IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 【肥海豹】-网络安全等级保护(等保)-2020体系会-物联网学习笔记 -> 正文阅读

[网络协议]【肥海豹】-网络安全等级保护(等保)-2020体系会-物联网学习笔记

讲解专家:信息产业信息安全测评中心 张益老师

一、物联网安全概述

物联网:将感知节点设备通过互联网等网络连接起来构成的系统。

物联网三个逻辑层:感知层【扩展指标来源于感知层特性】、网络传输层和处理应用层。【物联网定级要三层结合起来一起进行定级】

感知节点设备:对物或环境进行信息采集和/或执行操作,并能联网进行通信的装置。

网关节点设备:将感知节点所采集的数据进行汇总、适当处理或数据融合、并进行转发的装置。

感知层现状:

? ? ? ? 资源受限:许多物联网终端感知节点资源受限、成本低廉;

? ? ? ? 通信多样:短距离通信多样化,进短距离无线通信就包括Zigbee、433、蓝牙、WiFi、RFID通信协议(ISO系统标准等);

? ? ? ? 可移动:许多终端节点是可移动的,包括手机、车载终端这类资源不受限的节点;

? ? ? ? 不稳定:一些感知节点工作不稳定,如使用太阳能的节点、可穿戴的节点等;

? ? ? ? 无人监管:一些传感器节点可能散布在无人值守的区域,但信息传输需要受到安全保护;

感知层安全现状:

不同行业对信息安全的需求差异很大,如:

? ? ? ? 食品溯源需要对设备和位置信息进行认证;

? ? ? ? 智能家居和智能农业需要对控制指令进行完整性保护;

? ? ? ? 城市安防需要对监控数据提供机密性保护;

? ? ? ? 智慧医疗需要对用户身份提供隐私保护;

目前最大的问题是联网IOT设备防入侵攻击的问题:

? ? ? ? 入侵目的1:获取信息(最小利益);

? ? ? ? 入侵目的2:伪造数据(一般利益);

? ? ? ? 入侵目的3:控制设备(主要利益);

? ? ? ? 入侵目的4:用作攻击武器(导致DDOS攻击);

二、物联网2.0标准要点解读

【本章节老师基于GB/T28449-2019,抽选对应的测评项和测评方法进行举例讲解】

8.4.2.1.1:与传统网络下准入控制类似,对白名单机制进行测试,对感知层和网络边界进行渗透测试;

8.4.2.2.1:控制感知节点和网关节点通信的目标地址,避免被攻击者控制后发起DDOS攻击,需要通过渗透测试的方式进行验证安全措施是否有效;

8.4.3.1.1:物联网设计的初衷是解放一些人力,所以很多操作需要通过现场远程的方式来实现。本条重点检查感知节点设备的身份认证,可在传感网进行渗透测试;

8.4.3.1.2:网关节点重点关注采用身份标识和鉴别的技术,由于计算资源有限,会采用轻量级密码算法来实现对于连接设备的认证;

8.4.3.1.3:也需要采用渗透测试的技术;

8.4.3.2.3:对非法节点和伪造节点发送的数据具有识别和过滤的能力,目前技术:消息源认证,消息完整性认证技术;

8.4.3.2.4:关注密钥的传输和保护,需要授权用户能过做,对在线更新环节能够把控;设备应允许该项配置,可以使用密码学技术对更新的数据提供严格的安全保护措施;是否支持在线更新,在线更新使用何种手段进行核查;

8.4.3.2.5:与上条类似,授权用户进行操作;

8.4.3.3.1:数据新鲜性:对接受的历史数据或超出实现的数据进行识别的特性;对脏数据进行识别,避免历史数据的重放攻击,利用时间戳或计数器的方法进行保护;

8.4.3.3.2:利用时间戳或计数器,结合加密算法和认证技术实现;

三、物联网测试场景与案例分享

案例一、智能家居类系统:

组成:感知设备、安防设备、控制设备、监控设备、家庭网关、智能终端;

此类系统以设备厂商、生产商为主体进行定级备案,所以定级的内容并不会像上述内容那么完整,尽管不完整,也是一个典型的物联网场景。

场景分析:【于测试关注点进行对应】

? ? ? ? 责任主体:家庭环境无法自主开展等保工作与IOT设备需要安全应用监管;(厂商有管理和运维责任,具有平台收集数据,且能够进行远程的更新、密钥更新的操作)(责任边界:家庭环境中只有终端设备,家庭的环境和网关不在定级范围内去做考虑,明确责任主体和测试范围)

? ? ? ? 功能定位:感知层感知节点与网关节点的功能重合;(数据汇总又可进行转发)

? ? ? ? 风险隐患:ITO设备远程运维管理的风险隐患;

测试关注点:

? ? ? ? 责任明确:厂商有责任对IOT设备(如智能音箱、智能空调等)进行维护和部分管理操作、应开展部分范围的部分测试;

? ? ? ? 指标筛选:感知层感知节点指标与网关节点指标的适用于不适用;

? ? ? ? 测试重点:针对风险隐患、重点关注接入认证、入侵防范、身份鉴别、访问控制等;

针对智能家居系统测评项选择:

要求项适用不适用
感知接点设备物理防护常规情况均适用b)项部分IOT不适用(如AI音箱不适用)
接入控制
入侵防范
感知节点设备安全由于责任主体问题,家庭网关不在定级范围内,而部分IOT设备自身既是感知节点,同时也具有网关节点的功能;这部分指标项存在多个不适用场景
网关节点设备安全
抗数据重放
数据融合处理
感知节点管理多为不适用

案例二、智慧社区治理系统:

智慧社区治理系统包括智慧社区居民服务子系统、智慧社区物业管理子系统、智慧社区居委会管理子系统、智慧社区综合管理子系统、智慧社区警务管理子系统和智慧社区物联网管理子系统等;

场景分析:

? ? ? ? 责任明确:感知层到PDA、门禁、不涉及各类卡;

? ? ? ? 指标筛选:感知层感知节点指标于网关节点指标的适用于不适用;

? ? ? ? 测试重点:针对风险隐患、重点关注接入认证、入侵防范、身份鉴别、访问控制等;

物联网感知层渗透:

? ? ? ? 设备本身渗透:PDA(举例:长按home、音量和电源键进入recovery模式;通过输入法进入浏览器,可以下载其他无关应用)、智能社区门禁终端(举例:门禁终端向服务器发送的审计信息可以被重放)等;

? ? ? ? 结合APP渗透测试进行,获取数据或进行非法操作;

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-09-12 13:30:30  更:2021-09-12 13:31:05 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 11:07:15-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计