本書由教育部高等學校信息安全專業教學指導委員會、中國計算機學會教育專業委員會共同指導,符合《高等學校信息安全專業指導性專業規范》。
本書結合公安部*研究所“物聯網一體化安全檢測專業化服務”項目的研究成果和作者的實踐經驗,系統闡述了物聯網工程及產品安全檢測的相關技術和方法。全書共10章。第1章介紹物聯網體系結構、關鍵技術以及國內外物聯網市場環境。第2、3章介紹我國物聯網面臨的安全威脅、安全需求以及國內外安全檢測技術發展的*新動態。第4章從研究角度介紹物聯網安全模型,包括物聯網單層安全模型、物聯網整體安全模型、物聯網專項安全模型和云安全模型等。第5章介紹物聯網安全保障體系架構,從法律法規、政策、標準、技術實施、檢測與評估等方面進行闡述。第6~9章分別從物聯網安全檢測標準與指標,物理產品檢測、物聯網工程/系統檢測與檢查,物聯網風險評估等技術能力建設和實踐進行了介紹。第10章根據已建成的檢測平臺,在智能感知類產品安全檢測、接入傳輸類產品安全檢測、業務應用類產品安全檢測、系統安全檢測/檢查和風險評估等方面給出豐富的檢測實例。
本書適合作為高等院校相關專業“物聯網安全”課程的教材,同時可供從事物聯網工程和產品研發及產品安全檢測等工作的專業人員參考。
“網絡空間安全重點規劃叢書”編審委員會物聯網被看作是繼計算機、互聯網與移動通信網之后的又一次信息產業變革。我國已將物聯網作為戰略性新興產業重點推進,特別是在2009年提出“感知中國”以來,物聯網在我國快速發展,一大批物聯網產業園和物聯網產業集聚基地已經逐步發展和完善起來,正在顯現出資源集聚效應和規模增值效應。
可以說物聯網已將經濟社會活動、戰略性基礎設施資源和人們生活全面架構在全球互聯互通的網絡上,所有活動和設施理論上都透明化了。一旦遭受攻擊,安全和隱私將面臨巨大威脅,極有可能在現實世界造成電力中斷、金融癱瘓、社會混亂等嚴重危害公共安全的事件,甚至將危及國家安全,因此,保障物聯網安全已變得越來越重要。
在近年的工作實踐中,我們深刻認識到,面對國內日益發展的物聯網市場,一方面急需出臺物聯網建設和產品研發的標準和規范,另一方面急需一批專業化檢測服務隊伍對各地物聯網工程及產品進行安全性檢測,為物聯網發展保駕護航。為此,公安部第一研究所成功申請了國家發展與改革委員會信息安全專項“物聯網一體化安全檢測專業化服務”項目。筆者對項目研究成果和實踐經驗加以整理總結,編寫了本書。全書共分為10章,主要內容如下。
第1章對物聯網體系結構、關鍵技術以及國內外物聯網市場環境進行梳理。
第2、3章分別介紹我國物聯網面臨的安全威脅、安全需求以及國內外安全檢測技術發展的最新動態。
第4章從研究的角度介紹物聯網安全模型,包括物聯網單層安全模型、物聯網整體安全模型、物聯網專項安全模型以及云安全模型等。
第5章介紹物聯網安全保障體系架構,從法律法規、政策、標準、技術實施、檢測與評估等方面進行闡述。
第6~9章分別從物聯網安全檢測標準與指標、物聯網產品檢測、物聯網工程/系統檢測與檢查、物聯網風險評估等技術能力建設和實踐的角度進行介紹。
第10章根據已建設的檢測平臺,在智能感知類產品安全檢測、接入傳輸類產品安全檢測、業務應用類產品安全檢測、系統安全檢測/檢查、風險評估等方面給出了實際檢測示例。物聯網安全保障技術實現與應用出版說明本書由仇保利主編并負責全書的統稿工作。各章編寫分工如下:仇保利編寫了第1章和第5章,胡志昂編寫了第2章、第10章,范紅編寫了第7~9章,邵華編寫了第3章、第4章、第6章。
本書的編寫得到公安部第一研究所“物聯網一體化安全檢測專業化服務”項目團隊、清華大學公共安全研究院、上海交通大學的大力支持,作者在此一并表示感謝。
本書廣泛收集了國內外的相關材料和數據,翻譯了大量國外文獻,凝聚了作者從事物聯網安全保護的實踐經驗以及研究思考的成果。由于時間倉促,錯誤和紕漏之處在所難免,誠望廣大讀者批評指正。
作者
2017年6月
第1章物聯網概述1
1.1什么是物聯網1
1.2物聯網體系結構2
1.3物聯網關鍵技術11
1.3.1信息感知與處理技術11
1.3.2通信技術18
1.3.3組網接入技術33
1.3.4數據融合與挖掘技術36
1.3.5安全技術37
