等级保护视角下的物联网安全测评
信息安全公益宣传,信息安全知识启蒙。
加微信群回复公众号:微信群;QQ群:16004488
加微信群或QQ群可免费索取:学习教程
教程列表见微信公众号底部菜单
据《2106-2017年中国物联网发展年度报告》统计,2016年我国物联网市场规模超9000亿元,同比增速连续多年超过20%。预计到2020年,我国物联网产业规模将超过1.5万亿元,物联网的应用发展非常迅猛。在今年6月,我国正式发布《关于全面推进移动物联网(NB-IOT)建设发展的通知》,要求加快推进移动物联网部署,构建NB-IOT网络基础设施。到2017年末,实现NB-IOT网络覆盖直辖市、省会城市等主要城市,基站规模达到40万个。并且随着现代城市的发展和国家“十三五”规划物联网的应用推广,预计许多城市也把建设智慧城市作为城市发展的核心战略,以提高城市的效率和竞争力。但是针对物联网的国家标准、行业标准迟迟未正式发布,对于测评机构而言存在如何检查发现风险以及如何解读标准要求存在一定的局限性,以下是我公司对物联网试点测评的一些情况汇报。
一、物联网的应用
物联网最为明显的特征是网络智慧化,通过信息化的手段实现物物相连,提高不同行业的自动化管理水平,减少人为干预,从而极大程度地提升效率,同时降低人工带来的不稳定性。通过感应设备将电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等数据信息化,并通过网络传输方式实现信息的采集及管理,将物联网与现有的互联网整合起来,实现人类社会与物理系统的整合。因此,物联网在许多行业应用中将发挥巨大的潜力。
物联网作为一个系统网络,与其他网络一样,也有其内部特有的架构。物联网的系统架构划分为三个层次。
(一)感知层,即利用 RFID、传感器、二维码等随时随地获取物体的信息;
(二)网络层,通过各种电信网络与互联网的融合,将物体的信息实时准确地传递出去;
(三)应用层,把感知层的得到的信息进行处理,实现智能化识别、定位、跟踪、监控和管理等实际应用。
总之,物联网概念是在互联网概念的基础上,将其用户端延伸和扩展到任何物品与任何物品之间,进行信息交换和通信的一种网络概念。
二、物联网的安全现状
2016年10月21日,美国多个城市出现互联网瘫痪情况,包括Twitter、Shopify、Reddit等在内的大量互联网知名网站数小时无法正常访问。其中,为上述众多网站提供域名解析服务的美国Dyn公司称,公司遭到大规模的“拒绝访问服务(DDoS)”攻击。后据调查,这是Mirai僵尸网络发动的攻击。Mirai僵尸网络中包含了大量可联网设备,例如监控摄像头、路由器以及智能电视等等。 Mirai僵尸网络发起了有史以来规模最大的3次DDoS攻击。由于此次攻击中有大约60万台的物联网设备参与到Mirai僵尸网络大军中,成为大规模物联网设备首次参与企业级攻击的一个关键案例。
2017年6月18日,国家质检总局在官网发布了“智能摄像头质量安全风险警示”,称针对智能摄像头可能存在的信息安全危害,国家质检总局产品质量监督司组织开展了智能摄像头质量安全风险监测。据介绍,共从市场上采集样品40批次,主要依据GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》等标准要求,对操作系统的更新、恶意代码防护、身份鉴别、弱口令校验、访问控制、信息泄露、数据传输使用安全有效加密、本地存储数据保护等项目进行了检测。检测结果表明,32批次样品存在质量安全隐患。
综上所述这两个案例,物联网的安全情况不容乐观,需大力推进网络安全等级保护对物联网的安全覆盖,提高整个物联网行业的安全防护能力,减少安全事件的发生。
