2024物聯(lián)網(wǎng)安全設(shè)計指南

物聯(lián)網(wǎng)安全設(shè)計指南2024目錄目錄 2物聯(lián)網(wǎng)概念和體系架構(gòu) 1物聯(lián)網(wǎng)概念 1物聯(lián)網(wǎng)的體系架構(gòu) 1物聯(lián)網(wǎng)的標(biāo)準(zhǔn)體系 2物聯(lián)網(wǎng)趨勢和安全威脅 3物聯(lián)網(wǎng)發(fā)展趨勢 3物聯(lián)網(wǎng)所面對的安全威脅和挑戰(zhàn) 4物聯(lián)網(wǎng)安全定級建議 9定級依據(jù)和標(biāo)準(zhǔn) 9物聯(lián)網(wǎng)場景安全定級建議 10物聯(lián)網(wǎng)安全架構(gòu) 10總體安全架構(gòu) 10感知層安全 11網(wǎng)絡(luò)層安全 12平臺層安全 13應(yīng)用層安全 13物聯(lián)網(wǎng)生命周期安全防護(hù) 15云端應(yīng)用生命周期防護(hù) 15終端生命周期防護(hù) 16物聯(lián)網(wǎng)身份標(biāo)識和認(rèn)證 21終端身份標(biāo)識 21身份認(rèn)證 21密鑰管理 26物聯(lián)網(wǎng)安全可信 28物聯(lián)網(wǎng)安全可信體系總體架構(gòu) 28圖7-1物聯(lián)網(wǎng)安全可信體系總體架構(gòu)圖 28感知層安全可信 28網(wǎng)絡(luò)層安全可信 31應(yīng)用層安全可信 32網(wǎng)絡(luò)傳輸保護(hù) 33端到端安全傳輸原則 33傳輸協(xié)議保護(hù) 34傳輸加密技術(shù) 35傳輸數(shù)據(jù)完整性 36近場通信安全 37近場無線射頻通信技術(shù)概述 37RFID無線射頻安全分析 37NFC技術(shù)安全分析 38無線射頻遙控安全分析 41數(shù)據(jù)和隱私保護(hù) 43物聯(lián)網(wǎng)與隱私和數(shù)據(jù)保護(hù)的關(guān)系 43物聯(lián)網(wǎng)中的隱私保護(hù)的關(guān)鍵步驟 43物聯(lián)網(wǎng)產(chǎn)品設(shè)計中的設(shè)計隱私保（Privacyby和默認(rèn)隱私保（PrivacybyDefault） 48終端安全 50物聯(lián)網(wǎng)終端定義 50終端物理安全 51終端系統(tǒng)安全 53終端應(yīng)用安全 54客戶端應(yīng)用安全技術(shù) 54云端平臺安全 56云端平臺架構(gòu) 56云端平臺安全威脅 57云端平臺安全解決方案 60云端平臺安全認(rèn)證 62云端平臺安全服務(wù) 63物聯(lián)網(wǎng)安全運(yùn)營 65設(shè)備入網(wǎng)檢測與退網(wǎng)安全 65物聯(lián)網(wǎng)安全運(yùn)營監(jiān)測與防護(hù) 67物聯(lián)網(wǎng)安全態(tài)勢感知與預(yù)警 68關(guān)鍵業(yè)務(wù)場景應(yīng)用指南 70車聯(lián)網(wǎng)安全 70NB-IoT安全 74無人機(jī)案例 75物聯(lián)網(wǎng)概念和體系架構(gòu)物聯(lián)網(wǎng)概念和體系架構(gòu)PAGE1/82頁物聯(lián)網(wǎng)概念和體系架構(gòu)物聯(lián)網(wǎng)概念術(shù)越來越多地部署在個人和企業(yè)環(huán)境中，例如:企業(yè)視頻監(jiān)控和智能安防；實(shí)體物流的數(shù)字跟蹤；家庭電表、氣表、水表讀數(shù)自動上報；為個人提供相關(guān)的健康生活的應(yīng)用。歐洲網(wǎng)絡(luò)與信息安全署（ENISA）將物聯(lián)網(wǎng)系統(tǒng)定義為“互聯(lián)傳感器和執(zhí)行器的賽博物理生態(tài)系統(tǒng)，可實(shí)現(xiàn)智能決策”。物聯(lián)網(wǎng)的體系架構(gòu)物聯(lián)網(wǎng)的體系主要分為感知層、網(wǎng)絡(luò)層、應(yīng)用層。平臺層為可選，一般與應(yīng)用層在一起，位于應(yīng)用層的下面。感知層包含傳感器以及相關(guān)的傳感網(wǎng)絡(luò)，完成物理世界的數(shù)據(jù)采集及數(shù)據(jù)短距離的傳輸；網(wǎng)絡(luò)層為感知層向應(yīng)用層的通信管道，如Wifi、LTE、5G等；據(jù)信息的處理，它包含App應(yīng)用、云端服務(wù)、計算存儲等。除此之外，涉及到物聯(lián)網(wǎng)來考慮。物聯(lián)網(wǎng)的標(biāo)準(zhǔn)體系物聯(lián)網(wǎng)總體性標(biāo)準(zhǔn):包括物聯(lián)網(wǎng)導(dǎo)則、物聯(lián)網(wǎng)總體架構(gòu)、物聯(lián)網(wǎng)業(yè)務(wù)需求等。RFID定行業(yè)和應(yīng)用相關(guān)的感知層技術(shù)標(biāo)準(zhǔn)等。IPv6協(xié)議、低功耗路由、增強(qiáng)的M2M(MachinetoMachine，機(jī)器對機(jī)器)無線接入和核心網(wǎng)標(biāo)準(zhǔn)、M2M模組與平臺、網(wǎng)絡(luò)資源虛擬化標(biāo)準(zhǔn)、異構(gòu)融合的網(wǎng)絡(luò)標(biāo)準(zhǔn)等。應(yīng)用層架構(gòu)重點(diǎn)是面向?qū)ο蟮姆?wù)架構(gòu)，包括SOA體系架構(gòu)、面向上層業(yè)務(wù)應(yīng)用的流SOA安全架構(gòu)標(biāo)準(zhǔn)。信息智能處理類技術(shù)標(biāo)準(zhǔn)包括云計算、數(shù)據(jù)存儲、數(shù)據(jù)挖掘、海量智能信息處理和呈現(xiàn)等。共性關(guān)鍵技術(shù)標(biāo)準(zhǔn)體系:包括標(biāo)識和解析、服務(wù)質(zhì)量(QualityofService，QoS)、物聯(lián)網(wǎng)趨勢和安全威脅物聯(lián)網(wǎng)趨勢和安全威脅PAGE3/82頁物聯(lián)網(wǎng)趨勢和安全威脅物聯(lián)網(wǎng)發(fā)展趨勢5GIoT持續(xù)增長：5G幾乎可以實(shí)時收集、傳輸、管理和分析數(shù)速度要求很高的領(lǐng)域，5G行的應(yīng)用。物聯(lián)網(wǎng)所面對的安全威脅和挑戰(zhàn)5可以在感知層設(shè)備節(jié)點(diǎn)中注入病毒（惡意代碼或指令等整個網(wǎng)絡(luò)癱瘓。后臺系統(tǒng)的重要信息。備節(jié)點(diǎn)無法正常的提供服務(wù)。