《物聯(lián)網(wǎng)信息安全》PPT課件.pptx

上傳人：jun****875 文檔編號：21206889 上傳時間：2021-04-25 格式：PPTX 頁數(shù)：52 大小：6.67MB

收藏版權(quán)申訴舉報下載

第1頁 / 共52頁

第2頁 / 共52頁

第3頁 / 共52頁

下載文檔到電腦，查找使用更方便

14.9 積分

下載資源

還剩頁未讀，繼續(xù)閱讀

資源描述：

《《物聯(lián)網(wǎng)信息安全》PPT課件.pptx》由會員分享，可在線閱讀，更多相關(guān)《《物聯(lián)網(wǎng)信息安全》PPT課件.pptx（52頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、物聯(lián) 網(wǎng) 信息安全2017-09-02 物聯(lián) 網(wǎng) 信息安全主要體現(xiàn) 在哪幾個方面1. 傳感網(wǎng) 絡(luò) 是一個存在不確定因素的環(huán) 境廣泛存在的傳感智能節(jié) 點本質(zhì) 上就是監(jiān) 測和控制網(wǎng) 絡(luò) 上的各種設(shè) 備，它們監(jiān) 測網(wǎng) 絡(luò) 的不同內(nèi) 容、提供各種不同格式的事件數(shù) 據(jù) 來表征網(wǎng) 絡(luò) 系統(tǒng) 當(dāng) 前的狀態(tài) 。然而，這些傳感智能節(jié) 點又是一個外來入侵的最佳場所。從這個角度而言，物聯(lián) 網(wǎng)

2、感知層的數(shù) 據(jù) 非常復(fù) 雜，數(shù) 據(jù) 間存在著頻繁的沖突與合作，具有很強的冗余性和互補性，且是海量數(shù) 據(jù) 。它具有很強的實時性特征 ,同時又是多源異構(gòu) 型數(shù) 據(jù) 。因此，相對于傳統(tǒng) 的 TCP/IP網(wǎng) 絡(luò) 技術(shù) 而言，所有的網(wǎng) 絡(luò) 監(jiān) 控措施、防御技術(shù) 不網(wǎng) 絡(luò) 安全和其他相關(guān) 學(xué) 科領(lǐng) 域面前都將是一個新的課題、新的挑戰(zhàn) 。2. 被感知的信息通過無線網(wǎng) 絡(luò) 平臺進行傳

3、輸時，信息的安全性十分脆弱當(dāng) 物聯(lián) 網(wǎng) 感知層主要采用 RFID技術(shù) 時，嵌入了 RFID芯片的物品不僅能方便地被物品主人所感知，同時其他人也能進行感知。如何在感知、傳輸、應(yīng) 用過程中提供一套強大的安全體系作保障，是一個難題。3. 在物聯(lián) 網(wǎng) 傳輸層和應(yīng) 用層也存在一系列安全隱患只是在這兩層可以借鑒 TCP/IP網(wǎng) 絡(luò) 已有技術(shù) 的地方比較多一些

4、，與傳統(tǒng) 的網(wǎng) 絡(luò) 對抗相互交叉。綜上所述，物聯(lián) 網(wǎng) 除了面對傳統(tǒng)TCP/IP網(wǎng) 絡(luò) 、無線網(wǎng) 絡(luò) 和移動通信網(wǎng) 絡(luò) 等傳統(tǒng) 網(wǎng) 絡(luò) 安全問題之外，還存在著大量自身的特殊安全問題，并且這些特殊性大多來自感知層。物聯(lián) 網(wǎng) 目前存在的問題1. 物聯(lián) 網(wǎng) 概念不統(tǒng) 一，需要定義和規(guī) 范；2. 物聯(lián) 網(wǎng) 產(chǎn) 業(yè) 發(fā) 展戰(zhàn) 略尚不明晰，需要加強頂層設(shè) 計和戰(zhàn) 略規(guī) 劃；3. 核心技術(shù) 亟

5、待突破，需要高度重視知識產(chǎn) 權(quán) 和產(chǎn) 業(yè) 標準化； 4. 產(chǎn) 業(yè) 鏈亟待健全和整合，需要培育龍頭企業(yè) ； 5. 商業(yè) 模式尚不明晰，有待積極探索；6. 亟需加快國家法律法規(guī) 和相關(guān) 配套政策制定；7. 網(wǎng) 絡(luò) 信息安全問題應(yīng) 引起足夠重視。由于物聯(lián) 網(wǎng) 是基于各種信息傳感設(shè) 備，如傳感器、射頻識別（ RFID）技術(shù) 、全球定位系統(tǒng) 、紅外感應(yīng) 器、激光掃描等，實

6、時采集任何需要監(jiān) 控、連接、互動的物體或過程，是與互聯(lián) 網(wǎng) 結(jié) 合形成的一個巨大網(wǎng) 絡(luò) 。軟件的安全永遠不可忽視，所以1. 國家安全：中國大型企業(yè) 、政府機構(gòu) ，如果與國外機構(gòu) 進行項目合作，如何確保企業(yè) 商業(yè) 機密、國家機密不被泄漏？這不僅是一個技術(shù) 問題，而且還涉及到國家安全問題，必須引起高度重視。2. 個人隱私：在物聯(lián) 網(wǎng) 中，

7、RFID是一個很重要的技術(shù) 。在 RFID中，標簽有可能預(yù) 先被嵌入任何物品中，比如人們的日常生活物品中，但由于該物品（比如衣物）的擁有者，不一定能夠覺察該物品預(yù) 先已嵌入有電子標簽以及自身可能不受控制地被掃描、定位和追蹤，這勢必會使個人的隱私問題受到侵犯。因此，如何確保標簽物的擁有者個人隱私不受侵犯便成為射頻識別技術(shù)