1.4物聯網市場環境41
1.4.1全球物聯網市場41
1.4.2中國物聯網市場46
第2章物聯網安全現狀50
2.1物聯網安全特征與面臨挑戰53
2.1.1物聯網特征53
2.1.2信息安全特征56
2.1.3物聯網安全特征57
2.1.4物聯網安全面臨的挑戰60
2.2物聯網安全威脅63
2.2.1感知層安全威脅63
2.2.2傳輸接入層安全威脅64
2.2.3應用層安全威脅66
2.2.4隱私威脅69
2.2.5幾種典型的安全威脅71
2.3物聯網安全需求76
2.3.1社會公共安全行業的物聯網安全需求77
2.3.2交通行業的物聯網安全需求78
2.3.3電力行業的物聯網安全需求81
2.3.4醫療行業的物聯網安全需求82物聯網安全保障技術實現與應用目錄2.4物聯網安全應對措施84
2.4.1國家政策84
2.4.2安全技術發展87
2.4.3安全檢測90
第3章物聯網安全檢測發展現狀96
3.1國外安全檢測技術發展97
3.1.1SenSec物聯網信息安全測試系統97
3.1.2BANAID系統100
3.1.3TAPSNS系統104
3.1.4ASF攻擊測試框架105
3.1.5醫用傳感網通信協議的安全可用性測試平臺114
3.1.6測試中心與測試產品/服務116
3.2中國安全檢測技術發展128
3.2.1物聯網系統安全與可靠性測試系統128
3.2.2基于零打擾測試背板的無線傳感器網絡測試平臺133
3.2.3無線Mesh網鏈路層攻擊檢測系統134
3.2.4嵌入式安全關鍵軟件仿真測試平臺138
3.2.5測試中心與測試產品及服務141
3.3物聯網檢測工具152
第4章物聯網安全框架與模型162
4.1物聯網單層安全模型167
4.1.1面向感知層安全模型167
4.1.2面向傳輸層安全模型169
4.1.3面向中間件的安全實現170
4.2物聯網整體安全模型171
4.2.1基于P2DR2的物聯網安全模型171
4.2.2基于等級劃分的物聯網安全模型173
4.2.3基于3層架構的安全模型175
4.3物聯網“專項”安全模型176
4.3.1面向物聯網的通用控制系統安全模型176
4.3.2物聯網空間LBS隱私安全保護模型178
4.3.3基于PKI的物聯網安全模型179
4.4云安全模型181
4.4.1CSA云安全控制模型182
4.4.2Jericho云立方體模型184
4.4.3云計算安全技術框架186
4.4.4企業提出的云安全架構188
第5章物聯網安全保障框架194
5.1信息安全法律法規195
5.2物聯網發展與安全保障政策197
5.3物聯網標準198
5.4物聯網安全技術保障198
5.5物聯網安全檢測與評估200
5.6政府、信息安全組織機構、企事業單位與人才201
5.7物聯網一體化安全檢測體系202
5.7.1產品安全檢測服務平臺203
5.7.2開放式場景檢測支撐平臺205
5.7.3物聯網系統安全檢測服務平臺210
5.7.4物聯網系統風險評估服務平臺212
5.7.5集成化安全管理檢查服務平臺213
5.7.6標準庫及指標庫214
5.7.7物聯網漏洞與補丁庫214
5.7.8物聯網一體化安全檢測管理中心215
第6章物聯網安全檢測標準與檢測指標217
6.1國內外物聯網安全標準情況217
6.1.1國外物聯網安全標準進展218
6.1.2國內物聯網安全標準進展231
6.2物聯網安全檢測標準與檢測指標體系241
6.2.1物聯網一體化安全檢測標準體系241
6.2.2物聯網一體化安全檢測指標體系246
6.3物聯網安全檢測標準與指標平臺249
第7章物聯網產品檢測254
7.1開放式場景檢測支撐平臺256
7.1.1智能感知檢測環境258
7.1.2接入傳輸檢測環境275
7.1.3業務應用檢測環境285
7.2產品安全檢測服務平臺295
7.2.1智能感知類產品安全檢測能力295
7.2.2接入傳輸類產品安全檢測能力305
7.2.3業務應用類產品安全檢測能力310
7.2.4產品安全檢測知識庫317
7.3專項安全檢測服務平臺321
7.3.1網絡安全檢測平臺321
7.3.2非侵入式安全性檢測平臺324
