《国家信息中心:2018欧盟关键信息基础设施环境中物联网安全建议(下)(31页).pdf》由会员分享,可在线阅读,更多相关《国家信息中心:2018欧盟关键信息基础设施环境中物联网安全建议(下)(31页).pdf(31页珍藏版)》请在三个皮匠报告上搜索。
1、 本期内容: 欧盟关键信息基础设施环境中物联网安全建议(下) 电子政务发展前沿电子政务发展前沿 2018. 国家电子政务外网管理中心主办 3 3 编者的话 编者的话 物联网(Internet of Things,简称“loT” )以其智能化和互联互通性等特征,快速成为新一代信息技术的重要发展方向。物联网对传统产业的改造升级和对大数据等新兴产业的助推使其成为世界新科技革命和产业革命发展的重要驱动力量。然而,由于物联网广泛的网络联通性所带来的一系列网络和信息安全问题也引起高度的重视。 世界各国都在致力于推动物联网产业的快速和健康发展。 发达国家在持续加大对物联网核心技术、 标准制定和产业化等方面投
2、入的同时,也在不断完善和加强对物联网的安全管理。2017 年 11 月 20 日,欧洲网络和信息安全管理局(ENISA)发布欧盟关键信息基础设施环境中的物联网安全基线建议 (以下简称建议 ) ,对物联网安全现状及安全基线建议进行了全面总结, 以期进一步促进欧洲物联网产业的健康快速发展。 本期内容涵盖了建议中的安全措施和可靠实践的详细清单,包括了物联网在网络安全方面的主要差距的分析, 并基于已完成的所有背景调查、专家会谈意见、可靠实践以及安全措施情况,提出了一系列建议。 近年来,我国高度重视物联网产业的发展,将物联网作为战略性新兴产业列为国家重要信息化发展战略的组成部分。在 “十三五”国家信息化
3、规划和“互联网+”国家行动计划中,均提出要在国家重大信息化应用工程中加大对物联网技术和应用的投入。 欧盟对物联网安全发展提出的建议对我国物联网发展有重要的借鉴意义。 责任编译:韩帅 编 译:黄若涵、焦迪 译 审:舍日古楞 电子政务发展前沿 E-Government Frontiers 2 目 录目 录 四、安全措施和可靠实践 . 1 (一)政策方针 . 2 (二)组织、人员和过程措施 . 3 (三)技术措施 . 4 五、差距分析 . 10 (一)现有安全解决方法和法规条例呈现零散化 . 10 (二)缺乏安全意识和专业知识 . 11 (三)不安全的设计和开发方法 . 12 (四)在不同的物联网设
4、备、平台以及框架间的互通性不足 . 12 (五)缺少经济激励举措 . 13 (六)产品缺乏适当的生命周期管理 . 13 六、改善物联网安全的高级建议 . 15 (一)建议概述 . 15 (二)具体建议 . 15 术语汇编 . 20 附录 代表性物联网安全事件详述 . 22 电子政务发展前沿 E-Government Frontiers 1 欧盟关键信息基础设施环境物联网安全建议 欧盟关键信息基础设施环境物联网安全建议 四、安全措施和可靠实践 本章提供了安全措施和可靠实践的详细清单, 旨在减少影响物联网设备和环境的威胁、脆弱性和风险。定义的这些安全措施和可靠实践,其目的是以横向方式应用于不同的物
5、联网环境和部署工作,而不仅是提供某些物联网垂直体系安全。因此,定义的安全措施涵盖了广泛的安全考虑,如设计安全、数据保护、风险分析等。 本报告的安全措施和可靠实践是根据一项非常广泛和深入的桌面研究确定的,考虑到了不同的安全准则、标准等。 这些不同安全措施和可靠实践属于本报告定义的几个安全领域。 划分安全领域的目的是横向覆盖每一个物联网环境, 以便对不同的物联网生态系统领域应用哪些安全措施进行分类和定义。建议的安全领域划分如下: 信息系统安全治理和风险管理:涉及的安全措施包括关于信息系统安全风险分析、政策、鉴定、指标、审计以及人力资源管理。 生态系统管理:包括关于生态系统制图和生态系统关系的安全措
6、施。 IT 安全体系结构:包括关于系统配置、资产管理、系统隔离、流量过滤和加密等安全措施。 IT 安全管理:包括关于管理帐户和管理信息系统的安全措施。 标识和访问管理:包括关于身份验证、标识和访问权限的安全措施。 IT 安全维护:包括关于 IT 安全维护程序和远程访问的安全措施。 物理和环境安全检测:包括关于检测、日志记录和日志关联分析的安全措施。 计算机安全事件管理:包括关于信息系统安全事件分析与响应,和安全事件报告的安全措施。 业务连续性:包括关于业务连续性管理和灾难恢复管理的安全措施。 危机管理:包括关于危机管理组织和过程的安全措施。 在4.1到4.3小节中列举了在落实物联网不同安全措施
7、和可靠实践时应考虑电子政务发展前沿 E-Government Frontiers 2 的具体安全领域。 如前所述, 这些安全领域根据物联网生态系统应用的范围对安全措施进行分类。 除了他们的应用范围, 每个安全措施可以根据其作为政策的性质来安排使用,在开发设备时就必须考虑这个性质。组织机构的措施主要集中在组织机构本身,涉及具体机构和员工。最后,应通过技术措施的落实,减少物联网设备和物联网生态系统的其他元素可能会受到的潜在安全风险。因此,在这里提出物联网基线安全措施(下文中“GP-”代表可靠实践),并分为三大类:政策方针,组织、人员和过程措施,技术措施。 (一)政策方针 (一)政策方针 第一种安全
8、措施一般指的是针对信息安全的政策方针, 旨在使其更加具体可靠。 这些措施对组织机构落实相关安全行动应该是足够的, 并也包含了完善的文档信息。具体的安全可靠实践内容详见下文。 值得一提的是,当涉及到设计的安全和隐私时,安全措施应充分考虑物联网设备或系统部署的特殊性和背景(例如, 智能家居环境的物联网设备安全设计应考虑不同规格,与关键基础设施物联网设备的安全设计有所不同) 。正如上文所讨论的,物联网的网络风险是与背景相关的(即基于应用场景) ,在应用安全措施时应充分考虑这方面的因素。 1设计安全 GP-PS-01:从全面一致的角度,考虑物联网系统整个生命周期各个环节的设备、应用程序的设计安全,及开