8、以至物聯(lián) 網(wǎng) 推廣的關(guān) 鍵問題。3. 不同企業(yè) 的軟件兼容問題，如果互不開放，持有戒心，則很難形成一個真正的大的網(wǎng) 絡(luò) 。物聯(lián) 網(wǎng) 安全存在的問題在互聯(lián) 網(wǎng) 上，互聯(lián) 網(wǎng) 安全行業(yè) 通過一系列的安全機制保護我們免受互聯(lián) 網(wǎng) 的非法入侵。這些 “ 內(nèi) 嵌的 ” 安全方案 ” 包括相互認證，加密，安全協(xié) 議和信任。但是關(guān) 于在現(xiàn) 實世界中是什么？對于物聯(lián) 網(wǎng)

9、（ IOT），在大多數(shù) 情況下都沒有類似的內(nèi)置安全架構(gòu) ，這引起了很多安全的隱患。由于物聯(lián) 網(wǎng) 通過裝置的人機界面影響到現(xiàn) 實世界，在不太穩(wěn) 定和安全的互聯(lián) 網(wǎng) 上來連接物聯(lián) 網(wǎng) 設(shè) 備不僅不方便而且更加危險。比如在建筑和智能家居行業(yè) ，將通過智能傳感器來管理關(guān) 鍵的日常任務(wù) ，如開燈，檢測空氣和水質(zhì) 的威脅，以及管理供暖和通風(fēng) 等。增加

10、了互聯(lián) 網(wǎng) 功能的安全網(wǎng) 絡(luò) 硬件是保護隱私的一個非常關(guān) 鍵的方式。現(xiàn) 在很多智能家居傳感器和控制器連接到互聯(lián) 網(wǎng) 卻沒有意識到威脅。如果沒有具備安全運行所需的基礎(chǔ) 安全架構(gòu) ，一般普通的攻擊都頂不住。傳統(tǒng) 互聯(lián) 網(wǎng) 的安全性仍然是物聯(lián) 網(wǎng) 發(fā) 展的關(guān) 鍵，但安全性遠遠不夠。設(shè) 計適當(dāng) 的認證，授權(quán) ，計費，加密，入侵檢測，軟件簽名和信任模

11、型來保障在線設(shè) 備之間的交互是非常重要的，比如智能烤箱，智能門鎖這些智能家居設(shè) 備，一個安全漏洞能夠帶來用戶很大的人身威脅。研究人員曾經(jīng) 做過實驗，使用的網(wǎng)絡(luò) ，低分辨率攝像機在購物廣場收集刷卡數(shù) 據(jù) 用于解鎖 Android手機，一半以上都能成功解鎖。重要的是，這些攻擊并非特殊復(fù) 雜的入侵方式。通過這種傻瓜攻擊方式，攻擊者

12、可以訪問所有用戶的個人數(shù) 據(jù) ，包括家庭自動化，汽車防護和健康監(jiān) 測系統(tǒng) 等相關(guān) 物聯(lián) 網(wǎng) 信息。所以，第一，增加安全意識，不要貪小便宜或者貪圖方便去執(zhí) 行關(guān) 鍵的操作。第二，確保你的設(shè) 備是硬件安全的，千萬不要相信純軟件的安全性。物聯(lián) 網(wǎng) 趨勢下信息安全面臨的挑戰(zhàn) 和機遇挑戰(zhàn) ：平臺太多、涉及到的環(huán) 節(jié) 太多、安全基礎(chǔ) 太差、風(fēng) 險更高

13、、基礎(chǔ) 架構(gòu) 不同導(dǎo) 致現(xiàn) 有的技術(shù) 手段大多數(shù) 會失效。機遇：因為風(fēng) 險大，所以被保護資產(chǎn) 的價值也更大，從過去保護虛擬資產(chǎn) ，到了物聯(lián) 網(wǎng) 和工業(yè) 網(wǎng) 時代，保護的已經(jīng) 是實體安全了（例如智能門鎖、智能汽車、智能電廠等）。物聯(lián) 網(wǎng) 時代出事，可能會是要命的。計算機因為安全基礎(chǔ) 差，所以可以做的事情很多，而且比較容易看出效果。因為現(xiàn) 有

14、的成熟技術(shù) 很多會失效，因此會出現(xiàn) 大量的創(chuàng) 新機會。設(shè) 備數(shù) 量的規(guī) 模估計是移動互聯(lián) 網(wǎng) 的十倍甚至上百倍，以中國為例，手機是人手 1-2個，但是物聯(lián) 網(wǎng) 設(shè) 備可以高達每人十幾個甚至上百個（想想家里的家用電器數(shù) 量和其他所有可以被采集的家具、快遞、服裝等等），這意味著整個信息安全市場會擴大數(shù) 十倍。 IoT之外， CPS來勢洶洶說到控制

15、就離不開 CPS（ Cyber Physical System）網(wǎng) 際空間物理系統(tǒng) ， CPS是工業(yè) 4.0的靈魂，也將是物聯(lián) 網(wǎng) 繼續(xù) 成長的最大推動力，它如同一個魔法師，通過 3C技術(shù) 實現(xiàn) 將現(xiàn) 實世界鏡像到數(shù) 字化世界，并且達到現(xiàn) 實世界和數(shù) 字化世界的實時感知、動態(tài) 控制、循環(huán) 反饋以及互動。將手機當(dāng) 成公交卡來刷卡乘坐公共交通，其實是通過讀取手機 ID與網(wǎng) 絡(luò) 匹配，

