物聯(lián)網(wǎng)安全體系

物聯(lián)網(wǎng)平安體系第一局部全球物聯(lián)網(wǎng)產(chǎn)業(yè)開展和平安現(xiàn)狀第二局部物聯(lián)網(wǎng)平安需求和防護(hù)體系第三局部物聯(lián)網(wǎng)平安開展趨勢(shì)和思考全球物聯(lián)網(wǎng)產(chǎn)業(yè)現(xiàn)狀—國家政策我國發(fā)布"十三五國家科技創(chuàng)新規(guī)劃"作為國家重點(diǎn)專項(xiàng)規(guī)劃之一，對(duì)我國未來5年科技創(chuàng)新做了系統(tǒng)謀劃和前瞻布局。 物聯(lián)網(wǎng)：開展物聯(lián)網(wǎng)系統(tǒng)架構(gòu)、信息物理系統(tǒng)感知和控制等根底研究，攻克智能硬件〔硬件嵌入式智能〕、物聯(lián)網(wǎng)低功耗可信泛在接入等關(guān)鍵技術(shù)，構(gòu)建物聯(lián)網(wǎng)共性技術(shù)創(chuàng)新根底支撐平臺(tái)，實(shí)現(xiàn)智能感知芯片、軟件以及終端產(chǎn)品化； 智慧城市：開展城市時(shí)空數(shù)據(jù)融合的智能決策、數(shù)據(jù)化效勞、城市智能計(jì)算等關(guān)鍵技術(shù)研究，研發(fā)智慧城市公共效勞一體化運(yùn)營平臺(tái)，開展新型智慧城市群的應(yīng)用創(chuàng)新示范； 智能制造業(yè)：大力推動(dòng)制造業(yè)向智能化方向開展，主要基于“互聯(lián)網(wǎng)+〞的創(chuàng)新設(shè)計(jì)、物聯(lián)網(wǎng)的智能工廠，開展智能感知、智能控制、工業(yè)傳感器等技術(shù)研究，推動(dòng)制造業(yè)信息化效勞增效，提高制造業(yè)信息化和自動(dòng)化水平。 美國：將物聯(lián)網(wǎng)開展和重塑智能制造業(yè)優(yōu)勢(shì)結(jié)合，希望重新占領(lǐng)全球制造業(yè)至高點(diǎn)，并借助聯(lián)合GE、Amazon、Accenture、Cisco等打造符合工業(yè)物聯(lián)網(wǎng)與海量數(shù)據(jù)分析平臺(tái)，推開工業(yè)物聯(lián)網(wǎng)標(biāo)準(zhǔn)框架制定； 歐盟：從歐盟委員會(huì)到物聯(lián)網(wǎng)領(lǐng)域的專業(yè)研究工程組，先后公布了多份規(guī)劃歐洲物聯(lián)網(wǎng)未來開展動(dòng)向的相關(guān)報(bào)告。希望借助國際化的研究補(bǔ)助，讓歐洲成為物聯(lián)網(wǎng)的研究重鎮(zhèn)，讓歐洲各國的經(jīng)濟(jì)開展提升，并能夠制訂出統(tǒng)一標(biāo)準(zhǔn)的物聯(lián)網(wǎng)法規(guī)與協(xié)議；日本：提出“i-Japan〞方案，該戰(zhàn)略旨在通過打造數(shù)字化社會(huì)，參與解決全球性的重大問題，提升國家的競(jìng)爭(zhēng)力，確保日本在全球的領(lǐng)先地位； 韓國：提出物聯(lián)網(wǎng)根本規(guī)劃，從效勞、平臺(tái)、網(wǎng)絡(luò)到終端設(shè)備與信息平安，全面建構(gòu)開放式物聯(lián)網(wǎng)生態(tài)體系。多國積極推動(dòng)物聯(lián)網(wǎng)產(chǎn)業(yè)開展北美、歐洲、東亞的多個(gè)國家和地區(qū)制定相應(yīng)的政策，推動(dòng)物聯(lián)網(wǎng)產(chǎn)業(yè)的開展。全球物聯(lián)網(wǎng)產(chǎn)業(yè)現(xiàn)狀—終端市場(chǎng)-10,000,000,00020,000,000,00030,000,000,00040,000,000,00050,000,000,00060,000,000,00070,000,000,00080,000,000,000202320232023 2023 2023AP CEMA LA2023 2021NorthAmerica2022 2023WE20242025$200$0$600$400$1,000$800$1,400$1,200$1,800$1,600202320232023 2023LatinAmerica2023$