9、发、生产和部署时的集成安全。 GP-PS-02:确保具备整合不同安全策略和安全技术的能力。 GP-PS-03:安全设计必须考虑那些对人类安全构成安全风险的因素。 GP-PS-04:在节能方面的设计不应危及安全。 GP-PS-05:设计架构时充分考虑安全隔离方案, 在遭受攻击时限制影响范围。 GP-PS-06:物联网硬件制造商和软件开发商有必要实施测试计划来验证产品是否能够按照预期正确执行。渗透测试有助于识别可疑的输入处理、认证的尝试和整体安全态势。 电子政务发展前沿 E-Government Frontiers 3 GP-PS-07:对于物联网软件开发商很重要的一点是在软件使用前要进行代码审查
10、,有助于减少产品最终版本的代码错误。 2设计隐私 GP-PS-08:让隐私成为系统设计的一个组成部分。 GP-PS-09:在任何新应用程序启动之前应进行隐私影响评估。 3资产管理 GP-PS-10:建立和维护关键网络和信息系统的资产管理程序和配置控制。 4威胁风险的识别与评估 GP-PS-11:采用纵深防御的方法识别重大风险。 GP-PS-12:明确指定物联网设备的预期用途和环境。 (二)组织、人员和过程措施 (二)组织、人员和过程措施 所有企业必须制定信息安全组织标准。 他们的人员实践需要促进信息安全更好地实现,确保组织实践中流程管理和信息处理安全有序。组织机构应确保承包商和供应商对所承担的
11、职能负责。一旦发生安全事故,组织机构必须做好相关准备工作(如承担责任、评估以及应对)。 1全生命周期支持 GP-OP-01:制定物联网产品全生命周期策略。 GP-OP-02:公开全生命周期内提供的持续安全支持要求,以及安全补丁支持内容(包括超出产品保修期时的要求) 。 GP-OP-03:在一个产品的生命周期内持续进行性能监控,支持对已知漏洞打补丁直到支持服务期结束。 2经过验证的解决方案 GP-OP-04:使用经过验证的解决方案,如众所周知的通信协议和加密算法,相关解决方案应得到科学界的认可等。应该避免某些专用的解决方案,如自定义的加密算法等。 3管理安全漏洞和事件 电子政务发展前沿 E-Go
12、vernment Frontiers 4 GP-OP-05:建立分析和处理安全事件的程序流程。 GP-OP-06:公开披露安全漏洞信息。 GP-OP-07:在信息共享平台上及时报告安全漏洞,并从公共和私人伙伴那里及时获得当前网络威胁和漏洞的关键信息。 GP-OP-08:创建一个公开漏洞报告机制,例如错误赏金计划等。 4人力资源安全培训和意识 GP-OP-09:通过培训工作,帮助员工做好隐私和安全保护工作,确保员工的行为可促进隐私和安全的保护工作。 GP-OP-10:对涉及隐私及安全的培训活动进行记录和监控。 GP-OP-11:确保为所有员工均设置了网络安全方面的角色和职责,引进人才方面的工作应
13、参照具体的工程与安全需求。 5第三方关系 GP-OP-12:由第三方处理的数据必须通过数据处理协议进行保护。 GP-OP-13:只有在消费者明确同意的情况下才能与第三方分享消费者的个人信息,除非使用的产品功能或服务操作有其他要求和限制。 GP-OP-14:对于物联网硬件制造商和软件开发人员,有必要落实网络供应链风险管理政策,并向其供应商和合作伙伴提出具体的网络安全要求。 (三)技术措施 (三)技术措施 显然,安全措施和可靠实践需要考虑和涵盖技术要素,以减少物联网的脆弱性。 下面我们概述了保护物联网信息安全的必要技术措施。横向的技术措施应用在垂直部门时,应结合每个垂直部门的特殊性,从而可以给出各
14、垂直部门更具体的措施。 应用这些技术措施应考虑到物联网生态系统的特殊性,如可扩展性。对于大量相关的物联网设备,可能需要在特定的体系结构组件(如网关)上执行某些技术措施。 1硬件安全 GP-TM-01:采用基于硬件的固定信任根。 电子政务发展前沿 E-Government Frontiers 5 GP-TM-02:使用集成了安全功能的硬件来加强设备的保护和完整性,例如专业安全芯片或处理器在晶体管级集成安全功能,并嵌入到处理器中,提供一个值得信赖的设备身份认证的手段,保护静态使用的密钥,防止越权访问安全敏感代码。可以通过功能来保护免受来自本地和物理的网络攻击。 2可信管理 GP-TM-03:在判定
15、任何软件或可执行程序中的信任问题前,必须优先在引导环境中建立信任机制。 GP-TM-04:通过对代码加密和设备安全签名措施来确保系统没有被篡改,通过运行时的保护和安全监控措施确保恶意攻击不会改写加载后的代码。 GP-TM-05:在操作系统中控制软件安装行为, 严禁加载未授权的软件和文件。 GP-TM-06:在发生安全问题或者升级未成功时,使系统返回到一个已知的安全状态。 GP-TM-07:使用能够代表和管理信任关系的协议和机制。 3默认强安全性和强隐私性 GP-TM-08:任何适用的安全功能是默认启用的,任何未使用的或不安全的功能应默认被禁用。 GP-TM-09:构建难于被暴力破解的设备默认密
16、码。 4数据保护和遵从性 GP-TM-10:必须公开、合法地收集和处理个人数据,在数据主体不同意的情况下不能收集和处理。 GP-TM-11:确保个人数据用于为他们采集指定的目的,任何进一步的个人数据处理要确保兼容性,并通知到了数据主体。 GP-TM-12:减少对个人数据的收集和保留行为。 GP-TM-13:物联网相关人士必须遵守欧盟通用数据保护条例(GDPR,General Data Protection Regulation) 。 GP-TM-14:物联网产品和服务的用户必须能够行使信息的相关权利, 如访问、擦除、整改,数据可移植性、限制处理、反对处理等,不应在未考虑用户权力的基础上进行自动
17、处理。 电子政务发展前沿 E-Government Frontiers 6 5系统安全可靠性 GP-TM-15:设计系统和运营时应考虑系统中断可能,防止系统受到不可接受的风险伤害或物理伤害。 GP-TM-16:具备自诊断、自修复的机制,使系统从失灵、故障或错误的状态恢复。 GP-TM-17:确保能够独立运作,具备相关基本功能,在设备或云系统遭受通信故障和记录损失后仍能持续工作。 6安全软件和固件更新 GP-TM-18:确保设备软件、固件的配置和应用具备更新的能力。这个更新服务器应是安全的,更新文件是通过安全连接传输,不包含敏感数据(如硬编码凭证) 。它是由授权可信单位签名,基于加密算法加密。更
