1、共建可信可管的物聯網世界物聯網安全技術白皮書01物聯網快速發展，安全問題不容忽視06物聯網需要多重的端到端安全防御體系13 物聯網安全實踐參考17 物聯網安全典型案例22 共建可信可管的物聯網世界26 總 結縮略語摘 要物聯網（Internet of Things，簡稱 IoT）將海量的設備互聯，使得網絡更加開放復雜，業務更加豐富多樣。IoT 將帶我們進入一個萬物感知、萬物互聯、萬物智能的全新世界，然而同時，IoT 世界也面臨巨大的安全挑戰。本文分析了 IoT 安全技術的發展現狀， 提出了多重的端到端安全防御機制應作為應對 IoT 安全威脅的有效保障，并進一步總結了 IoT 安全的實踐供參考。

2、目前 IoT 技術正在飛速發展，新的安全問題和安全威脅依舊層出不窮，IoT 安全需要整個產業鏈的共建、共榮。所以我們倡導 IoT 的安全需要政府、國際組織和行業來共同建設，在政策引導、法律頒布、標準制定、技術創新和產業生態等方面加大投入，以促進 IoT 產業的健康發展。1物聯網快速發展1安全問題不容忽視物聯網的發展趨勢IoT一個新的時代已悄然來臨。全行業數字化轉型中，IoT 扮演了關鍵角色，技術創新下的海量連接，極大地提升了社會運轉的效率，方便了人們的生活。可以預見，IoT 將在多個領域加速滲透，整個 IoT 市場將快速打開。IoT 已經成為全行業數字化轉型的驅動力，全球的公司、政府、組織和團

3、體都在積極投入和研究這一仍處在發展中的技術，利用遍布各處的傳感器，廣泛收集和分析數據并應用，以更好地支撐各行各業的快速發展。隨著移動設備近年來的飛速普及，及其周邊平臺和服務的不斷擴張，IoT 市場空間迅速擴大。據 Gartner 預測， 到 2020 年全球 IoT 設備數量將增至 208 億臺，復合增速高達 34%。IoT 將滲透進人們生活的方方面面，廣泛進入各行各業，衍生出諸如智慧家庭、智慧教育、智慧醫療、可穿戴設備、車聯網等多種場景，其應用市場空間預測可參考圖 1-1。 智能樓宇建筑家$22Bn 智慧家庭$60Bn 智慧醫療$1Trillion健康教育智慧教育$344Bn穿戴設備$60B

4、n環境智能硬件水文、大氣、環境監控$705Bn公共事業水務 $330Bn能源 $400Bn車聯網$104Bn交通智慧城市安全、交通$1.6Trillion圖 1-1. IoT 應用市場空間預測( 數據來源：Ovum、GSMA、Gartner)2 共建可信可管的物聯網世界物聯網安全的威脅和挑戰誘人的數字之下可能蘊藏著巨大的危機：據 CNN 報道，2016 年 10 月 21 日，美國東部遭遇史上最大規模的 DDoS 攻擊，攻擊流量超過 1Tbps，近半個美國的網絡遭到攻擊并癱瘓。造成這次事故的元兇， 不是大家一貫所熟悉的 PC 和服務器等 IT 設備，而是 IoT 中很容易被人們所忽略的 IPC

5、 攝像頭、家庭路由器、數字視頻錄像機等微型智能設備。這些設備感染了 Mirai 惡意軟件，造成的攻擊導致亞馬遜等百余家知名網站出現數小時的癱瘓。據金融時報報道，2015 年 12 月 23 日，烏克蘭伊萬諾 - 弗蘭科夫斯克地區超過一半區域斷電幾小時，大量用戶受到影響。黑客以 BlackEnergy 病毒為攻擊工具， 通過遠程控制電力控制系統節點下達斷電指令，并通過對系統數據擦除覆蓋、關機等系列操作阻礙系統恢復。2015 年 7 月，連線雜志報道了一起吉普大切諾基被黑客遠程控制的事故。菲亞特 - 克萊斯勒針對此次事件發布了“網絡級安全措施”，防止汽車通過移動通信網絡被遠程控制，為了進一步保障安

6、全，該公司還面向美國的 140 萬輛汽車發出了“自愿安全召回”說明。安全威脅將長期存在，這是需要面對的事實，因為傳統網絡里 IT 安全手段已經很豐富了，依然存在大量的安全問題，IoT 世界也將面臨同樣的挑戰。從個人、家庭、社會到國家，此類重大安全事件層出不窮，Forrester 對全球組織的一項調查表明，47% 使用或計劃使用 IoT 的商業組織在行業應用中曾遇到過安全問題1。更深入的調查顯示： 27% 的控制系統被攻破或感染 80% 的設備采用簡單密碼； 70% 的通信過程未加密； 90% 的固件升級或更新未做簽名 , 大量設 備可能不更新，甚至無法更新。隨著生產力的提高和生活的便利化，在這