假冒：假冒就是使用非法設(shè)備假冒正常設(shè)備，進(jìn)入到感知層網(wǎng)絡(luò)中，參或誘導(dǎo)正常數(shù)據(jù)獲得敏感信息。0day感知層權(quán)限，進(jìn)而由點(diǎn)到面達(dá)到控制大量感知層設(shè)備的目的。物聯(lián)網(wǎng)網(wǎng)絡(luò)層的安全威脅主要來自以下幾個方面：病毒蠕蟲威脅：隨著物聯(lián)網(wǎng)業(yè)務(wù)終端的日益智能化，計算能力的增強(qiáng)同DoS等。因此，DoS、竊聽、滲透、篡改等；承載網(wǎng)絡(luò)信息傳輸安全：物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)是一個多網(wǎng)絡(luò)疊加的開放性IP授權(quán)管理方面也會面臨更大的安全挑戰(zhàn)。物聯(lián)網(wǎng)應(yīng)用層主要威脅如下：可偽造用戶或管理員進(jìn)入后臺服務(wù)器，實(shí)現(xiàn)遠(yuǎn)程開鎖；應(yīng)用層竊聽/制相互獨(dú)立，因此應(yīng)用層數(shù)據(jù)可能被竊聽、注入和篡改；3GPS等，物聯(lián)網(wǎng)時代下的個人隱私越來越受到關(guān)注，GPSRFIDAPI云平臺提供商的責(zé)任。物聯(lián)網(wǎng)安全事件亞馬遜智能音箱發(fā)生重大監(jiān)聽事故：超千條用戶錄音泄露。2018年12月20日，德國媒體《c't》報道稱，由于亞馬遜的人為錯誤，導(dǎo)致德國一位Alexa170081700《c't》聽取了其中部分錄音發(fā)現(xiàn)，僅憑這些信息可以“拼湊”出一個人的c't幸被泄露隱私的兩位用戶，其中一位表示震驚和憤怒。智能家居設(shè)備部署在私密的家庭環(huán)境中，如果設(shè)備存在的漏洞被遠(yuǎn)程控制，將導(dǎo)致用戶隱私完全暴露在攻擊者面前。智能家居設(shè)備中攝像頭的不當(dāng)配置(缺省密碼)與設(shè)備固件層面的安全漏洞可能導(dǎo)致攝像頭被入侵，進(jìn)而引發(fā)攝像頭采集的視頻隱私遭到泄露。2017年8月，浙江某地警方破獲一個在網(wǎng)上制作和傳播家庭攝像頭破解入侵軟件的犯罪團(tuán)伙。查獲被破解入侵家庭攝像頭IP近萬個，獲取大量個人生活影像、照片，甚至個人私密信息。2017年2月28日安全專家TroyHunt曝光互聯(lián)網(wǎng)填充智能玩具CloudPets(泰迪熊)的用戶數(shù)據(jù)存儲在一個沒有任何密碼或防火墻防護(hù)的公共數(shù)據(jù)庫中，暴露了200多萬條兒童與父母的錄音，以及超過80萬個帳戶的電子郵件地址和密碼。2016年10月21日，美國域名服務(wù)商Dyn遭受到來自數(shù)十萬網(wǎng)絡(luò)攝像頭、數(shù)字錄像機(jī)設(shè)備組成的僵尸網(wǎng)絡(luò)高達(dá)620G流量的DDoS數(shù)百個重要網(wǎng)站無法訪問。同年，德國電信遭遇網(wǎng)絡(luò)攻擊，超90萬臺路由器不斷演進(jìn)的安全架構(gòu)不斷演進(jìn)的安全架構(gòu)PAGE9/82頁物聯(lián)網(wǎng)安全定級建議定級依據(jù)和標(biāo)準(zhǔn)本指南所編寫的物聯(lián)網(wǎng)安全定級依據(jù)和標(biāo)準(zhǔn)參考了目前業(yè)界的主流方法，將物聯(lián)網(wǎng)場景中受侵害客體分為公民、法人和其他組織的合法權(quán)益以及社會秩序、公共利益，受侵害程度分為一般侵害、嚴(yán)重侵害、特別嚴(yán)重侵害。安全等級與受侵害客體、受侵害程度關(guān)系如下表所示。受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害合法權(quán)益等級一等級二等級三社會秩序、公共利益等級二等級三第四級表3-1物聯(lián)網(wǎng)場景CIA（可用性/機(jī)密性/完整性）要求不同，本指南根據(jù)不同設(shè)置的CIA和物聯(lián)網(wǎng)場景的定級參考要求如下表：可用性機(jī)密性完整性等級HHH4HHL/N3不斷演進(jìn)的安全架構(gòu)不斷演進(jìn)的安全架構(gòu)PAGE10/82頁HLL/N2LLL/N1

表3-2全定級標(biāo)準(zhǔn)來評估本身應(yīng)該具備的安全級別。等級網(wǎng)絡(luò)中，應(yīng)該提高安全級別，通過相應(yīng)的終端級別認(rèn)證。1筑里面的用戶本身是高安全價值目標(biāo)，容易被APT攻擊盯上。使得智能家居產(chǎn)品安全性無法滿足新的安全需求，需要提升物聯(lián)網(wǎng)安全等級。GPS20184IoT物聯(lián)網(wǎng)安全架構(gòu)總體安全架構(gòu)物聯(lián)網(wǎng)的安全架構(gòu)可以根據(jù)物聯(lián)網(wǎng)的架構(gòu)可分為感知層安全、網(wǎng)絡(luò)層安全、平臺層安全和應(yīng)用層安全。如下圖所示：感知層安全

圖4-1構(gòu)需統(tǒng)籌考慮其計算、通信、存儲等資源，在以下方面實(shí)現(xiàn)其安全設(shè)計：重要數(shù)據(jù)不會被攻擊者利用；造和假冒；的存儲安全；其他重要數(shù)據(jù)在傳輸過程中不被惡意攻擊和泄露；控制、日志審計、接口安全、失效保護(hù)等安全要求；網(wǎng)絡(luò)層安全WiFI、ZigBeeIPv4/6全，同時具備訪問控制等安全措施；防止通信數(shù)據(jù)發(fā)生劫持、重放、篡改和竊聽等中間人攻擊；網(wǎng)絡(luò)攻擊防護(hù)：網(wǎng)絡(luò)層需考慮病毒傳播、DDoS等網(wǎng)絡(luò)攻擊行為，確保抵御畸形報文攻擊；協(xié)議融合安全：作為多網(wǎng)絡(luò)融合的開放性網(wǎng)絡(luò)，網(wǎng)絡(luò)層需要考慮異構(gòu)網(wǎng)絡(luò)間信息交換的安全。平臺層安全在進(jìn)行大規(guī)模、分布式、多業(yè)務(wù)管理時，設(shè)計上需考慮：考慮硬件環(huán)境、虛擬化、穩(wěn)定性、漏洞防護(hù)等安全問題；備接入過程中安全傳輸?shù)哪芰Γ⒛軌蜃钄喈惓５慕尤?；可抵賴性；接口安全：需考慮平臺對外提供APIAPIAPI應(yīng)用層安全需考慮：問其授權(quán)的資源；統(tǒng)權(quán)限；WEBWEBSQLAPPAPP息泄露、反編譯等攻擊行為。物聯(lián)網(wǎng)生命周期安全防護(hù)物聯(lián)網(wǎng)生命周期安全防護(hù)PAGE15/82頁物聯(lián)網(wǎng)生命周期安全防護(hù)云端應(yīng)用生命周期防護(hù)際上，有很多軟件開發(fā)質(zhì)量方面的最佳實(shí)踐，SDLsecuritydevelopmentlieye（安全開發(fā)生命周期，是微軟提出的從安全角度指導(dǎo)軟件開發(fā)過程的SDL的安全配置，以提高應(yīng)用系統(tǒng)的安全防護(hù)能力。