第8章物聯網工程/系統檢測與檢查332
8.1物聯網系統安全檢測服務平臺332
8.1.1物聯網系統安全檢測332
8.1.2服務平臺架構334
8.1.3智能感知層系統檢測335
8.1.4接入傳輸層系統檢測338
8.1.5業務應用層系統檢測340
8.1.6安全檢測知識庫342
8.1.7檢測工具集344
8.1.8系統整體安全性345
8.1.9配套工程設計346
8.2物聯網集成化安全管理檢查服務平臺346
8.2.1物聯網集成化安全管理檢查346
8.2.2服務平臺架構366
8.2.3服務平臺功能367
8.2.4配套工程設計372
第9章物聯網系統風險評估373
9.1物聯網風險評估過程375
9.1.1風險評估準備376
9.1.2保護對象分析376
9.1.3威脅分析377
9.1.4脆弱性分析380
9.1.5現有控制措施分析381
9.1.6風險分析382
9.1.7風險處置385
9.1.8審核批準386
9.2物聯網系統風險評估服務平臺框架387
9.2.1服務平臺框架387
9.2.2風險評估知識庫387
9.2.3風險評估工具集389
第10章物聯網系統檢測應用案例396
10.1智能感知類產品安全檢測396
10.1.1可信網絡攝像機396
10.1.2檢測規則397
10.1.3檢測環境400
10.1.4檢測實施405
10.2接入傳輸類產品安全檢測409
10.2.1單向隔離網閘410
10.2.2檢測規則412
10.2.3檢測環境414
10.2.4檢測實施415
10.3業務應用類產品安全檢測420
10.3.1云計算服務器420
10.3.2檢測規則422
10.3.3檢測環境426
10.3.4檢測實施427
10.4系統安全檢測/檢查430
10.4.1警用裝備智能管理系統431
10.4.2檢測規則432
10.4.3檢測環境434
10.4.4檢測實施434
10.5系統風險評估439
10.5.1物聯網安全支撐系統——PKI系統439
10.5.2檢測規則440
10.5.3檢測環境442
10.5.4檢測實施442
參考文獻455
5章物聯網安全保障框架
在感知層,物聯網感知節點易遭受物理破壞、冒充或越權、重放攻擊、篡改、泄露標識數據等多種威脅;在傳輸接入層,物聯網存在多種拒絕服務攻擊、違規外聯、非法接入等威脅;在業務層,物聯網存在各種漏洞、數據多源異構、大數據安全等威脅。因此,面對國內日益發展的物聯網市場,急需構建物聯網安全保障體系,保障物聯網健康順利發展,物聯網在大規模投入實際使用前,需要對其風險漏洞進行評估檢測,防止網絡系統中的安全漏洞給物聯網的使用帶來巨大損失。
從國家一系列關于物聯網的政策文件中可以清晰地發現,物聯網發展需要安全保障體系的支撐。例如:
《國務院關于推進物聯網有序健康發展的指導意見》提出: 到2015年,建立物聯網安全保障體系,完善安全等級保護制度,建立健全物聯網安全測評、風險評估、安全防范、應急處置等機制,增強物聯網基礎設施、重大系統、重要信息等的安全保障能力,形成系統安全可用、數據安全可信的物聯網應用系統。
《物聯網發展專項行動》指出: 建立健全物聯網系統生命周期的安全保障體系,建立健全物聯網信息安全等級保護制度,開展物聯網系統安全等級測評與檢查、評估工作。在物聯網系統設計研發階段,對設計方案進行安全驗證與風險評估;在物聯網項目竣工驗收階段,對系統的安全防護能力進行測試和評估;在物聯網系統運營階段,適時開展安全檢查工作,查找突出問題和薄弱環節,評估安全防護水平。同時,建立相關信息采集交換平臺與信息共享分析機制,在物聯網工程的生命周期提供安全監測和預警服務。
《工業和信息化部2014年物聯網工作要點》明確指出: 要建立健全物聯網安全保障體系,推進物聯網關鍵安全技術研發與產業化。加強物聯網安全標準制定與實施工作。完成物聯網信息安全技術研究并進行物聯網信息安全技術檢測評估平臺建設方案論證,支持2~3家國家級科研機構以產學研用聯合的方式開展平臺建設。建立健全物聯網信息安全相關制度、標準、規范,完成預警與態勢通報機制、信息共享與分析機制建立與基礎環境建設。