三、物联网等级测评的情况分析
(一)系统应用范围广(物联网、云、移动互联网)
物联网是互联网的延伸,因此物联网的安全也是互联网安全的延伸,物联网和互联网的关系是密不可分、相辅相成的。如下图,物联网就结合云计算、移动互联网进行了产品应用的功能实现。所以需要进行多纬度和扩范围去考虑综合安全问题。
(二)物联网服务提供商安全意识淡薄
物联网技术的出现,使我们的生活更加方便、快捷的同时,也不可避免地带来了一些安全问题。物联网中的很多应用都与我们的生活息息相关,如智能摄像头、智能家居、智慧城市等设备,通过对它们的信息的采集,可直接或间接地暴露大量用户的隐私信息。但是由于生产商缺乏安全意识,在产品设计之初没有把安全标准和要求纳入进来,很多设备缺乏加密、认证、访问控制管理的安全措施,企业在运营过程中也没有按照等级保护的要求进行等保测评。使得物联网中的数据很容易被窃取或非法访问,造成数据泄露,或者被非法控制,产生严重的后果。
(三)物联网终端连接情况复杂
物联网广泛在智慧城市、无人驾驶、智慧家居、农业物联网等等各个方面。在物联网的感知层是指包括以传感器为代表的感知设备、以RFID为代表的识别设备、GPS等定位追踪设备以及可能融合部分或全部上述功能的智能终端等。感知层是物联网信息和数据的来源,但是目前感知层的终端设备越来越复杂,有些还带了底层系统,但是很多企业和安全服务商都未考虑到这底层系统的安全是如何实现的。
四、本次测评详细层面分析
(一)感知层
感知层:由各种传感器网关和传感器构成、包括有温度传感器、二氧化碳浓度传感器、二维码标签、湿度传感器、摄像头、RFID 标签和读写器、GPS等感知终端。感知层的作用就像人的视觉、触觉、味觉、听觉一样,它是物联网获取识别物体、采集信息的来源,主要功能是识别物体、采集信息。
案例:
1、智能摄像头,设备自身带了底层系统。那么自身系统的安全:是否存在系统漏洞?用户是否及时修复了漏洞?是否能检测被入侵或者被感染病毒的设备?是否能集中监控、策略下发、病毒查杀、漏洞修复等等都未在物联网安全扩展要求中提出。
2、不同品牌的智能摄像头通过SDK私有协议与云端进行数据推送,数据在传输过程中采用了加密算法进行加密。但是可能有些物联网私有云涉及关键基础设施,也同样采用了此加密算法,存在一定的安全隐患,建议采用国密算法。
3、不同平台的摄像头采用各自的私有协议和数据格式进行数据传输,因此在智能摄像头和物联网云中间还部署了格式转化的终端,此终端也有底层系统(不属于汇聚节点),测评中此设备的底层系统的安全没有相关防护措施。并且此节点如何定义?
4、此格式转换终端在智慧城市,甚至某些视频专网中可能也会部署,因此建议有关部门加强防护。
(二)网络层
网络层:由互联网、私有网络、无线和有线通信网、网络管理系统和云计算平台等组成的,网络层就相当于人的大脑和神经中枢,主要负责传递和处理感知层获取的信息。
案例:
1、移动终端登录物联网云采用SDK加token(有时间戳)验证,但是采用http\https两种方式都可以登录,存在安全风险,容易被劫持。
2、物联网云没有对异常网络流量和内容进行访问控制措施和入侵防御、恶意代码防护手段。
3、集中管控在运维管理机房中,其他分支节点中未在本地留存,如果运维机房出现网络故障,其他分支节点对网络攻击不能及时响应、审计日志的保存。
4、虽然智能摄像头没有直接暴露公网IP,但是通过SDK可进行认证和相应权限分配,但存的SDK进行设备信息认证存在一定的安全隐患。
(三)应用层
案例:
1、不同云服务客户虚拟网络未做隔离,同一品牌,甚至不同品牌的智能摄像头及云存储空间面临可能病毒感染的风险。
2、采用了加密技术对存储的视频内容进行加密分割分段存储。如果数据丢失、损毁达到一定的数量,可能会导致整个视频文件不可解密读取,重要数据完全不可恢复。
