公務(wù)員期刊網(wǎng) 論文中心 正文

物聯(lián)網(wǎng)信息安全威脅與防護策略實現(xiàn)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了物聯(lián)網(wǎng)信息安全威脅與防護策略實現(xiàn)范文,希望能給你帶來靈感和參考,敬請閱讀。

物聯(lián)網(wǎng)信息安全威脅與防護策略實現(xiàn)

摘要:物聯(lián)網(wǎng)被稱為繼計算機和互聯(lián)網(wǎng)之后的第三次信息技術(shù)革命,如今早已滲透到人們工作、生活的方方面面。然而物聯(lián)網(wǎng)的廣泛應(yīng)用難以掩蓋所存在的安全威脅,這些源自各種漏洞的威脅會導(dǎo)致生產(chǎn)中斷、資產(chǎn)損失和生活困擾,因此本文分析了物聯(lián)網(wǎng)信息安全威脅與需求,闡述了物聯(lián)網(wǎng)信息安全防護策略實現(xiàn)方法。

關(guān)鍵詞:物聯(lián)網(wǎng);信息安全威脅;安全防護策略

狹義上理解,物聯(lián)網(wǎng)是指物-物互聯(lián)的網(wǎng)絡(luò),即利用信息感知設(shè)備(例如射頻識別RFID、GPS、激光掃描裝置、紅外感應(yīng)裝置等)獲取物品數(shù)據(jù)和信息,以互聯(lián)網(wǎng)為媒介,實現(xiàn)物品的智能識別、定位、跟蹤、監(jiān)控和管理[1]。廣義上說,物聯(lián)網(wǎng)不局限于物-物互聯(lián),而是將一切事物數(shù)字化、網(wǎng)絡(luò)化,在物-物之間、人-物之間、人-環(huán)境之間實現(xiàn)信息空間與物理空間的充分融合和高效信息交換[2]。物聯(lián)網(wǎng)的發(fā)展和技術(shù)更新既帶動了經(jīng)濟發(fā)展,方便了我們的生活,也存在漏洞、網(wǎng)絡(luò)攻擊、數(shù)據(jù)安全等亟待解決的多種威脅[3]。因此,本文對物聯(lián)網(wǎng)信息安全威脅與安全防護策略的實現(xiàn)進行了分析。

1物聯(lián)網(wǎng)信息安全威脅與安全需求

1.1物聯(lián)網(wǎng)系統(tǒng)架構(gòu)

物聯(lián)網(wǎng)一般采用三層架構(gòu):由傳感器、RFID等采集數(shù)據(jù)的設(shè)備構(gòu)成感知層;由信息接入、數(shù)據(jù)匯聚和核心交換等網(wǎng)絡(luò)設(shè)備構(gòu)成網(wǎng)絡(luò)層;由數(shù)據(jù)分析、計算等管理功能抽象的應(yīng)用層[4]。三層架構(gòu)實現(xiàn)了物聯(lián)網(wǎng)從信息采集、信息傳輸?shù)叫畔⑻幚淼耐暾^程,但其面對的信息安全威脅也與三層架構(gòu)有著密切關(guān)系,下面圍繞這三層架構(gòu)進行分析。

1.2物聯(lián)網(wǎng)常見信息安全威脅

物聯(lián)網(wǎng)之所以會面對各種安全威脅,主要原因是系統(tǒng)中存在漏洞,攻擊者利用這些漏洞進行攻擊和非法入侵,而為了達(dá)到攻擊目的,攻擊者常常借助病毒、木馬、惡意軟件等手段[5]。例如攻擊者使用僵尸病毒,通過自動化腳本組合出物聯(lián)網(wǎng)終端節(jié)點用戶名和密碼,從而篡改設(shè)備配置,使之成為僵尸節(jié)點。隨著越來越多的終端節(jié)點設(shè)備被破解,龐大的僵尸網(wǎng)絡(luò)逐漸形成。根據(jù)物聯(lián)網(wǎng)三層結(jié)構(gòu)特點,各層常見信息安全威脅如圖1所示。

