劉存　侯文婷

摘? ?要：隨著新型基礎(chǔ)設(shè)施建設(shè)的不斷推進(jìn)，物聯(lián)網(wǎng)受到了越來越多的關(guān)注。在高速化、智能化、數(shù)據(jù)化的萬物互聯(lián)時(shí)代，如何保障物聯(lián)網(wǎng)及物聯(lián)網(wǎng)設(shè)備安全成為當(dāng)前安全領(lǐng)域的一個(gè)重要課題。文章闡述了一種以安全貫穿物聯(lián)網(wǎng)設(shè)備的設(shè)計(jì)、研發(fā)、測試、運(yùn)行、迭代的全生命周期的安全體系建設(shè)方法與實(shí)踐。首先，結(jié)合近年國內(nèi)外物聯(lián)網(wǎng)安全事件和物聯(lián)網(wǎng)的信息化特性分析物聯(lián)網(wǎng)安全風(fēng)險(xiǎn);然后，基于物聯(lián)網(wǎng)安全實(shí)踐提出技術(shù)解決思路，并以物聯(lián)網(wǎng)的設(shè)計(jì)、研發(fā)、測試、運(yùn)行、迭代的生命周期過程為基礎(chǔ)，將安全能力和解決方法分階段進(jìn)行整合，形成基于物聯(lián)網(wǎng)生命周期的安全體系;最后，通過具體項(xiàng)目實(shí)踐，分析該安全體系的可行性及效果。

關(guān)鍵詞：物聯(lián)網(wǎng)（IoT）;物聯(lián)網(wǎng)安全;生命周期安全

中圖分類號(hào)： F299.23? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： With the continuous improvement of new infrastructure construction， namely 5G base stations， Bigdata operation centers， artificial intelligence and etc.， the Internet of Things（IoT） industry received extensive attention. In this high-speed， intelligent and data-based IoT era， how to ensure the security of the IoT device and system has become an important topic. This paper describes a method and some practices of constructing a security system which runs through the IoT lifecycle， namely the design stage， the development stage， the testing stage， the publish stage and the operation stage. Firstly， the security risks of the IoT system are analyzed in combination with the security incidents both at home and abroad in recent years in this paper. Then， based on the security practices， technical solutions for security risks are put forward. After that， based on the lifecycle process for IoT system， security solutions are integrated in each of the lifecycle stages， and this forms a security system based on the IoT lifecycle. Finally， this paper presents the practice from IoT security team where feasibility and effect of the security system could be analyzed.

Key words： internet of things （IoT）; internet of things（IoT） security; lifecycle security

1 引言

隨著國家對于新型基礎(chǔ)設(shè)施建設(shè)的逐步推進(jìn)完善，5G基站、大數(shù)據(jù)中心、人工智能等新型基礎(chǔ)設(shè)施建設(shè)已經(jīng)在全國多個(gè)省市投入實(shí)際使用，為人們的生產(chǎn)生活帶來便利的同時(shí)，也為物聯(lián)網(wǎng)這一新行業(yè)的發(fā)展拓寬了道路。在物聯(lián)網(wǎng)行業(yè)可預(yù)見的爆發(fā)面前，如何做好物聯(lián)網(wǎng)安全是整個(gè)行業(yè)亟待解決的重大問題。本文從物聯(lián)網(wǎng)的安全問題入手，深入分析物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)和應(yīng)對手段，并結(jié)合行業(yè)實(shí)踐將安全手段以合適的方式嵌入物聯(lián)網(wǎng)的研發(fā)生命周期中，形成了一套基于物聯(lián)網(wǎng)生命周期的安全體系建設(shè)方案，旨在為物聯(lián)網(wǎng)行業(yè)的安全建設(shè)提供一個(gè)可行的解題思路。

2 物聯(lián)網(wǎng)的發(fā)展和安全問題

目前，物聯(lián)網(wǎng)終端已經(jīng)滲透進(jìn)智慧表計(jì)、智慧農(nóng)業(yè)、智慧交通、智慧醫(yī)療等領(lǐng)域，并正在以更高增速和更廣覆蓋度與人民群眾生產(chǎn)生活進(jìn)行融合，形成萬物互聯(lián)、大連接的新型網(wǎng)絡(luò)格局。在全球范圍內(nèi)，物聯(lián)網(wǎng)終端數(shù)量也在持續(xù)高速增長。根據(jù)GSMA（Global System for Mobile Communications Association）的統(tǒng)計(jì)結(jié)果，截至2019年底，全球物聯(lián)網(wǎng)設(shè)備連接數(shù)量已經(jīng)達(dá)到了110億。其中，消費(fèi)物聯(lián)網(wǎng)終端數(shù)量達(dá)到了60億，工業(yè)物聯(lián)網(wǎng)終端數(shù)量達(dá)到了50億，如圖1所示。

據(jù)GSMA的預(yù)測分析，2025年全球物聯(lián)網(wǎng)終端數(shù)量將突破250億，較2019年實(shí)現(xiàn)127%的增長率[1]。除了數(shù)量增長，物聯(lián)網(wǎng)應(yīng)用覆蓋的領(lǐng)域也在持續(xù)拓展，根據(jù)IoT-Analytics統(tǒng)計(jì)數(shù)據(jù)顯示，2018年，全球范圍內(nèi)公布的1600個(gè)物聯(lián)網(wǎng)建設(shè)項(xiàng)目中，智慧城市項(xiàng)目占比23%、工業(yè)物聯(lián)網(wǎng)項(xiàng)目占比17%、智慧建筑項(xiàng)目占比12%、車聯(lián)網(wǎng)項(xiàng)目占比11%、智慧能源項(xiàng)目占比10%，另外智慧醫(yī)療、智慧供應(yīng)鏈、智慧農(nóng)業(yè)、智慧零售等項(xiàng)目分別占比6%、5%、4%和2%[2]， 如圖2所示。