力及落地。一個在完整的應(yīng)用安全開發(fā)過程，應(yīng)該包括如下幾個階段：安全需求安全設(shè)計安全開發(fā)安全測試安全交付和維護(hù)圖5-1產(chǎn)品在設(shè)計階段落實(shí)相關(guān)安全需求，保障產(chǎn)品的安全能力。終端生命周期防護(hù)性的安全機(jī)制引入。在設(shè)備的設(shè)計和開發(fā)階段主要需要解決以下幾個安全問題：硬件安全硬件安全包括模組選型、防拆卸設(shè)計及能量攻擊防護(hù)。模組固件具有已知漏洞的模組版本。要的物聯(lián)網(wǎng)設(shè)備，如果條件允許，可以考慮增加物理拆卸感知上報的機(jī)制。代碼及供應(yīng)鏈安全的缺陷、漏洞。軟件包、資源庫進(jìn)行定期檢查。安全啟動在設(shè)備啟動至業(yè)務(wù)流程執(zhí)行過程，需要確保執(zhí)行環(huán)境的安全：具備通過難以篡改的信任根對固件進(jìn)行完整性驗(yàn)證。啟動代碼自身需要具備完整性校驗(yàn)。業(yè)務(wù)關(guān)鍵流程和重要數(shù)據(jù)需要采用加密方式存儲在專用安全存儲區(qū)。設(shè)備上需要具備獨(dú)立安全運(yùn)行空間，確保關(guān)鍵進(jìn)程難以被篡改。設(shè)備狀態(tài)監(jiān)控設(shè)備投產(chǎn)使用過程中，需要對關(guān)鍵信息進(jìn)行采集并上報：設(shè)備存活狀態(tài)。物聯(lián)網(wǎng)設(shè)備應(yīng)當(dāng)具備定期對管理平臺報活的機(jī)制。設(shè)備啟停事件。物聯(lián)網(wǎng)設(shè)備啟動停止事件對于非法移動或仿冒的判斷屬重要信息，應(yīng)當(dāng)上報管理平臺。設(shè)備網(wǎng)絡(luò)異常事件。如設(shè)備網(wǎng)絡(luò)地址變更或活躍網(wǎng)絡(luò)接口數(shù)量變更。并在應(yīng)用或系統(tǒng)層面對傳感器狀態(tài)進(jìn)行上報。為重要告警上報。系統(tǒng)權(quán)限，已經(jīng)超出了應(yīng)用訪問的層面。行采集、上報。系統(tǒng)對外提供的服務(wù)以及對外開放的端口。系統(tǒng)關(guān)鍵設(shè)置被改變。向滲透的威脅行為具有很好的追蹤溯源效果。安全防護(hù)設(shè)備安全防護(hù)主要指針對物理接觸或遠(yuǎn)程入侵等手段的一些防護(hù)措施：要電路部分需要具備一定的電磁屏蔽措施。口，或設(shè)計特殊訪問方式，防止固件被逆向。他接口處于禁用狀態(tài)。（LinuxHTTPS等加密DNS（件。級相關(guān)日志上報。的事件進(jìn)行上報。如可以進(jìn)一步響應(yīng)處置更佳。設(shè)備安全信息采集能力。設(shè)備端關(guān)鍵狀態(tài)及行為信息是做好安全大數(shù)據(jù)23節(jié)內(nèi)容。全事件的發(fā)現(xiàn)-響應(yīng)閉環(huán)時間導(dǎo)致數(shù)據(jù)時效性差，威脅處置不及時的問題。利用威脅發(fā)現(xiàn)與處置能力邊緣化，有助于解決以上問題。NB分析已經(jīng)不可能再像傳統(tǒng)安全一樣簡單的通過人工對全網(wǎng)設(shè)備重要日志進(jìn)行篩網(wǎng)設(shè)備業(yè)務(wù)需求建模后通過多種安全維度以直觀可視化的方式對物聯(lián)網(wǎng)安全態(tài)勢的展示可以極大的滿足安全運(yùn)維人員的需求。臺需要具備與安全服務(wù)商提供的威脅情報同步的能力。貫穿始終的專業(yè)服務(wù)。運(yùn)維是永遠(yuǎn)不會100%被自動化的服務(wù)，運(yùn)維的員提供服務(wù)將是物聯(lián)網(wǎng)時代安全運(yùn)維的新需求。物聯(lián)網(wǎng)身份標(biāo)識和認(rèn)證物聯(lián)網(wǎng)身份標(biāo)識和認(rèn)證PAGE21/82頁物聯(lián)網(wǎng)身份標(biāo)識和認(rèn)證傳輸正確的數(shù)據(jù)，執(zhí)行正確的動作。其唯一身份，并運(yùn)用這一身份與服務(wù)器或其他設(shè)備之間建立安全通訊。終端身份標(biāo)識存儲區(qū)域。安全隱患，應(yīng)進(jìn)行檢測并修復(fù)問題。身份認(rèn)證備信任錨。建立證書管理政策。定義在提供證書前驗(yàn)證設(shè)備身份的最低要求(登記)。設(shè)備識別驗(yàn)證應(yīng)該基于(a)現(xiàn)場審查,或(b)在已有的關(guān)鍵材料基礎(chǔ)上(例如由制造商)自動提供。建立包括證書更新在內(nèi)的自動化證書流程。證書的壽命不超期證書。認(rèn)證。身份認(rèn)證鑒別機(jī)制議采用推薦的身份認(rèn)證機(jī)制?；诰W(wǎng)絡(luò)身份標(biāo)識的認(rèn)證MAC基于對稱密碼機(jī)制的認(rèn)證（推薦）基于非對稱密碼機(jī)制的認(rèn)證（推薦）認(rèn)證失敗處理機(jī)制過設(shè)定的認(rèn)證失敗次數(shù)后終止訪問，并在一定的安全事件間隔后才能恢復(fù)。操作系統(tǒng)用戶身份認(rèn)證8具有執(zhí)行能力的終端應(yīng)能鑒別下達(dá)執(zhí)行指令者的身份。訪問控制具有操作系統(tǒng)的終端應(yīng)能控制操作系統(tǒng)用戶的訪問權(quán)限。限。終端應(yīng)能控制數(shù)據(jù)的本地或遠(yuǎn)程訪問。終端應(yīng)提供安全措施控制對其的遠(yuǎn)程配置。終端系統(tǒng)訪問控制范圍應(yīng)覆蓋所有主體、客體以及他們之間的操作。USBTSIS485、以太網(wǎng)口、光纖口、CAN、ModBus必要的時候可以增加其他的限制，例如地理圍欄系統(tǒng)和時間限制系統(tǒng)。物聯(lián)網(wǎng)設(shè)備使用IEEE1609.2IEEE1609.2IEEE1609.2SSP/PSID位中使用。當(dāng)進(jìn)行授權(quán)決策時驗(yàn)證SSP/PSID禁用未認(rèn)證的藍(lán)牙進(jìn)行配對（例如，直接連接。證機(jī)制以及本身的身份認(rèn)證機(jī)制。（一）南向?qū)咏K端所需要支持的身份認(rèn)證機(jī)制終端接入認(rèn)證保證對感知終端標(biāo)識的感知層網(wǎng)關(guān)生命周期內(nèi)的唯一性。提供對終端身份認(rèn)證的機(jī)制。制。