BillionsCEMANorth

America萬物互聯(lián)網(wǎng)催生了大量的鏈接需求，IoT市場(chǎng)前景廣闊數(shù)據(jù)來源:

IDC2023 2023WesternEurope2023Asia/Pacific 連接數(shù)增長情況2023年，IoT總連接將到達(dá)300億2025年，IoT總連接將到達(dá)700億

連接分布情況

主要分布在亞太、北美、西歐 IoT市場(chǎng)空間巨大預(yù)計(jì)2023年全球IoT市場(chǎng)空間到達(dá)1.7萬億美金,年增長率(CAGR)為：16.9%亞太、北美、西歐市場(chǎng)空間較大，總和超過80%全球物聯(lián)網(wǎng)產(chǎn)業(yè)現(xiàn)狀—業(yè)務(wù)及應(yīng)用辦公和生活場(chǎng)景類占據(jù)主導(dǎo)，各行業(yè)均有長足的開展，逐漸形成規(guī)模。 2023年生活與辦公場(chǎng)景占據(jù)總鏈接的90%；車聯(lián)網(wǎng)、智慧醫(yī)療以及工業(yè)尚處于起步階段。生活與辦公占比：90%，其中個(gè)人消費(fèi)類,建筑平安和智能抄表開展較快工業(yè)鏈接占比：4%其他鏈接占比：各2% 2025年生活與辦公場(chǎng)景鏈接依然占主導(dǎo)；各行業(yè)逐步形成規(guī)模。生活與辦公占比：83%。其中消費(fèi)電子增長到30%，建筑自動(dòng)化增長到23%，樓宇平安占比為21%智慧醫(yī)療將到達(dá)6%，車聯(lián)網(wǎng)將到達(dá)4%，智慧城市到達(dá)4%物聯(lián)網(wǎng)端到端產(chǎn)業(yè)布局終端產(chǎn)業(yè)牽引：以收購等各類手段，布局終端產(chǎn)業(yè)，目標(biāo)拉通端到端整體效勞的提供管道價(jià)值占比10~15%。應(yīng)用效勞為產(chǎn)業(yè)價(jià)值的主體(45~65%〕平臺(tái)：以平臺(tái)為核心，往物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用效勞布局滲透全球物聯(lián)網(wǎng)產(chǎn)業(yè)現(xiàn)狀—端到端產(chǎn)業(yè)布局物聯(lián)網(wǎng)產(chǎn)業(yè)平安現(xiàn)狀物聯(lián)網(wǎng)市場(chǎng)開展迅速，終端數(shù)量劇增，平安隱患大物聯(lián)網(wǎng)終端平安高危漏洞80%的設(shè)備采用簡單密碼70%的通信過程未加密90%固件存在平安隱患大量設(shè)備沒有更新補(bǔ)丁，甚至無法更新，telnet不能禁用，使用硬編碼密碼物聯(lián)網(wǎng)終端平安防護(hù)措施缺乏物聯(lián)網(wǎng)設(shè)備的專用性、低本錢、輕量級(jí)，導(dǎo)致很少防病毒軟件能適配安裝出廠未進(jìn)行平安檢查物聯(lián)網(wǎng)終端在室外分散安裝，導(dǎo)致物理攻擊、篡改和仿冒物聯(lián)網(wǎng)業(yè)務(wù)深入多個(gè)行業(yè)，全方位影響人民生活，相應(yīng)的平安問題也將帶來嚴(yán)重威脅，甚至包括生命和財(cái)產(chǎn)平安2023年10月西班牙上百萬臺(tái)智能電表存在的漏洞，可以使黑客關(guān)閉整個(gè)電路網(wǎng)，造成大面積停電。2023年2月BMW爆出有220萬車載系統(tǒng)存在平安漏洞，黑客可以遠(yuǎn)程翻開車門。2023年7月因?yàn)榘l(fā)現(xiàn)遠(yuǎn)程攻擊漏洞，黑客可遠(yuǎn)程操作使汽車減速、關(guān)閉引擎、剎車失靈，克萊斯勒召回140萬帶有Uconnect車載系統(tǒng)的汽車。2023年4月德國核電站負(fù)責(zé)燃料裝卸系統(tǒng)遭攻擊。2023年10月21日，美國遭遇史上最嚴(yán)重分布式拒絕效勞〔DDoS〕攻擊，美國東海岸出現(xiàn)了大面積斷網(wǎng)事件，造成上百家網(wǎng)站都無法訪問。此次“斷網(wǎng)〞事件是由于美國最主要DNS效勞商Dyn遭遇了大規(guī)模DDoS攻擊所致。2023年12月17日烏克蘭國家能源公司因黑客攻擊遭受斷電事故。物聯(lián)網(wǎng)產(chǎn)業(yè)包括設(shè)備制造商、互聯(lián)網(wǎng)廠商、運(yùn)營商等多個(gè)環(huán)節(jié)。同時(shí)，物聯(lián)網(wǎng)平安風(fēng)險(xiǎn)無處不在，大到網(wǎng)絡(luò)系統(tǒng)和平臺(tái)，小到傳感器等終端設(shè)備。任何一處風(fēng)險(xiǎn)都有可能使得威脅擴(kuò)散到整個(gè)網(wǎng)絡(luò)與核心系統(tǒng)。各環(huán)節(jié)在立足市場(chǎng)，搶占入口的同時(shí)，極少提前規(guī)劃部署平安防護(hù)措施，物聯(lián)網(wǎng)產(chǎn)業(yè)市場(chǎng)預(yù)期很高卻危機(jī)四伏。因此平安問題需要從規(guī)劃建設(shè)之時(shí)就考慮，建立多重的端到端平安防御體系。物聯(lián)網(wǎng)產(chǎn)業(yè)鏈中平安環(huán)節(jié)占比低終端平安隱患多，業(yè)務(wù)平安威脅大，平安產(chǎn)業(yè)鏈環(huán)節(jié)占比低。物聯(lián)網(wǎng)平安事件分析10月，平安人員發(fā)布了物聯(lián)網(wǎng)惡意代碼Mirai分析報(bào)告2023年9月，黑產(chǎn)世界公布了Mirai攻擊的源碼