16、從而從中扣除費用，它不會產(chǎn) 生對現(xiàn) 實世界的深度控制，這就是物聯(lián) 網(wǎng) 的典型應(yīng) 用。在沒有供暖的南方城市，你下班時通過阿里智能 APP將家里帶 WiFi控制模塊的取暖器打開，這是物聯(lián) 網(wǎng) 的簡單控制應(yīng) 用。正如王堅博士在 10月份杭州云棲大會所講，世界上最遙遠的距離是紅綠燈和交通攝像頭的距離，但是在 CPS深入發(fā) 展的未來，通過 AI賦能，智能紅

17、綠燈可以通過交通攝像頭等傳感設(shè) 備清晰感知每個路口的車流情況并且和周圍路口交換信息，自適應(yīng) 調(diào) 節(jié) 紅綠燈轉(zhuǎn) 換周期，并向所有汽車傳遞加減速信號，從而來保證路口的最大吞吐量，這就是 CPS的魅力。避無可避的數(shù) 字化威脅有機構(gòu) 預(yù) 測到 2020年，全球 IoT設(shè) 備將達到 200億，這是一個很大的數(shù) 字，而隨著 CPS技術(shù) 和 IoT的深度融合，這個數(shù) 字

18、估計會大幅增加。相信大伙還記得 10月底導(dǎo) 致美國互聯(lián) 網(wǎng) 大面積癱瘓的 DDoS攻擊事件，向 Dyn公司位于美國東部的 DNS服務(wù) 器發(fā) 起攻擊的一支主力軍就是感染了 Mirai僵尸網(wǎng) 絡(luò) 的 IoT設(shè) 備（網(wǎng) 絡(luò) 攝像頭），傻瓜式的 IoT設(shè) 備都有如此大的破壞力，如果比 IoT設(shè) 備強大無數(shù) 倍的 CPS系統(tǒng) 遭到黑客控制，后果會有多大，誰都無法想象。簡單點說，傳統(tǒng) IoT設(shè)

19、備可能僅僅會影響到日常生活起居，比如熱水器只出冷水，電飯煲煮不熟飯，空調(diào) 制冷變成制熱等，而隨著工業(yè) 4.0、兩化融合、智慧城市和中國制造 2025等戰(zhàn) 略的大力推進，無處不在的 CPS技術(shù) 伴隨著數(shù) 字化革命會讓黑客有了更多的可乘之機。智能家居、交通控制、安防、過程控制、環(huán) 境控制、關(guān) 鍵基礎(chǔ) 設(shè) 施控制（電力、灌溉網(wǎng) 絡(luò) 、通信系統(tǒng)

20、）、機器人、防務(wù) 系統(tǒng) 、制造業(yè) 、智能構(gòu) 造和智能醫(yī) 療，這些應(yīng) 用場景與每個人都息息相關(guān) ， CPS在賦予它們智能生命的同時，也將它們本身的脆弱性無限放大。所以在再次討論 IoT安全的時候，請記得加上 CPS的放大作用，基于這點背景，我們回來說道說道 IoT威脅趨勢。 IoT威脅趨勢積重難返， IoT設(shè) 備存在各種漏洞和后門IoT設(shè) 備開放著各種不

21、安全的網(wǎng) 絡(luò) 服務(wù) ，采用了不安全的 Web接口和明文通信協(xié) 議，當(dāng) 然還有廠商預(yù) 留的維護后門，這些歷史遺留問題在 IoT領(lǐng) 域還是太多太多。數(shù) 以億計， IoT設(shè) 備成 DDoS攻擊主力軍看看你家里的那些智能冰箱、洗衣機、網(wǎng) 絡(luò) 攝像頭、空調(diào) 、榨汁機、電熱毯、豆漿機、行車記錄儀、烤箱等等，再看看你公司里的各種攝像頭、門禁設(shè) 備、打印機和智能終

22、端，還有那些生產(chǎn) 車間里數(shù) 字化生產(chǎn) 設(shè) 備，這些都是發(fā) 起各種 DDoS的洪荒之力源泉，等待著僵尸網(wǎng) 絡(luò) 的召喚。天生脆弱， IoT廠商缺少安全基因IoT設(shè) 備越做越小、越做越聰明，但是卻沒有越做越安全，數(shù) 量繁多的 IoT廠商除了一門心思來提高銷量降低成本之外，沒有任何有關(guān)設(shè) 備安全功能的想法，更別談安全能力的積累，因此我們就看到黑客攻

23、擊心臟起搏器取人性命和遠程控制汽車制造車禍的案例發(fā) 生。重蹈覆轍， IoT需要再踩一遍傳統(tǒng) 安全的坑通信方面，如何確保通信模塊與云端連接及手機 APP之間的安全通信；數(shù) 據(jù) 安全方面，如何保證數(shù) 據(jù) 在采集、傳輸和存儲時不被泄露；配網(wǎng) 模式方面，如何避免簡單的配網(wǎng) 模式導(dǎo) 致設(shè) 備信息泄漏，從而引發(fā) 設(shè) 備遭受攻擊；還有開發(fā) 環(huán) 境和密碼

24、算法等等，就不一一贅述。一體兩面， CPS技術(shù) 加劇網(wǎng) 絡(luò) 和實體空間的威脅傳遞CPS的數(shù) 字化鏡像控制反饋能力，提升了黑客攻擊對實體數(shù) 據(jù) 的竊取能力，增加了黑客攻擊轉(zhuǎn) 化為實體空間后果的概率，無論是工業(yè)控制領(lǐng) 域的震網(wǎng) 病毒攻擊事件，還是美國互聯(lián) 網(wǎng) 癱瘓案例，這些都是血淋淋的教訓(xùn) 。 IoT大勢，安全是新剛需看看 Gartner在 2016年發(fā) 布

