8.2 物联网安全保障在线视频

同学们，大家好

这节课我们来学习

《网络空间安全技术》这门课程第五篇

网络空间安全新技术与新应用的

第8章网络空间安全新技术与新应用

第2节内容物联网安全保障

首先我们来看一下

在这一节里面

我们要关注哪些重点内容

首先是物联网的定义

结构和它的功能特征

第二是互联网的安全脆弱性和威胁

第三是互联网安全关键技术

第四点是我们要提出

一些思考与拓展的问题

我们来看互联网的定义、结构

和它的功能特征

同学们

接下来我们来看一下物联网的定义

所谓物联网

是指物物相连的网络

这里

物就是英文Thing

它是指的物理实体

为什么指物理实体呢

它是与虚拟实体相对的这么一个概念

这个物理实体可以被物联网感知

但是它并不依赖于物联网感知而存在

这么一种

实体

我们来看一下物联网的具体定义

物联网是指通过感知设备

按照约定的协议

连接物、人、系统和信息资源

实现对物理世界和虚拟世界的信息

进行处理

并作出反应的智能服务系统

接下来我们来看一下物联网的结构

物联网

它分为三层

分别是应用层

网络层和感知层

这三层的功能各有不同

处于最底层的感知层

它的作用是感知物体

处于最上层的应用层呢

是

实现智能处理的功能

那么在感知层和应用层之间

还存在一个网络层

它的作用是传输信息

因此我们可以看到

物联网，物联网

主体是物

也就是Things

行为是联也就是of

载体是网

也就是Internet

这就是物联网的结构

接下来我们来分析一下物联网

它的功能特征

首先从感知层的功能来讲

是要实现全面感知的功能

所谓全面感知

我们可以进行具体的分析

比如说利用无线射频识别

也就是RFID

传感器、定位器和二维码等手段

随时随地采取和获取物体的信息

感知包括传感器的信息采集

协同处理、智能组网

甚至是信息服务

以达到控制和指挥的目的

可靠传输是指通过电信网络和

因特网的融合

实时传送接收到的相关的感知信息

实现信息的交互和内容的共享

可靠传递通常会用到现在的

电信网络系统

比如说无线网络

和有线网络等各种

不同的电信网络通信形式

第三个是智能处理

智能处理

主要是指利用各种智能计算的技术

对接收到的

跨地域海量数据和信息

进行随时的分析和处理

从而能够实现智能化的决策

和相关的控制

接下来我们来看一下

物联网的安全脆弱性

以及相应的安全威胁

首先我们来看物联网的安全脆弱性

这里面我们借用 OWASP

给出的IoT TOP 10

十大安全脆弱性

我们来作为讲解实例

首先第一类是弱密码

可猜测密码或硬编码密码

第二类是不安全的网络服务

第三类是不安全的生态接口

第四类是缺乏安全的更新机制

第五类是使用不安全

或已遭弃用的组件

第六类是隐私保护不够充分

第七类是指不安全的数据传输

和相应的存储

第八类是指缺乏设备管理

第九类 是指不安全的默认设置

第十类是缺乏

物理加固措施

这个就是

OWASP IoT TOP 10

所给出的

物联网的十大安全脆弱性所在

这个IoT是物联网的英文缩写

接下来我们来看一下

物联网的安全威胁

互联网作为

网络空间当中的一种新型信息系统

它也是信息系统的一种类型

它也会面临着与网络空间当中

其他信息系统

所面临的威胁一样

此外

它还会

面临着物联网自己所特有的危险

因此

物联网的安全威胁实际上

是来自两个方面

一个是它作为信息系统所具有的

通用威胁

第二 是它所面临的

针对物联网特征的特有威胁

针对物联网特征的特有威胁

具体体现在三个层面

一个是感知层威胁

第二个是网络层威胁

第三个是应用层威胁

感知层威胁

主要体现在存在资产暴露

互联网设备脆弱性性等方面

网络层威胁

主要是与

传统的网络安全的部分相类似

部分通信协议会有一些区别

在应用层方面

它也是与传统的网络安全相类似

涉及到基础的架构

验证、授权、加密等

结合感知层威胁

网络层威胁和应用层威胁

我们可以得到系统的整体威胁

事实上

各层的脆弱性是相互连接

而且它们的故障相互传播

攻击呢

是相互渗透

由此构成了针对

