā)動的攻擊。Mirai僵尸網(wǎng)絡(luò)中包含了大量可聯(lián)網(wǎng)設(shè)備,例如監(jiān)控攝像頭、路由器以及智能電視等等。 Mirai僵尸網(wǎng)絡(luò)發(fā)起了有史以來規(guī)模最大的3次DDoS攻擊。由于此次攻擊中有大約60萬臺的物聯(lián)網(wǎng)設(shè)備參與到Mirai僵尸網(wǎng)絡(luò)大軍中,成為大規(guī)模物聯(lián)網(wǎng)設(shè)備首次參與企業(yè)級攻擊的一個關(guān)鍵案例。
2017年6月18日,國家質(zhì)檢總局在官網(wǎng)發(fā)布了“智能攝像頭質(zhì)量安全風(fēng)險警示”,稱針對智能攝像頭可能存在的信息安全危害,國家質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司組織開展了智能攝像頭質(zhì)量安全風(fēng)險監(jiān)測。據(jù)介紹,共從市場上采集樣品40批次,主要依據(jù)GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等標(biāo)準要求,對操作系統(tǒng)的更新、惡意代碼防護、身份鑒別、弱口令校驗、訪問控制、信息泄露、數(shù)據(jù)傳輸使用安全有效加密、本地存儲數(shù)據(jù)保護等項目進行了檢測。檢測結(jié)果表明,32批次樣品存在質(zhì)量安全隱患。
綜上所述這兩個案例,物聯(lián)網(wǎng)的安全情況不容樂觀,需大力推進網(wǎng)絡(luò)安全等級保護對物聯(lián)網(wǎng)的安全覆蓋,提高整個物聯(lián)網(wǎng)行業(yè)的安全防護能力,減少安全事件的發(fā)生。
三、物聯(lián)網(wǎng)等級測評的情況分析
(一)系統(tǒng)應(yīng)用范圍廣(物聯(lián)網(wǎng)、云、移動互聯(lián)網(wǎng))
物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的延伸,因此物聯(lián)網(wǎng)的安全也是互聯(lián)網(wǎng)安全的延伸,物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的關(guān)系是密不可分、相輔相成的。如下圖,物聯(lián)網(wǎng)就結(jié)合云計算、移動互聯(lián)網(wǎng)進行了產(chǎn)品應(yīng)用的功能實現(xiàn)。所以需要進行多緯度和擴范圍去考慮綜合安全問題。
(二)物聯(lián)網(wǎng)服務(wù)提供商安全意識淡薄
物聯(lián)網(wǎng)技術(shù)的出現(xiàn),使我們的生活更加方便、快捷的同時,也不可避免地帶來了一些安全問題。物聯(lián)網(wǎng)中的很多應(yīng)用都與我們的生活息息相關(guān),如智能攝像頭、智能家居、智慧城市等設(shè)備,通過對它們的信息的采集,可直接或間接地暴露大量用戶的隱私信息。但是由于生產(chǎn)商缺乏安全意識,在產(chǎn)品設(shè)計之初沒有把安全標(biāo)準和要求納入進來,很多設(shè)備缺乏加密、認證、訪問控制管理的安全措施,企業(yè)在運營過程中也沒有按照等級保護的要求進行等保測評。使得物聯(lián)網(wǎng)中的數(shù)據(jù)很容易被竊取或非法訪問,造成數(shù)據(jù)泄露,或者被非法控制,產(chǎn)生嚴重的后果。
(三)物聯(lián)網(wǎng)終端連接情況復(fù)雜
物聯(lián)網(wǎng)廣泛在智慧城市、無人駕駛、智慧家居、農(nóng)業(yè)物聯(lián)網(wǎng)等等各個方面。在物聯(lián)網(wǎng)的感知層是指包括以傳感器為代表的感知設(shè)備、以RFID為代表的識別設(shè)備、GPS等定位追蹤設(shè)備以及可能融合部分或全部上述功能的智能終端等。感知層是物聯(lián)網(wǎng)信息和數(shù)據(jù)的來源,但是目前感知層的終端設(shè)備越來越復(fù)雜,有些還帶了底層系統(tǒng),但是很多企業(yè)和安全服務(wù)商都未考慮到這底層系統(tǒng)的安全是如何實現(xiàn)的。
四、本次測評詳細層面分析
(一)感知層
感知層:由各種傳感器網(wǎng)關(guān)和傳感器構(gòu)成、包括有溫度傳感器、二氧化碳濃度傳感器、二維碼標(biāo)簽、濕度傳感器、攝像頭、RFID 標(biāo)簽和讀寫器、GPS等感知終端。感知層的作用就像人的視覺、觸覺、味覺、聽覺一樣,它是物聯(lián)網(wǎng)獲取識別物體、采集信息的來源,主要功能是識別物體、采集信息。
[ 本案例 ]
1、智能攝像頭,設(shè)備自身帶了底層系統(tǒng)。那么自身系統(tǒng)的安全:是否存在系統(tǒng)漏洞?用戶是否及時修復(fù)了漏洞?是否能檢測被入侵或者被感染病毒的設(shè)備?是否能集中監(jiān)控、策略下發(fā)、病毒查殺、漏洞修復(fù)等等都未在物聯(lián)網(wǎng)安全擴展要求中提出。
2、不同品牌的智能攝像頭通過SDK私有協(xié)議與云端進行數(shù)據(jù)推送,數(shù)據(jù)在傳輸過程中采用了加密算法進行加密。但是可能有些物聯(lián)網(wǎng)私有云涉及關(guān)鍵基礎(chǔ)設(shè)施,也同樣采用了此加密算法,存在一定的安全隱患,建議采用國密算法。
3、不同平臺的攝像頭采用各自的私有協(xié)議和數(shù)據(jù)格式進行數(shù)據(jù)傳輸,因此在智能攝像頭和物聯(lián)網(wǎng)云中間還部署了格式轉(zhuǎn)化的終端,此終端也有底層系統(tǒng)(不屬于匯聚節(jié)點),測評中此設(shè)備的底層系統(tǒng)的安全沒有相關(guān)防護措施。并且此節(jié)點如何定義?
