CISA培训,CISM培训,CGEIT培训,CRISC培训,COBIT培训,CISSP培训-ISACA指定培训机构 |
CISA培训,CISM培训,CGEIT培训,CRISC培训,COBIT培训,CISSP培训-ISACA指定培训机构
CISA培训,CISM培训,CGEIT培训,CRISC培训,COBIT培训,CISSP培训-ISACA指定培训机构
400-888-5228
 万物互联时代信息安全问题浅析
来源:艾威培训时间:2017-08-08浏览次数:

  物联网(Internet of Things,IoT)作为新一代信息通信技术ICT的典型代表,其理念已经深入人心,受到来自国内外的广泛关注,全球物联网正从概念炒作阶段进入实质性推进和规模化落地的新阶段,产业界纷纷试水基于物联网技术的垂直细分领域应用。随着各种新型应用的落地实践和大范围推广,物联网的安全问题也日益暴露,安全事件呈爆发性增长的趋势,由于物联网与云计算、大数据、移动互联网等新技术的融合应用,使物联网面临的安全问题较传统IT网络更加多元、复杂,不仅会导致隐私泄露、经济损失等问题,甚至会威胁到人身安全。

  物联网受全球各国广泛重视

  物联网目前已经进入发展的快车道,处于规模化发展的初期,全球物联网生态系统加速构建,发达国家在积极进行战略部署以促进物联网发展,美国、欧盟、日本、韩国等世界主要经济体都提出了基于本经济体的物联网发展规划,我国也持续加强物联网建设工作。在2009年,IBM提出了“智慧地球”构想,物联网为其中不可或缺的一部分,奥巴马对“智慧地球”构想做出了积极响应,并将其提升为国家层级的发展战略;2015年3月,欧盟成立了“物联网创新联盟(Alliance for Internet of Things innovation ,AIOTI)”,汇集欧盟各成员国的物联网技术与资源来创造欧洲的物联网生态系统;2009年7月,日本IT战略本部提出I-Japan战略2015,强化了物联网在交通、医疗、教育和环境监测等领域的应用;2014 年 5 月,韩国出版《物联网基本规划》以发展物联网产品及服务平台。在中国,物联网作为战略性新兴产业之一,国务院及相关部委陆续出台了多项产业政策促进物联网产业的发展,在2010年出台的十二五规划中开始全面布局物联网,今年3月出台的十三五规划纲要,将物联网作为战略性产业,强调了其在重点领域的融合和应用。

  在产业层面,物联网垂直应用的行业已经遍及智慧交通、智慧医疗、公共安全、智能家居、可穿戴领域等,在智慧城市建设中,加强智能井盖、智能路灯、智能信号灯、网络摄像头的部署,在民生方面,物联网正在走入千家万户,智能手表手环、智能医疗设备、智能冰箱、智能彩电等纷纷联网,物联网已经渗透到人们生活的方方面面,正在实现物理世界与网络空间的全面融合,连接数量呈井喷式增长趋势。物联网技术的发展和应用的普及为人类生活带来了便利,也埋下了信息安全隐患。

  物联网时代信息安全问题突出

  物联网时代不同于PC时代和移动互联网时代,由于大量的联网设备都具备一定的自动控制功能,一旦设备大面积失控,会导致大规模的隐私泄露、经济损失,甚至给用户带来人身伤害。近几年,物联网安全事件频繁发生,掀起了国内外对于物联网安全的研究热潮。

  (1)国内外安全组织对物联网研究热情颇高,争相进军物联网安全领域。近两年举办的Black Hat大会、Geekpwn大会、Hackpwn大会引起了国内外黑客的高度关注,CES等传统会议也加大对物联网安全的关注,越来越多的黑客开始将目光转移到物联网安全,以寻求更多新的攻击手段。

  ·2016年8月,在拉斯维加斯举行的一年一度黑帽(Black Hat)大会上,物联网安全作为十大值得关注的安全威胁之一在此次会议中颇受关注,这也是Black Hat首次关注对物联网安全,在黑帽大会上,黑客展示了对联网汽车、智能灯泡、ATM等物联网设备的攻击。

  ·由国内知名白帽黑客团队KEEN主办的GeekPwn已经顺利举办3届,吸引了来自全球各地的安全研究人员加入,其比赛项目包括智能交通、智能穿戴、智能家居、汽车/无人机、智能娱乐等典型物联网领域,在大会现场展示了网络智能保险箱、智能路由器、无人机、智能家用遥控器等物联网智能设备的破解过程。

  ·2015年8月,360公司在北京组织了Hackpwn的智能硬件破解大赛,TCL洗衣机、Haier智能家庭、长虹电视、比亚迪汽车、微波炉,豆浆机等悉数被破解。

  ·在今年的CES2016大会上,物联网安全的关注度被排在了智能家居、可穿戴设备和无人驾驶汽车之前,首次位居第一位,由此可见,行业内对于物联网安全的重视程度越来越高。