并在一定的安全事件間隔后才能恢復(fù)。網(wǎng)絡(luò)訪問控制支持訪問控制表（ACL）等訪問控制策略，防止資源被非法訪問和非法使用?？刂葡嗤W(wǎng)絡(luò)內(nèi)部的相互訪問?？刂撇煌W(wǎng)絡(luò)之間的跨網(wǎng)訪問。作。支持黑名單、白名單機(jī)制。能夠控制終端訪問數(shù)量。（二）感知層網(wǎng)關(guān)本身所需要具備的身份認(rèn)證機(jī)制感知層網(wǎng)關(guān)身份認(rèn)證感知層網(wǎng)關(guān)用戶訪問控制控制感知層網(wǎng)關(guān)用戶的訪問權(quán)限，并避免權(quán)限擴(kuò)散。僅賦予感知層網(wǎng)關(guān)完成任務(wù)所需要的最小權(quán)限。控制數(shù)據(jù)的本地或遠(yuǎn)程訪問。提供安全措施對感知層網(wǎng)關(guān)進(jìn)行遠(yuǎn)程配置?？刂品秶鷳?yīng)覆蓋所有主體、客體以及他們之間的操作。份認(rèn)證機(jī)制以及感知層接入實(shí)體的身份認(rèn)證機(jī)制。（一）通信網(wǎng)接入系統(tǒng)身份認(rèn)證機(jī)制接入實(shí)體接入認(rèn)證（含終端以及感知層網(wǎng)關(guān)，至少兩種方式）基于接入實(shí)體標(biāo)識和接入口令的單向認(rèn)證基于預(yù)共享密鑰的單向或雙向認(rèn)證基于公鑰基礎(chǔ)設(shè)施的接入認(rèn)證認(rèn)證失敗處理機(jī)制間的當(dāng)前會話。接入。訪問控制ACLIP//構(gòu)成的組合。支持白名單，限制接入實(shí)體對通信網(wǎng)的訪問。（二）感知層接入實(shí)體身份認(rèn)證機(jī)制接入實(shí)體認(rèn)證支持功能基于接入實(shí)體標(biāo)識和接入口令的單向認(rèn)證基于預(yù)共享密鑰的單向或雙向認(rèn)證（間進(jìn)行保密通信的初始密鑰）基于公鑰基礎(chǔ)設(shè)施的接入認(rèn)證提供實(shí)體標(biāo)識、接入口令等的存儲以及管理功能接入實(shí)體訪問控制ACL支持基于接入實(shí)體用戶/用戶組的訪問控制，并部署用戶訪問控制策略。密鑰管理程，至少包括密鑰生成、密鑰派生、密鑰建立/密鑰歸零/銷毀。假設(shè)設(shè)備有足夠的熵隨機(jī)源，只要有可能，密鑰應(yīng)該在設(shè)備上(包括以帶外方式傳遞)。下是密鑰管理建議：常高的安全性。通信隔離。者非對稱加密算法。FLASH中，也可以只存放在SE密鑰共享方式備份。能力。建立策略確保私鑰不會跨多個設(shè)備或組共享。在密鑰派生時盡可能采用為物聯(lián)網(wǎng)設(shè)備和服務(wù)建立專門的密鑰管理用戶組用于密鑰管理安全配置。建立安全地引導(dǎo)物聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)的流程。優(yōu)先使用能夠零接觸的物署設(shè)備之前建立一個可信的設(shè)施登記設(shè)備序列號和預(yù)加載的身份識別/密鑰/證書。所有帳戶的注冊和更新命令都需要采用加密機(jī)制。網(wǎng)絡(luò)傳輸保護(hù)網(wǎng)絡(luò)傳輸保護(hù)PAGE28/82頁物聯(lián)網(wǎng)安全可信物聯(lián)網(wǎng)安全可信體系總體架構(gòu)關(guān)要求進(jìn)行說明。圖7-1物聯(lián)網(wǎng)安全可信體系總體架構(gòu)圖感知層安全可信因?yàn)槲锫?lián)網(wǎng)的興起，企業(yè)邊界正在逐漸瓦解，單純基于邊界的安全防護(hù)體系正在失效。在傳統(tǒng)網(wǎng)絡(luò)安全行業(yè)，重點(diǎn)關(guān)注南北向的防護(hù)策略，通過防火墻、WAF、IPS等邊界安全產(chǎn)品/方案對企業(yè)網(wǎng)絡(luò)進(jìn)出口進(jìn)行防護(hù)，而忽略感知層?xùn)|西向的安全。感知。感信息泄漏幾方面因素，將感知層可信劃分為設(shè)備端可信和數(shù)據(jù)可信。設(shè)備端的可信主要指設(shè)備上的可信環(huán)境的構(gòu)建以及設(shè)備入網(wǎng)時自身的接入認(rèn)證。物聯(lián)網(wǎng)設(shè)備的端上可信環(huán)境的構(gòu)建包括以下幾點(diǎn)：5.25.2時的身份識別標(biāo)志?？尚艌?zhí)行：設(shè)備上啟動的任何程序都應(yīng)當(dāng)經(jīng)過技術(shù)手段驗(yàn)證其合法性，TEE/SE單等。數(shù)據(jù)可信應(yīng)當(dāng)包括設(shè)備本地重要數(shù)據(jù)的安全存儲、對外交互時的傳輸可信和感知數(shù)據(jù)可信。進(jìn)程的訪問。的機(jī)密性，如隨機(jī)數(shù)熵值不低于128位、臨時密鑰用后銷毀、對可靠性要求較高的場景采用一次一密的通訊機(jī)制等。感知數(shù)據(jù)可信。感知數(shù)據(jù)可信包括感知設(shè)備自身對傳感器采集到的數(shù)據(jù)合理范圍的預(yù)知，例如智能空調(diào)感知到零下273度的室溫，此種屬于可確定的M2M（綜.27.4.1是合法設(shè)備、是否被篡改、是否是仿冒設(shè)備。設(shè)備與其他設(shè)備或系統(tǒng)進(jìn)行交互時應(yīng)當(dāng)對設(shè)備身份和設(shè)備安全基線進(jìn)行竊聽防篡改機(jī)制。如，對指令進(jìn)行加密，且采用一次一密的動態(tài)密鑰機(jī)制。網(wǎng)絡(luò)層安全可信窩網(wǎng)絡(luò)包括2G/3G/4G/5G/NB，非蜂窩網(wǎng)絡(luò)包括有線網(wǎng)、WiFi、藍(lán)牙、Lora等。在蜂窩網(wǎng)絡(luò)方面，安全可信大部分依賴于運(yùn)營商。物聯(lián)網(wǎng)設(shè)備通過SIM卡IMEIICCIDIMEIVLANIP）或阻斷入網(wǎng)。行網(wǎng)絡(luò)隔離（VLANIP）M2M7.2.3通訊交互進(jìn)行權(quán)限管控。應(yīng)用層安全可信7.2感知層安全可信內(nèi)容并應(yīng)用至移動設(shè)備。同證，以及設(shè)備丟失后的遠(yuǎn)程數(shù)據(jù)擦除等技術(shù)的應(yīng)用。證等手段確保移動應(yīng)用不被篡改，保障應(yīng)用數(shù)據(jù)安全可信。WEB應(yīng)用安全可信：對于物聯(lián)網(wǎng)系統(tǒng)的WEB應(yīng)用，應(yīng)當(dāng)具備防跨站攻擊、防注入攻擊、抗DDoS攻擊等安全防護(hù)。