18、新包具有数字签名,更新过程开始之前由设备验证签名证书和证书链。 GP-TM-19:提供一种固件自动更新机制。 GP-TM-20:固件更新应具备向后兼容性。自动固件更新不应在没有用户通知的情况下修改用户配置的首选项、安全性和隐私设置。 7认证 GP-TM-21:基于系统级威胁模型,制定安全认证与授权方案(每个设备的认证具有唯一性) 。 GP-TM-22:确保在初始设置时完成对默认密码甚至默认用户名的更改,不允许使用弱口令或空密码。 GP-TM-23:认证机构必须使用强密码或个人识别码(PIN) ,并应考虑使用双因素认证(2FA)或多因素认证(MFA) ,比如,基于证书的智能手机验证、生物特征识别
19、等等。 GP-TM-24:认证证书应该具有抵抗力,满足散列和加密的要求。 GP-TM-25:防止暴力破解和其他未授权的登录尝试,应对存储在设备中的密钥进行保护。 GP-TM-26:确保密码恢复或重置机制是安全的,不能提供给攻击者关于有效账户的指示信息。该要求同样适用于密钥更新和恢复机制。 电子政务发展前沿 E-Government Frontiers 7 8授权 GP-TM-27:通过实施细粒度的授权机制和使用最小特权原则来对一个给定的系统进行操作限制。应用程序必须在最低特权下操作。 GP-TM-28:设备固件应设计为对不需要访问的固件部分隔离特权代码、流程和数据。硬件设备应提供隔离的功能,防
20、止未授权访问安全敏感代码。 9访问控制-物理和环境安全 GP-TM-29:通过访问控制实现数据完整性和保密性。当请求访问的主体被授权访问特定进程时,必须强制执行已定义的安全策略。 GP-TM-30:确保实现基于环境的安全与隐私防护措施, 可适配不同重要等级。 GP-TM-31:应具备篡改检测和保护措施,对硬件篡改的检测和响应不应依赖网络连通性。 GP-TM-32:确保设备不易拆卸,数据存储介质是静止加密的,无法轻易去除。 GP-TM-33:确保设备只具有功能所必需的基本物理外部端口(如 USB),测试和调试模式是安全的,设备无法被用于恶意访问。一般来说,只能将物理端口向可信连接开放。 10密码
21、 GP-TM-34:确保使用适当和有效的密码保护传输和静止中的数据和信息(包括控制信息)的机密性、真实性和完整性。确保选择合适的标准、强密码算法、强密钥,禁用不安全协议。应验证系统的鲁棒性。 GP-TM-35:必须安全地管理密钥。 GP-TM-36:使设备能与轻量级加密和安全技术兼容。 GP-TM-37:支持可扩展的密钥管理方案。 11安全可信通信 GP-TM-38:保证在物联网或云中网络传输或存储的信息的不同安全方面的保密性(隐私)、完整性、可用性和真实性。 GP-TM-39:确保通信安全使用的是最先进的,标准化的安全协议,如 TLS 加密。 GP-TM-40:确保证书不在内部或外部网络暴露
22、。 电子政务发展前沿 E-Government Frontiers 8 GP-TM-41:保证数据的真实性使数据从发射到接收提供可靠的交换。无论何时何地捕获和存储数据都应该签名。 GP-TM-42:不相信接收到的任何数据,对所有连接都应进行验证。在建立信任之前,应主动发现、识别和验证连接到网络的设备,保证可靠解决方案和服务的完整性。 GP-TM-43:应对物联网设备进行限制,不放任设备任意通信。 GP-TM-44:建立有规划的连接,防止未授权的任何层级的协议连接行为,严禁未授权连接到其他设备。 GP-TM-45:满足选择性连接需求时,要禁用特定的端口,阻断某些网络连接请求。 GP-TM-46:
23、限速。控制网络发送或接收的流量,减少自动攻击的风险。 12安全接口和网络服务 GP-TM-47:风险分割。将网络元素拆分成单独的部分,以帮助隔离安全漏洞并减少整体风险。 GP-TM-48:协议的设计应保证隔离性,如果一个设备被攻破,并不影响整体。 GP-TM-49:避免在整个产品系列配置相同的密钥,因为某单一的设备被攻破就足以导致整个产品系列被攻破。 GP-TM-50:确保只有必要的端口开放和可用。 GP-TM-51:部署防 DDoS 攻击设备、负载均衡设备等基础安全设施。 GP-TM-52:确保在 Web 接口中完全加密了用户会话(从设备到后端服务),使其能够抵抗 XSS、CSRF 攻击、S
24、QL 注入等安全风险。 GP-TM-53:设计错误消息提示机制时应避免出现安全问题。 13输入输出安全 GP-TM-54:应落实数据输入验证(使用前确保数据安全)和输出过滤机制。 14日志 GP-TM-55:部署日志记录系统,记录的事件应涉及用户认证,帐户和访问权限管理,安全规则的修改,以及系统操作等。日志必须持久保存,并可通过可信连接获取。 电子政务发展前沿 E-Government Frontiers 9 15监测和审计 GP-TM-56:建立定期监测机制,验证设备的行为,检测恶意软件,并发现完整性错误。 电子政务发展前沿 E-Government Frontiers 10 五、差距分析
25、本章着重分析物联网在网络安全方面的主要差距。 从事物联网网络安全工作的一个关键部分就是要识别和定义安全差距(即现状和理想状态之间的空间距离) ,继而可以确定要弥合这些差距需要采取哪些工作步骤,实现从当前不成熟的状态到未来更成熟状态的转变。在与多个物联网专家进行的访谈中,可以发现一个共同点,那就是在成熟度方面,物联网安全还正处于初级发展阶段。我们对参与研究的专家进行调研,以及对现有物联网安全资源进行了比较分析,得出以下六个方面的安全差距。 我们从两个方面来剖析安全差距,既分析落实安全工作的障碍,也考虑那些有益于改进和确保物联网安全的变化。我们还对相关的挑战进行了概述,阐述了那些阻碍物联网向更成熟