7、個漸漸被IoT 設備包圍的世界中，隨之而來的將是無處不在的安全威脅。從 IoT 的三個層面（見圖 1-3）來看有哪些安全威脅：感知層的泛 Sensor 無處不在，導致 IoT 端點不可信： 終端在戶外、分散安裝、易被接觸到又沒有納入管理，導致物理攻擊、篡改和仿冒。2015 年 7 月，汽車遠程被控制事件2016 年 10 月 21 日，DDOS 攻擊事件2015 年 12 月 23 日，烏克蘭電網事件圖 1-2. 物聯網安全事件不斷1 Forrester, “Security: The Vital Element of the Internet of Things,” 2015 。3 終端驅動

8、的不可信，可能會泄密和被控制。 OS 或軟件過時，漏洞無法及時修復。 考慮成本問題，終端資源、計算能力受限，防病毒等傳統的保護手段和高安全技術可能無法應用。網絡層的 IP 化和融合化，打開了威脅的大門： 無線協議本身缺陷如缺乏有效認證可能導致接入側泄密。 封閉的工業應用 & 協議無法被安全設備識別，被篡改和入侵后無法及時發現。 未加密的通信過程容易發生劫持、重放、篡改和竊聽等中間人攻擊。 IP 化后面臨 IP 體系的安全問題：如來自互聯網的攻擊和入侵。平臺和應用層的業務開放化帶來新的安全風險： 平臺層面所管理的設備分散、繁多，設備的升級過程和安全狀態等難以管理。 新的通信協議可能帶來應用層的安

9、全問題和漏洞， 比如畸形攻擊、泛洪攻擊等 新平臺自身漏洞和 API 開放等容易引入新的風險。 越權訪問導致隱私和安全憑證等重要數據有被泄露的風險。網絡 應用豐富、數據中心出口多，DDoS 等網絡攻擊風險高。感知平臺 & 應用RFID電視GSM/3G/4G/5G物流管理視頻監控PSTN/ISDN手機WLAN/WSN車載攝像頭IoT 網關IoT 業務平臺ICT 管理QOS空間信息管理工業交換機工業以太網濕度 Sensor泛 Sensor 無處不在IP 化 / 融合化業務開放性24h工業控制健康監測目錄服務接入交換機ONT溫度 Sensor圖 1-3 IoT 三個層次及特征4 共建可信可管的物聯網世

10、界 參差不齊的 IoT 應用有不可信風險。另外，設備、網絡和應用的廠商差異化，導致單一廠商無法進行全面的安全防護，甚至無法看到整個攻擊面。最后，隱私可能是 IoT 面臨的巨大法律挑戰之一。IoT 涉及對大量終端設備上人類活動的持續監控，意味著海量單個設備會生成、發送并接收大量個人信息和數據。而監控可能會引發對隱私和個人數據保護的多種要求。這此類要求并非是 IoT 時代中新出現的。一直以來，大家都會關注每一次新技術革新所帶來的隱私保護問題，所以在 IoT 時代關注隱私也就不足為奇了，而 IoT 時代涉及的設備更多、數據量更大，挑戰可能更大。物聯網安全的行業訴求IoT 的安全與其應用行業( 如圖

11、1-4 所示) 關系緊密。由于各行各業在自身業務屬性、服務對象、管理主體、工作方式等方面的差異性，IoT 安全在不同行業里的體現形式及相應需求也千差萬別。工業和能源：工控系統和智能電網的安全， 如 ICS/SCADA 的安全。一旦工業控制系統遭到攻擊，將可能導致整個系統停運，帶來停產、停電等嚴重的后果。交通：智能車輛保護、無人駕駛飛行器的安全和保護、衛星通信系統的保護。一旦遭受黑客攻擊，可能會造成嚴重的交通事故，威脅人們的生命安全。醫療：對連網的醫療設備的保護，醫學和藥物研究數據的加密，醫療數據的安全和無處不在的存儲。試想如果安裝在人身體里的無線心臟除顫器遭受黑客控制，病人的生命安全如何得到保