然而，物聯(lián)網(wǎng)蓬勃發(fā)展的背后，物聯(lián)網(wǎng)安全事件頻發(fā)，安全問題儼然已成為制約物聯(lián)網(wǎng)發(fā)展的巨大阻礙。從物聯(lián)網(wǎng)興起之初，針對物聯(lián)網(wǎng)的攻擊事件就層出不窮。一些不法分子利用物聯(lián)網(wǎng)終端、APP、傳輸、服務(wù)端的設(shè)計(jì)缺點(diǎn)或安全漏洞等，對物聯(lián)網(wǎng)進(jìn)行主動(dòng)攻擊、惡意控制、數(shù)據(jù)竊取和篡改等非法操作，對物聯(lián)網(wǎng)乃至整個(gè)社會(huì)都帶來了極大的危害。如著名的Mirai病毒，不僅在2016年通過控制大批物聯(lián)網(wǎng)攝像頭設(shè)備造成了美國東海岸的“斷網(wǎng)事件”，近些年更是改變了其TTP（戰(zhàn)術(shù)、技術(shù)和程序），將目標(biāo)瞄準(zhǔn)企業(yè)級物聯(lián)網(wǎng)設(shè)備。據(jù)捕獲最新Mirai病毒變種的Palo Alto Network Unit 42的研究人員表示，瞄準(zhǔn)了企業(yè)級設(shè)備的Mirai病毒將獲得更大的帶寬，為僵尸網(wǎng)絡(luò)的DDOS攻擊提供更大的“火力”[3]。因此，如何有效地做好物聯(lián)網(wǎng)系統(tǒng)的安全防護(hù)，抵御外部的攻擊，使得物聯(lián)網(wǎng)更加安全可靠，是當(dāng)下物聯(lián)網(wǎng)產(chǎn)業(yè)和安全產(chǎn)業(yè)關(guān)注和研究的重點(diǎn)。

3 物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析

為了研究如何針對物聯(lián)網(wǎng)系統(tǒng)進(jìn)行有效的防護(hù)，首先應(yīng)針對物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)進(jìn)行深度的分析。作為當(dāng)前信息化建設(shè)的重要一環(huán)，物聯(lián)網(wǎng)系統(tǒng)無疑是我國信息系統(tǒng)的重要一部分，故為了深入分析其安全風(fēng)險(xiǎn)，可采用信息安全風(fēng)險(xiǎn)評估模型[4]進(jìn)行分析，如圖3所示，即通過定位資產(chǎn)價(jià)值、資產(chǎn)的脆弱性以及威脅的來源和威脅的可能性，分析出物聯(lián)網(wǎng)系統(tǒng)的安全風(fēng)險(xiǎn)，之后可針對安全風(fēng)險(xiǎn)進(jìn)行針對性的處置。

3.1資產(chǎn)分析

典型的物聯(lián)網(wǎng)系統(tǒng)主要由物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)服務(wù)端、物聯(lián)網(wǎng)管控終端構(gòu)成，如圖4所示。通過三類終端互聯(lián)互通，物聯(lián)網(wǎng)系統(tǒng)可以進(jìn)行物聯(lián)網(wǎng)自身業(yè)務(wù)處理，實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的傳輸和存儲(chǔ)，通過用戶指令對物聯(lián)網(wǎng)終端進(jìn)行指令控制下發(fā)等業(yè)務(wù)。通過分析三類終端特性及其資產(chǎn)屬性可知，物聯(lián)網(wǎng)系統(tǒng)的核心資產(chǎn)要素為終端設(shè)備資產(chǎn)和數(shù)據(jù)資產(chǎn)。

（1）物聯(lián)網(wǎng)設(shè)備終端

作為物聯(lián)網(wǎng)神經(jīng)末梢，物聯(lián)網(wǎng)終端目前主要包含兩大核心功能;一是對物理世界真實(shí)物體信息的采集、識(shí)別和控制;二是通過終端的通信模塊，將采集到的數(shù)據(jù)信息傳輸至物聯(lián)網(wǎng)服務(wù)端或物聯(lián)網(wǎng)管控終端，并接受另外兩端的決策指令。為了實(shí)現(xiàn)上述功能，物聯(lián)網(wǎng)終端通常會(huì)配備傳感器、計(jì)算芯片、數(shù)據(jù)模塊以及通信模塊。其中傳感器是為了對外界環(huán)境進(jìn)行有效感知;計(jì)算芯片則是對感知內(nèi)容、外部決策等進(jìn)行綜合計(jì)算處理;數(shù)據(jù)模塊主要是對銜接傳感、計(jì)算和通信模塊，將其中的數(shù)據(jù)進(jìn)行有效的轉(zhuǎn)發(fā)和存儲(chǔ);通信模塊主要實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備終端和其他雙端的通信，將終端處理的信息傳遞給另外兩端，并接受另外兩端的指令。物聯(lián)網(wǎng)設(shè)備終端核心的資產(chǎn)要素為兩點(diǎn)：一是終端本身的資產(chǎn)價(jià)值，包括傳感、計(jì)算、聯(lián)網(wǎng)能力等;二是物聯(lián)網(wǎng)設(shè)備終端上產(chǎn)生的數(shù)據(jù)的資產(chǎn)價(jià)值。

（2）物聯(lián)網(wǎng)服務(wù)端

物聯(lián)網(wǎng)服務(wù)端是整個(gè)物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的核心功能。通過物聯(lián)網(wǎng)設(shè)備終端收集的數(shù)據(jù)通常會(huì)匯總到服務(wù)端進(jìn)行進(jìn)一步處理，處理后向物聯(lián)網(wǎng)管控端進(jìn)行推送展示等。此外，物聯(lián)網(wǎng)系統(tǒng)中的管理業(yè)務(wù)，如用戶分類分級、系統(tǒng)運(yùn)維、可用性監(jiān)控等也都由物聯(lián)網(wǎng)服務(wù)端進(jìn)行完成。以物聯(lián)網(wǎng)系統(tǒng)的資產(chǎn)分析角度，物聯(lián)網(wǎng)服務(wù)端的核心資產(chǎn)要素為數(shù)據(jù)的資產(chǎn)價(jià)值。

