導語:
物聯網簡介:
(學習影片分享:程式設計影片)
物聯網是指透過各種資訊感測設備,即時採集任何需要監控、連接、互動的物體或過程等各種需要的信息,與互聯網結合形成的一個巨大網絡,其目的是實現物與物、物與人,所有的物品與網路的連接,方便辨識、管理與控制。物聯網是新一代資訊科技的高度整合與綜合運用,已成為全球新一輪科技革命與產業變革的核心驅動與經濟社會綠色、智慧、永續發展的關鍵基礎與重要引擎。
物聯網安全已上升至國家安全,本專題透過對物聯網「雲、管、端」安全三個面向進行分析,闡述了物聯網目前主要面臨的安全威脅,並對物聯網安全管控進行分析。物聯網安全管控也需根據物聯網發展趨勢相適應,能夠為物聯網的健康、穩定、高速發展保駕護航。
一、物聯網終端安全
物聯網終端作為資訊空間和實體空間深度融合的代表產物,已經從面向個人消費的先鋒產品快速拓展到經濟社會各個領域,賦予教育、醫療、零售、能源、建築、汽車等許多產業新的服務手段,支持政府辦公、公共安全、交通物流等城市基本職能的提升。現有物聯網終端設備著重於功能實現,而傳統設備廠商安全能力不足,或考慮時間和成本等因素,在終端設計上普遍忽略安全問題。物聯網終端可分為智慧終端與非智慧終端,且智慧終端設備大多具備嵌入式作業系統及終端應用,而非智慧終端設備大多結構功能單一,且只做資料擷取、傳輸等功能,則智慧終端設備具有更大的資訊安全威脅。
根據物聯網智慧終端的研究,如家電智慧型裝置、網路攝影機等,發現物聯網智慧終端安全主要有四大安全威脅。
1、物聯網智慧終端安全威脅
安全威脅
1)物聯網智慧終端設備有弱口令問題;
2)物聯網智慧型終端設備作業系統、內建網路應用程式、資料庫等存在安全漏洞及用於竊取資料、發動DDoS攻擊、發送垃圾郵件或被操縱攻擊其他網路等嚴重安全事件後面;
3)物聯網智慧終端設備認證識別弱;
4)物聯網智慧終端設備被植入惡意程式碼或成為殭屍網路。
安全威脅特徵
1)物聯網智慧終端設備存在弱口令數量、種類龐大,覆蓋範圍廣;
2)物聯網智慧終端設備被惡意控制後,可直接影響個人生活、財產、隱私、生命安全;
3)惡意利用簡單;
4)物聯網智慧終端設備後期加固的難度較大,需在設計開發階段開始考慮安全性問題;
5)物聯網智慧終端設備分佈範圍廣泛,使用場景各異,很難進行統一升級修補程式加固;
6)身分偽造、偽造後可進行惡意攻擊;7)用於竊取資料、發動DDoS攻擊、發送垃圾郵件或被操縱攻擊其他網路等嚴重安全事件。
2、物聯網智慧終端機安全管控分析
物聯網智慧終端在設計開發階段時應同步設計考慮安全管控措施;在終端機生產發布前同步做好安全防護測試;在終端發布投入使用階段同步做好韌體漏洞更新管理及智慧終端的安全性監控。具體物聯網終端安全管控分析如以下五點:
1)針對物聯網智慧終端分佈範圍廣、數量多的特點,物聯網應該在網路側進行病毒的感知與偵測。
2)物聯網智慧終端的資訊留存,應該建立對應的規範,在 資訊留存的類型、時長、方法、加密手段、存取措施等方面於以限制。
3)物聯網智慧終端機的身份認證策略應建立強大的身份認證措施及完善的密碼管理策略。
4)物聯網智慧終端生產發布前,應做好安全測試,終端發布後及時做好韌體更新和漏洞管理,必要的情況下進行入網許可。
5)針對物聯網智慧終端建立安全性檢查平台或建立相應的安全性監控手段,能夠偵測到異常終端,隔離可疑應用程式或阻止攻擊擴散。
3、物聯網非智慧終端安全威脅
根據對物聯網非智慧終端的研究,如感測器、射頻識別(RFID)等,目前物聯網非智慧終端在網路安全層面未發現安全威脅,在實體安全層面有被攻擊者物理操縱安全威脅。