4、此格式轉(zhuǎn)換終端在智慧城市,甚至某些視頻專網(wǎng)中可能也會部署,因此建議有關(guān)部門加強防護。
(二)網(wǎng)絡(luò)層
網(wǎng)絡(luò)層:由互聯(lián)網(wǎng)、私有網(wǎng)絡(luò)、無線和有線通信網(wǎng)、網(wǎng)絡(luò)管理系統(tǒng)和云計算平臺等組成的,網(wǎng)絡(luò)層就相當(dāng)于人的大腦和神經(jīng)中樞,主要負責(zé)傳遞和處理感知層獲取的信息。
[本案例]
1、移動終端登錄物聯(lián)網(wǎng)云采用SDK加token(有時間戳)驗證,但是采用httphttps兩種方式都可以登錄,存在安全風(fēng)險,容易被劫持。
2、物聯(lián)網(wǎng)云沒有對異常網(wǎng)絡(luò)流量和內(nèi)容進行訪問控制措施和入侵防御、惡意代碼防護手段。
3、集中管控在運維管理機房中,其他分支節(jié)點中未在本地留存,如果運維機房出現(xiàn)網(wǎng)絡(luò)故障,其他分支節(jié)點對網(wǎng)絡(luò)攻擊不能及時響應(yīng)、審計日志的保存。
4、雖然智能攝像頭沒有直接暴露公網(wǎng)IP,但是通過SDK可進行認證和相應(yīng)權(quán)限分配,但存的SDK進行設(shè)備信息認證存在一定的安全隱患。
(三)應(yīng)用層
[ 本案例 ]
1、不同云服務(wù)客戶虛擬網(wǎng)絡(luò)未做隔離,同一品牌,甚至不同品牌的智能攝像頭及云存儲空間面臨可能病毒感染的風(fēng)險。
2、采用了加密技術(shù)對存儲的視頻內(nèi)容進行加密分割分段存儲。如果數(shù)據(jù)丟失、損毀達到一定的數(shù)量,可能會導(dǎo)致整個視頻文件不可解密讀取,重要數(shù)據(jù)完全不可恢復(fù)。
3、由于智能攝像頭的安全漏洞,導(dǎo)致大量個人信息泄漏。
五、物聯(lián)網(wǎng)等級保護測評的部分建議
(一)物聯(lián)網(wǎng)安全等級保護測評標(biāo)準指導(dǎo)國內(nèi)物聯(lián)網(wǎng)行業(yè)的安全發(fā)展
通過以上分析可以看出由于物聯(lián)網(wǎng)的安全問題層出不窮。而物聯(lián)網(wǎng)在網(wǎng)絡(luò)安全方面造成的威脅越來越大,可操作性越來越易實現(xiàn),導(dǎo)致社會秩序、公共利益甚至國家安全的影響越來越大。因此指導(dǎo)物聯(lián)網(wǎng)安全建設(shè)運營的國家標(biāo)準物聯(lián)網(wǎng)安全擴展要求希望具有前瞻性和盡快正式出臺并對物聯(lián)網(wǎng)行業(yè)強制要求落地實施。
(二)物聯(lián)網(wǎng)安全等級保護國家標(biāo)準應(yīng)在測評應(yīng)用中不斷補充和修訂
物聯(lián)網(wǎng)在智慧城市、無人駕駛、無人機、智能家居、綠色農(nóng)業(yè)等等各個方面應(yīng)用越來越廣,物聯(lián)網(wǎng)關(guān)聯(lián)的相關(guān)產(chǎn)業(yè)越來越多,產(chǎn)生的安全事件的影響越來越大。因此建議國家標(biāo)準、行業(yè)標(biāo)準應(yīng)緊跟產(chǎn)業(yè)應(yīng)用的發(fā)展及時修正更新。
六、小結(jié)