條件允許的還應(yīng)當(dāng)考慮應(yīng)用網(wǎng)關(guān)，對應(yīng)用數(shù)據(jù)進(jìn)行可靠校驗(yàn)以及過濾，最大可能的確保數(shù)據(jù)的安全可信。網(wǎng)絡(luò)傳輸保護(hù)網(wǎng)絡(luò)傳輸過程中，受到的威脅主要有被竊取、被修改、被重放、被攔截等，必須采用相應(yīng)的措施保障網(wǎng)絡(luò)傳輸?shù)陌踩?。網(wǎng)絡(luò)傳輸安全具體是指通過安全技術(shù)或方案為物聯(lián)網(wǎng)傳輸層提供安全保障篡改等。及時發(fā)現(xiàn)，并采用時間戳和序列號方式，檢測攔截，避免重放等。端到端安全傳輸原則物聯(lián)網(wǎng)傳輸安全框架采用端到端原則（endendpinple，即通信中物聯(lián)網(wǎng)系統(tǒng)的端到端數(shù)據(jù)安全傳輸應(yīng)遵循以下原則：建立數(shù)據(jù)傳輸?shù)碾p方應(yīng)采用合適的認(rèn)證機(jī)制，確保端點(diǎn)可信；物聯(lián)網(wǎng)邊緣設(shè)備應(yīng)盡可能進(jìn)行安全的加密//驗(yàn)證等密碼功能；控制數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離；傳輸安全應(yīng)盡量不依賴來于原有的通信網(wǎng)絡(luò)安全框架；在第一條未能滿足的情況下，物聯(lián)網(wǎng)系統(tǒng)中完成安全傳輸功能的主體應(yīng)盡量接近物聯(lián)網(wǎng)系統(tǒng)的邊緣；案；高等級系統(tǒng)需要采用數(shù)字證書認(rèn)證和加密；濾。傳輸協(xié)議保護(hù)CoAP協(xié)議，這些協(xié)議的安全性關(guān)系到物聯(lián)網(wǎng)的安全性。VPN可以采用TLS協(xié)議進(jìn)行數(shù)據(jù)加密，防止中間人劫持、重放攻擊等。在低功耗設(shè)數(shù)據(jù)傳輸?shù)耐暾浴Ｈ绻膊捎米C書的方式校驗(yàn)身份，成本過大。在應(yīng)用層可以使用客戶標(biāo)識以及用戶名密碼，來驗(yàn)證設(shè)備。用。基于做法。異常終止、發(fā)送無法傳達(dá)的消息。CoAPCoAPUDP重傳機(jī)制。同時對于用戶根據(jù)具體的需求判斷使用場景，以提高效率。協(xié)議進(jìn)行數(shù)據(jù)加密，但需考慮對進(jìn)行精方式對數(shù)據(jù)進(jìn)行加密，采用數(shù)字簽名的方式保證數(shù)據(jù)傳輸?shù)耐暾?。可以業(yè)務(wù)數(shù)據(jù)進(jìn)行序列化，增加安全性的同時，提高數(shù)據(jù)處理效率。入惡意代碼。應(yīng)具備對升級源地址校驗(yàn)的能力，防止固件來源非法。傳輸加密技術(shù)等多維度校驗(yàn)，最大程度保證數(shù)據(jù)傳輸?shù)陌踩浴Ｎ锫?lián)網(wǎng)系統(tǒng)的傳輸加密應(yīng)遵循以下原則：AESSSL/TLS加強(qiáng)數(shù)據(jù)過濾、認(rèn)證等加密操作，確保傳送數(shù)據(jù)的正確性；度保證數(shù)據(jù)傳輸?shù)陌踩?；?yīng)采用經(jīng)過市場檢驗(yàn)公開的合規(guī)加密算法，并采用合適的強(qiáng)度，保障生命周期內(nèi)安全性。加密密鑰應(yīng)采用合適的方式進(jìn)行協(xié)商或更換。傳輸數(shù)據(jù)完整性物聯(lián)網(wǎng)系統(tǒng)的傳輸數(shù)據(jù)完整性應(yīng)遵循以下原則：內(nèi)防止傳輸過程中數(shù)據(jù)被篡改或者重放，確保傳輸數(shù)據(jù)安全。驗(yàn)機(jī)制的可靠性。HMAC-sha256尺寸，以限制攻擊者通過發(fā)送大消息使系統(tǒng)過載的能力,保證傳輸?shù)目捎眯浴＝鼒鐾ㄐ虐踩鼒鐾ㄐ虐踩玃AGE37/82頁近場通信安全近場無線射頻通信技術(shù)概述近場射頻通信主要是通過一套通信協(xié)議，使得電子設(shè)備間能夠在短距離之內(nèi)（10m）進(jìn)行通信。這些電子設(shè)備在通信過程中主要涉及的近場射頻技術(shù)有：射頻識別技術(shù)（RFID）近場通信技術(shù)（NFC）無線遙控技術(shù)程。另外，在近場射頻技術(shù)中，RFIDNFCNFCRFIDRFIDRFID目前，RFIDRFID阻礙標(biāo)簽與閱讀器之間的通信，造成有用信息的丟失。RFIDRFID的安全防御方法主要包括基于訪問控制的方法、基于密碼技術(shù)的方法及二者的結(jié)合。KillRFIDRFIDRFID密碼技術(shù)的方法被應(yīng)用于RFID（包括散列鎖協(xié)議、隨機(jī)HashDPD，受到了越來越多的關(guān)注。NFC近場通信（NFC）是由非接觸式射頻識別（RFID）演變而來，一種短距高頻的無線電技術(shù)，以13.56MHZ頻率運(yùn)行在二十厘米距離內(nèi)，其傳輸速率有106kb/s，212KB/S和424KB/S三種。NFCNFCNFC含敏感的個人隱私和支付信息等，其安全更加重要。要做好NFC安全從整體上需要做好通信安全、終端安全、系統(tǒng)安全、應(yīng)用安全這幾個層次。NFCNFCNFCNFCNFCNFCICNFC場。NFCSIM安全風(fēng)險。此外，設(shè)備損壞將導(dǎo)致信息不可用，SIM卡克隆能夠通過復(fù)制手機(jī)SIM植入惡意程序獲取用戶信息等。NFCSESE關(guān)安全措施。例如，SENFC控制器之間，SE與操作系統(tǒng)之間的訪問，API信息泄露或金錢損失等。NFCAPIAPINFCAndroid系統(tǒng)為例，一般包括內(nèi)核訪問控制機(jī)制、具體的分析和研究。NFC能夠獲取程序的源代碼、用戶信息，并植入惡意程序，嚴(yán)重危害應(yīng)用層的安全。NFC安全研究團(tuán)隊就曾發(fā)現(xiàn)一款利用NFCNFC持該款手機(jī)輕輕靠近圣地亞哥的交通卡，就可任意篡改卡中的余額。NFCNFCNFCNFCNFCNFCNFCNFCBugtraqID68470,E樂充公交卡支付漏洞等。無線射頻遙控安全分析要為固定碼和滾動碼。常用于防盜報警設(shè)備、門窗遙控、汽車遙控等場景。固定碼，其特點(diǎn)是廉價、應(yīng)用廣泛、市場大、用戶多，但是編碼容量僅為6561個，重碼概率極大，且其編碼值可以通過焊接點(diǎn)連接方式被識別，保密性號并進(jìn)行分析等方式獲取固定碼，然后進(jìn)行利用攻擊。Wimmenhove數(shù)據(jù)和隱私保護(hù)數(shù)據(jù)和隱私保護(hù)PAGE43/82頁10數(shù)據(jù)和隱私保護(hù)物聯(lián)網(wǎng)與隱私和數(shù)據(jù)保護(hù)的關(guān)系保證涉及的企業(yè)及人員的基本權(quán)利不會受到新技術(shù)的侵犯。