联系方式
电话:0531-58205218,18911296956
邮箱:business@sinocipher.com
地址:山东省济南市高新区汉峪金谷A7-7栋17层1768室
扫一扫关注微信公众号
万物互联(IOT)时代已经到来。目前已有大量智能设备进入了人们的网络生活,根据Gartner 报告预测,2020年全球IOT物联网设备数量将高达260亿个。车联网、智能家居、智慧城市、安防监控、共享单车、能源电力、远程抄表等各个行业,都有物联网新兴应用。
物联网通常从架构上可分为三个逻辑层,即感知层、网络传输层和处理应用层。其中感知层包括传感器节点和传感网网关节点,或RFID标签和RFID读写器,也包括这些感知设备及传感网网关、RFID标签与阅读器之间的短距离通信(通常为无线)部分;网络传输层包括将这些感知数据远距离传输到处理中心的网络,包括互联网、移动网等,以及几种不同网络的融合;处理应用层包括对感知数据进行存储与智能处理的平台,并对业务应用终端提供服务。对大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备。
近年来物联网领域发生诸多安全事件:在智慧城市领域,2014年西班牙三大主要供电服务商超过30%的智能电表被检测发现存在严重安全漏洞,入侵者可利用该漏洞进行电费欺诈,甚至关闭电路系统;在工业物联网领域,安全攻击事件则危害更大,2019年委内瑞拉全国大停电事件、2018年台积电生产基地被攻击事件、2017年的勒索病毒事件、2015年的乌克兰大规模停电事件都使目标工业联网设备与系统遭受重创。
物联网安全问题也给隐私保护带来严重威胁。随着物联网的应用,涉及用户隐私的海量数据将被各类物联网设备记录,其数据安全隐患也愈加严重。2015年至今,国内外发生多起智能玩具、智能手表等漏洞攻击事件,超百万家庭和儿童信息、对话录音信息、行动轨迹信息等被泄露;我国某安防公司制造的物联网摄像头被揭有多个漏洞,黑客可使用默认凭证登录设备访问摄像头的实时画面。
据惠普安全研究院调查发现,几乎所有物联网设备都存在高危漏洞,主要有五大安全隐患,一些关键数据如下:
80%的IOT设备存在隐私泄露或滥用风险;
80%的IOT设备存在身份认证风险;
70%的IOT设备与互联网或局域网的数据通信没有加密;
60%的IOT设备的web 界面存在安全漏洞;
60%的IOT设备下载软件更新时没有使用加密;
2019年5月10日, GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等三个国家标准发布,标志着等级保护步入新的阶段——等级保护标准2.0时代。
等保2.0对共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。
等保2.0标准中规定,对物联网的安全防护应包括感知层、网络传输层和处理应用层,由于网络传输层和处理应用层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护。标准的物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整安全要求。
结合物联网系统的特点,构建在安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络三重防御体系。安全管理中心支持下的物联网系统安全保护设计框架如图2所示,物联网感知层和应用层都由完成计算任务的计算环境和连接网络通信域的区域边界组成。
物联网安全扩展要求类别和控制点如表1所示。
物联网安全扩展要求
| 安全物理环境 | 感知节点设备物理防护 |
安全区域边界 | 接入控制、入侵防范 | |
安全计算环境 | 感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理 | |
安全运维管理 | 感知节点管理 |
( 表1 物联网安全扩展要求类别和控制点)
对于物联网的等级保护,我们以第三级要求来说明有哪些应该重点关注,以下文字中标红的要求项为密码应用要求,需要使用国密技术来实现对物联网系统的安全保护。
1、 安全物理环境
2、 安全区域边界
3、 安全计算环境
4、 安全运维管理
类别 | 控制点 | 控制项 |
安全通信网络 | 通信传输 | a)应采用校验技术或密码技术保证通信过程中数据的完整性; |
b)应采用密码技术保证通信过程中数据的保密性。 | ||
安全计算环境 | 身份鉴别 | d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
数据完整性 | a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; | |
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 | ||
数据保密性 | a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; | |
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 | ||
安全建设管理 | 安全方案设计 | b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件; |
产品采购和使用 | b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; | |
测试验收 | b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 | |
安全运维管理 | 密码管理 | b)应使用国家密码管理主管部门认证核准的密码技术和产品。 |
--END--