26、安全态势进步的因素。 落实物联网安全工作以及缩小安全差距的最终目标是确保对所有相关资产进行保护,维持隐私保障力度,以及在网络攻击下仍能保持高恢复力,切实保障物联网物理安全和网络安全。 (一)现有安全解决方法和法规条例呈现零散化 (一)现有安全解决方法和法规条例呈现零散化 目前,在物联网网络安全方面还没有适用于整个欧盟的普适性解决方法,也没有适合多方利益相关者的通用网络安全模型。在此项研究的访谈中,大多数专家认为目前缺少成熟的安全框架,推进网络安全工作要考虑的因素很多,改善安全现状面临诸多障碍。因此,大多数企业和制造商在物联网推进网络安全工作时通常采用自己的方式,导致缺乏指导物联网安全措施和实践
27、的标准,已出台标准的被接受速度也较为缓慢。 监管单位所采取的严格措施和立法可能会限制网络空间安全研究、 开发和创新工作的进行,而私营单位所采取的激励举措通常会更为有效。尽管如此,网络空间安全快速发展的关键是公共单位和私营单位的协同工作, 并且应认识到安全不仅仅是某个制造商、客户或 IT 专业人员的事,而是与参与过程的每个人及单位都息息相关。网络空间安全是大家共同的责任。 当关键信息基础设施与物联网同步发展时,法规条例的零散化成为了障碍, 电子政务发展前沿 E-Government Frontiers 11 目前没有任何法规条例对物联网生态系统不同层面(比如,设备、网络等)提出强制性的安全措施和
28、协议。这可能会使得在开发生命周期中更易整合安全。另一方面, 应用于物联网的单一性标准可能被视为该领域创新和研究的阻碍因素。正如整个报告所讨论的,还应考虑到物联网不同的应用领域有不同的安全要求。 另一个需要解决的是在道德和法律方面都存在责任不明确的问题, 该问题可通过强制明确责任来缓解或解决。 物联网生态系统的不同组成部分间难以做到完全隔离, 不可避免地会由不同的制造商开发或由不同的单位运营。 在这种情况下,有必要明确在发生安全事件时每个参与者的责任。 (二)缺乏安全意识和专业知识 (二)缺乏安全意识和专业知识 随着相互连接和相互依存的信息系统和设备日益增多, 对于知识的掌握和理解存在着一定差距
29、。 在对物联网专家的采访中发现专家对基本术语的使用和理解存在不少差异,例如,对 safety 和 security 概念的理解。安全专家通常比较熟悉传统商业 IT 安全,而不熟悉物联网安全。 人们对于物联网设备的总体安全需求缺乏认知。更令人担忧的是,人们对于所面临的威胁缺少相关的知识, 大多数物联网消费者对物联网设备及其所处基础环境的影响都没有基本的了解。这可能会导致设备不能及时更新,进而违反安全规定。 此外,各单位应该培养员工良好的安全实践能力,认识到擅长基本技术并不意味着就精于安全实践。总的来说,应对新一代物联网消费者、开发者和制造商等人员进行适当的教育,帮助他们了解物联网的使用方法和安全
30、风险,并做好与之相关的准备。另外,很有必要进行网络空间安全方面的培训,以提高相关人员的安全意识。 如果开发商和制造商时刻都能意识到自己面临的风险, 那么就能避免许多安全事件的发生。开发商和制造商不仅要考虑那些影响物联网设备的安全风险,还应考虑那些影响整个物联网环境的安全风险。 为了提高人们对当前威胁和安全风险的认知,以及提供关于如何预防、保护和响应安全事件的知识,上述安全要求已成为一种常见的需求。 电子政务发展前沿 E-Government Frontiers 12 (三)不安全的设计和开发方法 (三)不安全的设计和开发方法 现在已经有许多针对物联网安全设计与开发方面的研究结果。 在本报告涉及
31、的相关采访中,我们验证了这些研究结果,并汇总了以下在物联网设计与开发方面存在的重要问题: 1、系统设计过程中没有考虑达到足够深度的安全防御策略,如安全启动过程设计,可信计算基础的隔离,开放端口数量的限制,以及自我防护策略等。 2、没有安全性设计和隐私保护性设计。在某些情况下,信息会与第三方进行交换,应严格确认没有超出目标信息外的多余内容被导出到物联网环境之外。 3、内部和外部接口缺乏通信保护。 4、缺乏强力的身份验证和授权: (1)固件更新未经过验证,缺少电子签名保护措施; (2)软件更新未经过服务器认证,也没有通过文件信任验证; (3)没有安全启动机制。 5、缺乏强化措施: (1)固件层面上
32、没有使用数据执行防护和攻击缓解技术; (2)公共漏洞(如 DNS 代理,HTTP 服务等)修复不及时; (3)暴露了许多服务入口点,开放了多个不必要开放的通信端口,比如有时直接对外开放了 Telnet 或 ssh 等服务; (4)弱密码,或默认密码长期保持不变; (5)配置缺陷。 6、缺乏安全诊断与应急响应能力。 (四)在不同的物联网设备、平台以及框架间的互通性不足 (四)在不同的物联网设备、平台以及框架间的互通性不足 物联网生态系统绝大部分都包含那些与传统系统相连的物联网设备, 特别是与关键信息基础设施相连的物联网设备。 此外, 如上所述, 由于缺乏通用性规定,大多数公司和制造商在设计物联网
33、设备时都采取各自独立的方法, 导致来自不同制造商的设备之间难以互通, 安全模型各异, 概念和分类方式等方面也各不相同。因此, 非常有必要研究相应的技术措施,来确保物联网环境和传统系统以及由第 电子政务发展前沿 E-Government Frontiers 13 三方物联网设备之间都可以正确、安全地进行通信。 大多数物联网设备使用其制造商所设计的专有协议来互连设备。 虽然这不是某一个制造商设备的问题,但是当互连来自不同制造商的设备时,这将成为一个问题。 这需要研究和使用可支持所有制造商的标准协议,以确保实现良好的互通性, 并使得效率和安全性损失降到最低。在这方面的一个比较好的做法是避免使用封闭协
34、议和专有协议,这是因为封闭协议和专用协议的安全性不能被验证。许多案例已经证明,隐晦的安全防护手段并不能有效保障安全。 本着同样的精神,除了采取通用协议之外,采用通用框架也可以帮助不同制造商的设备在进行互联时提升效率和安全性。 (五)缺少经济激励举措 (五)缺少经济激励举措 物联网主流制造商和供应商通常认为功能和可用性要比设计安全和编程安全更为重要。为了保障经济效益,他们不会在安全上花费太多金钱,甚至在某些情况下他们根本不考虑安全。 这些公司没有把大量预算投入到安全方面的主要原因是人们普遍认为安全投资的直接回报极少, 对于假定的安全隐患难以评估财务影响和经济成本。 由于缺乏有助于提高安全性的经济