12、障？智慧城市：海量傳感器所收集的治安、衛生、交通等信息傳輸和存儲的安全。一旦軌道交通被不法者利用，就有可能發生調配失度、列車出軌的危險。金融：多種多樣的移動支付帶來了新的金融欺詐風險。一旦有漏洞被黑客利用，個人和企業的財產將遭受不可避免的損失。 因此，IoT 安全不僅事關商業利益，更已經影響到了國計民生的方方面面，構建 IoT 安全環境刻不容緩。工業金融交通智慧城市醫療能源圖 1-4 IoT 應用52物聯網需要多重的端到端6 共建可信可管的物聯網世界安全防御體系從上述 IoT 的威脅和挑戰來看，IoT 時代安全風險無處不在，大到系統平臺，小到傳感器，IoT 市場預期很高卻危機四伏，任何一處風險

13、都有可能使得威脅擴散到整個網絡與核心系統。因此安全問題需要從規劃建設 IoT 之時就考慮，建立一種多重的端到端安全防御體系（如圖 2-1 所示）, 確保即使在遭遇攻擊時整個系統仍可持續運行。IoT 多重安全體現在IoT 設備芯片、終端及其OS 安全、網絡安全、管理平臺、應用和企業運營的安全，因此我們可以從這幾個層面來看每層的安全防護技術和措施。保證每個層面安全的同時，還需要基于端管云的相互依賴和支撐關系來構建端到端的安全防御體系，這其中基于 IoT 整網的安全態勢感知尤為重要。芯片和 OS 安全為保證設備的安全，安全芯片是各類高安全 IoT 設備的首選，芯片廠商通過 TPM、TEE 等技術（見

14、圖 2-2）實現硬件級的高強度加密和隔離，提供可信環境和安全存儲， 將重要密鑰在可信芯片中存儲，防止數據泄密；同時支持設備安全啟動，對軟件和固件的啟動、升級進行簽名，保護數據完整性。未來 IoT 需要低成本、低能耗且標準統一的芯片級安全技術。芯 片 & 操作系統網關3G/4G/NB-IoTIoT 防火墻IoT 平臺網絡安全智能中心. .智慧家庭公共事業梯聯網平安城市. . 安全 終端 芯片安全 (TPM/TEE) 操作系統安全 ( 隔離 ) 終端安全插件 ( 輕量化 )安全 網絡 防火墻識別并過濾 IoT 協議和應用 防火墻處理百萬并發連接 無線和固網加密傳輸安全云 通過大數據分析和機器學習進

15、行威脅建模 IoT 網絡安全態勢感知 未知威脅檢測 預警及實時協同防護圖 2-1 IoT 多重端到端安全架構7TEE 區根密鑰圖 2-2 TEE 芯片安全當然，作為完整解決方案，安全的操作系統必不可少， 通常輕量化的IoT OS 調度機制中，不區分用戶態和內核態， 使用統一的內存空間，所有應用和內核均運行在特權模式。系統服務將會面臨眾多不確定的安全隱患。如果使用輕量級安全 OS 的隔離機制，使得用戶態與內核態隔離、應用與應用隔離，并支持內核內存保護機制，及內核隔離調度機制，那么業務系統的可靠性與安全性都會得到極大提高。安全 OS 通過內存管理重新進行合理布局，使得內核空間和應用空間分離；并采用

16、 Syscall 機制實現內核態和用戶態權限分離，通過 VM 實現不同應用之間的權限保護； 基于 MPU 或 MMU 來提供給用戶可配置的內存保護接口。具體安全保護措施（如圖 2-3 所示）包括： 設計合理的內存布局 區分內核態和用戶態 應用進程之間進行隔離 提供內存保護接口通過輕量級隔離機制實現的安全區是操作系統的安全保障。應用可借助內存保護單元創建基于安全區獨立的應用安全域。安全 OS 建立的輕量級隔離機制主要特性體現在以下方面： 安全訪問控制：沙盒與沙盒之間的相互隔離，安全訪問通道的建立使用，惡意代碼非法訪問的有效管控； 安全核：為固件更新（FOTA）、安全存儲、秘鑰管理、加解密、設備

17、ID 等提供安全保護基礎。由此安全 OS 能夠提供可信的身份認證、安全的固件更新、Internet 服務訪問權限管控和加解密及密鑰管理等功能。終端安全IoT 終端包括接入傳感器和設備，能夠采集相關的數據，并通過網絡進行設備連接和數據上報，具備低功耗、低成本、低計算存儲能力、易接觸、運行周期長、接口及協議復雜等特征。如上特征導致傳統的安全防御架構不再適用，需要一種能適應IoT 終端特點的新安全防護措施（如圖2-4 所示）：8 共建可信可管的物聯網世界APP1 禁止APP2用戶群IRQReturn 系統調用內核態禁止禁止內核沙箱數據 / 堆棧內核堆棧內核數據應用級特權級禁止允許圖 2-3 OS 安

