二、物联网安全风险分析
1. 物联网应用系统模型
服务端系统、终端系统和通信网络
2. 服务端
负责:终端传感器数据收集处理、处理结果向用户界面接口反馈、用户分级认证、系统维护管理、可用性监控
结构:Web前端层、应用服务器层、数据库层
风险:
(1)服务端存储大量用户数据,成为攻击焦点。
(2)虚拟化、容器技术提高性能同时带来安全风险。目前大多数物联网业务系统都搭建在虚拟化云平台之上以实现高效的计算及业务吞吐,但虚拟化和弹性计算技术的使用,使得用户、数据的边界模糊,带来一系列更突出的安全风险,如虚拟机逃逸、虚拟机镜像文件泄露、虚拟网络攻击、虚拟化软件漏洞等安全问题。
(3)系统基础环境及组件存在漏洞,易受黑客攻击。云平台、大数据系统、操作系统、数据库、中间件、web 应用等漏洞,导致非授权访问、数据泄露、远程控制等后果。
(4)物联网业务 API 接口开放、应用逻辑多样,容易引入新风险。
- 业务逻辑漏洞:导致攻击者可以绕过或篡改业务流程。比如绕过认证环节远程对物联网设备进行控制;通过篡改用户标识实现越权访问物联网业务系统中其他用户的数据等。
- API 接口开放则可能会造成接口未授权调用,导致批量获取系统中敏感数据、消耗系统资源等风险。
3. 终端
终端系统由传感器及网关组成。
主要功能是实现对信息的采集、识别和控制。
设备分类:
(1)轻型终端
【用途】单一的物理用途
【例】可穿戴设备、家庭安防传感器、NFC 标签、照明开关、门锁
【通信】低功耗近距离(如RFID、BLE 或 Zigbee 等),通常通过网关或者用户终端设
备与物联网服务端进行数据交互。
(2)复杂终端
【用途】实现更多功能
【例】智能家电(如冰箱、洗衣机等)、工业控制系统(如 SCADA)、智能汽车跟踪监测设备(如联网的OBD2 设备)。
【处理能力】内置基本处理器,可运行本地应用程序或处理音视频数据等。
【通信】蜂窝等长距离通信链路或通过 WIFI、以太网,经由用户终端设备与物联网服务端
进行数据交互。
(3)物联网网关
【用途】更强大的处理能力
管理长距离通信链路,例如蜂窝、固定通信网、以太网等,
接受服务端系统发出的命令并将其转换为轻型、复杂终端可以解析的信息传递给终端,
将终端收集的信息处理后发送至服务端系统。
安全风险:
* 终端物理安全:丢失、位置移动或无法工作。
* 终端自身安全:感知设备通常无法拥有完备的安全防护能力,其次许多物联网设备由于未及时更新,或者缺乏相应的更新机制导致物联网终端设备存在的软件漏洞风险极高。
* 网络通信及结构安全:目前许多适用于通用计算设备的安全防护功能由于计算资源或系统类别的限制很难在物联网上实现。
- 明文传输
- 未对代码或配置项变更进行权限限制,缺乏成熟的授权或认证机制,容易发生恶意敏感操作或数据未授权访问。
- 一些家庭内网络很少进行网络分段隔离或防火墙设置,使得物联网设备极易遭受同网段病毒
感染、恶意访问或操控。
* 数据泄露风险。
- 云端
-设备与设备之间也存在数据泄露渠道,在同一网段或相邻网段的设备可能会查看到其他设备的信息,比如屋主名字,精确的地理位置信息,甚至消费者购买的东西等。
恶意软件感染。
一旦感知终端、节点被物理俘获或逻辑攻破,攻击者可利用简单的工具分析出终端或节点所存储的机密信息;同时,攻击者可以利用感知终端或节点的漏洞进行木马、病毒的攻击,使得终端节点被非法控制或处于不可用状态,获取未授权的访问,或者实施攻击。
被这些病毒感染的物联网设备还可用于窥探他人隐私,勒索所劫持设备,或者被利用作为攻击物联网设备所连接的网络渗透入口等。
服务中断。
可用性或连接的丢失可能会影响物联网设备的功能特性,一些情况下还可能降低安全性,例如楼宇警报系统一旦连接中断的话,将会直接影响楼宇的整体安全性。
4. 通信网络
网络多种多样:
感知层的无线、红外线等射频网络,
无线接入网,窄带物联网络、无线局域网、蜂窝移动通信网、无线自组网等,
互联网
1.无线数据传输链路具有脆弱性
通信中断;劫持、窃听、篡改
2.传输网络易受到拒绝服务攻击
由于物联网中节点数量庞大,且以集群方式存在,攻击者可以利用控制的节点向网络发送恶意数据包
3.非授权接入和访问网络
4.通信网络运营商应急管控风险
物联网设备终端规模大,且不同业务的短信、数据等通信功能组合较多,若不能在网络侧通过地域、业务、用户等多维度实施通信功能批量应急管控,则无法应对海量终端被控引发的风险。
五. 各典型应用场景风险分析
1.消费物联网
智能家居、智能穿戴设备。贴近数量众多的终端消费者。
(1)利用漏洞或者自动安装软件等隐秘行为窃取用户文件、视频等隐私;
(2)传播僵尸程序把智能设备变成被劫持利用的工具;
(3)通过控制设备反向攻击企业内部或其后端的云平台,进行数据窃取或破坏
2.车联网
车内网、车际网和车载移动互联网
网关类组件安全也成为了影响车联网安全的重要因素。
(1)传感器数据合法性难以判断,基础数据篡改引发误响应;
(2)核心控制组件存在漏洞,控制权外泄存安全隐患;
(3)接口身份认证缺失,存在非法设备接入的安全隐患;
(4)OTA 通道存在供应链威胁植入风险;
(5)智能应用存在被利用可能。
3.工业互联网
(1)网络和系统资产庞杂,资产和网络边界识别困难,资产直接暴露在互联网,安全风险很大。
(2)系统和设备的服役年限较长,软硬件无法及时升级更新,存在大量安全漏洞;
(3)网络隔离措施、主机安全防护措施等技术手段缺失,无法阻止病毒和攻击的漫延,无法应对脆弱性安全风险;
(4)威胁感知能力不足,当发生入侵攻击、恶意破坏、误操作等事件发生时,用户无法即时定位和有效溯源;
(5)安全运营能力不足,缺乏专业安全人员和安全运营能力,缺少对安全风险的发布、跟踪、响应的闭环管理。
4.产业互联网
连接工业产品、流程、服务等各环节的全球化网络。
特点是使用“智能设备+互联网”技术对已有的产业行业进行改进,解决以前无法解决的问题并大幅提高工作效率。
(1)传感器状态直接影响生产流程,如出现安全问题后果严重;
(2)新型智能设备接入原有生产环境,冲击既有安全手段;
(3)数据安全依赖持续运维,难以做到安全和成本兼顾;
(4)云安全经验不足导致云主机和数据安全完全依赖云平台的基础安全能力;
(5)移动端 APP 开发外包,分发途径难以控制,易被不法分子利用。
参考
1. 物联网安全白皮书(2018年), 第二章:物联网安全风险分析,来源:中国信息通信研究院(工业和信息化部电信研究院)