萬物互聯(lián)�����,安全為先�����。隨著平安城市�、智慧城市等項(xiàng)目的開展�����,物聯(lián)網(wǎng)設(shè)備在給生活帶來便利的同時(shí)��,也不斷出現(xiàn)物聯(lián)網(wǎng)安全事件�����,如視頻泄露����、ATM機(jī)遭黑客竊取、消防設(shè)備遭受數(shù)據(jù)重放攻擊等�����,這些安全事件給社會帶來極大的安全隱患�。
2019年5月13日,等保2.0相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》正式發(fā)布,其中對物聯(lián)網(wǎng)安全作出了詳細(xì)的安全要求���,本文將對物聯(lián)網(wǎng)擴(kuò)展要求進(jìn)行解讀����。
●物聯(lián)網(wǎng)定義 ●
根據(jù)《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求 附錄F》給出物聯(lián)網(wǎng)構(gòu)成的定義:
物聯(lián)網(wǎng):將感知節(jié)點(diǎn)設(shè)備通過互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接起來構(gòu)成的系統(tǒng)�。
物聯(lián)網(wǎng)通常從架構(gòu)上可分為三個(gè)邏輯層,即感知層����、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層。物聯(lián)網(wǎng)構(gòu)成示意圖如圖所示�。
● 感知層:傳感器節(jié)點(diǎn)和傳感網(wǎng)網(wǎng)關(guān)節(jié)點(diǎn)或 RFID 標(biāo)簽和 RFID 讀寫器,也包括這些感知設(shè)備及傳感網(wǎng)網(wǎng)關(guān)����、RFID 標(biāo)簽與閱讀器之間的短距離通信(通常為無線)部分;
● 網(wǎng)絡(luò)傳輸層:將這些感知數(shù)據(jù)遠(yuǎn)距離傳輸?shù)教幚碇行牡木W(wǎng)絡(luò)�����,包括互聯(lián)網(wǎng)�����、移動網(wǎng)等,以及幾種不同網(wǎng)絡(luò)的融合����;
● 處理應(yīng)用層:對感知數(shù)據(jù)進(jìn)行存儲與智能處理的平臺�����,并對業(yè)務(wù)應(yīng)用終端提供服務(wù)��。對大型物聯(lián)網(wǎng)來說���,處理應(yīng)用層一般是云計(jì)算平臺和業(yè)務(wù)應(yīng)用終端設(shè)備���。
01 物聯(lián)網(wǎng)的安全問題
物聯(lián)網(wǎng)(IoT)為個(gè)人消費(fèi)者和行業(yè)提供了便利服務(wù),并且有望提供更具革命性的能力�,變得無處不在。然而��,物聯(lián)網(wǎng)的廣泛應(yīng)用也帶來了不可避免的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�。
保護(hù)物聯(lián)網(wǎng)設(shè)備是一項(xiàng)重大挑戰(zhàn),因?yàn)橹圃焐掏鼉A向于關(guān)注功能����、兼容性要求�、客戶便利性以及上市時(shí)間���,而非安全性���。
如果消費(fèi)者的物聯(lián)網(wǎng)設(shè)備受到攻擊,它可以成為進(jìn)入更廣泛網(wǎng)絡(luò)的一個(gè)入口�。通過感染一臺 IoT 設(shè)備并滲透一個(gè)網(wǎng)絡(luò),安全威脅可以直接進(jìn)入到另一個(gè)物聯(lián)網(wǎng)設(shè)備的無線范圍內(nèi)�����,最終擴(kuò)散至整個(gè)鏈接網(wǎng)絡(luò)����。
02 等保2.0基本要求之物聯(lián)網(wǎng)安全要求
1、安全通用要求
等保2.0的安全通用要求細(xì)分為:
技術(shù)要求(安全物理環(huán)境�、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界�、安全計(jì)算環(huán)境、安全管理中心)和管理要求(安全管理制度���、安全管理機(jī)構(gòu)��、安全管理人員����、安全建設(shè)管理、安全運(yùn)維管理)共計(jì)10大類��。
物聯(lián)網(wǎng)的安全防護(hù)包括感知層���、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層,其中網(wǎng)絡(luò)傳輸層和處理應(yīng)用層這兩部分已按照安全通用要求提出的控制點(diǎn)進(jìn)行保護(hù)�,等保2.0中的物聯(lián)網(wǎng)安全擴(kuò)展要求則主要針對感知層提出了具體的安全要求,與安全通用要求一起構(gòu)成對物聯(lián)網(wǎng)的完整安全要求��。
2�����、安全擴(kuò)展要求
針對物聯(lián)網(wǎng)的特點(diǎn)����,物聯(lián)網(wǎng)安全擴(kuò)展要求包括了:感知節(jié)點(diǎn)設(shè)備物理防護(hù)、接入控制���、入侵防范���、感知節(jié)點(diǎn)設(shè)備安全�����、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全���、抗數(shù)據(jù)重放、數(shù)據(jù)融合處理��、感知節(jié)點(diǎn)管理8個(gè)方面的擴(kuò)展要求����,根據(jù)不同的等級,具體要求的條款數(shù)量遞增����。歸納如下表:
3、三級等保網(wǎng)絡(luò)安全擴(kuò)展要求:
(一)安全區(qū)域邊界
①接入控制
應(yīng)保證只有授權(quán)的感知節(jié)點(diǎn)可以接入�。
②入侵防范
a)應(yīng)能夠限制與感知節(jié)點(diǎn)通信的目標(biāo)地址,以避免對陌生地址的攻擊�;
b)應(yīng)能夠限制與網(wǎng)關(guān)節(jié)點(diǎn)通信的目標(biāo)地址,以避免對陌生地址的攻擊行為�。
(二)安全計(jì)算環(huán)境
①感知節(jié)點(diǎn)設(shè)備安全
a)應(yīng)保證只有授權(quán)的用戶可以對感知節(jié)點(diǎn)設(shè)備上的軟件應(yīng)用進(jìn)行配置或變更;
b)應(yīng)具有對其連接的網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備(包括讀卡器)進(jìn)行身份標(biāo)識和鑒別的能力����;
c)應(yīng)具有對其連接的其他感知節(jié)點(diǎn)設(shè)備(包括讀卡器)進(jìn)行身份標(biāo)識和鑒別的能力�。
②網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全
a)應(yīng)具備對合法連接設(shè)備(包括終端節(jié)點(diǎn)�、路由節(jié)點(diǎn)、數(shù)據(jù)處理中心)進(jìn)行標(biāo)識和鑒別的能力����;
b)應(yīng)具備過濾非法節(jié)點(diǎn)和偽造節(jié)點(diǎn)所發(fā)送的數(shù)據(jù)的能力;
c)授權(quán)用戶應(yīng)能夠在設(shè)備使用過程中對關(guān)鍵密鑰進(jìn)行在線更新�;
d)授權(quán)用戶應(yīng)能夠在設(shè)備使用過程中對關(guān)鍵配置參數(shù)進(jìn)行在線更新。
③抗數(shù)據(jù)重放
a)應(yīng)能夠鑒別數(shù)據(jù)的新鮮行�����,避免歷史數(shù)據(jù)的重放攻擊����;
b)應(yīng)能夠鑒別歷史數(shù)據(jù)的非法修改�����,避免數(shù)據(jù)的修改重放攻擊�。
④數(shù)據(jù)融合處理
應(yīng)對來自傳感網(wǎng)的數(shù)據(jù)進(jìn)行數(shù)據(jù)融合處理,使不同種類的數(shù)據(jù)可以在同一個(gè)平臺被使用�����。
在線咨詢
在線咨詢
0371-63319761