（OECD）息保護(hù)八大原則，即：收集限制原則（CollectionLimitationPrinciple）、數(shù)（DataQuality（PurposeSpecificationinipeUeimioninipeSeuiySafeguardsPrinciple）（OpennessPrinciple）（IndividualParticipationPrinciple）和問責(zé)制原則（AccountabilityPrinciple）。這些指導(dǎo)原則對全球各國的立法產(chǎn)生了巨大的影響。物聯(lián)網(wǎng)中的隱私保護(hù)的關(guān)鍵步驟求。1是處理者[2制者或聯(lián)合控制者[3]，而這取決于物聯(lián)網(wǎng)開發(fā)者和提供者二者的合作關(guān)系。體的國別等信息，有時會存在重疊甚至沖突的情景。議（BCR）等法律認(rèn)可的方式保證合規(guī)。數(shù)據(jù)保護(hù)影響評估（DPIA）或隱私影響評估（PIA）物聯(lián)網(wǎng)中的數(shù)據(jù)保護(hù)影響評估主要目標(biāo)是識別物聯(lián)網(wǎng)場景中產(chǎn)品或服務(wù)的內(nèi)在風(fēng)險；確保符合隱私及數(shù)據(jù)保護(hù)的相關(guān)法律和法規(guī)的要求。數(shù)據(jù)保護(hù)影響評估應(yīng)該檢查聯(lián)網(wǎng)場景下的產(chǎn)品或服務(wù)中處理活動的描述及的程度，如果不能則需要修改數(shù)據(jù)處理目的或咨詢數(shù)據(jù)監(jiān)管當(dāng)局。系人的不同準(zhǔn)備不同明細(xì)程度的報告。建議如下：產(chǎn)品提供正常業(yè)務(wù)時涉及個人數(shù)據(jù)（毀所有個人數(shù)據(jù)類型、目的、處理方式、時限、風(fēng)險和建議。制者的要求展現(xiàn)隱私聲明。保數(shù)據(jù)主體的“同意”是可撤銷的：涉及到系統(tǒng)或應(yīng)用配置變更、下載軟件、對用戶系統(tǒng)或軟件升級,接入默認(rèn)禁止收集數(shù)據(jù)主體的敏感個人數(shù)據(jù)，除非業(yè)務(wù)必需（如：運(yùn)動健康類業(yè)務(wù)（包括數(shù)據(jù)建模需要實(shí)現(xiàn)從未成年人的監(jiān)護(hù)人處獲取同意的功能；的機(jī)制；戶撤銷已有的同意；涉及物聯(lián)網(wǎng)終端在特定區(qū)域運(yùn)行，應(yīng)進(jìn)行路牌、張貼提示等。涉及物聯(lián)數(shù)據(jù)應(yīng)盡可能確認(rèn)個人數(shù)據(jù)是以合法的方式被收集的：個人數(shù)據(jù)收集范圍、使用目的不得超出隱私聲明，且遵循最小化原則，指導(dǎo)；行為記錄日志。證處理后的數(shù)據(jù)是不可識別數(shù)據(jù)主體的。的應(yīng)對措施。采取的補(bǔ)救性措施，幫助監(jiān)督機(jī)構(gòu)進(jìn)行核查。（PrivacybyDesign）和默認(rèn)隱私保護(hù)（PrivacybyDefault）設(shè)計隱私保護(hù)（PrivacybyDesign）和默認(rèn)隱私保護(hù)是隱私保護(hù)的基本原則。物聯(lián)網(wǎng)場景下，產(chǎn)品設(shè)計或提供服務(wù)時應(yīng)該實(shí)現(xiàn)：主動分析用戶隱私威脅，預(yù)防不同場景下用戶隱私風(fēng)險；及初始設(shè)置為不信任等；將隱私保護(hù)嵌入到產(chǎn)品或服務(wù)的設(shè)計過程；不是零和，產(chǎn)品功能不以犧牲用戶隱私為代價；保障端到端安全，提供個人數(shù)據(jù)全生命周期的保護(hù)；確保數(shù)據(jù)處理過程的可見性和透明度；尊重用戶隱私，以用戶為中心。匿名化：進(jìn)行數(shù)據(jù)的匿名和聚合；處理的目的描述和必要數(shù)據(jù)列表，在可能的情況下匿名/聚合部分?jǐn)?shù)據(jù)，淡化數(shù)據(jù)；假名化：刪除所有可直接識別個人的元素（人的步態(tài)信息），ID；加密：如文件或數(shù)據(jù)庫加密、磁盤加密、傳輸加密等；權(quán)矩陣和可供檢查的日志；權(quán)限管理，可在注冊時選擇加入/退出隱私友好設(shè)置和權(quán)限；提供并遵循刪除/的數(shù)據(jù)；策等，并確保數(shù)據(jù)主體有權(quán)更正和刪除個人數(shù)據(jù)。終端安全終端安全PAGE50/82頁11終端安全物聯(lián)網(wǎng)終端定義IPIP邊緣網(wǎng)絡(luò)接入設(shè)備不屬于終端。總的來說，終端有如下特點(diǎn)：并根據(jù)需要對設(shè)備發(fā)出控制指令；ModbusCAN太網(wǎng)等協(xié)議；Cellular)（GSMGPRS3G4GIEEE802.11協(xié)議、ZigbeeIEEE802.15.4或Z-Wave等短程至中程通信協(xié)議、藍(lán)牙(Bluetooth，LE)、以及6LoWPAN(low-powerWirelessPersonalAreaNetworks，低功耗無線個人區(qū)域網(wǎng))；不一定具有操作系統(tǒng)。對很多應(yīng)用程序而言，系統(tǒng)很簡單，所以不值得PIC對處理時間具有硬性要求的更復(fù)雜系統(tǒng)通常使用OperatingSystemVxWorks系統(tǒng)。最常見的是Linux。用于嵌入式系統(tǒng)的Linux與用于桌面系統(tǒng)的Linuxbusybox3Linuxbashtelnetd、lscp終端物理安全OWASP的“IoTAttackSurfaceAreasProject”分析了物聯(lián)網(wǎng)常見的攻擊面。對于物理安全而言，主要的挑戰(zhàn)如下：對于傳感器而言：操縱測量環(huán)境物理干涉物理損壞對于設(shè)備而言：固件導(dǎo)出用戶命令行界面管理員命令行界面權(quán)限提升f)移除存儲設(shè)備抗干擾調(diào)試端口ID后執(zhí)行的軟件操作，在此不做闡述。為了提升物理安全，從物聯(lián)網(wǎng)設(shè)備的設(shè)計、生產(chǎn)和實(shí)施部署及日常維護(hù)中，應(yīng)該做到以下幾點(diǎn)：規(guī)范，并定期檢查政策執(zhí)行情況；和使用目的，建立盤點(diǎn)規(guī)則，確認(rèn)設(shè)備的狀態(tài)并及時更新；檢查設(shè)備/要考慮物理加固及封裝；數(shù)據(jù)；通過管理界面可以禁止對端口的使用；和遠(yuǎn)程提醒；設(shè)定系統(tǒng)巡檢計劃，定期檢查和校驗(yàn)設(shè)備；終端故障、異常自動報警；設(shè)備信息不顯示在設(shè)備外部銘牌上；系統(tǒng)安裝中注意防止干擾；終端系統(tǒng)安全物聯(lián)網(wǎng)終端系統(tǒng)安全應(yīng)該具備的能力：系統(tǒng)運(yùn)行時安全：檢測終端自身的運(yùn)行時安全，如CPU使用率、進(jìn)程鏈、設(shè)備間東西向攻擊的潛在威脅。