1.3物聯(lián)網(wǎng)信息安全需求

根據(jù)物聯(lián)網(wǎng)架構(gòu)層次特點及威脅來源,信息安全需求主要包括以下幾方面:第一,節(jié)點安全需求。如圖1顯示的情況,節(jié)點自身易受到各種攻擊,譬如物理攻擊、惡意注入、篡改假冒等,因而需加強節(jié)點防護措施。第二,數(shù)據(jù)安全需求。數(shù)據(jù)采集是物聯(lián)網(wǎng)感知層的主要功能,攻擊者通過竊聽、篡改、偽造數(shù)據(jù)方式進行攻擊,所以需對采集的數(shù)據(jù)加以保護。第三,網(wǎng)絡(luò)安全服務(wù)需求。數(shù)據(jù)傳輸是網(wǎng)絡(luò)層的重要功能,為避免網(wǎng)絡(luò)擁塞和拒絕服務(wù),故有安全服務(wù)需求。第四,輕量高效的安全需求。通常,物聯(lián)網(wǎng)節(jié)點設(shè)備的計算能力、存儲容量、電池電量等有一定限制,不適合運行復(fù)雜、能耗高的安全系統(tǒng),所以輕量化、能耗低、效率高是基本需求。

2物聯(lián)網(wǎng)信息安全防護策略及實現(xiàn)

2.1物聯(lián)網(wǎng)信息安全防護策略

第一,感知層安全防護策略。感知層包含各類傳感器、RFID、攝像頭及多種智能設(shè)備,這些設(shè)備大小、功能各異,面對的安全威脅也多種多樣,故需從硬件、接入、操作系統(tǒng)、應(yīng)用等多個環(huán)節(jié)入手,確保硬件安全、接入安全、操作系統(tǒng)安全和應(yīng)用安全,保證數(shù)據(jù)不被篡改和未授權(quán)獲取,防范非法侵入和攻擊,保證操作系統(tǒng)升級更新過程安全可控,應(yīng)用軟件行為受到監(jiān)控。第二,網(wǎng)絡(luò)層安全防護策略。物聯(lián)網(wǎng)采用無線局域網(wǎng)、窄帶物聯(lián)網(wǎng)絡(luò)、蜂窩移動網(wǎng)絡(luò)、無線自組網(wǎng)絡(luò)等多種接入技術(shù),面對的安全威脅也復(fù)雜多樣,需從身份認(rèn)證、數(shù)據(jù)完整性保護、數(shù)據(jù)傳輸加密操作、網(wǎng)絡(luò)通信安全感知等方面進行加強,包括引入身份認(rèn)證機制、強化終端數(shù)據(jù)完整性保護、禁止明文傳輸(即加密處理)、跟蹤監(jiān)控通信網(wǎng)絡(luò)行為等策略。第三,應(yīng)用層安全防護策略。物聯(lián)網(wǎng)內(nèi)會產(chǎn)生海量數(shù)據(jù),配置大量服務(wù)資源,為避免攻克一點而全網(wǎng)崩潰的局面的出現(xiàn),應(yīng)采用去中心管理系統(tǒng),即分布式數(shù)據(jù)管理系統(tǒng),同時配置系統(tǒng)加固、漏洞檢測、安全審計等功能,強化安全防護能力。對于采用云計算的應(yīng)用,為防范各種攻擊行為,可采取設(shè)置安全基線、自動檢測、不定期掃描漏洞和系統(tǒng)更新、數(shù)據(jù)統(tǒng)計分析、安裝防病毒軟件等策略,并采取業(yè)務(wù)分級保護措施。

2.2物聯(lián)網(wǎng)信息安全防護框架

結(jié)合物聯(lián)網(wǎng)信息安全防護策略,構(gòu)建應(yīng)用于多種場景、不同構(gòu)架層次的防護框架,如圖2所示。感知層安全防護的重點是保護終端設(shè)備安全,為此根據(jù)防護策略需采取多種防護技術(shù),防御攻擊者借助僵尸病毒發(fā)起攻擊是關(guān)鍵環(huán)節(jié)。網(wǎng)絡(luò)層安全防護的重心是保障數(shù)據(jù)傳輸安全,其中核心是保障通信的安全,保護通信可采取通信加密和認(rèn)證的方式。應(yīng)用層安全防護的重點是保護通信服務(wù)器安全,為此可采取異常流量監(jiān)測和通信協(xié)議深度包檢測的方式,發(fā)現(xiàn)異常及時報警,以防范攻擊規(guī)模擴大。

2.3物聯(lián)網(wǎng)信息安全防護策略的實現(xiàn)