事件回顧1Mirai病毒高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備，通過感染存在漏洞〔采用出廠密碼設(shè)置或弱口令〕物聯(lián)網(wǎng)設(shè)備，像“寄生蟲〞一樣存在設(shè)備中，進(jìn)行操控。被病毒感染后，設(shè)備成為僵尸網(wǎng)絡(luò)機(jī)器人，在黑客命令下針對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)動(dòng)高強(qiáng)度攻擊。通過Mirai僵尸網(wǎng)絡(luò)病毒每次可以發(fā)動(dòng)38萬個(gè)IoT機(jī)器人參與攻擊。Mirai可以刪除，但也能“重生〞。對(duì)于存在漏洞的物聯(lián)網(wǎng)設(shè)備，簡單的去除和重啟不能徹底排除。2攻擊目標(biāo)通過路由、網(wǎng)關(guān)等連網(wǎng)設(shè)備都可能成為Mirai的攻擊目標(biāo)網(wǎng)絡(luò)攝像頭、DVR、路由器、其它家用網(wǎng)絡(luò)設(shè)備包括門窗、燈泡等，可以通過物聯(lián)網(wǎng)進(jìn)行控制的都可能成為Mirai僵尸網(wǎng)絡(luò)的“獵物〞3防范措施對(duì)IoT設(shè)備進(jìn)行固件升級(jí)并設(shè)置強(qiáng)口令通過加密技術(shù)、關(guān)閉不必要的端口、虛擬化技術(shù)都能夠有效的提高服務(wù)器的平安。 密碼替代技術(shù)