防御設(shè)備間東西向攻擊能力：病毒在內(nèi)網(wǎng)傳播/局域網(wǎng)傳播/專網(wǎng)傳播，IoT要具備防御東西向功能的能力固件安全：對于無操作系統(tǒng)的物聯(lián)網(wǎng)終端，對系統(tǒng)級的檢測能力有限，固件安全主要涉及三個方面：固件可信源驗(yàn)證固件傳輸安全固件代碼安全的工業(yè)場景下，經(jīng)常會使用U盤、移動硬盤等移動存儲設(shè)備傳輸數(shù)據(jù)，在此過程中，病毒非常容易在移動介質(zhì)中進(jìn)行傳播從而感染終端設(shè)備。新和維護(hù)。設(shè)備死機(jī)、重啟或者脫管等異?，F(xiàn)象。終端應(yīng)用安全刪除、竊取用戶數(shù)據(jù)等行為。客戶端應(yīng)用安全技術(shù)APP作為客戶端的方式進(jìn)行APPAPIID淪陷。AppAPP加固漏洞。APP流程、軟鍵盤技術(shù)實(shí)現(xiàn)等等。APP配置信息，圖標(biāo)等，再生成新的客戶端程序，實(shí)現(xiàn)應(yīng)用釣魚。防止APP動態(tài)調(diào)試。指攻擊者利用調(diào)試器跟蹤目標(biāo)程序運(yùn)行，查看、修改內(nèi)存代碼和數(shù)據(jù)，分析程序邏輯，進(jìn)行攻擊和破解等行為。防止APPhook，監(jiān)控程序運(yùn)行行為、獲取敏感信息等。物聯(lián)網(wǎng)安全運(yùn)營物聯(lián)網(wǎng)安全運(yùn)營PAGE56/82頁12云端平臺安全云端平臺架構(gòu)（3G/4G/5G/NB-IoT/WiFi物聯(lián)網(wǎng)云平臺核心功能模塊?？蓴U(kuò)展性：云端功能拆分粒度細(xì)支持水平橫向擴(kuò)展RPC根據(jù)應(yīng)用場景靈活集成第三方行業(yè)應(yīng)用安全性:網(wǎng)絡(luò)通信安全防護(hù)Web數(shù)據(jù)安全防護(hù)云間接口防護(hù)運(yùn)維安全防護(hù)健壯性：功能組件高度解耦核心功能支持負(fù)載均衡自動化運(yùn)維檢測TCP/IP、CoAP、HTTP、等物聯(lián)網(wǎng)常用協(xié)議，物聯(lián)網(wǎng)方向最主流的是安全認(rèn)證及權(quán)限管理：平臺與物聯(lián)網(wǎng)終端應(yīng)具備雙向的身份驗(yàn)證。平臺的賬號需要具備權(quán)限管理機(jī)制，根據(jù)不同的身份賬號設(shè)置不同的操作權(quán)地域分布、告警信息、版本信息等；設(shè)備聯(lián)動、設(shè)備分享；大數(shù)據(jù)分析:具備設(shè)備狀態(tài)、安全監(jiān)控、用戶畫像、數(shù)據(jù)挖掘、能耗預(yù)據(jù)價值；運(yùn)維管理：平臺應(yīng)具備自動化的運(yùn)維管理能力，針對服務(wù)器硬件資源、WEBJVM增值服務(wù)：研發(fā)輔助、運(yùn)營管理、售后服務(wù)。云端平臺安全威脅隨著近年來云計算的迅猛發(fā)展，云已經(jīng)成為各行各業(yè)的基本基礎(chǔ)設(shè)施。因此201612具體如下：續(xù)的影響。注意，云上數(shù)據(jù)保護(hù)的最終責(zé)任在于云客戶，也就是購買云服務(wù)的公司，而不是云廠商。建議采用多因子身份驗(yàn)證和加密措施來防止云中的數(shù)據(jù)泄露。憑證被盜和身份驗(yàn)證失效:銷、密碼強(qiáng)度控制不夠、賬戶風(fēng)控缺失、雙因子認(rèn)證缺失、SQL注入漏洞、對硬編碼。API權(quán)限被繞過：（控制臺）APIAPI會帶來很多安全問題。APIAPISDL系統(tǒng)漏洞利用：云環(huán)境多租戶的特征使得系統(tǒng)或程序漏洞的危害更加突出。傳統(tǒng)IT架構(gòu)下系統(tǒng)或程序的漏洞只影響一家企業(yè)，但是云場景下，這些漏洞可能會影響所有租戶。IaaS公有云場景下虛機(jī)隔離相關(guān)的漏洞危害尤其嚴(yán)重。云廠商應(yīng)該定期漏洞掃描、及時補(bǔ)丁管理和緊跟系統(tǒng)威脅報告。賬戶劫持/仿冒：網(wǎng)絡(luò)釣魚等攻擊手段獲取賬戶憑證的攻擊在云環(huán)境下仍然對于異常登錄嘗試進(jìn)行及時的發(fā)現(xiàn)和攔截。惡意內(nèi)部人員高級持續(xù)性威脅該防止APT滲透進(jìn)他們的基礎(chǔ)設(shè)施。建議企業(yè)加強(qiáng)信息安全意識培訓(xùn)，尤其是反社會工程攻擊的培訓(xùn)。永久的數(shù)據(jù)丟失:如對于客戶自帶密鑰鑰丟失，數(shù)據(jù)丟失也就在所難免。盡職調(diào)查不足:（商瑣定的風(fēng)險、是否可以協(xié)商合同（SLA、保密協(xié)議等。云服務(wù)濫用:發(fā)起DDoS攻擊、發(fā)送垃圾郵件和釣魚郵件、托管違禁內(nèi)容等。云廠商對這些等。拒絕服務(wù)（DoS）攻擊:DoS攻擊不是新的攻擊類型，但它們會影響到可用性，由于云上多租戶和資源集中的特性，導(dǎo)致DoS攻擊的影響范圍被放大。云廠商要有足夠的資源和技術(shù)儲備來緩解DoS攻擊對整個云平臺可用性的影響。共享技術(shù)帶來的威脅：云廠商提供的是共享基礎(chǔ)設(shè)施、平臺和應(yīng)用，因此任整個云環(huán)境面臨潛在的宕機(jī)或數(shù)據(jù)泄露風(fēng)險。云端平臺安全解決方案要求。性的防護(hù)措施，預(yù)防安全事件發(fā)生。檢測手段至少包括：漏洞掃描：采用主動掃描及漏洞匹配方式發(fā)現(xiàn)云平臺系統(tǒng)漏洞及服務(wù)漏硬件及軟件系統(tǒng)，平臺層虛擬化技術(shù)實(shí)現(xiàn)軟件系統(tǒng)，應(yīng)用層軟件系統(tǒng)；配置核查：依據(jù)符合云端平臺應(yīng)用場景的安全基線規(guī)則，對云端平臺系統(tǒng)、設(shè)備及組件的管理配置情況進(jìn)行合規(guī)性檢查。檢測對象至少包括：物理層系統(tǒng)文件配置及設(shè)備集群管理，平臺層虛擬化網(wǎng)絡(luò)管理，應(yīng)用層軟件系統(tǒng)身份認(rèn)證、訪問控制、數(shù)據(jù)保護(hù)、日志審計等；完整性檢測：通過摘要信息比對的方式，對云端平臺運(yùn)行過程中重要進(jìn)程、文件和配置信息等進(jìn)行完整性檢測，發(fā)現(xiàn)云端平臺系統(tǒng)軟硬件設(shè)備及組件的異常變更。