3、由于智能摄像头的安全漏洞,导致大量个人信息泄漏。
五、物联网等级保护测评的部分建议
(一)物联网安全等级保护测评标准指导国内物联网行业的安全发展
通过以上分析可以看出由于物联网的安全问题层出不穷。而物联网在网络安全方面造成的威胁越来越大,可操作性越来越易实现,导致社会秩序、公共利益甚至国家安全的影响越来越大。因此指导物联网安全建设运营的国家标准物联网安全扩展要求希望具有前瞻性和尽快正式出台并对物联网行业强制要求落地实施。
(二)物联网安全等级保护国家标准应在测评应用中不断补充和修订
物联网在智慧城市、无人驾驶、无人机、智能家居、绿色农业等等各个方面应用越来越广,物联网关联的相关产业越来越多,产生的安全事件的影响越来越大。因此建议国家标准、行业标准应紧跟产业应用的发展及时修正更新。
六、小结
中华人民共和国国民经济和社会发展第十三个五年规划纲要的专栏9第二小节物联网应用推广:建设物联网应用基础设施和服务平台,推进物联网重大应用示范工程建设、广泛开展物联网技术集成应用和模式创新,丰富物联网应用服务。物联网的应用会越来越融入社会中的方方面面,但是相应的标准滞后以及测评机构对如何测评物联网存在经验不足之处,希望全国各个测评机构互联沟通交流,共同参与对物联网的安全测评,积极分享各自的工作心得,通过各个机构的实践测评不断补充和完善物联网安全的相应标准。
七、物联网测评案例
(一)无人机物联网系统测评
1、背景介绍
在对某无人机系统进行测评时,了解到其发生过无人机产品的单片机主板被改装,植入芯片,该芯片可以对无人机获取gps位置数据存储的内存地址进行修改,包括修改经纬度和飞行高度等数据,从而避开禁飞规则,例如在禁飞区飞行。
2、测评技术
(1)规定无人机户外工作时应满足的温度、湿度、防水、防雷、电磁兼容性等要求。
(2)设备安全:无人机应在启动时检测自身程序的完整性,能够检测出程序被破坏或Hook的情况,并往后台报警。
(3)密码应用安全:无人机应采用拥有国家商用密码主管部门颁发的《商用密码产品型号证书》的密码模块或芯片,保障存储的和传输的数据的真实性、完整性、机密性和抗抵赖性。所有涉及私钥的密码运算均在密码芯片或模块中完成,密钥不得以明文形式出现在密码芯片以外。
(4)后台安全:安全管理中心检测到节点设备自身的完整性被破坏后,应可采取必要的应对措施。
(二)智能摄像头/智能路由器物联网系统测评
1、背景介绍
在对某涉及前端是智能摄像头和智能路由器的系统测评中,经过访谈发现曾经发生过前端设备参数被修改、被植入恶意程序、重刷恶意固件的安全事件,造成采集数据泄露到第三方。
2、测评技术
(1)前端设备应根据装维人员和管理员等不同角色设计安全策略,包括访问控制策略和安全接入方式。
(2)对于装维人员,允许通过WiFi或有线连接等方式接入设备进行应用级配置,配置页面要进行裁减,例如只涉及网络连接的配置。密码长度应该保证一定的强度,并定期更换。
(3)对于管理员,允许通过WiFi或有线连接等方式接入设备进行系统级配置。设备要通过Mac与IP地址绑定等方式限制管理终端的接入。密码长度应该保证一定的强度,并定期更换。
(4)设备应支持在启动时通过系统引导程序(bootloader)检测自身固件的完整性,能够检测出程序被破坏或Hook的情况,并往后台报警。
(5)应采用拥有国家商用密码主管部门颁发的《商用密码产品型号证书》的密码模块或芯片,保障存储的和传输的数据的真实性、完整性、机密性和抗抵赖性。所有涉及私钥的密码运算均在密码芯片或模块中完成,密钥不得以明文形式出现在密码芯片以外。
(6)安全管理中心检测到节点设备自身的完整性被破坏后,应可采取必要的应对措施。