事件分析物聯(lián)網(wǎng)終端數(shù)量巨大，終端漏洞引起的網(wǎng)絡(luò)攻擊會(huì)愈加頻繁，網(wǎng)絡(luò)運(yùn)營商對(duì)于終端難于監(jiān)管，必須在網(wǎng)絡(luò)側(cè)采取必要的平安防護(hù)措施，防止對(duì)通信網(wǎng)的平安威脅。源碼公開一天后，10月21日黑客發(fā)動(dòng)了DDoS攻擊黑客操控?cái)?shù)百萬網(wǎng)絡(luò)攝像頭及通過Mirai僵尸網(wǎng)絡(luò)以DDoS劫持攻擊方式癱瘓了美導(dǎo)致大量美國知名網(wǎng)站無法訪相關(guān)DVR錄像機(jī)作為“肉雞”國主要域名服務(wù)器供應(yīng)商Dyn公司的服務(wù)器問，半個(gè)美國陷入斷網(wǎng)狀態(tài)。IoT僵尸網(wǎng)絡(luò)Mirai分析惡意軟件Mirai感染全球物聯(lián)網(wǎng)設(shè)備MriaiIoTDDoS木馬瞄準(zhǔn)蜂窩網(wǎng)絡(luò)設(shè)備國外黑客發(fā)現(xiàn)國產(chǎn)攝像機(jī)存在漏洞利用Mirai發(fā)動(dòng)DDoS攻擊源碼公布第一局部全球物聯(lián)網(wǎng)產(chǎn)業(yè)開展和平安現(xiàn)狀第二局部物聯(lián)網(wǎng)平安需求和防護(hù)體系第三局部物聯(lián)網(wǎng)平安開展趨勢(shì)和思考物聯(lián)網(wǎng)平安威脅分析物聯(lián)網(wǎng)終端互聯(lián)網(wǎng)網(wǎng)絡(luò)面臨的威脅1、流量攻擊物聯(lián)網(wǎng)接入網(wǎng)和核心網(wǎng)面臨著來自終端和互聯(lián)網(wǎng)的雙向流量攻擊威脅，消耗網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞，甚至癱瘓。2、非法入侵攻擊者可能利用運(yùn)維管理上的漏洞，對(duì)核心網(wǎng)元和系統(tǒng)發(fā)起入侵，感染病毒，篡改重要業(yè)務(wù)數(shù)據(jù)，造成網(wǎng)元或者業(yè)務(wù)失效，甚至癱瘓整個(gè)網(wǎng)絡(luò)。1、流量攻擊通過互聯(lián)網(wǎng)對(duì)平臺(tái)實(shí)施DDoS攻擊，導(dǎo)致平臺(tái)無法效勞。2、入侵攻擊由于平臺(tái)自身的平安漏洞，攻擊者可以從互聯(lián)網(wǎng)入侵平臺(tái)設(shè)備。3、惡意代碼平臺(tái)軟件系統(tǒng)可能感染來自互聯(lián)網(wǎng)的病毒、木馬、蠕蟲。平臺(tái)面臨的威脅互聯(lián)網(wǎng)接入網(wǎng)+核心網(wǎng)云平臺(tái)物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)1物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)2物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)3?????終端面臨的威脅1、非法入侵由于終端側(cè)自身的漏洞〔弱口令、版本漏洞〕導(dǎo)致的設(shè)備被非法入侵和控制。2、惡意代碼〔病毒、木馬。蠕蟲〕多數(shù)物聯(lián)網(wǎng)終端由于本錢受限、處理性能不高等原因，自有平安防護(hù)能力差，易遭受病毒、木馬、蠕蟲和惡意軟件的攻擊，導(dǎo)致設(shè)備無法正常使用、信息泄露甚至危及整個(gè)網(wǎng)絡(luò)系統(tǒng)的平安。端、管、云都面臨非法入侵、惡意代碼、流量攻擊等平安威脅物聯(lián)網(wǎng)平安需求端管云協(xié)同的智能平安態(tài)勢(shì)感知防護(hù)平安需求終端〔感知層〕網(wǎng)絡(luò)〔網(wǎng)絡(luò)傳輸層〕云端〔應(yīng)用處理層〕應(yīng)用平安訪問認(rèn)證業(yè)務(wù)權(quán)限管理數(shù)據(jù)隔離密鑰管理數(shù)據(jù)加密物理平安接入平安運(yùn)行環(huán)境平安設(shè)備防盜、防水、防干擾設(shè)備入侵防護(hù)：終端異常分析、加密通信輕量級(jí)強(qiáng)認(rèn)證機(jī)制：分布式認(rèn)證、區(qū)塊鏈操作系統(tǒng)平安、軟件平安、防惡意代碼業(yè)務(wù)數(shù)據(jù)平安隔離、防泄漏、防復(fù)制設(shè)備激活、身份認(rèn)證、平安存儲(chǔ)、平安啟動(dòng)、完整性檢查軟件升級(jí)統(tǒng)一管理網(wǎng)絡(luò)平安域隔離設(shè)備接入認(rèn)證 防火墻自動(dòng)防御部署環(huán)境適配虛擬化環(huán)境要求DDoS防護(hù) IPSeC平安傳輸開放環(huán)境下端到端加密海量終端統(tǒng)一認(rèn)證傳統(tǒng)通信技術(shù)新型通信技術(shù)軟件完整性保護(hù)數(shù)據(jù)隱私保護(hù)數(shù)據(jù)平安應(yīng)用平安統(tǒng)一平安管理實(shí)時(shí)平安監(jiān)控操作系統(tǒng)平安平臺(tái)平安組件平安硬件平安環(huán)境平安物聯(lián)網(wǎng)平安體系架構(gòu)物聯(lián)網(wǎng)有巨量的感知終端，復(fù)雜的通信網(wǎng)絡(luò)，龐大的數(shù)據(jù)存儲(chǔ)與處理中心。但抽象來看，物聯(lián)網(wǎng)是終端-傳輸管道-云端架構(gòu)。向物聯(lián)網(wǎng)應(yīng)用、效勞提供者，物聯(lián)網(wǎng)終端、數(shù)據(jù)提供能力統(tǒng)一的控制管理平臺(tái)。提供集中的數(shù)據(jù)分析、存儲(chǔ)，進(jìn)行數(shù)據(jù)的使用和價(jià)值挖掘通過運(yùn)營商2G/3G/4G網(wǎng)絡(luò)、LPWA網(wǎng)絡(luò)、寬帶、其它網(wǎng)絡(luò)等〔廣電網(wǎng)、車載通信網(wǎng)〕進(jìn)行數(shù)據(jù)回傳。終端具有移動(dòng)化、微型化特征，包括攝像頭、智能家電、傳感器、智能設(shè)備等。工業(yè)互聯(lián)網(wǎng)車聯(lián)網(wǎng)智慧醫(yī)療智能家居公共平安環(huán)境監(jiān)測(cè)智慧城市智能物流食品追溯能源智能生活。。。。。。云……