35、激励举措,上述情况变得更加恶化。缺少的经济激励措施包括经济利益方面的激励(例如,资助将更好的安全整合到设备中) ,资源提供,以及知名度提升激励等。除此之外,只有在诸如欧盟 H2020 工作计划之类的研发项目中才能获得经济支持。 总的来说,接受访问的物联网专家普遍认为,各单位由于预算问题通常会低估和忽视不同的安全风险、威胁和隐患,因此倾向于事后处理安全问题。 (六)产品缺乏适当的生命周期管理 (六)产品缺乏适当的生命周期管理 总的来说,当前物联网设备从设计阶段到后期开发都缺乏安全措施。这表明需要对物联网环境中的各类资产进行适当的产品生命周期管理。 由于设备和网络是相互连接的,并且在大多数情况下暴
36、露在互联网上,它们可能成为各种威胁源的攻击目标。 物联网包括大量产品,如果无人进行监管,整个传统供应链都会变得脆弱。电子政务发展前沿 E-Government Frontiers 14 物联网的出现扩大了网络空间的攻击面,每个参与者都有责任去管理安全风险。各种设备和产品都应在其整个生命周期中以解决方案中所要求的安全方式进行严格开发。 在这个过程中, 有必要让供应商参与进来。 由于供应商负责设计和开发设备,他们处于落实安全要求的最理想的位置, 他们能够熟练且高效地实现新的安全功能或特性。然而,增加新安全功能不仅取决于制造商,还取决于承担相关经济成本的单位是否支持。因此,必须维持安全与成本之间的平
37、衡。 在物联网设备的生命周期中, 应保证物联网设备能够快速修复和更新,确保其正确运行。在发现安全漏洞时,应能及时修复。在消费者的应用环境中,大多数物联网用户都不了解物联网设备及其对网络环境的影响, 这可能会导致设备不能及时更新,进而违反安全规定。 另外,设备生命周期管理的一个重要阶段是部署阶段,应定义物联网部署的最佳实践,包括针对设备和网络的特定配置建议,以及部署安全监控系统来监测已部署基础设施中的网络安全异常情况。 电子政务发展前沿 E-Government Frontiers 15 六、改善物联网安全的高级建议 本章包含一系列针对开发人员、运维人员和安全专家的高级建议,以帮助他们提升物联网
38、设备及其通信环境的安全级别。 这里讨论的建议涉及整个物联网领域的利益相关者,主要目的在于解决第 5 章中提出的安全差距问题。 (一)建议概述 (一)建议概述 所提出的建议在下表中列出,并将在第 6.2 节详细阐述: 表 8 物联网安全建议表 序号序号 描述描述 1 促进物联网安全举措与法规条例的协调一致 2 提高对物联网网络安全需求的认知 3 提出物联网安全软硬件开发生命周期指南 4 建立物联网生态系统的互通规范 5 促进物联网安全的经济与行政激励举措 6 建立物联网产品与服务生命周期安全管理准则 7 明确物联网利益相关者的责任 (二)具体建议 (二)具体建议 1.促进物联网安全举措与法规条例
39、的协调一致 1.促进物联网安全举措与法规条例的协调一致 此项建议的目标受众:物联网行业、供应商、制造商、协会。 目前,物联网安全实施指南、具体措施、标准以及其他框架都比较分散,急需解决该问题。 想要解决该问题首先要确定一个关于物联网安全与隐私保护的最佳实践和指导方针目录,用于作为物联网系统市场开发和部署的基线(例如,欧盟物联网创新联盟 AIOTI 和欧盟网络空间安全机构 ECSO 所发布的咨询报告文件) 。目前,ENISA 报告提供了这样一个目录,并进一步基于定义和安全结构对电子政务发展前沿 E-Government Frontiers 16 所有安全措施进行分类。 值得注意的是,在标准协调方
40、面,物联网安全标准的概念已经得到了业界的赞赏和支持,但利益相关者的各个群体拥有不同的研发链,以至于呈现分散化。 针对这种分散化问题的解决建议是在物联网中制定一系列安全实践、 指南以及安全要求规范文件。欧盟委员会应该是这个过程的推动者,本报告可以作为相关工作开展的参考和依据。随后,各单位都可以根据单位的特定背景和风险因素,重点确定安全实践、指导方针以及具体要求。欧盟委员会和成员国政府可以推动利益相关者(包括行业、用户)的协调与合作,ENISA 可以成为这一进程中的重要推动者。 采购过程的管理是统一物联网系统基线标准和要求的另一种手段, 应考虑到目前有很多不同的部门(如能源,交通) ,需要先在每个
41、部门内实现基准统一。 2.提高对物联网网络安全需求的认知 2.提高对物联网网络安全需求的认知 此项建议的目标受众:物联网行业、供应商、制造商、协会、学术界、消费者组织、监管机构。 维护网络空间安全是所有相关利益相关者的共同责任。 因此,利益相关者必须全面了解相关的安全风险和威胁, 以及防范这些安全风险和威胁的方法。 因此,提高认知至关重要,强烈建议尽快落实此项建议。 不断恶化的威胁形势和大量有关物联网的安全事件已经证明,物联网开发者、 整个行业以及终端用户和消费者普遍缺乏相关的安全知识。 为了解决该问题,针对利益相关者的角色重点提出了以下针对性的建议: (1)物联网行业应全面开展安全教育与培训
42、工作,应涉及物联网最新技术、最佳实践、参考体系结构、模块构建、方法以及工具等内容。 (2)应对物联网终端用户和消费者进行培训,使其在购买物联网设备和系统时能够做出更明智的决定。因此,加强物联网安全宣传活动非常重要,也有益于消费者维持所购买物联网产品的网络安全保障基本水平。 消费者权益协会应当在这方面发挥作用,推进落实此项工作的相关举措。 (3)在开发人员社区中,应强化人员的安全认知,采用贯穿始终的基本安全原则,而不是采用行业特定的非通用性规则。应当持续推进关于物联网安全的 电子政务发展前沿 E-Government Frontiers 17 企业培训活动,这种培训活动将是十分有益的。 同样,推