（3）物聯(lián)網(wǎng)管控終端

物聯(lián)網(wǎng)管控終端通常是和終端用戶進(jìn)行交互的終端應(yīng)用。以目前的商用及民用物聯(lián)網(wǎng)系統(tǒng)而言，主要是安卓、IOS、Web、小程序等應(yīng)用。這些應(yīng)用運(yùn)行在移動(dòng)設(shè)備、PC等終端系統(tǒng)上，實(shí)現(xiàn)了和物聯(lián)網(wǎng)設(shè)備終端以及物聯(lián)網(wǎng)服務(wù)端的通信，并將設(shè)備狀態(tài)等通過界面交互的模式進(jìn)行展示。同時(shí)管控終端還可以接受終端用戶的管控指令，進(jìn)而對物聯(lián)網(wǎng)設(shè)備終端進(jìn)行管控?；谝陨戏治觯锫?lián)網(wǎng)管控終端本身對于物聯(lián)網(wǎng)系統(tǒng)來說資產(chǎn)價(jià)值較低，主要是展示和交互的實(shí)現(xiàn)方。

3.2 威脅分析

針對物聯(lián)網(wǎng)的攻擊事件大致可以分為三類[5]。

（1）拒絕服務(wù)攻擊類事件

以美國斷網(wǎng)事件為代表，利用物聯(lián)網(wǎng)設(shè)備的計(jì)算性能和聯(lián)網(wǎng)特性，通過控制由物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò)，從而進(jìn)行拒絕服務(wù)攻擊的安全事件是目前物聯(lián)網(wǎng)安全事件的主流之一。2019年全球異常物聯(lián)網(wǎng)設(shè)備的IP總量為128萬余個(gè)，在全球物聯(lián)網(wǎng)設(shè)備中占比2.1%。其中參與過拒絕服務(wù)攻擊的物聯(lián)網(wǎng)設(shè)備所使用過的IP數(shù)量近17萬，占全部異常物聯(lián)網(wǎng)設(shè)備IP總量的13.08%[6]。攻擊者主要通過物聯(lián)網(wǎng)終端設(shè)備的缺陷和漏洞，植入木馬或惡意軟件感染等方式大量控制物聯(lián)網(wǎng)終端設(shè)備，從而形成能夠進(jìn)行拒絕服務(wù)攻擊的僵尸網(wǎng)絡(luò)。

（2）設(shè)備控制類事件

設(shè)備控制類安全事件主要是黑客通過漏洞等控制物聯(lián)網(wǎng)終端設(shè)備的安全事件，如2019年智能門鎖廠商Smart Deadbolts被爆發(fā)現(xiàn)漏洞，攻擊者可以通過漏洞遠(yuǎn)程控制門鎖開關(guān)，進(jìn)而無阻礙的闖入房間。設(shè)備控制類事件通常發(fā)生在和物理世界存在強(qiáng)交互的物聯(lián)網(wǎng)領(lǐng)域，如智能門鎖、智能門禁等。

（3）敏感數(shù)據(jù)泄露事件

敏感數(shù)據(jù)泄露事件主要是黑客通過入侵或控制個(gè)人隱私相關(guān)的物聯(lián)網(wǎng)設(shè)備所引起的事件。相較傳統(tǒng)的服務(wù)器數(shù)據(jù)泄露，物聯(lián)網(wǎng)敏感數(shù)據(jù)泄露會(huì)更直接和隱秘的泄露個(gè)人隱私數(shù)據(jù)。如2019年末，亞馬遜旗下的Ring曝出安全漏洞，黑客可以控制設(shè)備進(jìn)而監(jiān)控用戶家庭、獲取用戶的WiFi密碼、甚至還有黑客通過Ring攝像頭跟搖籃里的嬰兒打招呼。

通過分析可知，物聯(lián)網(wǎng)的威脅主要來自于外部攻擊。從攻擊目標(biāo)的角度來看，攻擊者通常以控制終端和獲取數(shù)據(jù)為最終目的，這與之前在資產(chǎn)分析中對資產(chǎn)價(jià)值的分析結(jié)果一致;從攻擊手段來看，物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)服務(wù)端以及物聯(lián)網(wǎng)控制端都可能作為被攻擊對象遭受威脅，進(jìn)而給整個(gè)物聯(lián)網(wǎng)帶來風(fēng)險(xiǎn)。

3.3 脆弱性分析

通過對資產(chǎn)和威脅進(jìn)行分析，可以看出，設(shè)備資產(chǎn)和數(shù)據(jù)資產(chǎn)是物聯(lián)網(wǎng)系統(tǒng)中需要著重保護(hù)的高價(jià)值資產(chǎn)，而外部威脅也往往指向這兩類資產(chǎn)。根據(jù)信息系統(tǒng)風(fēng)險(xiǎn)模型，威脅利用脆弱性對資產(chǎn)產(chǎn)生風(fēng)險(xiǎn)，為了具體分析物聯(lián)網(wǎng)的脆弱性，將物聯(lián)網(wǎng)系統(tǒng)按照信息系統(tǒng)架構(gòu)圖展開，如圖5所示，并結(jié)合之前在物聯(lián)網(wǎng)的攻防實(shí)踐，依次分析其脆弱性所在。