25、的十大安全發(fā) 展趨勢預(yù) 測， IoT榜上有名。Gartner預(yù) 測：從現(xiàn) 在開始到 2018年，超過半數(shù) IoT設(shè) 備制造商將由于薄弱的驗證實踐方案而無法保障產(chǎn) 品安全。因此企業(yè) 需要利用一套框架來檢測各種 IoT設(shè) 備類型的風(fēng) 險，并對其加以有效控制。關(guān) 于這點，筆者認同阿里云高級安全專家鄔怡在 2016世界物聯(lián) 網(wǎng) 大會上分享的阿里云 IoT安全態(tài) 勢感知解決方案

26、，企業(yè) 內(nèi) 部有多少 IoT設(shè) 備，都是什么類型，分布在哪，存在哪些漏洞，有哪些異常行為，通過感知先識別出 IoT風(fēng) 險。這也是阿里云將安全能力輸出，賦能給 IoT領(lǐng) 域的最佳實踐，當(dāng) 然得益于 IoT對云計算的依賴性，CSP將會在 IoT安全領(lǐng) 域大放異彩。其實 Gartner還有一個說法，到 2020年企業(yè) 將會發(fā) 現(xiàn) 25%的攻擊與 IoT相關(guān) ，而 IoT安全預(yù) 算僅占安全預(yù)

27、算總額的 10%，這就意味著 IoT安全頻亮紅燈但是預(yù) 算卻不足，所以另一個新趨勢將是 IoT的預(yù) 算爭奪戰(zhàn) 。安全規(guī) 范，從無到有。早十年前，業(yè) 內(nèi) 幾乎很少能看到 IoT安全標準和規(guī) 范的，大家能找到的可能只是某些 IoT協(xié) 議安全和 RFID細分安全規(guī) 范，但是現(xiàn) 在不一樣了，無論國際還是國內(nèi) ，具備可執(zhí) 行性的 IoT安全標準和規(guī) 范已經(jīng) 有了一些積累， Io

28、T安全架構(gòu) 、通信保障和數(shù) 據(jù) 安全指南，IoT安全測試規(guī) 范，像國內(nèi) 的等級保護 2.0，也已經(jīng) 開始起草物聯(lián) 網(wǎng) 領(lǐng) 域的擴展要求和測評指南。安全是新剛需，隨著 IoT的迅猛發(fā) 展，相信 IoT安全事件在未來會常態(tài) 化，但是 IoT的應(yīng) 用場景是不允許其自身發(fā) 生高級別安全事件的，過去我們看到最多的是 IoT設(shè) 備淪為僵尸網(wǎng) 絡(luò) 攻擊別人，可一旦發(fā) 生因 IoT自身

29、漏洞導(dǎo) 致用戶隱私泄露或造成人身傷害，這對 IoT廠商而言造成致命打擊，所以 IoT安全從過去的無人問津變成新的剛需和賣點。但是絕大多數(shù) IoT廠商不具備相應(yīng) 安全能力和技術(shù) 儲備，可能接下來我們會看到更多的 IoT廠商與安全廠商進行深度合作，建立 IoT安全生態(tài) ，把安全能力通過安全廠商賦能給 IoT廠商，通過云管端三位一體進行全面性的安

30、全增強，打造從芯片到云端的安全 IoT之路。物聯(lián) 網(wǎng) 安全在物聯(lián) 網(wǎng) 和工業(yè) 互聯(lián) 網(wǎng) 的趨勢下，物聯(lián) 網(wǎng) 的安全備受關(guān) 注，隨著物聯(lián) 網(wǎng) 技術(shù) 應(yīng) 用的越來越廣泛，物聯(lián) 網(wǎng) 安全是首要考慮的問題，在工業(yè) 物聯(lián) 網(wǎng) 方面，全面感知、可靠傳輸、智能處理是工業(yè) 物聯(lián) 網(wǎng) 的三個主要特征，通過網(wǎng) 絡(luò) 通信協(xié) 議協(xié) 調(diào) 各模塊之間的操作時序，實現(xiàn) 系統(tǒng) 的自我感知和判斷、

31、自我調(diào) 節(jié) 和控制。按各層次結(jié) 構(gòu) 和業(yè) 務(wù) 可以將工業(yè) 物聯(lián) 網(wǎng) 分為全面感知層、可靠傳輸層、智能處理層、綜合應(yīng) 用層構(gòu) 成工業(yè) 物聯(lián) 網(wǎng) 的體系架構(gòu) 。全面感知層的安全風(fēng) 險全面感知層由感知子系統(tǒng) 和控制子系統(tǒng) 構(gòu) 成，主要通過智能嵌入式芯片負責(zé) 從物理世界采集原始信息，并根據(jù) 系統(tǒng) 指令改造物理世界，實現(xiàn) 對物理世界的標識、感知、協(xié) 同和互動

32、。典型的設(shè) 備包括 RFID裝置、各類傳感器、圖像采集裝置、執(zhí) 行器單元以及全球定位系統(tǒng) （ GPS）。全面感知層可以說是工業(yè) 物聯(lián) 網(wǎng) 中最脆弱的部分，它的架構(gòu) 特點是本身組成局部傳感網(wǎng) ，并通過網(wǎng) 關(guān) 栽點與外網(wǎng) 連接，因此這一層次可能受到局域網(wǎng) 內(nèi) 部和通過網(wǎng) 關(guān) 栽點的外部兩方面威脅，一旦傳感層的節(jié) 點（普通節(jié) 點或網(wǎng) 關(guān) 栽點）受來自于網(wǎng) 絡(luò)