  (2)细分垂直领域大范围试水,针对物联网应用的攻击事件频发。物联网在垂直细分领域上,不同行业应用面临了不同的信息安全问题,主要表现在车联网、智能家居、可穿戴设备等技术相对成熟的领域,并逐渐向其他领域扩展,大到城市交通,小到日常生活用品都成了黑客的猎物。

  ·入侵智能汽车:2016年9月21日,科恩实验室对外宣布以“远程无物理接触”的方式攻陷CAN总线,成功入侵了特斯拉汽车,这在全球尚属首次,科恩实验室还发现了多个安全漏洞能够远程劫持特斯拉Model S。

  ·入侵智能电表:2014 年10 月,研究人员发现西班牙所使用的智能电表存在安全漏洞,该漏洞可以导致电费诈骗甚至进入电路系统导致大面积停电。

  ·入侵输液泵:在纽约的黑莓安全峰会上,安全研究人员展示了如何用恶意软件入侵并操控输液泵,通过入侵这一个输液泵,黑客甚至可以连接到整个医院的系统。

  ·入侵家庭监控器:2014 年3 月27 日,中央电视台重点报道家庭监控器存在较高安全隐患,引发社会广泛关注。黑客可以轻松通过安全漏洞控制整个摄像头,达到窥视的目的。除了家用监控器,在银行、办公室、监狱等使用的监控器也存在同样的隐私泄露风险。

  此外,还有入侵无人机、智能手表、智能马桶、智能门锁、智能眼镜,甚至是无人机、枪支等案例。

  (3)物联网终端设备数量大、分布广,发起专门针对物联网的安全攻击。目前,出现了专门针对物联网的恶意软件僵尸网络、DDoS攻击,相比于PC、笔记本电脑、平板电脑等传统IT设备,物联网设备安全防护相对薄弱且数量巨大,并且由于物联网用户通常不会太多关注物联网设备的运行情况,即使出现安全问题也难以被觉察到,因此导致设备被劫持的风险愈发严重。

  ·2014年初,计算机安全研究公司Proofpoint发现了史上首个来自僵尸物联网(Thingbots)的攻击,这是信息安全业界首次记录到有智能电器等物联网终端设备参与的僵尸网络攻击。

  ·2016年初,ESET安全公司的研究人员发现Linux Remaiten恶意软件正在部署物联网设备僵尸网络,以智能设备、路由器、网关和无线接入点等为攻击目标,数月内已有超过100万台物联网设备遭遇入侵。

  ·近日,僵尸网络通过存在漏洞的物联网设备,如网络摄像头、路由器、DVR、恒温器等,发动了两次创纪录的DDoS攻击:其一是针对安全博客KrebsOnSecurity的攻击,攻击流量达到了620 Gbps;其二是针对法国托管商OVH的攻击,攻击流量高达1 Tbps。

  (4)物联网设备可被用于大量地收集用户信息,隐私安全问题堪忧。目前,物联网具有海量的终端设备长期在线,大部分设备都用于采集数据,并将数据传送至应用层进行数据分析和改进服务,这些数据包括用户的健康信息、汽车的GPS信息,家电设备使用状态信息等。这些包含用户隐私的数据在传输过程中,很有可能被黑客通过攻击传输网络或存储服务器而截获,另外,物联网用户一般都缺乏信息安全意识,设备一旦投入使用便不再去关注其动态,因此即使设备被攻击也难以被察觉,致使黑客有了更多可乘之机。

  ·2016年1月,美国联邦贸易委员会(FTC)主办的PrivacyCon大会上,研究人员指出,许多智能设备没有对用户的隐私信息进行加密,因此物联网并没有外界想象中那么安全,并列举Nest智能恒温器会、智能数码相框、Ubi的一款智能音箱等都因数据明文传输等问题泄露用户隐私。

  ·2015年11月,央视CCTV13在《朝闻天下》栏目曝光了部分智能手表存在安全问题。曝光儿童智能手表存在安全漏洞,易被黑客攻击导致孩子日常行走轨迹及家长个人信息等隐私泄露,引发全国关注。

  物联网信息安全隐患分析

  物联网安全事件频发的情况发人深思,安全问题成为物联网发展的桎梏。越来越多的黑客将参与其中,发掘出更多方式来攻击物联网设备及协定,新的威胁将持续出现,针对物联网的安全攻击将大面积爆发,物联网安全将面临巨大挑战。

  (1)大部分物联网体系架构缺乏安全认证机制,容易被恶意攻击。随着云计算、大数据和移动互联网的飞速发展和技术落地,以及各类智能终端产品的出现,物联网在原有架构上有了调整,逐渐形成一个物联网生态系统。逐渐演化为基于“海-网-云”架构,其中“海”对应感知层的海量终端设备,“网”对应传输层负责网络通信,“云”对应管控层和应用层用于提供服务。而基于这个架构的物联网应用的技术架构通常是通过将智能设备通过网络连接到云端,然后借助App与云端进行信息交互,从而实现对设备的远程管理。基于该模式的物联网应用的大多数控制指令都是由第三方平台转发给设备,物联网平台起到统一认证和控制的功能。大部分智能设备的控制端缺乏严格的认证导致设备可被攻击者所控制,由于设备与控制端的认证体系的脆弱,设备没有对控制端进行可信性认证,导致设备可能会被恶意攻击者所控制。通过分析设备和第三方平台之间的数据和控制信息可以实现绕过认证对设备的远程控制。并且能够控制同一品牌下的所有设备。