（1）物聯(lián)網(wǎng)控制終端側(cè)脆弱性分析

目前，主流物聯(lián)網(wǎng)控制終端主要是由安卓、蘋果、小程序、Web應(yīng)用等構(gòu)成。由于移動(dòng)技術(shù)在近年來的大力發(fā)展，以移動(dòng)終端應(yīng)用，即安卓APP、蘋果APP和小程序作為主流。由于目前絕大多數(shù)物聯(lián)網(wǎng)廠商的移動(dòng)開發(fā)經(jīng)驗(yàn)較少，所以在物聯(lián)網(wǎng)控制端一側(cè)廣泛存在代碼易被逆向破解、通信安全存在問題、密鑰管理不善、不能較好的抵御黑客攻擊調(diào)試等安全問題。這些安全問題（脆弱性）被外部威脅利用后，可以通過管控終端對服務(wù)端和設(shè)備終端發(fā)起攻擊，進(jìn)而竊取服務(wù)端數(shù)據(jù)或?qū)崿F(xiàn)控制設(shè)備終端的目的。

（2）物聯(lián)網(wǎng)設(shè)備終端側(cè)脆弱性分析

物聯(lián)網(wǎng)終端設(shè)備通常可以認(rèn)為由硬件、固件系統(tǒng)、應(yīng)用模塊、數(shù)據(jù)模塊和通信接入模塊五大部分組成[7]，如圖6所示。

1）硬件模塊

硬件模塊脆弱性主要集中在主板設(shè)計(jì)方面，由于主板在設(shè)計(jì)時(shí)沒有考慮到安全攻擊的可能，會(huì)殘留敏感絲印信息、調(diào)試接口或不安全的封裝組件等。攻擊者可以通過硬件的固有接口針對物聯(lián)網(wǎng)終端設(shè)備進(jìn)行諸如Testpin滲透、硬件提權(quán)、固件提取等攻擊。

2）固件系統(tǒng)

固件系統(tǒng)是物聯(lián)網(wǎng)終端設(shè)備實(shí)現(xiàn)功能的核心，也是脆弱性集中暴露的位置。固件系統(tǒng)中可能存在各類系統(tǒng)漏洞，如溢出漏洞、越權(quán)漏洞等，給了攻擊者通過漏洞攻擊系統(tǒng)進(jìn)而掌控系統(tǒng)的機(jī)會(huì);同時(shí)固件系統(tǒng)自身在沒有安全處理的情況下，容易被攻擊者逆向分析出核心邏輯和信息，從而進(jìn)行高級攻擊;最后，物聯(lián)網(wǎng)固件系統(tǒng)通常存在升級需求，對缺乏安全措施的系統(tǒng)升級進(jìn)行攻擊進(jìn)而將惡意代碼植入物聯(lián)網(wǎng)終端設(shè)備是黑客常用的攻擊手段。

3）應(yīng)用模塊

應(yīng)用模塊主要針對復(fù)雜的物聯(lián)網(wǎng)操作系統(tǒng)而言，如安卓、Linux等。在復(fù)雜系統(tǒng)中，應(yīng)用模塊是實(shí)現(xiàn)物聯(lián)網(wǎng)功能的重要模塊，其核心邏輯是否得到有效保護(hù)、是否有針對攻擊調(diào)試的應(yīng)對手段是應(yīng)用模塊中的安全問題（脆弱性）所在。

4）數(shù)據(jù)模塊

在物聯(lián)網(wǎng)終端設(shè)備上，數(shù)據(jù)模塊不僅存儲(chǔ)有應(yīng)用的數(shù)據(jù)，同時(shí)也是重要系統(tǒng)數(shù)據(jù)、配置參數(shù)甚至邏輯代碼的存儲(chǔ)位置。數(shù)據(jù)模塊主要的脆弱性在于權(quán)限訪問和數(shù)據(jù)加密，這兩項(xiàng)最終都牽扯到物聯(lián)網(wǎng)設(shè)備終端上安全密鑰的問題。

5）通信模塊

目前物聯(lián)網(wǎng)終端的通信模塊上主要存在蜂窩通信和非蜂窩通信兩種。其中蜂窩通信主要采用運(yùn)營商的2G、3G、4G、5G以及NBIoT等通信協(xié)議。非蜂窩通信主要包含藍(lán)牙、WiFi、Zigbee、LoRa等。在通信中，物聯(lián)網(wǎng)終端設(shè)備可能由于協(xié)議的使用不善而導(dǎo)致通信內(nèi)容被截取、分析、篡改等，進(jìn)而造成數(shù)據(jù)泄露以及惡意控制等安全問題。

（3）通信網(wǎng)絡(luò)側(cè)脆弱性分析

通信網(wǎng)絡(luò)側(cè)主要包含服務(wù)端與物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)設(shè)備終端和物聯(lián)網(wǎng)管控端、物聯(lián)網(wǎng)管控與服務(wù)端的通信。通信中主要的脆弱性問題是通信內(nèi)容的加密和通信雙方的身份認(rèn)證問題。

（4）服務(wù)端系統(tǒng)側(cè)脆弱性分析

服務(wù)端系統(tǒng)的脆弱性主要來自信息系統(tǒng)漏洞，如云平臺(tái)漏洞、大數(shù)據(jù)系統(tǒng)漏洞、Web服務(wù)漏洞、外部開發(fā)API的漏洞等。通過這些漏洞，攻擊者可以侵入服務(wù)端，竊取服務(wù)端存儲(chǔ)的物聯(lián)網(wǎng)數(shù)據(jù)或通過服務(wù)端對物聯(lián)網(wǎng)終端下發(fā)指令達(dá)到控制終端的目的。物聯(lián)網(wǎng)服務(wù)端系統(tǒng)的脆弱性和傳統(tǒng)信息系統(tǒng)中的服務(wù)端脆弱性從本質(zhì)上沒有區(qū)別，屬于傳統(tǒng)信息安全領(lǐng)域的范疇。

3.4 風(fēng)險(xiǎn)分析總結(jié)