管……端無線接入有線接入互聯(lián)網(wǎng)行業(yè)專網(wǎng)核心網(wǎng)NB-IoT數(shù)據(jù)整合數(shù)據(jù)挖掘數(shù)據(jù)呈現(xiàn)數(shù)據(jù)存儲(chǔ)設(shè)備管理業(yè)務(wù)指令接入控制計(jì)費(fèi)管理設(shè) 計(jì)備 算安 安全 全數(shù) 通據(jù) 信安 安全 全無 L線 P網(wǎng) W安 A全 安全防 數(shù)DD

據(jù)oS 安攻 全擊云平臺(tái)環(huán)境平安云平臺(tái)應(yīng)用效勞平安云平臺(tái)數(shù)據(jù)平安整體架構(gòu)平安技術(shù)數(shù)據(jù)安全1M2M

開發(fā)板智能停車智能抄表車隊(duì)管理智慧家庭智能監(jiān)控健康監(jiān)測(cè)單模塊移動(dòng)終端?？ㄒ惑w化終端M2M

SIM

卡行業(yè)定制終端終端云平臺(tái)LoRa等非標(biāo)2/3/4G/NB-IoT/eMTc/TE-V/5GHSSPGWSGWMME短距+網(wǎng)關(guān)網(wǎng)絡(luò)非蜂窩網(wǎng)絡(luò)蜂窩網(wǎng)絡(luò)? 終端設(shè)置強(qiáng)口令，定期更換? 定期升級(jí)系統(tǒng)〔OTA技術(shù)〕；代碼簽名? 終端出廠后平安檢查? 終端設(shè)備安裝病毒防護(hù)軟件? 建立專門用于物聯(lián)網(wǎng)的惡意代碼監(jiān)測(cè)，識(shí)別惡意代碼并進(jìn)行告警和攔截處置。DDoS攻擊