33、的數(shù) 據(jù) 攻擊（例如 DDoS攻擊）；傳感層的普通栽點就有可能被外部攻擊者屏蔽，嚴重影響傳感層可靠性，繼而導(dǎo) 致傳感層的普通栽點被外部攻擊者控制，丟失栽點密鑰；最終傳感層的網(wǎng) 關(guān) 栽點就會被外部攻擊者完全掌控；導(dǎo) 致接人到物聯(lián) 網(wǎng) 的超大量傳感栽點的標識、識別、認證和控制都會產(chǎn) 生問題。可靠傳輸層的安全風(fēng) 險可靠傳輸層保證感

34、知數(shù) 據(jù) 在異構(gòu) 網(wǎng) 絡(luò) 中的可靠傳輸，其功能相當(dāng) 于 TCP/IP結(jié) 構(gòu) 中的網(wǎng) 絡(luò) 層和傳輸層，包括信息傳輸和識別、數(shù) 據(jù) 存儲、數(shù) 據(jù) 壓縮和恢復(fù) 。構(gòu) 成該層的要素包括網(wǎng) 絡(luò) 基礎(chǔ) 設(shè) 施、通信協(xié) 議以及通信協(xié) 議間的協(xié) 調(diào) 機制。可靠傳輸層的安全主要是傳統(tǒng) 互聯(lián) 網(wǎng) 、移動網(wǎng) 、專業(yè) 網(wǎng) （如國家電力數(shù) 據(jù) 網(wǎng) 、廣播電視網(wǎng) 等）、三網(wǎng) 融合通信平臺（跨越單一網(wǎng) 絡(luò) 架構(gòu)

35、）等基礎(chǔ) 性網(wǎng) 絡(luò) 的安全，其可能受到的安全威脅有：垃圾數(shù) 據(jù) 傳播（垃圾郵件、病毒等）；假冒攻擊、中間人攻擊等（存在于所有類型的網(wǎng) 絡(luò) ）； DDoS攻擊（來源于互聯(lián) 網(wǎng) ，可擴展到移動和無線網(wǎng) ）；跨異構(gòu) 網(wǎng) 絡(luò) 的攻擊（互聯(lián) 網(wǎng) 、移動網(wǎng) 等互聯(lián) 情況下）；新型針對三網(wǎng) 融合通信平臺的攻擊等。智能處理層的安全風(fēng) 險智能處理層由多個具有不同

36、功能的智能處理平臺組成，并采用網(wǎng) 格運算或云計算的方式調(diào) 配、組織這些平臺的運算能力。智能處理平臺的處理層會依據(jù) 需求將原始感知數(shù) 據(jù) 以不同的格式進行處理，從而實現(xiàn) 同一感知數(shù) 據(jù) 在不同應(yīng) 用系統(tǒng) 間的數(shù) 據(jù) 共享，同時根據(jù) 感知數(shù) 據(jù) 和應(yīng) 用層用戶指令進行智能決策、調(diào) 控子系統(tǒng) 內(nèi) 部的預(yù) 設(shè) 規(guī) 則，改變控制子系統(tǒng) 的運行狀態(tài) 。智能處理

37、層的安全風(fēng) 險主要包括數(shù) 據(jù) 智能處理失控、非法人為干預(yù) （內(nèi) 部攻擊）、設(shè) 備（特別移動設(shè) 備）丟失等，由于將工業(yè) 控制系統(tǒng) 引人到其中，所面臨的風(fēng) 險主要有：智能平臺受到病毒的威脅；阻塞、欺騙、拒絕服務(wù) 等使控制命令延遲或失真，導(dǎo) 致系統(tǒng) 無法進人穩(wěn) 定狀態(tài) ；自動控制平臺受到攻擊導(dǎo)致失擬可控性是工業(yè) 安全重要指標之）；容災(zāi) 性差

38、，災(zāi) 難造成的后果無法有效控制和恢復(fù) 。綜合應(yīng) 用層的安全風(fēng) 險綜合應(yīng) 用層面向終端用戶提供個性化業(yè) 務(wù) ，包括身份認證、隱私保護等，同時面向協(xié) 同處理層，預(yù) 留人機交互接口并提供用戶操作指令，用戶通過這些接口可以使用 TV端、 PC端、移動端等多終端設(shè) 備對網(wǎng) 絡(luò) 進行訪問。綜合應(yīng) 用層具有多樣性和不確定性的特點，不同的工業(yè) 現(xiàn) 場應(yīng)

39、用環(huán) 境對安全有不同的需求，其面臨的威脅也呈現(xiàn) 出多樣化：超大量終端、海量數(shù) 據(jù) 、異構(gòu) 網(wǎng) 絡(luò) 和多樣化系統(tǒng) 下的多種不同安全問題，有些安全威肋、難以預(yù) 測；數(shù) 據(jù) 共享是物聯(lián) 網(wǎng) 應(yīng) 用層的特征之一，但數(shù) 據(jù) 共享可能帶來數(shù) 據(jù) 隱私性、訪問權(quán) 限可控性、信息泄露追蹤等方面的問題；應(yīng) 用場景的不同將決定對安全需求的不同，例如隱私保護問

40、題就是在特殊應(yīng) 用環(huán) 境中出現(xiàn) 的。物聯(lián) 網(wǎng) 安全其實物聯(lián) 網(wǎng) 涉及的領(lǐng) 域相當(dāng) 廣泛，無論是金融、公共服務(wù) 、制造業(yè) 、零售業(yè) ，乃至于與人身安全有關(guān) 的醫(yī) 療、國家安全有關(guān) 的能源設(shè) 施，都有相關(guān) 的應(yīng) 用。還有，近年來常見的智能家庭，也使用了大量的物聯(lián) 網(wǎng) 設(shè) 備。物聯(lián) 網(wǎng) 安全是一整個生態(tài) 圈的事情基本上，許多人想到物聯(lián) 網(wǎng) 的安全問題，可能會以