通過對物聯(lián)網(wǎng)資產(chǎn)、威脅以及脆弱性的分析，可以對物聯(lián)網(wǎng)系統(tǒng)的風(fēng)險(xiǎn)有較為完整的認(rèn)識(shí)。物聯(lián)網(wǎng)目前面臨的風(fēng)險(xiǎn)主要是其高價(jià)值資產(chǎn)，即物聯(lián)網(wǎng)終端設(shè)備以及物聯(lián)網(wǎng)數(shù)據(jù)，面臨的由攻擊者為了發(fā)動(dòng)拒絕服務(wù)供給、控制終端設(shè)備或竊取敏感數(shù)據(jù)，通過利用物聯(lián)網(wǎng)控制終端、物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)通信測以及物聯(lián)網(wǎng)服務(wù)端的脆弱性發(fā)起攻擊而產(chǎn)生的風(fēng)險(xiǎn)。對于以上風(fēng)險(xiǎn)，比較直接的處理方式就是降低物聯(lián)網(wǎng)系統(tǒng)的脆弱性，即通過對物聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全防護(hù)，防止外部威脅對物聯(lián)網(wǎng)資產(chǎn)產(chǎn)生危害。

4 基于物聯(lián)網(wǎng)生命周期的安全防護(hù)體系

4.1 物聯(lián)網(wǎng)常見防護(hù)手段分析

目前，應(yīng)對物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的主要方式是通過降低物聯(lián)網(wǎng)系統(tǒng)的脆弱性進(jìn)而減少外部威脅對于物聯(lián)網(wǎng)資產(chǎn)的危害風(fēng)險(xiǎn)，主要措施包括五個(gè)方面。

（1）安全滲透測試

安全滲透測試是發(fā)現(xiàn)可被利用的系統(tǒng)脆弱性的最好方法之一。需要注意的是安全滲透測試的目標(biāo)應(yīng)是整個(gè)物聯(lián)網(wǎng)系統(tǒng)而非單個(gè)端，通過模擬攻擊者對物聯(lián)網(wǎng)系統(tǒng)進(jìn)行包含物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)管控終端、物聯(lián)網(wǎng)服務(wù)端的完整滲透測試，不僅可以發(fā)現(xiàn)各端上的安全隱患，還可以發(fā)現(xiàn)在多端聯(lián)動(dòng)時(shí)出現(xiàn)的安全問題。

（2）代碼安全加固

代碼安全加固是指針對源代碼或編譯后的應(yīng)用、庫文件等進(jìn)行安全防護(hù)的手段。代碼加固的核心是防止逆向、調(diào)試等攻擊手段，防止攻擊者通過逆向或調(diào)試代碼，讀懂代碼邏輯，進(jìn)而根據(jù)代碼邏輯構(gòu)造高級攻擊。目前，代碼加固主要適用于物聯(lián)網(wǎng)終端設(shè)備固件、物聯(lián)網(wǎng)終端設(shè)備應(yīng)用、物聯(lián)網(wǎng)管控端應(yīng)用（安卓、IOS、小程序）等。其中針對物理聯(lián)網(wǎng)管控端，即安卓、IOS、小程序等的代碼加固方案業(yè)內(nèi)比較成熟，針對物聯(lián)網(wǎng)終端設(shè)備固件以及應(yīng)用的加固技術(shù)主要集中在部分頭部安全廠商手中。

（3）密鑰安全防護(hù)

密鑰安全是終端設(shè)備上數(shù)據(jù)加密以及身份認(rèn)證的安全技術(shù)，這里的密鑰安全防護(hù)主要指終端上的密鑰安全手段（服務(wù)端由處于網(wǎng)絡(luò)安全設(shè)備防護(hù)，認(rèn)為是較為安全的環(huán)境），這包括物聯(lián)網(wǎng)設(shè)備終端以及物聯(lián)網(wǎng)管控端兩個(gè)部分。目前，行業(yè)內(nèi)物聯(lián)網(wǎng)設(shè)備終端上通常以安全芯片進(jìn)行密鑰防護(hù)，而物聯(lián)網(wǎng)管控端上安全防護(hù)手段主要為軟件密鑰防護(hù)。但是值得關(guān)注的是，物聯(lián)網(wǎng)設(shè)備終端上除了安全芯片的使用，與其配套的可信執(zhí)行環(huán)境也是必要的。目前，很多攻擊事件在物聯(lián)網(wǎng)設(shè)備終端使用了安全芯片的情況下仍獲取了其中的密鑰，究其主要原因就是沒有與安全芯片相配合的可信執(zhí)行環(huán)境，導(dǎo)致密鑰在外部參與運(yùn)算的時(shí)候被輕易獲取。物聯(lián)網(wǎng)管控端的密鑰安全問題可以通過密鑰白盒等軟件密鑰防護(hù)手段進(jìn)行實(shí)現(xiàn)，目前該手段在移動(dòng)應(yīng)用安全領(lǐng)域應(yīng)用較廣。

（4）通信安全防護(hù)

通信安全防護(hù)主要是針對數(shù)據(jù)加密和身份認(rèn)證兩項(xiàng)進(jìn)行安全防護(hù)。正常來講，通過使用SSL/TLS協(xié)議可以有效的保障身份認(rèn)證和數(shù)據(jù)加密的安全性，但是由于終端存儲(chǔ)環(huán)境的不安全性，較難實(shí)現(xiàn)私鑰和公鑰的安全存儲(chǔ)，容易被竊取或替換進(jìn)而產(chǎn)生范圍性的通信攻擊。目前的解決方法主要是和密鑰防護(hù)進(jìn)行結(jié)合，通過將私鑰和首次通信成功時(shí)的公鑰進(jìn)行安全存儲(chǔ)，采用安全的SSL/TLS協(xié)議，保障通信的安全。

