物联网安全扩展要求
控制点
3.
安全计算环境一、感知节点设备安全
感知节点设备安全保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更,以及对其连接的网关节点设备(包括读卡器)和其他感知节点设备(包括路由节点)进行身份标识和鉴别。应尽量减少或避免非授权用户对设备上的软件应用进行配置或变更,以防止监测数据泄露或设备被非法关闭。
a)
安全要求:应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更。
要求解读:感知节点设备数量巨大,通常在线批量进行软件应用配置或变更。如果没有采取了一定的技术手段防止非授权用户对设备上的软件应用进行配置或变更,就容易导致感知节点监测数据泄露或设备被非法关闭。
检查方法
1.核查感知节点设备是否采取了一定的技术手段防止非授权用户对设备上的软件应用进行配置或变更;
2.尝试接入和控制传感网,访问未授权的资源,测试验证感知节点设备的访问控制措施对非法访问和非法使用感知节点设备资源的行为的控制是否有效。
期望结果
1.感知节点设备已采取一定的技术手段防止非授权用户对设备上的软件应用进行配置或变更。例如,为感知节点设备配置了安全性较高的用户名和登录密码。
2.感知节点设备的访问控制措施对非法访问和非法使用感知节点设备资源的行为的控制是有效的。
b)
安全要求:应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力。
要求解读:很多物联网感知节点是无人值守的,这给了攻击者可乘之机(从无人值守设备中获得用户身份等隐私信息,并通过此设备对通信网络进行攻击)。因此,需要具备对感知节点设备连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力。
检查方法
1.核查是否已对感知节点设备连接的网关节点设备(包括读卡器)进行身份标识与鉴别,以及是否配置了符合安全策略的参数。
2.测试验证是否存在能够绕过身份标识与鉴别功能的方法(应为否)。
期望结果
1.已对感知节点设备连接的网关节点设备(包括读卡器)进行身份标识与鉴别,配置了符合安全策略的参数。
2.不存在能够绕过身份标识与鉴别功能的方法。
c)
安全要求:应具有对其连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别的能力。
要求解读:攻击者假冒网络中已有的感知节点或网关节点,可以监听传感网络中传输的信息,向传感网络发布假的路由信息或传送假的数据信息、进行拒绝服务攻击等。因此,需要具备对感知节点设备连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别的能力。
检查方法
1.核查是否已对感知节点设备连接的其他感知节点设备(包括路由节点)设备进行身份标识与鉴别,以及是否配置了符合安全策略的参数。
2.测试验证是否存在能够绕过身份标识与鉴别功能的方法(应为否)。
期望结果
1.已对感知节点设备连接的其他感知节点设备(包括路由节点)设备进行身份标识与鉴别,配置了符合安全策略的参数。
2.不存在能够绕过身份标识与鉴别功能的方法。
二、网关节点设备安全
网关节点设备安全是要求网关节点设备可以设置最大并发连接数,对合法连接设备进行标识和鉴别,过滤非法节点和伪造节点发送的数据,并保证授权用户能够在使用设备的过程中对关键密钥和关键配置参数进行在线更新。应尽量减少或避免网关节点超负荷运行,防止非法节点和伪造节点影响物联网的安全运行,保证授权用户在设备使用过程中的在线维护安全。
a)
安全要求:应具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别的能力。
要求解读:物联网感知层大量使用无线通信和电子标签技术,大部分设备为无人值守设备,导致隐私信息威胁问题突出。如果用户隐私信息被攻击者非法获取,就会给用户带来安全隐患。网关节点设备需要具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别的能力,降低隐私数据被攻击者非法获取的风险。
检查方法
1.核查网关节点设备是否能够对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识,以及是否配置了鉴别功能。
2.测试验证是否存在能够绕过身份标识与鉴别功能的方法(应为否)。
期望结果
1.网关节点设备能够对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识并配置了鉴别功能,或者部署了接入安全管理系统以进行准入策略管控(只有通过认证的设备才允许接入)。
2.不存在能够绕过身份标识与鉴别功能的方法。
b)
安全要求:应具备过滤非法节点和伪造节点所发送的数据的能力。