41、為主要是對于設(shè) 備加密，消除漏洞等防護措施。但事實上，我們手上的物聯(lián) 網(wǎng) 設(shè)備，只是傳感器（ Sensors），背后擁有一個生態(tài) 圈，還包含網(wǎng) 絡(luò) 與應(yīng) 用程序等。但從黑客攻擊的面向來看，則略有不同：大致上可分成硬設(shè) 備、連接性（ Connectivity），以及應(yīng) 用程序 3塊。物聯(lián) 網(wǎng) 安全是一整個生態(tài) 圈的事情硬件指的不只是物聯(lián) 網(wǎng) 設(shè) 備本身，還包

42、含整個生態(tài) 圈設(shè) 施，像是網(wǎng) 關(guān) 設(shè) 備，或是執(zhí) 行應(yīng) 用程序的手機等，黑客可透過這些設(shè) 備發(fā) 動攻擊。連接性指的是任何連接的階段、過程，包含網(wǎng) 絡(luò) 流量、生態(tài) 圈通訊，以及設(shè) 備之間的連接，或是應(yīng) 用程序之間的 API等。應(yīng) 用程序則包含物聯(lián) 網(wǎng) 設(shè) 備本身的軟件、云端網(wǎng) 頁接口或管理者接口等。在物聯(lián) 網(wǎng) 硬件出現(xiàn) 的問題中，賴婕芳舉了 RFID卡 Mifare

43、 Classic為例，這種卡片遭到逆向工程解析后，被發(fā) 現(xiàn) 密鑰只有 48 bits，極容易破解，她說，以現(xiàn)在的角度來看，只要在淘寶花 5美元，就能取得相關(guān) 的修改工具。而對于連接性的問題，像低功耗藍牙通訊（ BLE）來說，在需要溝通的兩個設(shè) 備之間，由于像手環(huán) 一類的設(shè) 備沒有屏幕，只能使用配對機制中的 Just Work驗證方法（無密鑰），在這

44、種情況下就很容易遭受中間人攻擊。但其實另外一層隱憂，則是更多設(shè) 備的 BLE通訊過程完全沒有加密，以賴婕芳他們測試過的小米手環(huán) 與體重計來說，他們發(fā) 現(xiàn) 只是對手機程序進行配對，沒有對數(shù) 據(jù) 做保護，因此可將手環(huán) 或是體重計的通訊內(nèi) 容，傳送到非綁定的行動設(shè) 備。換言之，有心人士可將小米體重計得到某個人的重量信息，同時傳送到

45、多臺設(shè) 備中呈現(xiàn) 。相較于上述兩者，應(yīng) 用程序是黑客最常使用的攻擊標的，像 Hitcon在 2015年舉辦的大會中，就展示駭入 Gogoro App并取得憑證，然后將電動機車成功發(fā) 動。然而這是應(yīng) 用程序在設(shè) 計上的問題，將憑證存放在手機不夠安全的區(qū) 域導(dǎo) 致。 2017物聯(lián) 網(wǎng) 5個不可不知的關(guān) 鍵趨勢第一，低功率廣域 (Low Power, Wide Area， LPWA)網(wǎng) 絡(luò) 將走

46、向主流， LPWA技術(shù) 逐漸被重視，特別是 NB-IOT(Narrowband IoT)、LTE-M兩種傳輸協(xié) 議，將會被廣泛導(dǎo) 入智慧城市、智能電表等領(lǐng) 域，以提供低價、低帶寬流量使用，以及低用電量的數(shù) 據(jù) 傳輸服務(wù) 。第二，為了滿足物聯(lián) 網(wǎng) 多元分歧需求，大型電信公司雖然具有市場和技術(shù) 優(yōu) 勢，但仍無法滿足各種應(yīng) 用需求，因此產(chǎn) 業(yè) 內(nèi) 將會出現(xiàn) 更多應(yīng) 用服務(wù) 提供

47、商，針對各特定領(lǐng) 域提供專業(yè) 服務(wù) 。第三，信息安全成為物聯(lián) 網(wǎng) 首要課題。隨著物聯(lián) 網(wǎng) 的發(fā) 展與應(yīng) 用越來越廣泛，安全問題層面，以及其防護的廣度將成為企業(yè) 首要考慮。第四，大數(shù) 據(jù) (Big Data)和機器學(xué) 習(xí) 啟動物聯(lián) 網(wǎng) 新商機。物聯(lián) 網(wǎng) 資料分析轉(zhuǎn) 向 “ 邊緣端 ” ，由終端設(shè) 備就近搜集匯整數(shù) 據(jù) ，同時，發(fā) 展信息流 (streaming data)分析工具逐漸重

48、要，物聯(lián) 網(wǎng) 應(yīng) 用會導(dǎo) 入更多機器學(xué) 習(xí) 引擎 (machine-learning engines)與人工智能(AI)應(yīng) 用。第五，物聯(lián) 網(wǎng) 即服務(wù) 商業(yè) 模式持續(xù) 成長，物聯(lián) 網(wǎng) 強調(diào) 應(yīng) 用，為了方便使用者快速導(dǎo) 入，并降低導(dǎo) 入成本，平臺即服務(wù) (Platform as a Service； PaaS)、軟件及服務(wù) (Software as a Service； SaaS)的商業(yè) 模式將成主流。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情