物联网系统的整体威胁

接下来我们来分析一下

互联网安全的关键技术

首先

我们需要看一下互联网安全参考模型

然后我们要讨论

互联网参考的安全分区

第三个

我们重点关注互联网安全防护技术

接下来我们来看第一点

互联网安全参考模型

从物联网参考模型的角度来说

我们考察三个要素

一个是参考安全分区

二是系统生存周期

三是安全防护技术

参考安全分区分为四类

感控安全区

网络安全区

应用安全区和运维安全区

系统生存周期

涵盖了系统

从规划设计

开发建设

运维管理直到废弃退出的全过程

而安全防护技术

则牵涉到物理安全

网络安全

系统安全和应用安全四个层面

接下来我们来看一下参考的安全分区

我们首先来看第一个

感控安全区

这个区的功能是满足感知终端

及相应感知控制系统的信息安全需求

感知终端

包括感知对象和控制对象两类

感控安全区的特殊性

与传统的互联网差异比较大

原因在于感知对象计算资源

具有有限性

组网方式具有多样性

物理终端实体具有易接触性

在参考安全分区的网络安全区

它的功能是要满足

物联网网关、资源交换域

及服务提供域的信息安全需求

而它的特殊性体现在

主要是保障

数据汇聚和预处理的真实性和有效性

数据传输的机密性和可靠性

数据交换共享的隐私性及可认证性

应该说

网络安全区的信息安全需求不低于

一般通信网络的安全要求

接下来我们来看应用安全区

它的功能是满足应用域的信息安全需求

特点是满足系统用户的身份认证

访问权限控制

必要的运维管理

以及一定的主动防攻击的能力

第四个是运维安全区

它的功能是满足

运维管控域的信息安全需求

它的特点是满足

基本运行维护所必须的安全管理保障

以及符合法律法规监管

所要求的安全保障功能

接下来我们来看物联网安全防护技术

首先在物理安全方面

它的作用对象

是物联网感知延伸层

网络/业务层和应用层所包括的

传感器等各类感知终端、路由器、交换机

计算机等物理设备的安全

可以采取的防护措施

含以下几条

一是制定物理设备的物理访问权限

控制等制度

具备可靠稳定的供电要求

具备防火、防盗、防潮

防雷和电磁防护等物理的防护措施

以及防轻易触及

比如说视频监控设备的安装高度等

这个就是物理安全的防护措施

第二个是网络安全

分为

接入安全和通信安全

接入安全方面

感知终端和接入设备接入网络时

应具备唯一的标识

感知终端接入行为

应具有身份鉴别的机制

禁用闲置端口

设置访问控制策略

对网关防火墙等边界设备

应具备安全策略配置

口令管理和访问控制等安全措施

在通信安全方面

数据传输协议应具有数据校验功能

和数据加密功能

采用标准化时间戳等技术

来确保数据传输的可用性

对数据传输的隐私性

要进行相应的基础保护

要防止伪基站的攻击

防止中间人攻击等各种

典型的通信攻击方式

在安全防护技术里边

第三点是系统安全

牵涉到两方面的内容

一是传统主机节点及系统

第二是资源受限节点及系统

传统主机节点和系统

它的计算、能源、存储等资源相对充足

主要是采用传统的安全措施

而

资源受限的主机节点和系统

它的计算、能源、存储资源是有限的

需要及时更新

默认账户口令等身份验证信息

对多余过期的账户

应定期进行删除等清理工作

同时还需要不定期的及时更新

相关的补丁程序

接下来我们来看

安全防护技术的第四点

应用安全

它的作用对象是在物联网当中

大量应用的各种软件

我们可以用来采集大量的数据

具体的防护措施包括

数据有效性的校验

来保证HMI

也就是人机接口

或通信接口输入的数据格式长度等

满足系统的设定要求

对于重要的数据

还需要采取异地备份的措施

此外所用的软件未经许可

不得对外传输数据

同学们

结合我们本节讲述的内容

我们提请同学思考三个问题

第一：在工业4.0时代

物联网

和工业互联网是一个什么样的关系

第二：如何在

物联网系统当中统筹考虑物理安全

功能安全和信息安全

第三：如何做好我国的

物联网的安全保障工作

促进我国工业4.0

新基建和数字经济的发展

同学们

这一讲我们就讲到这里

感谢观看，下次再见

谢谢