??城域網(wǎng)出口檢測(cè)異常流量，進(jìn)行流量清洗骨干網(wǎng)部署DDoS防御系統(tǒng)可防止國際和網(wǎng)間的攻擊

非法入侵

? 防火墻自動(dòng)防御系統(tǒng)? 核心網(wǎng)元漏洞掃描和弱口令檢查，升級(jí)設(shè)備? 設(shè)置防火墻和IPS，對(duì)出入平臺(tái)數(shù)據(jù)進(jìn)行過濾? 基線核查系統(tǒng)檢查效勞器設(shè)備配置? 漏洞掃描系統(tǒng)定期掃描漏洞? 定期滲透測(cè)試? 部署流量清洗系統(tǒng)DDoS攻擊

非法入侵惡意代碼

?定期升級(jí)系統(tǒng)和防病毒軟件;代碼簽名

非法入侵

惡意代碼云安全網(wǎng)絡(luò)安全終端安全物聯(lián)網(wǎng)體系平安防護(hù)策略從物聯(lián)網(wǎng)的網(wǎng)絡(luò)端和云端出發(fā)建立端、管、云的平安防護(hù)體系數(shù)據(jù)分析平臺(tái)業(yè)務(wù)管理平臺(tái)設(shè)備管理平臺(tái)云服務(wù)平臺(tái)運(yùn)營商物聯(lián)網(wǎng)終端平安防護(hù)方案建議 運(yùn)營商可利用自身優(yōu)勢(shì)，基于核心網(wǎng)數(shù)據(jù)分析來建立智能終端及物聯(lián)網(wǎng)終端的平安防護(hù)方案。

建立物聯(lián)網(wǎng)惡意軟件和病毒數(shù)據(jù)庫，對(duì)各類物聯(lián)網(wǎng)終端行為特征進(jìn)行模板化建立平安防護(hù)平臺(tái)，采集用戶行為數(shù)據(jù)，分析終端用戶的全類數(shù)據(jù)傳輸行為，包括信令消息、用戶數(shù)據(jù)包和SMS短信消息。物聯(lián)網(wǎng)平安防護(hù)難點(diǎn) 物聯(lián)網(wǎng)終端數(shù)量巨大，類型千差萬別，而其中很大一局部因?yàn)樵O(shè)備處理能力和功耗等原因無法安裝防護(hù)軟件。 物聯(lián)網(wǎng)平安的重點(diǎn)是要保護(hù)物聯(lián)網(wǎng)終端傳輸數(shù)據(jù)的平安性、私密性和準(zhǔn)確度。運(yùn)營商在物聯(lián)網(wǎng)平安防護(hù)方面的優(yōu)勢(shì) 從業(yè)務(wù)流程上分析，所有的物聯(lián)網(wǎng)終端傳輸?shù)臄?shù)據(jù)都要經(jīng)過運(yùn)營商的核心網(wǎng)。 如果能在核心網(wǎng)把所有物聯(lián)網(wǎng)終端傳輸?shù)臄?shù)據(jù)都收集后，對(duì)其進(jìn)行進(jìn)行分析、保護(hù)，監(jiān)測(cè)是否有數(shù)據(jù)的非法傳輸行為，是最直接、建設(shè)本錢最低、對(duì)業(yè)務(wù)影響最小的方式。運(yùn)營商物聯(lián)網(wǎng)平安防護(hù)方案智能終端保護(hù)平臺(tái)檢測(cè)：平安威脅例如受感染的用戶，最活潑的威脅，受影響的設(shè)備觀察：關(guān)聯(lián)電信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)模型和數(shù)據(jù)庫減輕：通過應(yīng)用自動(dòng)化操作，將影響降低至最?。? 通知用戶? 凍