43、行科学咖啡馆和网络安全诊所等举措也证明是有效的。最后,大学和其他学校的培训活动和课程(应考虑到本地化,覆盖更广泛的受众)也将进一步促进年轻一代更好地了解物联网安全,长期推行有助于提高安全认知。 3.提出物联网安全软硬件开发生命周期指南 3.提出物联网安全软硬件开发生命周期指南 此项建议的目标受众:物联网开发商、物联网平台运营商、物联网行业、制造商。 物联网产品和解决方案的开发者、 制造商和供应商应积极落实安全软件开发生命周期(SSDLC,Secure Software Development Lifecycle)的相关要求,并整合到他们的物联网产品和相关操作流程中。在应用层面,必须将安全作为一
44、个整体,并在 SDLC 的每个阶段都予以落实。因此,鼓励更多的公司向开发人员和物联网终端用户及消费者提供所需的安全组件是非常重要的。 默认及设计的安全和隐私保护原则是物联网安全的基础。显然,将这些概念应用于多个具有特定特性的物联网环境中是具有挑战性的。在物联网中,网络安全风险是依赖于周围环境的(即基于应用场景)。在这方面,设计安全和隐私原则应考虑到应用场景不同的因素。除了采取其他安全举措外,越成熟的 IT 部门,越会在物联网生态系统中采用这些原则,并进一步证明其有效性。 对于开发者而言,通过组织物联网安全黑客马拉松以及最佳实践指导的练习, 可以大大增强他们对于默认和设计网络安全和隐私原则的感知
45、。开发人员可从这些练习吸取经验教训,有助于开发人员在其项目和产品中应用相应的技术。对于公司而言,采用适当的物联网安全流程以及定义明确且被广泛接受的工具(例如标准、清单等)将会极大地推动物联网安全的发展。 4.建立物联网生态系统的互通规范 4.建立物联网生态系统的互通规范 此项建议的目标受众:物联网行业、供应商、制造商、协会、监管机构。 由于物联网生态系统规模庞大,普及率高,供应链复杂,牵扯众多,互通问题与物联网生态系统息息相关。因此,确定并促进物联网设备、平台和框架间的互联互通以及安全实践是实现物联网安全的基本要素,应予以重点推进。 电子政务发展前沿 E-Government Frontier
46、s 18 下面的建议有助于实现该目标,具体包括: (1)鼓励采用安全且互通的开放式技术框架; (2)展示可互通框架的安全透明度; (3)推进可互通安全实验室和测试平台的开放。 应该指出的是,上述建议是指导性的。要实现端到端且持续的网络安全,还需进一步努力来推进物联网设备的安全互通。 5.促进物联网安全的经济与行政激励举措 5.促进物联网安全的经济与行政激励举措 此项建议的目标受众:物联网行业、协会、学术界、消费者组织、监管机构。 安全性不足显然会影响正常业务的连续性。 对于物联网也是如此,物联网上的业务也是由研发活动所推动的, 人们通常会急于将研发产品和服务发布在市场上。 基于这方面考虑,可将
47、业务连续性作为证明网络安全解决方案成本的驱动因素。 而且,由于消费者并不了解网络安全所带来的附加价值,所以网络安全的市场需求处于较低水平。消费者的参与是非常重要的,应该得到更多的支持。政府(如欧盟委员会,成员国)应当加强宣传,帮助人们了解网络安全所带来的附加价值,必须采取进一步措施来推进物联网网络安全工作。 在物联网方面,竞争优势目前集中在时间上,而不是在安全上。应该调整这种平衡关系,鼓励在市场部署之前就达到特定的安全和隐私防护水平。定义基准安全措施所支持的安全框架有益于实现这种平衡。 应用认证和电子标签等其他方案有益于提升人们对物联网安全的理解,增强物联网安全的透明度,也有利于对物联网终端用
48、户和消费者进行培训,使人们更了解物联网安全。尽管在每个应用场景、实际用例或应用程序中都面临着一些具体的安全风险,也应予以考虑落实上述措施。在落实上述措施的基础上,随以采取相应的调整措施和行动,来进一步推进物联网网络安全工作。 6.建立物联网产品与服务生命周期安全管理准则 6.建立物联网产品与服务生命周期安全管理准则 此项建议的目标受众:物联网开发商、平台运营商、行业、制造商。 安全在物联网产品和服务的整个生命周期都扮演着重要的角色。 生命周期中 电子政务发展前沿 E-Government Frontiers 19 所包含的阶段有设计、开发、测试、生产、部署、维护、结束支持和报废(即退役) 。建
49、议为这些阶段都制定具体的、有针对性的安全流程。 此外,应妥善执行安全流程。为了满足这个需求,必须在每个阶段中规定好基本安全要求和具体组成内容。 物联网环境中的安全更新问题是一个值得注意的重大问题。 在物联网设备部署之后,应保证有持续的安全更新,而且无需在定义的条款和条件中对物联网用户和消费者提出特殊知识和资金要求。 物联网产品的制造商和供应商必须对安全更新有明确规定,并且必须清楚地传达给用户和消费者。 7.明确物联网利益相关者的责任 7.明确物联网利益相关者的责任 此项建议的目标受众:物联网行业的监管机构。 正如专家访谈中所指出的那样, 物联网的责任划分被认为是一个非常重要的问题。 责任划分在
50、物联网领域具有特别重要的意义。物联网的网络物理属性直接关系物联网的安全,物联网责任问题亟需解决。物联网生态系统的不同利益相关者(如开发商、制造商、供应商、售后支持、第三方服务提供商和终端用户)的责任都需要予以落实。 物联网的责任划分问题必须在欧洲和各个组成国家通过立法进行解决。 如果当前法律中没有解释好责任问题,则应该及时调整。 电子政务发展前沿 E-Government Frontiers 20 术语汇编 英文缩写英文缩写 英文全称英文全称 中文全程中文全程 6LoWPAN IPv6 over Low Power Wireless Personal Area Network IPv6 低功耗
51、无线个域网 APT Advanced Persistent Threat 高级持续性威胁 AMQP Advanced Message Queuing Protocol 高级消息队列协议 BLE Bluetooth Low Energy 低功耗蓝牙 CASB Cloud Security Access Broker 云安全访问代理 CARP Channel-Aware Routing Protocol 通道感知路由协议 CII Critical Information Infrastructure 关键信息基础设施 CIIP Critical Information Infrastructure