  (2)物联网产业链涉及环节太多,信息安全隐患突出。物联网产业链包括芯片提供商、传感器供应商、无线模组厂商、网络运营商、平台服务商、系统及软件开发商、智能硬件厂商、系统集成及应用服务提供商共计八大环节,任一环节出现问题都会导致系统面临安全威胁。产业链中各个环节的厂商都急于布局物联网产品,无暇顾及安全问题,并且信息安全水平参差不齐,难以做好统一的安全体系,尤其是终端设备的开发商大多是小型创业公司或者传统电子制造商,对网络黑客攻击既无意识也无抵御能力,没有资源或经验去提供复杂的安全功能,导致设备的用户很容易受到黑客攻击。在国内,这种物联网终端通信未加密、硬编码密钥等安全问题相当普遍。

  (3)物联网海量终端实时在线,易引发大规模安全攻击事件。Gartner的市场调研报告认为,全球每秒接入物联网的设备将达63台,也就是每天550万台,预计2015-2020年间物联网市场规模将达千亿量级。物联网海量终端一旦被攻击很可能以点触面,引起大范围攻击事件。根据调研情况,目前流行的智能终端设备大多都没有任何安全防护,设备安全问题突出,比如,IT安全公司SEC Consult的一份分析报告指出,上百万的物联网嵌入式设备都使用相同的、硬编码的SSH加密密钥或HTTPS服务器证书,这意味着一旦有一台设备被攻破,同类型的所有联网设备都将沦陷。

  (4)在政策管理及标准研制方面,缺乏整体的框架体系。早在2013年国务院就发布了《关于推进物联网有序健康发展的指导意见》,指出“要加强物联网重大应用和系统的安全测评、风险评估和安全防护工作,保障物联网重大基础设施、重要业务系统和重点领域应用的安全可控”,但是目前尚未进入实质性的执行阶段,政策法规有待进一步落地。在标准方面,物联网安全标准研制呈现离散状态,虽然近两年我国有3项自主创新的物联网安全关键技术纳入了国际标准体系,但是在物联网安全标准的体系建设方面未能跟上物联网发展的步伐,至今尚未形成一个具有指导性意义的物联网安全标准体系。由于物联网行业呈爆发式增长趋势,涉及垂直领域多、平台差异性大,若没有一个统一的标准约束,管理起来有较大难度。尤其是针对不同的应用领域,其运作模式、操作系统、软硬件、通信结构等方面均存在较大差异,给物联网的安全测评、漏洞修补机制带来了较大困难。

  对策与建议

  物联网即将进入规模化发展阶段,安全与发展将出现越来越大的差距,为保障物联网健康稳定发展,我国应持续推进在物联网安全方面的政策、标准、应用和人员培训等工作,加大安全管控和防护力度,引导和促进物联网厂商对安全问题的关注,提高用户群体的安全防范意识。

  (1)行业监管部门应推动物联网领域的安全标准和规范的建设和落实。监管部门应积极落实国家政策,从整体安全框架体系、安全测评、风险评估、安全防范、安全处置方案等方面建设标准规范并执行,比如中国信息安全测评中心推出“基于物联网智能家电的整体安全框架”用于对智能家电进行安全测评,并已经对美的等国内智能家电龙头企业进行安全测试评估,推动了物联网智能家电产业的健康发展。

  (2)产业界应保障每个环节的安全性,做好节点安全以保障产品的整体安全。在硬件、操作系统、通信技术、云端服务器、数据库等产业链中各个模块之间都做好统一的安全体系,并推动核心技术国产化,尤其是芯片、传感器等核心技术,提倡使用国产厂商的产品,做到关键技术可管可控。

  (3) 在技术层面加快物联网安全测试及防范技术的研究。设备厂商、研究机构等应该加大对物联网软硬件、操作系统、通信协议、云平台等方面的安全技术的关注力度,研发有效的安全隐患发现方法和测试手段,构建物联网安全防护解决方案。

  (4)普及信息安全知识,提高研发人员和用户的安全意识。相关部门应积极宣传信息安全的重要性,对物联网研发人员、测试人员、管理人员等进行安全知识的普及和技术培训,提高产品生产工作人员的总体安全意识、知识、技能和水平。此外,厂商、科研机构、教育部门等应大力推广正确的信息安全观念,整体提升用户的信息安全意识。

联系我们
电话 :021-53755037、021-53755037、021-53755038
Email:training@avtechcn.cn
培训部地址:上海市黄浦区福州路666号6楼6F
在线咨询