我國物聯網安全保障體系要在借鑒國內外成功經驗的基礎上健全完善信息安全法律體系和監管制度體系,積極推進我國信息安全政策法規和體制機制建設,做好信息安全頂層設計,強化信息安全基礎設施建設,構建物聯網安全技術保障措施,并以物聯網安全檢測評估手段夯實物聯網安全建設,加強信息安全人才培養與管理。
物聯網安全保障體系架構如圖51所示。建立健全物聯網安全保障體系需要政府、物聯網安全保障技術實現與應用第5章物聯網安全保障框架企業乃至整個社會共同努力,法律法規、政策、標準在支撐物聯網應用與工程建設的同時,需要引導物聯網安全技術發展,物聯網安全檢測與評估按照法律法規、政策、標準的要求,在物聯網應用與工程生命周期內開展安全檢測與評估工作,確保物聯網工程合規性以及安全防護措施的有效性,保障物聯網安全。
圖51物聯網安全保障體系
5.15.1信息安全法律法規隨著物聯網網絡延伸和應用拓展,為避免人為惡意破壞、擅自利用處理結果等行為對個人隱私、行業安全、國家安全等方面造成嚴重威脅,需將物聯網安全可控問題上升到法律層面考慮。
當前,我國關于信息安全的法律大多分散在《中華人民共和國憲法》《中華人民共和國民法通則》《中華人民共和國刑法》《中華人民共和國侵權責任法》《中華人民共和國消費者權益保護法》等法律和司法解釋文件的條款中。專門針對信息安全的法律主要有《中華人民共和國電子簽名法》《關于加強網絡信息保護的決定》《互聯網信息管理辦法》《關于維護互聯網安全的決定》《非經營性互聯網信息服務備案管理辦法》《互聯網安全保護技術措施規定》《信息安全等級保護管理辦法》《通信網絡安全防護管理辦法》《互聯網IP地址備案管理辦法》和《電話用戶真實身份信息登記規定》等,專門針對物聯網安全保護的法律幾乎沒有。因此,需要進一步完善我國現有的法律體系,加大法律法規制定的力度,促進物聯網安全保障體系建設。我國物聯網安全法律體系建設可以從3方面開展工作。
1. 修訂與完善現有法律法規
在新形勢下,以前制定的法律法規有可能出現針對性不強、界定模糊等情況,但其法律定位未發生變化,仍具有現實指導意義,可以通過修訂進行完善。
針對物聯網應用的特點和技術高速發展的現實狀況,應在梳理分析現有法律法規、規章、規范性文件與物聯網相關的條款的基礎上,繼續修訂、不斷完善《刑法》《信息安全等級保護管理辦法》《民事訴訟法》《電子簽名法》《侵權責任法》《互聯網安全保護技術措施規定》《通信網絡安全防護管理辦法》等相關法律法規中對于物聯網安全防護和管理相關的條款,明確物品聯網范圍,避免物品隨意互聯對國家安全等方面造成的隱患,界定破壞物聯網基礎設施需要承擔的法律責任,以及物聯網工程實施方應部署安全防護手段和定期開展安全檢測與評估的義務。
2. 起草與物聯網安全保護相關的法律
我國在立法方面,要在物聯網發展初期就著手考慮起草與物聯網安全保護相關的法律,并不斷完善細化相關法律規定,使立法上盡量覆蓋到關鍵細節,做到有法可依。其中不僅要控制人的行為,還要限制物品聯網范圍,避免物品隨意互聯對國家安全等方面造成的隱患;不僅要確立安全防護實施滿足的目標,還要規定違法犯罪行為應承擔的法律后果,加大懲罰力度,形成威懾力,遏制物聯網違法犯罪行為。在執法方面,可通過計算機取證等技術研究確保出現安全問題時能提供依據、保障可審查性,一經查處嚴厲處置,維護物聯網安全制度和法律的權威與嚴肅性。
審慎制定政府信息安全管理、企事業單位信息安全管理、社會組織信息安全管理以及個人信息保護等條例和辦法。具體包括:
研究制定物聯網環境下個人信息保護規則,強調對感知、傳輸和處理相關設備應用過程中,個人享有知情權、選擇權等基本權利,明確信息收集、傳輸、處理環節中主體的責任和義務,提出泄露和非法利用個人隱私應承擔的法律責任。
研究物聯網數據安全保護法,規范數據收集、傳輸、處理和分析過程中利益相關方的權利和義務,保障大數據安全,重點保護涉及國家公共安全的物聯網應用領域,加強對關鍵基礎設施的保護。
研究制定物聯網相關資源保護法律法規,將與物聯網發展相關的頻率、標識、號碼等資源納入立法,規范物聯網資源的規劃、分配、使用和保護。
研究制定物聯網可信體系法律法規,將物聯網涉及的實體、資源以及行為統一納入網絡空間可信體系中,建立開放、公平和安全的物聯網生態環境。
……
新書資訊