防護(hù)措施至少包括：網(wǎng)絡(luò)邊界防護(hù)：在云平臺網(wǎng)絡(luò)接口部署邊界保護(hù)設(shè)備；確保云平臺接入連接只能通過指定接口進(jìn)行；虛擬機(jī)隔離：通過虛擬化策略配置實(shí)現(xiàn)虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間邏輯隔離；漏洞病毒防護(hù)：通過部署防病毒軟件、白名單、黑名單或其他方式，在云端平臺網(wǎng)絡(luò)出入口以及系統(tǒng)、設(shè)備上實(shí)施漏洞、病毒、惡意代碼防護(hù)機(jī)制；系統(tǒng)補(bǔ)丁修復(fù)：保持系統(tǒng)補(bǔ)丁及時得到更新；用戶身份認(rèn)證：應(yīng)對訪問用戶進(jìn)行身份標(biāo)識和認(rèn)證，保證用戶名密碼等身份信息的安全加密傳輸及存儲；訪問控制：根據(jù)云端平臺用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限；安全審計：對平臺用戶在業(yè)務(wù)應(yīng)用中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件進(jìn)行審計記錄，有效期內(nèi)避免受到非授權(quán)的訪問、篡改、覆蓋或刪除等。區(qū)溢出攻擊、網(wǎng)絡(luò)蠕蟲攻擊等安全事件及時發(fā)現(xiàn)、告警和阻斷能力。最終完全恢復(fù)系統(tǒng)及其安全措施的正常運(yùn)行。云端平臺安全認(rèn)證云端平臺安全認(rèn)證包含兩個方面：對通過界面訪問云端平臺的用戶身份安全認(rèn)證、對訪問云端平臺的終端身份進(jìn)行認(rèn)證。第一個方面：屬于傳統(tǒng)平臺訪問身份認(rèn)證，通過完備的授權(quán)/認(rèn)證體系對訪問平臺的用戶身份進(jìn)行鑒權(quán)和認(rèn)證。的認(rèn)證和鑒權(quán)關(guān)系，需要端到端的考慮認(rèn)證鑒權(quán)體系。終端的身份進(jìn)行認(rèn)證。云端平臺安全服務(wù)IoTIoT安全防護(hù)、監(jiān)控以及風(fēng)險管理。WebWeb（WAF，WebApplicationFirewall）IoTPortal漏洞引發(fā)的數(shù)據(jù)篡HTTP(SSQLXSSCSRFWeb云主機(jī)安全防護(hù)主機(jī)安全服務(wù)（SS，otSeuiyServieoTAgent云數(shù)據(jù)加密服務(wù)HSM（HardwareSecurityModule）保護(hù)密鑰安全，幫助IoTHSMIoTSSHSSHAnti-DDoSAnti-DDoSIoTDDoSIoT行實(shí)時監(jiān)控，需要及時發(fā)現(xiàn)異常的DDoS攻擊流量。在不影響正常業(yè)務(wù)的前提下，對攻擊流量進(jìn)行清洗。至少需要具備清洗SYNFlood攻擊、HTTPFloodSSLDDoSUDPFlood、DDoS、DNSDNSFlood認(rèn)證接入對于APP、終端、業(yè)務(wù)、運(yùn)維工程師、運(yùn)營工程師、第三方業(yè)務(wù)等與云端資源管理、策論、審計等系統(tǒng)。云審計服務(wù)IoT權(quán)限控制，做到權(quán)限最小化，并防止日志被篡改。漏洞管理Web漏洞掃描服務(wù)對云端IoTWebWebWebWebWeb通過主機(jī)/數(shù)據(jù)庫漏洞掃描服務(wù)對云端IoT平臺的基礎(chǔ)架構(gòu)，如操作系統(tǒng)、的安全漏洞，并加彌補(bǔ)。13物聯(lián)網(wǎng)安全運(yùn)營設(shè)備入網(wǎng)檢測與退網(wǎng)安全物聯(lián)網(wǎng)有成千上百萬終端聯(lián)網(wǎng)而成，終端安全直接影響整個物聯(lián)網(wǎng)的安全。本固件和配置標(biāo)準(zhǔn)）檢測內(nèi)容至少應(yīng)包含：物理安全，如是否有外置接口直接訪問內(nèi)部網(wǎng)絡(luò)或敏感數(shù)據(jù)；配置安全，包括基線檢查、最小化運(yùn)行、弱口令等；XSS、SQL傳輸檢測，包括是否密文傳輸、敏感信息保護(hù)等；獲取等；認(rèn)證測試，是否需要認(rèn)證接入，認(rèn)證過程完備性；只有經(jīng)過安全檢測的設(shè)備型號才允許入網(wǎng)。物聯(lián)網(wǎng)終端在各種原因退網(wǎng)時，也需要遵循一下安全原則：應(yīng)消除終端上業(yè)務(wù)數(shù)據(jù)；應(yīng)在網(wǎng)絡(luò)上和應(yīng)用系統(tǒng)上消除終端對應(yīng)認(rèn)證信息和授權(quán)信息；認(rèn)證單元和數(shù)據(jù)刪除應(yīng)采用全覆蓋擦寫方式。責(zé)開展，其安全要求包括：物聯(lián)網(wǎng)中不同責(zé)任方應(yīng)根據(jù)其職責(zé)，在物聯(lián)網(wǎng)系統(tǒng)建設(shè)時，對物聯(lián)網(wǎng)設(shè)提供系統(tǒng)文檔的詳細(xì)程度，供應(yīng)鏈的安全要求等；對于物聯(lián)網(wǎng)系統(tǒng)運(yùn)行維護(hù)中的相關(guān)參與人員，應(yīng)提出人員資質(zhì)、身份審護(hù)設(shè)備的，應(yīng)對遠(yuǎn)程維護(hù)制定安全守則。物聯(lián)網(wǎng)安全運(yùn)營監(jiān)測與防護(hù)中我們主要關(guān)注以下幾點(diǎn)：對于對應(yīng)日常安全運(yùn)營的監(jiān)測可以通過安全網(wǎng)關(guān)來監(jiān)測設(shè)備的訪問認(rèn)證日志以及設(shè)備的異常返回日志；攻擊還是有業(yè)務(wù)特例出現(xiàn)；致的性能問題；協(xié)議的更新比較快，相對比使用較為冷門或者小眾的協(xié)議的安全程度略高。物聯(lián)網(wǎng)硬件安全。漏洞掃描與測試，定期對于應(yīng)用進(jìn)行審查等等；對于硬件的直接攻擊與間接攻擊成為了物聯(lián)網(wǎng)設(shè)備硬件安全里面尤為重要的一塊。物聯(lián)網(wǎng)安全態(tài)勢感知與預(yù)警為態(tài)勢感知評估的輸入，通過對應(yīng)的態(tài)勢感知模型輸出對應(yīng)的數(shù)值并可視化。關(guān)鍵業(yè)務(wù)場景應(yīng)用指南關(guān)鍵業(yè)務(wù)場景應(yīng)用指南PAGE70/82頁14關(guān)鍵業(yè)務(wù)場景應(yīng)用指南車