二、物聯網管道安全
物聯網「管」則是連接「雲」與「端」之間的管道,物聯網「管」安全為大容量智慧化的資訊管道安全。根據物聯網資訊管道的調查,發現物聯網管線安全主要有四大安全威脅。
1、物聯網管線安全威脅
物聯網管線安全威脅
1)沒有統一物聯網通訊協定標準,可採用自有協定進行通訊;
2)物聯網卡監管體係不健全;
3)物聯網管道存在多樣化,部分技術未納入安全管控,例如藍牙、紅外線、NFC;
4)物聯網管道的中間人攻擊。
物聯網管線安全威脅特徵
1)導致敏感資訊外洩等風險;
2)不同物聯網通訊協定之間相容困難;
#3)與現有的網際網路通訊協定有差異,現有安全工具無法移植到物聯網;
4)存在物聯網專用卡、物聯網產業卡被違規使用的風險,導致物聯網卡片濫用且無法溯源;
5)傳統的網路安全管理面臨挑戰;
6)物聯網管道攻擊手段多樣化;
7)攻擊可導致關係國計民生的重要生產系統異常;
8)攻擊形成的破壞力更大。
2、物聯網管路安全管控分析
在物聯網管路設計階段應考慮採用安全的通訊協定、傳輸媒體等,在物聯網管線建設階段應考慮為安全監控、態勢感知預留對應資料接口,在物聯網管道投入使用階段應做好物聯網資訊管道安全監控。具體物聯網管路安全管控分析如下兩點:
1)開發商、生產商、管理部門盡快制定物聯網通訊協定標準。
2)建立物聯網系統接取管控設施,尤其是接取涉及國計民生的重要物聯網系統。區分傳統網路中是否有物聯網訊號傳遞,並建構物聯網訊號監控手段。
三、物聯網雲端服務安全
通俗來說,物聯網雲端服務在做資訊與其他方資源共享時使用,因此保護好雲端服務安全也是保護好物聯網安全的關鍵環節。
根據目前主流雲端產品的研究,發現物聯網雲端服務安全主要有八大安全威脅。
1、物聯網雲端服務安全威脅
物聯網雲端服務安全威脅
1)資料外洩;
2)登入憑證被竊和身分認證偽造;
3)API(應用程式介面)被惡意攻擊者攻擊;
4)系統漏洞利用;
##5)系統漏洞利用;6)惡意人員;7)系統永久的資料遺失;8)拒絕服務攻擊威脅;9)雲端服務共享技術,共享風險。 安全威脅的特徵1)洩漏資料量大;2)容易形成APT(進階持續性威脅)攻擊目標;3 )洩漏資料的價值高;4)對個人和社會影響大;5)物聯網身分偽造容易;6)如果憑證控制不當,資料無法進行隔離保護;7)物聯網API介面多,容易被惡意攻擊者攻擊;8)物聯網API介面種類複雜,攻擊多樣化;9)物聯網雲端服務系統漏洞被惡意攻擊者攻擊後影響很大;10)內部人員對資料的惡意行為;11)外部人員的攻擊威脅;12)雲端資料破壞會造成整個物聯網系統損毀13)影響國計民生;14)造成物聯網系統異常服務;#15 )由共享技術導致病毒攻擊行為。 2、物聯網雲端服務安全管控分析在物聯網雲端服務系統新建、改建、擴建等工程專案中,應同步建置物聯網雲端服務系統安全保障設施,並與主體工程同步進行驗收與投入運作。具體物聯網雲端服務安全管控分析如以下六點:1)物聯網雲端服務實施准入制,物聯網雲端服務系統應該進行備案並經過安全評估準許入網路。 2)物聯網雲端服務的身份認證策略應建立強大的身份認證措施及完善的密碼管理策略。 3)物聯網雲服務應該具備攻擊防禦能力和感知能力。 4)建立物聯網雲端服務備份機制。 5)物聯網雲端服務系統定期進行風險評估;6)進行重要敏感資訊系統管理維運人員認證,建立重要職缺人員管控機制。 相關推薦:以上是物聯網的安全風險你都知道哪些的詳細內容。更多資訊請關注PHP中文網其他相關文章!