49、況分析物聯(lián) 網(wǎng) 設(shè) 備存在安全問題，如弱口令等網(wǎng) 絡(luò) 空間搜索引擎（如 NTI、 Shodan、 ZoomEye）關(guān) 注于 IP地址以及其所對應(yīng) 的設(shè) 備、其上運行的服務(wù) 暴露在國內(nèi) 互聯(lián) 網(wǎng) 上的路由器以國產(chǎn) 品牌為主，暴露出來的端口所對應(yīng) 的協(xié) 議以 UPnP 和 FTP 協(xié) 議為主國內(nèi) 有上萬臺路由器感染惡意軟件 Linux.Wifatch 大部分搭載操作系統(tǒng) 的設(shè) 備未經(jīng) 更改默認配置

50、就被部署到互聯(lián) 網(wǎng) 上，這也是它們被探測到的主要原因。如：運行DD-WRT 的設(shè) 備開啟的 7924 個 HTTP 服務(wù) 中，有 22.6% 是由于 title 中具有 “ DD-WRT (buildxxxxx=infopage” 信息而被暴露。 98.6% 運行 uClinux 的設(shè) 備都會帶有 “ Server: uClinux/2.6.28.10 UPnP/1.0 MiniUPnPd/1.3”的 banner 信息。運行 DD-WRT 和 uClinux 的具有路由器功

51、能的設(shè) 備，在做了 NAT 的情況下，會使它本身的 IP 具有多個設(shè) 備的融合屬性 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析網(wǎng) 絡(luò) 監(jiān) 控設(shè) 備暴露的端口很多是默認端口大華監(jiān) 控設(shè) 備視頻數(shù) 據(jù) 服務(wù) 的默認端口是 37777，海康威視數(shù) 據(jù) 服務(wù) 的默認端口是 8000 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析家用路由器端口分布廣泛

52、，但大多位于 1900、 21、 80、 8080 端口路由器暴露端口所對應(yīng) 的協(xié) 議以 UPnP 和 FTP 協(xié) 議為主 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析 UPnP（ Universal Plug and Play，通用即插即用）協(xié) 議允許應(yīng) 用程序（或主機設(shè) 備）自動發(fā) 現(xiàn) 前端的 NAT 設(shè) 備，并根據(jù) 需要自動請求 NAT 設(shè) 備打開相應(yīng) 的端口，啟用 UPnP 后 NAT 兩端的應(yīng) 用程序（或主機設(shè) 備）間

53、可以自主交換信息，以實現(xiàn) 設(shè) 備間網(wǎng) 絡(luò) 的無縫連接。當(dāng) 用戶使用多人游戲，點對點連接，實時通信（如 Internet 電話、電話會議）或遠程協(xié) 助等應(yīng) 用程序的時候，可能需要啟用 UPnP 功能。國內(nèi) 有上萬臺設(shè) 備感染 Linux.Wifatch Linux.Wifatch 是一款惡意軟件，出現(xiàn) 于 2014 年 11 月，它利用遠程登錄（ Telnet）和其他協(xié) 議感染使用弱密碼或默

54、認密碼的設(shè)備。一旦得手， Wifatch 就禁用 Telnet，并給出圖 2.18 所示的 banner 信息。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析打印機設(shè) 備的暴露情況 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析其中 631 為 CUPS（ Common UNIX Printing System）的默認端口， CUPS 是為解決 Unix/Linux 打印限制的打印機軟件。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析常

55、見的操作系統(tǒng) 和固件，包括： uClinux、 VxWorks、 DD-Wrt、 OpenWrt、 Fuchsia、 Raspbian、 Nucleus、 Tizen、 Raspberry Pi、 MICO、 LEDE、 Contiki、Zephyr、 Brillo 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析基于 Nucleus OS 的開發(fā) 包名為 MTK，現(xiàn) 在 Nucleus 也被 Mentor Graphics 用于硬件系統(tǒng) 的功耗控制（ Power Limit）運行 “ Nucleus” 的設(shè) 備

56、通常會開啟 HTTP 服務(wù) 和 FTP 服務(wù) 。平均每個主機開啟了 1.59 個端口提供 HTTP 服務(wù) ，開啟 21 端口的主機占到所有主機總數(shù) 的75.6%。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析在開放 HTTP 協(xié) 議的主機中，具有 title 信息的總共有 513 個。這些設(shè) 備不多，僅供參考，因為空白 title 就有 460 個，除去空白項之外， WebPro 占到了 43.4%， VoIP GateW

57、ay 占到了 22.6%。根據(jù) 這些的信息，可以猜測，在 460 個空白項中，有一部分是網(wǎng) 關(guān) 類產(chǎn) 品，如果 IP 被設(shè) 置了訪問限制，知道開啟了端口卻無法訪問相應(yīng) 服務(wù) 就很正常，獲取的 title 字段自然為空。另外，有 441 條 FTP 的 banner 中出現(xiàn) 這樣的信息： “ 220 Nucleus FTP Server (Version 1.7) ready” ，這就意味著這些設(shè) 備存在一定的共性，

58、這種共性或者因為廠商而存在，或者因為系統(tǒng) 本身的特性而存在。 60 個主機出現(xiàn) 這樣的 banner： “ Nucleus/4.3 UPnP/1.0” ，而且在圖 3.3 中找到的 SSDP 服務(wù) 的數(shù) 量為 62，可以證明一部分主機還開啟了和 UPnP、 SSDP 等相關(guān) 的服務(wù) 。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析 OpenWrt/DD-WRT/LEDE Cisco / Linksys 在 2003 年發(fā) 行了 Linksys WRT