52、 Protection 关键信息基础设施防护 CISO Chief Information Security Officer 首席信息安全官 CoAP Constrained Application Protocol 受限应用协议 DDS Data Distribution Service 数据分发服务 (D)DoS (Distributed) Denial of Service (分布式)拒绝服务 IIC Industrial Internet Consortium 工业互联网联盟 ICT Information and Communication Technology 信息与通信技术 Io
53、T Internet of Things 物联网 IoTSEC Internet of Things SECurity 物联网安全 IIoT Industrial Internet of Things 工业物联网 LPWAN Low Power Wide Area Network 网 低功耗广域 M2M Machine-to-Machine 机器对机器 MQTT Message Queue Telemetry Transport 消息队列遥测传输 NB-IoT NarrowBand-IoT 窄带物联网 NFC Near Field Communication 近场通信 QoS Quality
54、of Service 服务质量 RBAC Role-Based Access Control 基于角色的访问控制 RFID Radio Frequency Identification 射频识别 RPL Routing Protocol for Low-Power and Lossy Networks 低功耗有损网络路由协议 SME Small and medium-sized enterprise 中小企业 SDN Software-Defined Networking 软体定义网络 VPN Virtual Private Network 虚拟专用网络 WAF Web Application
55、 Firewall Web 应用程序防火墙 WLAN Wireless Local Area Network 无线局域网 WPAN Wireless Personal Area Network 无线个域网 WWAN Wireless Wide Area Network 无线广域网 电子政务发展前沿 E-Government Frontiers 21 XMPP eXtensible Messaging and Presence Protocol 可扩展消息和状态协议 电子政务发展前沿 E-Government Frontiers 22 附录 代表性物联网安全事件详述 安全事件安全事件 发生时间发
56、生时间 事件描述事件描述 波多黎各智能电表被入侵事件 2009 年 波多黎各电力管理局 (PREPA, Puerto Rican Electric Power Authority)在 2009 年的某个时候遭受了一系列与应用智能电表有关的电力盗窃事件。这种攻击需要通过物理访问智能电表来实施,据判断是智能电表制造商的前雇员所为。智能电表被前雇员修改,从而出现了电费减少的情况。 福斯康姆(Foscam)品牌婴儿看护摄像头被入侵事件 2013 年 8 月 10 日 2013 年 4 月 11 日,安全研究人员在一个题为“要监视还是被监视:将您的监控摄像头对着您”的演示文稿中披露过福斯康姆无线摄像头的
57、一个安全漏洞。随后,在 8 月 10 日,一名攻击者就基于该漏洞信息获得了德克萨斯州休斯敦中一个摄像头的控制权。经确认,该摄像头被用作婴儿看护摄像头。攻击者能够通过该摄像头来进行监看、偷听和说话。 塔吉特 (Target) 零售商数据泄露事件 2013 年 11 月 15 日至 12 月 15 日 针对塔吉特零售商信息系统的入侵行为可以追溯到其第三方物联网暖通空调供应商的网络证书失窃事件。据确认,塔吉特零售商允许暖通空调供应商远程访问其网络,以便报告店铺温度的波动情况。店铺温度的波动很可能会影响客户在特定商店中的 电子政务发展前沿 E-Government Frontiers 23 安全事件安
58、全事件 发生时间发生时间 事件描述事件描述 停留时间。然而,为何销售信息系统没有与塔吉特的其他网络系统隔离开,这仍然是一个谜。入侵行为发生在 2013 年 11 月 15 日。在一个月后,数据泄露事件共导致 4000 万信用卡和借记卡账户信息被盗。 宝马汽车互联驾驶功能安全漏洞(示范) 2015 年 1 月 宝马互联驾驶系统存在一个安全漏洞,研究人员可以利用该漏洞在没有车钥匙的情况下解锁车辆。该功能可让那些被锁在车外的司机远程解锁他们的车。研究人员在攻击示范过程中可以模拟宝马服务器,并通过公共蜂窝网络向车辆发送远程解锁指令。提供的漏洞补丁可以为配备互联驾驶系统的 220 万辆汽车提供安全保障,
59、添加 HTTPS 加密连接功能,并确保汽车只接受来自具有正规安全证书服务器的连接请求。 吉普汽车远程劫持攻击示范 2015 年 7 月 21 日 查理米勒(Charlie Miller)和克里斯瓦拉塞克(Chris Valasek)实施了针对吉普车的零日漏洞攻击,让一个可能远在千里之外的攻击者通过互联网完全控制数以千计的存在漏洞的车辆,可通过吉普娱乐系统发送命令到仪表板、转向系统、刹车系统以及变速箱来执行攻击。 Tracking Point 智能狙击步枪入侵示2015 年 7 月 29 日 安全研究人员鲁纳山特维克(Runa Sandvik)和迈克尔奥格(Michael 电子政务发展前沿 E-