（5）終端態(tài)勢感知

態(tài)勢感知在傳統(tǒng)安全方向是較為成熟的技術(shù)手段，其持續(xù)感知、快速響應(yīng)、及時(shí)處置的思路和特點(diǎn)是應(yīng)對復(fù)雜網(wǎng)絡(luò)安全情況以及突發(fā)性安全問題的較好解題思路。傳統(tǒng)的態(tài)勢感知主要是服務(wù)器和PC端，目前，移動(dòng)端的態(tài)勢感知也已經(jīng)興起，物聯(lián)網(wǎng)設(shè)備終端的態(tài)勢感知，受制于物聯(lián)網(wǎng)設(shè)備終端的系統(tǒng)，目前只有少數(shù)頭部廠商在進(jìn)行研究時(shí)使用。物聯(lián)網(wǎng)終端設(shè)備態(tài)勢感知的主要側(cè)重點(diǎn)在于進(jìn)程監(jiān)控、網(wǎng)絡(luò)行為監(jiān)控以及外部入侵監(jiān)控，通過這些監(jiān)控可以較為迅速的發(fā)現(xiàn)攻擊者的攻擊行為、散布的惡意代碼以及利用設(shè)備發(fā)動(dòng)的網(wǎng)絡(luò)攻擊等事件。

4.2 基于物聯(lián)網(wǎng)生命周期的安全體系分析

在安全手段并不缺乏的情況下，如何將安全手段有機(jī)的整合，形成可以在物聯(lián)網(wǎng)生產(chǎn)實(shí)踐中采用的安全體系，是目前行業(yè)內(nèi)面臨的普遍難題。主要原因?yàn)椋阂皇怯捎谖锫?lián)網(wǎng)生態(tài)較為復(fù)雜，目前物聯(lián)網(wǎng)行業(yè)生態(tài)體系中，有從事模組、芯片、終端設(shè)備、解決方案等廠商，也有自建生態(tài)從芯片到開發(fā)全部提供服務(wù)端的生態(tài)廠商;二是對于安全的分鐘定位職責(zé)不明確，導(dǎo)致每個(gè)環(huán)節(jié)不知道自己的安全責(zé)任也不知道采用什么樣的安全手段。

為此，通過在物聯(lián)網(wǎng)行業(yè)內(nèi)的不斷探索總結(jié)，形成了以方案商和生態(tài)廠商為目標(biāo)，基于物聯(lián)網(wǎng)生命周期的安全體系建設(shè)方法。該方法主要基于SDL模型[8]，在物聯(lián)網(wǎng)場景下進(jìn)行變換取舍，定位在物聯(lián)網(wǎng)行業(yè)對于安全需求度較高，有研發(fā)能力和較高議價(jià)話語權(quán)的方案商和生態(tài)廠商，為物聯(lián)網(wǎng)的全生命周期提供安全建設(shè)保障。物聯(lián)網(wǎng)全生命周期安全防護(hù)體系主要將安全工作分布在物聯(lián)網(wǎng)研發(fā)生命周期的五個(gè)階段中，如圖7所示。

（1）設(shè)計(jì)階段

設(shè)計(jì)階段指物聯(lián)網(wǎng)系統(tǒng)開始規(guī)劃設(shè)計(jì)的最初階段。這一階段是對整個(gè)物聯(lián)網(wǎng)安全進(jìn)行定義的階段，是最重要的安全環(huán)節(jié)之一。在這一階段主要需要明確后續(xù)需要遵守的安全規(guī)范，這包括技術(shù)規(guī)范和管理規(guī)范等。同時(shí)應(yīng)對物聯(lián)網(wǎng)系統(tǒng)的攻擊面進(jìn)行具體的分析，建立威脅模型，并根據(jù)自身的物聯(lián)網(wǎng)系統(tǒng)特點(diǎn)制定安全策略。

（2）實(shí)現(xiàn)階段

實(shí)現(xiàn)階段主要指硬件工程和代碼工程階段，此階段主要需要依據(jù)設(shè)計(jì)階段的安全規(guī)范進(jìn)行相應(yīng)安全開發(fā)、安全工程和安全實(shí)現(xiàn)。由于物聯(lián)網(wǎng)的安全很多和硬件相關(guān)，此階段至關(guān)重要，很多安全設(shè)計(jì)如果不在此階段得到較好實(shí)現(xiàn)則后續(xù)會(huì)極難改正，如主板的串口安全設(shè)計(jì)、模塊封裝安全等。此階段同時(shí)需要將安全手段進(jìn)行集成，如以SDK形式存在的安全模塊等。

（3）驗(yàn)證階段

安全驗(yàn)證階段主要是對安全實(shí)現(xiàn)的檢驗(yàn)和驗(yàn)證，這個(gè)階段和開發(fā)過程中的測試階段有所重疊。除了驗(yàn)證安全功能和安全規(guī)范的實(shí)現(xiàn)以外，同時(shí)也是進(jìn)行整體風(fēng)險(xiǎn)評估的最佳時(shí)期，通過整體的風(fēng)險(xiǎn)評估，可以發(fā)現(xiàn)殘余的風(fēng)險(xiǎn)并及時(shí)進(jìn)行處置。

（4）發(fā)布階段

發(fā)布階段是物聯(lián)網(wǎng)系統(tǒng)上線的環(huán)節(jié)，這一環(huán)節(jié)之后物聯(lián)網(wǎng)系統(tǒng)將真正暴露在外部威脅之下，故此環(huán)節(jié)需要進(jìn)行最終的安全評析，確認(rèn)上線后可能出現(xiàn)的安全問題以及應(yīng)對措施;同時(shí)應(yīng)對上線物聯(lián)網(wǎng)系統(tǒng)進(jìn)行全面的安全防護(hù)處置，低于外部威脅可能發(fā)起的攻擊。

（5）響應(yīng)階段

響應(yīng)階段是上線后對于物聯(lián)網(wǎng)系統(tǒng)安全持續(xù)跟進(jìn)的階段。這個(gè)階段主要是對物聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全運(yùn)維，對發(fā)生的安全問題進(jìn)行感知定位并快速響應(yīng)，保障物聯(lián)網(wǎng)的安全運(yùn)行。

通過將安全技術(shù)、安全手段融入以上的物聯(lián)網(wǎng)全生命周期安全體系，可以有效地提高安全效率，降低安全成本，并構(gòu)建持續(xù)化的物聯(lián)網(wǎng)安全體系。