中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要的專欄9第二小節(jié)物聯(lián)網(wǎng)應(yīng)用推廣:建設(shè)物聯(lián)網(wǎng)應(yīng)用基礎(chǔ)設(shè)施和服務(wù)平臺,推進物聯(lián)網(wǎng)重大應(yīng)用示范工程建設(shè)、廣泛開展物聯(lián)網(wǎng)技術(shù)集成應(yīng)用和模式創(chuàng)新,豐富物聯(lián)網(wǎng)應(yīng)用服務(wù)。物聯(lián)網(wǎng)的應(yīng)用會越來越融入社會中的方方面面,但是相應(yīng)的標(biāo)準滯后以及測評機構(gòu)對如何測評物聯(lián)網(wǎng)存在經(jīng)驗不足之處,希望全國各個測評機構(gòu)互聯(lián)溝通交流,共同參與對物聯(lián)網(wǎng)的安全測評,積極分享各自的工作心得,通過各個機構(gòu)的實踐測評不斷補充和完善物聯(lián)網(wǎng)安全的相應(yīng)標(biāo)準。
七、物聯(lián)網(wǎng)測評案例
(一)無人機物聯(lián)網(wǎng)系統(tǒng)測評
1、背景介紹
在對某無人機系統(tǒng)進行測評時,了解到其發(fā)生過無人機產(chǎn)品的單片機主板被改裝,植入芯片,該芯片可以對無人機獲取gps位置數(shù)據(jù)存儲的內(nèi)存地址進行修改,包括修改經(jīng)緯度和飛行高度等數(shù)據(jù),從而避開禁飛規(guī)則,例如在禁飛區(qū)飛行。
2、測評技術(shù)
(1)規(guī)定無人機戶外工作時應(yīng)滿足的溫度、濕度、防水、防雷、電磁兼容性等要求
(2)設(shè)備安全:無人機應(yīng)在啟動時檢測自身程序的完整性,能夠檢測出程序被破壞或Hook的情況,并往后臺報警。
(3)密碼應(yīng)用安全:無人機應(yīng)采用擁有國家商用密碼主管部門頒發(fā)的《商用密碼產(chǎn)品型號證書》的密碼模塊或芯片,保障存儲的和傳輸?shù)臄?shù)據(jù)的真實性、完整性、機密性和抗抵賴性。所有涉及私鑰的密碼運算均在密碼芯片或模塊中完成,密鑰不得以明文形式出現(xiàn)在密碼芯片以外。
(4)后臺安全:安全管理中心檢測到節(jié)點設(shè)備自身的完整性被破壞后,應(yīng)可采取必要的應(yīng)對措施。
(二)智能攝像頭/智能路由器物聯(lián)網(wǎng)系統(tǒng)測評
1、背景介紹
在對某涉及前端是智能攝像頭和智能路由器的系統(tǒng)測評中,經(jīng)過訪談發(fā)現(xiàn)曾經(jīng)發(fā)生過前端設(shè)備參數(shù)被修改、被植入惡意程序、重刷惡意固件的安全事件,造成采集數(shù)據(jù)泄露到第三方。
2、測評技術(shù)
(1)前端設(shè)備應(yīng)根據(jù)裝維人員和管理員等不同角色設(shè)計安全策略,包括訪問控制策略和安全接入方式。
(2)對于裝維人員,允許通過WiFi或有線連接等方式接入設(shè)備進行應(yīng)用級配置,配置頁面要進行裁減,例如只涉及網(wǎng)絡(luò)連接的配置。密碼長度應(yīng)該保證一定的強度,并定期更換。
(3)對于管理員,允許通過WiFi或有線連接等方式接入設(shè)備進行系統(tǒng)級配置。設(shè)備要通過Mac與IP地址綁定等方式限制管理終端的接入。密碼長度應(yīng)該保證一定的強度,并定期更換。
(4)設(shè)備應(yīng)支持在啟動時通過系統(tǒng)引導(dǎo)程序(bootloader)檢測自身固件的完整性,能夠檢測出程序被破壞或Hook的情況,并往后臺報警。
(5)應(yīng)采用擁有國家商用密碼主管部門頒發(fā)的《商用密碼產(chǎn)品型號證書》的密碼模塊或芯片,保障存儲的和傳輸?shù)臄?shù)據(jù)的真實性、完整性、機密性和抗抵賴性。所有涉及私鑰的密碼運算均在密碼芯片或模塊中完成,密鑰不得以明文形式出現(xiàn)在密碼芯片以外。
(6)安全管理中心檢測到節(jié)點設(shè)備自身的完整性被破壞后,應(yīng)可采取必要的應(yīng)對措施。