60、Government Frontiers 24 安全事件安全事件 发生时间发生时间 事件描述事件描述 范 Auger)已经研究了一系列技术,可以让攻击者通过 Wi-Fi 连接价值13,000 美元的 TrackingPoint 自动瞄准枪,并利用其软件中存在的安全漏洞。攻击者可以损害瞄准系统,组织步枪开火,或令步枪错过预期目标,改打其他目标。 伟易达(VTech)玩具制造商数据泄露安全事件 2015 年 11 月 8 日 数码玩具制造商伟易达集团网络攻击事件泄露了 640 万儿童和 490 万成年人的数据。被窃取的个人信息并未加密, 数据种类包括姓名、 电子邮件、密码、找回密码的问题与答案、I
61、P地址、邮政地址、下载历史记录、聊天记录以及儿童的姓名、照片、性别和出生日期。 利 用 恶 意 软 件Mirai 发起的针对法国 OVH 云计算服务商的 DDoS 攻击事件 2016 年 9 月 19 日 恶意软件Mirai以物联网设备为感染目标形成僵尸网络。实施这次 DDoS攻击的僵尸网络包含100多万个被入侵的物联网设备, 主要是通过 Telnet端口感染 DVR 和闭路电视摄像头。法国云服务提供商OVH被认为是最先遭受来自 Mirai 僵尸网络 DDoS 攻击的受害者。据报道,该僵尸网络攻击流量峰值达到了 1Tbps,是最大的攻击流量历史记录之一。 利 用 恶 意 软 件Mirai 发起
62、的针对“Krebs on 2016 年 9 月 20 日 在攻击法国OVH云计算服务商一天之后,Mirai 僵尸网络就对“Krebs on Security”网站进行了一次 DDoS 攻 电子政务发展前沿 E-Government Frontiers 25 安全事件安全事件 发生时间发生时间 事件描述事件描述 Security”网站的DDoS 攻击事件 击,攻击流量一度超过 620Gbps,这也是最大攻击流量记录之一。 Hajime 蠕虫 2016 年 10 月 15 日 Hajime 是一种 “保卫型” 物联网蠕虫。它就像恶意软件 Mirai 一样,基于Telnet 端口利用默认用户名和密码
63、的设备通过来控制物联网设备。Hajime 蠕虫是对抗 Mirai 僵尸网络的产品。一旦物联网设备受到感染,Hajime 将阻止访问 Telnet 占用的 23端口以及 7547、5555 和 5358 端口,而这正是竞争对手Mirai以及其他恶意软件的常用入侵点。目前,Hajime蠕虫没有表现出任何恶意行为,只是显示以下信息: “Just a white hat, securing some systems(这只是白帽黑客行为,目的是保护系统) ” 。 利 用 恶 意 软 件Mirai 发起的针对域名提供商 DYN 的DDoS 攻击事件 2016 年 10 月 21 日 恶意软件Mirai的部
64、分目标是与云计算相关的服务商, 如域名提供商 DYN,以及亚马逊,Netflix,PayPal,Spotify 等几个知名网站。据未经证实的报道,攻击流量高峰达到了1.2Tbps 左右。 针对住宅区中央供暖系统的 DDoS 攻击事件 2016 年 11 月 3 日 在芬兰的拉彭兰塔市,至少两个住宅区的供热系统遭受了 DDoS 攻击,使居民失去供暖,在零度以下的温度中忍受了一周以上。 利 用 恶 意 软 件Mirai 发起的针对2016 年 11 月 27 日 Mirai 僵尸网络将德国电信路由器作为目标实施攻击,影响了 90 多万网电子政务发展前沿 E-Government Frontiers
65、 26 安全事件安全事件 发生时间发生时间 事件描述事件描述 德 国 电 信 网 络 的DDoS 攻击事件 络用户。 Cloudpets 公司数据库被控制, 并遭受勒索事件 2016 年 12 月 25 日 - 2017 年 1 月 8 日 Cloudpets 是一家出售互联网玩具熊的公司,玩具熊可允许孩子们与距离遥远的父母进行交流。Cloudpets 公司客户数据在没有密码以及防火墙保护的公开数据库中放置了两周。超过 820,000 个客户资料以及 200 万条消息记录被曝光。此外,攻击者还控制该数据库并以此勒索赎金。 奥地利雅格沃特浪漫景致酒店 (Romantik Seehotel Jge
66、rwirt) 网络安全事件 2017 年 1 月 25 日 雅格沃特浪漫景致酒店(Romantik Seehotel Jgerwirt)是奥地利阿尔卑斯山的一家四星级酒店,它的数字钥匙系统被破解,并被勒索赎金。攻击者设法攻破了整个钥匙系统,使得客人不能再进入酒店房间,新的钥匙卡也不能编程。酒店承认,他们已经向网络罪犯支付了价值数千比特币的赎金,网络犯罪分子一收到付款就立即恢复了钥匙系统和相关终端。攻击者在系统中留下了后门以便以后利用它,但当他们再次尝试攻击时,酒店已经提高了安全防护力度。 Cloudpets 玩具熊和德国“我的朋友Cayla”洋娃娃的不安全蓝牙设置问题 2017年2月17日至2
67、7 日 除了Cloudpets的客户数据库不安全之外,Cloudpets 的玩具熊本身也是不安全的。CloudPets 的玩具没有使用任何标准的蓝牙安全配置,没有与智能手机应用程序进行加密配对,所 电子政务发展前沿 E-Government Frontiers 27 安全事件安全事件 发生时间发生时间 事件描述事件描述 以任何蓝牙信号范围内的人(一般是智能手机的 10 米范围内)都可以连接到玩具熊,可发送和接收命令和数据。连接者可向玩具上传信息,或者无声地触发玩具的录音功能,并下载玩具录制的音频。换句话说,玩具熊可以变成远程监控设备,可像福斯康姆(Foscam)摄像头那种不安全的婴儿监视器一样侵扰幼儿。就在一个星期之前,德国政府禁止“我的朋友Cayla”洋娃娃连接互联网,原因与Cloudpets 玩具熊有关,该洋娃娃的漏洞也可能被攻击者利用来远程监视儿童。 BrickerBot 恶意软件 2017 年 3 月 20 日 BrickerBot 是一种可使安全性较差的物联网设备永久丧失能力的自动执行程序。其在利用物联网设备执行永久性拒绝服务(PDoS)攻击前,会先使得物联网设备变成 “砖块” 状态。该恶意软件的最新版本 BrickerBot3出现在 4 月 20 日,第一个版本BrickerBot1 则是出现在 3 月,仅相隔 1 个月的时间。