5 基于物聯(lián)網(wǎng)生命周期的安全防護(hù)體系的實(shí)踐

為評估物聯(lián)網(wǎng)生命周期防護(hù)體系的可行性和有效性，本文安全團(tuán)隊(duì)和當(dāng)前行業(yè)內(nèi)較為知名的物聯(lián)網(wǎng)生態(tài)公司進(jìn)行合作，在其物聯(lián)網(wǎng)設(shè)備的生產(chǎn)實(shí)際中實(shí)踐了物聯(lián)網(wǎng)生命周期防護(hù)體系。安全團(tuán)隊(duì)選取了攝像頭、行車記錄儀、掃地機(jī)器人、智能門鎖、智能音響、兒童手表等多類物聯(lián)網(wǎng)設(shè)備進(jìn)行實(shí)踐，確保該體系在當(dāng)前主流物聯(lián)網(wǎng)設(shè)備上的應(yīng)用效果。

通過對多類物聯(lián)網(wǎng)設(shè)備的設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、發(fā)布、運(yùn)維響應(yīng)過程的不斷迭代和磨合，總結(jié)出了基于物聯(lián)網(wǎng)生命周期的安全體系建設(shè)在實(shí)際生產(chǎn)中的最佳實(shí)踐方法，如圖8所示。

5.1 設(shè)計(jì)階段

安全團(tuán)隊(duì)?wèi)?yīng)在此階段制定安全上線和安全審核規(guī)范。規(guī)范中對不同種類的物聯(lián)網(wǎng)產(chǎn)品應(yīng)實(shí)現(xiàn)的安全基線進(jìn)行了詳細(xì)的說明。同時(shí)根據(jù)安全規(guī)范制定了安全上線策略，如果物聯(lián)網(wǎng)設(shè)備不能達(dá)到安全基線，則安全對設(shè)備上線有一票否決權(quán)。此外，對于安全開發(fā)和安全工程，安全團(tuán)隊(duì)?wèi)?yīng)提出明確的規(guī)定和規(guī)范，同時(shí)提供大量的安全框架和組件，便于實(shí)現(xiàn)階段的開發(fā)實(shí)現(xiàn)。

5.2 實(shí)現(xiàn)階段

在實(shí)現(xiàn)階段，安全團(tuán)隊(duì)為物聯(lián)網(wǎng)產(chǎn)品提供用于物聯(lián)網(wǎng)平臺(tái)、安卓平臺(tái)、IOS平臺(tái)、小程序平臺(tái)的安全功能組件（具體覆蓋范圍應(yīng)考慮自身業(yè)務(wù)范圍和場景）。通過標(biāo)準(zhǔn)化提供此類安全組件，可以讓各類物聯(lián)網(wǎng)產(chǎn)品快速集成標(biāo)準(zhǔn)化的安全能力，避免了自身實(shí)現(xiàn)導(dǎo)致重復(fù)、標(biāo)準(zhǔn)不統(tǒng)一等問題。在最佳實(shí)踐中，這些安全組件包括用于構(gòu)建可信執(zhí)行性環(huán)境的密鑰存儲(chǔ)安全SDK、用于通信安全的通信安全SDK、用于數(shù)據(jù)安全的數(shù)據(jù)加密SDK、用于持續(xù)安全感知的態(tài)勢感知SDK等。

5.3 驗(yàn)證階段

在此階段，安全團(tuán)隊(duì)?wèi)?yīng)承擔(dān)起物聯(lián)網(wǎng)設(shè)備的上線安全驗(yàn)證工作，并確保只有通過安全驗(yàn)證的設(shè)備才能被允許上線。最佳實(shí)踐中，安全團(tuán)隊(duì)配備完善的物聯(lián)網(wǎng)安全滲透人員和工具，可以對物聯(lián)網(wǎng)系統(tǒng)進(jìn)行完整的風(fēng)險(xiǎn)評估，包括針對物聯(lián)網(wǎng)設(shè)備終端的硬件風(fēng)險(xiǎn)評估、固件風(fēng)險(xiǎn)評估、通信風(fēng)險(xiǎn)評估、密鑰風(fēng)險(xiǎn)評估、數(shù)據(jù)風(fēng)險(xiǎn)評估、漏洞風(fēng)險(xiǎn)挖掘等;針對各類APP的合規(guī)風(fēng)險(xiǎn)評估、漏洞風(fēng)險(xiǎn)評估、組件風(fēng)險(xiǎn)評估、攻擊風(fēng)險(xiǎn)評估等;針對服務(wù)端的漏洞風(fēng)險(xiǎn)評估、業(yè)務(wù)風(fēng)險(xiǎn)評估、接口風(fēng)險(xiǎn)評估等。通過全面的風(fēng)險(xiǎn)評估，安全團(tuán)隊(duì)為物聯(lián)網(wǎng)設(shè)備上線前提供風(fēng)險(xiǎn)和修復(fù)意見，幫助產(chǎn)品在驗(yàn)證環(huán)節(jié)修復(fù)自身安全問題。

5.4 發(fā)布階段

在此階段，安全團(tuán)隊(duì)?wèi)?yīng)為物聯(lián)網(wǎng)設(shè)備及相關(guān)軟件的發(fā)布上線提供安全保障。最佳實(shí)踐中，安全團(tuán)隊(duì)在發(fā)布上線階段提供了自動(dòng)化的安全處置工具，無論固件發(fā)布、安卓APP發(fā)布、IOS應(yīng)用、小程序等的發(fā)布（首次上線和更新），都會(huì)經(jīng)過安全發(fā)布工具進(jìn)行處理，在安全發(fā)布工具處理過程中，會(huì)自動(dòng)對代碼進(jìn)行加固，實(shí)現(xiàn)代碼防逆向、防調(diào)試、防注入、防止運(yùn)行在風(fēng)險(xiǎn)環(huán)境等安全能力，保障了物聯(lián)網(wǎng)產(chǎn)品及各類軟件的安全。