要求解读:攻击者假冒网络中已有的感知节点或网关节点,可以监听传感网络中传输的信息,向传感网络发布假的路由信息或传送假的数据信息、进行拒绝服务攻击等。因此,需要具备过滤非法节点和伪造节点所发送的数据的能力。
检查方法
1.核查是否具备过滤非法节点和伪造节点所发送的数据的能力。
2.测试验证是否能够过滤非法节点和伪造节点所发送的数据。
期望结果
1.具备过滤非法节点和伪造节点所发送的数据的能力。例如,部署了视频专用防火墙,仅允许相关视频网络协议通行,对其他协议进行拦截,并启动了终端准入策略,根据注册终端、未注册终端、未知设备、替换设备等不同类型采取不同的阻断和记录策略。
2.能够过滤非法节点和伪造节点所发送的数据。
c)
安全要求:授权用户应能够在设备使用过程中对关键密钥进行在线更新。
要求解读:物联网中的感知节点和网关节点数量巨大,部署位置众多,使人工更新关键密钥变得困难。因此,需要提供授权用户在设备使用过程中对关键密钥进行在线更新的能力。
检查方法
核查感知节点设备是否支持对其关键密钥进行在线更新。
期望结果
感知节点设备支持对其关键密钥进行在线更新。
d)
安全要求:授权用户应能够在设备使用过程中对关键配置参数进行在线更新。
要求解读:物联网中的感知节点和网关节点数量巨大,部署位置众多,使人工更新关键配置参数变得困难。因此,需要提供授权用户在设备使用过程中对关键配置参数进行在线更新的能力。
检查方法
核查感知节点设备是否支持对其关键配置参数进行在线更新,以及在线更新方式是否有效。
期望结果
感知节点设备支持对其关键配置参数进行在线更新,且在线更新方式有效。
三、抗数据重放
抗数据重放要求感知节点设备在读取或状态控制过程中具有数据传输新鲜性保护机制(例如时间戳、序列号等),以及能够鉴别历史数据被非法修改的状况,避免数据遭受修改重放攻击。
a)
安全要求:应能够鉴别数据的新鲜性,避免历史数据的重放攻击。
要求解读:数据新鲜性是指对接收的历史数据或超出时限的数据进行识别的特性。可以使用时间戳或计数器来实现数据新鲜性保护机制。在联网监控视频系统中,数据新鲜性保护机制用于防止攻击者替换监控视频(掩饰非法活动)。
检查方法
1.核查感知节点设备采取的鉴别数据新鲜性的措施是否能够避免历史数据重放。
2.对感知节点设备的历史数据进行重放测试,验证其保护措施是否有效。
期望结果
1.感知节点设备能够在读取或状态控制过程中提供数据传输新鲜性保护机制,例如时间戳、序列号等。
2.将感知节点设备的历史数据进行重放,感知节点设备能够在读取或状态控制过程中发现时间戳、序列号或者其他新鲜性保护信息不符合要求的情况。
b)
安全要求:应能够鉴别历史数据的非法修改,避免数据的修改重放攻击。
要求解读:物联网的感知节点往往是大规模部署的,其中包含大量的无人值守设备,这些设备有可能被劫持。攻击者假冒网络中已有的感知节点或网关节点,可以对历史数据进行非法修改,向传感网络发布假的路由信息或传送假的数据信息。因此,应能够鉴别历史数据被非法修改的情况,避免数据遭受修改重放攻击。
检查方法
1.核查感知层是否具备检测非法篡改感知节点设备历史数据的行为的的措施,以及在检测到历史数据被修改时是否能够采取必要的恢复措施。
2.测试验证是否能够避免数据的修改重放攻击。
期望结果
1.具备网关节点存储数据完整性检测机制,能够实现对鉴别信息、协议转换规则、审计记录等重要数据的完整性的检测。具备传输数据完整性校验机制,例如;校验码、消息摘要、数字签名等,能够实现对重要业务数据传输的完整性的保护。
2.具有对通信延时和中断的处理机制,能够避免数据的修改重放攻击。
四、数据融合处理
传感网和通信网组成了异构网。为了防范异构网接入风险,需要对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用,确保异构网接入的数据完整性。
a)
安全要求:应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。
要求解读:在进行异构网络数据汇总时,攻击者可以利用传感网的特点伪造通信网的信令指示,使物联网设备断开连接或进行错误的操作/响应,或者诱使物联网设备向通信网发送假冒的请求或响应,使通信网做出错误的判断,进而对网络安全造成影响。因此,需要对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。
检查方法
1.核查是否提供了对来自传感网的数据进行融合处理的功能。
2.测试验证数据融合处理功能是否能够处理不同种类的数据。
期望结果
1.具有对来自传感网的数据进行融合处理的功能,能实现对感知数据、控制数据及服务关联数据的加工、处理和协同,为物联网用户提供感知和操控物理世界对象的接口。
2.数据融合处理功能能够处理不同种类的数据,将感知对象和控制对象与传感网系统、标签识别系统、智能设备接口系统等以非数据通信类接口或数据通信类接口的方式进行关联,实现物理世界和虚拟世界的接口绑定。