2.3.1感知層信息安全防護策略的實現(xiàn)感知層內(nèi)分布著大量節(jié)點終端設(shè)備,攻擊者主要通過端口掃描和暴力破解方式進行攻擊,為實現(xiàn)感知層信息安全防護策略,可從加強端口掃描檢測和暴力破解檢測做起。檢測端口掃描可部署入侵檢測系統(tǒng)(IDS),其原理是對節(jié)點終端設(shè)備收集的數(shù)據(jù)進行分析,從中發(fā)現(xiàn)攻擊信息,識別攻擊行為,進而判斷是否存在入侵行為,有則立即采取措施避免攻擊擴大。確定入侵行為后向防火墻報警,防火墻實時阻斷端口掃描數(shù)據(jù)包。防御暴力破解攻擊可利用防火墻工具,通過限制相關(guān)服務(wù)的登錄次數(shù)來防御,因為暴力破解需通過大量嘗試獲得正確的登錄用戶名和密碼,設(shè)置登錄失敗次數(shù)的閾值(例如3次),防火墻就會自動屏蔽攻擊者的IP地址。為避免合法用戶因輸入錯誤而被防火墻屏蔽,可采取設(shè)置白名單的措施。

2.3.2網(wǎng)絡(luò)層信息安全防護策略的實現(xiàn)網(wǎng)絡(luò)層信息安全防護可采取通信加密和身份認(rèn)證策略?,F(xiàn)代加密算法有對稱加密算法和非對稱加密算法之分,前者加密和解密使用同一密鑰,后者加密和解密使用不同的密鑰。對稱加密算法的優(yōu)點是加解密快速,但用戶數(shù)量過多時密鑰管理負(fù)擔(dān)重,AES、DES或3DES是典型的對稱加密算法。非對稱加密算法復(fù)雜,安全性高,但相對對稱加密算法來說加解密速度比較慢,RSA是典型的非對稱加密算法。身份認(rèn)證策略也是基于密碼學(xué)理論實現(xiàn)的,主要基于數(shù)字證書或公鑰、身份標(biāo)識認(rèn)證,例如基于數(shù)字證書的身份認(rèn)證由發(fā)證機構(gòu)(CA)用私鑰對身份信息(用戶名、公鑰)、證書機構(gòu)名稱、證書有效期進行數(shù)字簽名,再加上用戶身份信息就形成了數(shù)字證書。

2.3.3應(yīng)用層信息安全防護策略的實現(xiàn)應(yīng)用層信息安全防護主要是檢測深度包和監(jiān)測異常流量。深度包檢測是對通信協(xié)議進行解析和訪問控制,拒絕不符合通信協(xié)議及特征異常的數(shù)據(jù)包。監(jiān)測通信流量的通信系統(tǒng),一旦發(fā)現(xiàn)異常數(shù)據(jù)包,即報警處理。

3結(jié)語

通常,物聯(lián)網(wǎng)由感知層、網(wǎng)絡(luò)層和應(yīng)用層三層架構(gòu)組成,各層具有不同的功能與特點,面對的安全威脅也不盡相同。為應(yīng)對多種安全威脅,提出了物聯(lián)網(wǎng)節(jié)點、數(shù)據(jù)、網(wǎng)絡(luò)安全服務(wù)、輕量高效等安全需求。針對物聯(lián)網(wǎng)架構(gòu)不同層次安全威脅,各層次有其獨特的安全防護策略。為實現(xiàn)這些安全防護策略,需構(gòu)建安全防護框架,并在框架指導(dǎo)下確立各層次安全防護策略的實現(xiàn)方法。

參考文獻:

[1]王斌.工業(yè)物聯(lián)網(wǎng)信息安全防護技術(shù)研究[D].成都:電子科技大學(xué),2018:1.

[2]駱漢光.面向物聯(lián)網(wǎng)的輕量級安全協(xié)議及關(guān)鍵技術(shù)研究[D].成都:電子科技大學(xué),2019:1-4.

[3]楊威超.數(shù)據(jù)驅(qū)動的物聯(lián)網(wǎng)安全威脅檢測與建模[D].鄭州:中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué),2019:1-2.

[4]鈕鑫,楊小來.物聯(lián)網(wǎng)系統(tǒng)安全威脅分析與研究[J].科技通報,2019,35(5):132-137.

[5]劉化坤,宋蘭霞,肖玉月,等.淺析物聯(lián)網(wǎng)信息安全問題及解決對策[J].電腦知識與技術(shù),2019,15(23):24-25.

作者:馬艷娟 王和寧 單位:國家計算機網(wǎng)絡(luò)與信息安全管理中心青海分中心

相關(guān)文章閱讀