5.5 響應(yīng)階段

在此階段，安全團(tuán)隊(duì)?wèi)?yīng)主要考慮如何進(jìn)行上線后的持續(xù)風(fēng)險(xiǎn)感知和及時(shí)處置。最佳實(shí)踐中，安全團(tuán)隊(duì)在實(shí)現(xiàn)階段為各個(gè)物聯(lián)網(wǎng)產(chǎn)品提供了態(tài)勢感知組件，保證了產(chǎn)品上線后持續(xù)安全的可能性。態(tài)勢感知模塊會(huì)對物聯(lián)網(wǎng)設(shè)備的進(jìn)程安全、網(wǎng)絡(luò)行為安全進(jìn)行監(jiān)控，同時(shí)對外部侵入事件進(jìn)行及時(shí)預(yù)警，第一時(shí)間發(fā)現(xiàn)攻擊者針對物聯(lián)網(wǎng)設(shè)備的攻擊。同時(shí)態(tài)勢感知系統(tǒng)配備完善的更新升級機(jī)制，發(fā)現(xiàn)安全問題后可以通過推送更新升級的方式處置安全風(fēng)險(xiǎn)，實(shí)時(shí)保障物聯(lián)網(wǎng)產(chǎn)品的安全。

6 結(jié)束語

隨著新基建、萬物互聯(lián)、大連接等理念的逐步深化和實(shí)踐，物聯(lián)網(wǎng)已經(jīng)呈現(xiàn)爆發(fā)的態(tài)勢。如何保障物聯(lián)網(wǎng)安全也是國家主管部門、安全從業(yè)者以及物聯(lián)網(wǎng)行業(yè)本身需要積極探索的方向。物聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全體系的建設(shè)需要對傳統(tǒng)的網(wǎng)絡(luò)信息安全模式進(jìn)行革命性的創(chuàng)新和變革，才能滿足物聯(lián)網(wǎng)發(fā)展帶來的技術(shù)挑戰(zhàn)和運(yùn)營挑戰(zhàn)[9]。在這種背景下，本文安全團(tuán)隊(duì)探索并實(shí)踐了基于物聯(lián)網(wǎng)生命周期的安全建設(shè)體系，將安全技術(shù)手段和安全管理手段結(jié)合，嵌入整個(gè)物聯(lián)網(wǎng)研發(fā)的生命周期體系中，從而保證每一個(gè)安全能力、安全手段以最恰當(dāng)、最有效的方式嵌入到物聯(lián)網(wǎng)系統(tǒng)中，形成經(jīng)濟(jì)、有效、持續(xù)性的物聯(lián)網(wǎng)安全防護(hù)體系。本文基于物聯(lián)網(wǎng)生命周期的安全建設(shè)體系，作為物聯(lián)網(wǎng)安全建設(shè)的一個(gè)實(shí)踐有效的思路，可為當(dāng)前物聯(lián)網(wǎng)安全行業(yè)提供參考。

參考文獻(xiàn)

[1] GSMA Public Policy Position. Spectrum for the Internet of Things [EB/OL].https：//www.gsma.com/spectrum/wp-content/uploads/2017/05/Spectrum-IOT-Position-Paper.pdf，2016.

[2] IoT-Analytics. List Of 1，600 Enterprise IoT Projects [EB/OL].https：//iot-analytics.com/product/list-of-1600-enterprise-iot-projects-2018/，2018.

[3] Unit42.New Mirai Variant Targets Enterprise Wireless Presentation & Display Systems[EB/OL].https：//unit42.paloaltonetworks.com/new-mirai-variant-targets-enterprise-wireless-presentation-display-systems/，2019.

[4] GB /T 20984-2007，信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范[S].北京： 中國標(biāo)準(zhǔn)出版社， 2007.

[5] 中國信息通信研究院. 物聯(lián)網(wǎng)安全白皮書（2018年）[EB/OL].http：//www.caict.ac.cn/kxyj/qwfb/bps/201809/P020180919390470911802.pdf，2018.

[6] 中國電信云堤，綠盟科技. 2019 DDoS攻擊態(tài)勢報(bào)告 [EB/OL].http：//blog.nsfocus.net/wp-content/uploads/2019/12/2019-DDoS-%E6%94%BB%E5%87%BB%E6%80%81%E5%8A%BF%E6%8A%A5%E5%91%8A.pdf，2019.

[7] 中國信息通信研究院. 物聯(lián)網(wǎng)終端安全白皮書（2019）[EB/OL].http：//www.caict.ac.cn/kxyj/qwfb/bps/201911/P020191115523217021278.pdf， 2019.

[8] WU Mengge， 吳夢歌， DONG Chaoqun，等. 軟件安全開發(fā)生命周期模型研究[C]// 全國計(jì)算機(jī)新科技與計(jì)算機(jī)教育學(xué)術(shù)會(huì)議. 2011.

[9] 劉志成.物聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全生態(tài)體系構(gòu)建新論[J].網(wǎng)絡(luò)空間安全， 2018，12：85-89.

作者簡介：

劉存（1986-），男，漢族，吉林人，天主教魯汶大學(xué)，碩士，三六零智慧科技（天津）有限公司，產(chǎn)品總監(jiān);主要研究方向和關(guān)注領(lǐng)域：移動(dòng)安全、IoT安全、密鑰安全。

侯文婷（1975-），女，漢族，山東德州人，清華大學(xué)，博士，三六零智慧科技（天津）有限公司，首席技術(shù)官;主要研究方向和關(guān)注領(lǐng)域：移動(dòng)安全、IoT安全，大數(shù)據(jù)存儲(chǔ)建模安全、芯片設(shè)計(jì)自動(dòng)化。

（本文為“2020年429首都網(wǎng)絡(luò)安全日”活動(dòng)征文）