59、54G 這款路由器，由于公司欲圖降低成本而使用了 Linux 內(nèi) 核，最終迫于壓力而公開了源碼。此后就有了一些基于 Linksys 源碼的第三方固件， OpenWrt 和 DD-WRT 就是其中的兩個，而 LEDE 是基于 OpenWrt 的一款嵌入式 Linux 發(fā) 行版。它們應(yīng) 用的載體通常是路由器，其中，也不能排除某些愛好者將其移植到其他嵌入式設(shè) 備（如網(wǎng) 絡(luò) 攝像頭、機

60、器人等）上面。運行 “ OpenWrt/DD-WRT/LEDE” 的設(shè) 備中，至少有 13.0% 沒有修改默認配置，做端口映射的現(xiàn) 象也比較常見。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析一個 IP 開啟了多個相同服務(wù) 的現(xiàn) 象在這類設(shè) 備上很常見圖 3.7 中，某個主機開啟了 6 個 HTTP 服務(wù) ，這 6 個服務(wù) 的 title 信息出現(xiàn) 了 4 種設(shè) 備，由此可見，這一個 IP背后至少有 5 臺

61、設(shè) 備，其中有兩臺 VoIP Gateway。由此可知，簡單掃描是無法確定設(shè) 備類型的，因為 NAT 映射會使得一個 IP 具有多個設(shè) 備的融合屬性。同時，發(fā) 現(xiàn) 它們的 banner 信息中有這樣的字符出現(xiàn) ： DD-WRT (build xxxxx=infopage（ xxxxx 表示 5 位數(shù) 字，通常是 DD-WRT 固件編譯版本），也有這樣的字符出現(xiàn) ： R6300 DD-WRT (build 。所以，以 build

62、為關(guān) 鍵字進行字符匹配檢索時，發(fā) 現(xiàn) 在 16583 個服務(wù) 中， build 字段出現(xiàn) 了 2148 次，約為 13.0%。 Basic realm=DDWRT字符出現(xiàn) 了 817 次，約為 4.9%。這說明了一部分人基于 DD-WRT 類固件或者操作系統(tǒng) 開發(fā) 時，并沒有改變路由器的默認配置。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析 Raspbian/Raspberry Pi Raspbian 是一個基于 Debian，為 Raspb

63、erry Pi（中文翻譯為 “ 樹莓派 ” ，下同）硬件優(yōu) 化的免費操作系統(tǒng) ，它提供超過 35,000 個軟件包。廣大智能硬件愛好者對這個系統(tǒng) 再熟悉不過了。與傳統(tǒng) 的嵌入式操作系統(tǒng) 相比， Raspbian 只需要由愛好者通過諸如 Win32DiskImager 這樣的軟件，把官方提供的img 系統(tǒng) 包直接燒入到 SD 卡，即可運行在樹莓派硬件之上。許多創(chuàng) 客（ Maker）都在

64、基于樹莓派、 Arduino 等開源硬件做一些有意義的事情。運行 “ Raspbian” 的設(shè) 備有一個很重要的特征： 67.9% 的設(shè) 備上， SSH 服務(wù) 是對外開放的。根據(jù) 統(tǒng) 計情況看，在 1390 個主機中，有 944 臺主機開放了 22 端口，占有率高達 67.9%。由于樹莓派是一個開源智能硬件，它的出現(xiàn) 主要是方便開發(fā) 者、智能硬件發(fā) 燒友快速制作產(chǎn) 品原型，所以大

65、多數(shù) 人并沒有修改 Raspbian 默認配置，保留了 SSH 服務(wù) 。可以說絕大部分這類設(shè) 備（智能硬件樹莓派）SSH 服務(wù) 是對外開放的。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析 uClinux 一開始的 uClinux 是 Linux 2.0 內(nèi) 核的衍生物，用于沒有內(nèi) 存管理單元（ MMU）的微控制器，而且 Linux 微控制器項目在處理器架構(gòu) 的品牌識別和覆蓋方面都有所增長。

66、今天的 uClinux 作為操作系統(tǒng) 包括了 2.0、 2.4 和 2.6 的 Linux 內(nèi) 核版本，以及用戶應(yīng) 用程序，庫和工具鏈的集合。 uClinux 是嵌入式 Linux 領(lǐng) 域非常重要的分支，已應(yīng) 用于路由器、機頂盒、 PDA 等領(lǐng) 域。 98.4% 運行 “ uClinux” 的設(shè) 備都會開啟 SSDP 服務(wù) 。 2017 國內(nèi) 物聯(lián) 網(wǎng) 資產(chǎn) 的暴露情況分析縱向看，協(xié) 議和對應(yīng) 端口號從數(shù) 量關(guān) 系上基本對應(yīng) ，如 SSDP 協(xié) 議的 1900 端口號上傳輸數(shù) 據(jù) ，兩者數(shù) 量差別不大。橫向看，特征就凸顯出來了， 18646 個主機中有 18348 個主機開啟了 1900 端口，約占主機總數(shù) 的 98.4%，幾乎全部的 SSDP 服務(wù) 都在 1900 端口上，而且在 banner 信息

展開閱讀全文

溫馨提示:
1: 本站所有資源如無特殊說明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙，網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽，若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間，僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理，對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對任何下載內(nèi)容負責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

備案號:蜀ICP備2024067431號-1 川公網(wǎng)安備51140202000466號

本站為文檔C2C交易模式，即用戶上傳的文檔直接被用戶下載，本站只是中間服務(wù)平臺，本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間，僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理，對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私，請立即通知裝配圖網(wǎng)，我們立即給予刪除！

《物聯(lián)網(wǎng)信息安全》PPT課件.pptx

最新文檔

相關(guān)資源

相關(guān)搜索