18、全機制 物理安全：IoT 復雜環境下的防水，防塵，防震， 防電磁干擾。 接入安全：防仿冒的非法終端接入網絡，防止 IoT 設備淪為 DDoS“肉雞”。通過輕量級易集成的安全應用插件進行終端異常分析和加密通信等，實現終端入侵防護， 從而防止終端成為跳板、攻擊關鍵網絡節點。同時需要輕量化的強制認證機制和分布式認證、區塊鏈等新型技術。 運行環境安全：通過輕量級實時嵌入式操作系統內核級安全機制進行防護；業務代碼安全啟動支持軟件簽名， 保證只有合法沒有被篡改的軟件包才能加載；同時通過安全訪問白名單防止惡意代碼非法訪問。IoT 終端的安全需要從硬件到軟件綜合考慮，包括硬件芯片級的安全、OS 安全和 OS

19、層以上的終端安全加固。終端的可信和可管是最基本的安全要求，IoT 難以在不可信的基礎上大規模擴展。因此，各廠商需要依據數據的敏應用 1應 用 2 操作系統 /應用數據 / 堆棧接入安全物理安全業務數據安全運行環境安全統一納管 業務數據安全：本地數據安全，如數據隔離、防止拷貝和泄露等。 統一管理：提供全生命周期的安全管理，包括設備激活、身份認證、安全存儲、安全啟動、完整性檢查、軟件升級和設備退服在內的完整的生命周期管理。圖 2-4 終端安全防護措施9感程度、終端的智能程度和不同的網絡架構特點，甄選各種終端安全技術來適配復雜的海量 IoT 終端，如為平衡引入安全機制所帶來的資源消耗和成本，選擇使用

20、輕量化安全加密和分布式認證等新型安全技術。網絡層安全萬物互聯意味著網絡要支撐多樣的業務和龐大的流量，需要用到各類通信技術，包括以太網、RS232、RS485、PLC 等有線技術及GPRS、LTE、Zigbee、Z-Wave、Bluetooth、Wifi 等無線技術。基于這些通信技術的傳統網絡層安全機制大部分依然適用于 IoT，包括網絡安全域隔離，設備接入網絡的認證，防火墻自動防御網絡攻擊，DDoS 攻擊防護，應用和 Web 攻擊防護，控制面、用戶面提供 IPSec 安全傳輸等。IoT 的網絡層安全需要重點關注的主要有兩點，一是新的 IoT 通信技術如 NB-IoT 及未來 5G 的安全，二是大

21、量專有協議及工控網絡的安全機制。NB-IoT 及未來 5G 時代對安全的主要要求包括： 海量IoT 終端的高并發、去中心化、分布式統一認證。 部署形態上適配 NFV 環境的軟化、自動化部署、動態可編程。 開放環境下的端到端加密，新型輕量級加密算法。 安全檢測上對跨層跨廠商的攻擊檢測，多安全功能協同。IoT 需要充分利用無線移動通信的物理層傳輸特性， 通過認證、加密和安全傳輸等技術的應用，在保證用戶通信傳輸質量的同時，防止未知位置的竊聽和增加中間人攻擊的難度。空口層面，終端和網絡基于無線標準進行雙向認證，確保經過驗證的合法的終端接入合法的網絡。同時終端和網絡之間建立安全通道，對終端數據提供加密和

22、完整性保護，防止信息泄露、通訊內容被篡改和竊聽。另外，IoT 終端采用了大量的專有接口如 KNX、ModBus、CANBus 等，然后被接入到工控網絡中，而這些終端和網絡大多都是設計在孤立環境中運行的，安全機制相對薄弱。隨著 IoT 的逐步發展，這些終端和網絡將被逐步接入到互聯網中，這會引入新的安全問題。為解決這些問題，需要 IoT 防火墻（見圖 2-5）或安全網關等設備支持對工業協議和各行業應用的深度識別和自動過濾；支持海量接入的加密能力；實現白名單過濾技術，包括自定義協議能力；需要對終端資源消耗攻擊和基于多行業應用流量攻擊特征的 DDoS 自動防護；網絡安全產品還需要提供基于 IoT 特征

23、的病毒和高級威脅的防護功能。平臺和應用安全IoT 管理平臺主要提供海量 IoT 終端的管理、數據管理、運營管理和安全的管理，如圖 2-6 所示。各類管理中最關鍵的安全因素是個人數據保護，大量的個人數據可能會從分散的端側傳輸到某個 IoT 云平臺或處理平臺，因此個人數據需要得到充分的保護，符合相關國家和地區的隱私保護法律的要求。另外，IoT 平臺需要支持接入不同的垂直應用，比如智慧家庭、車聯網、智能抄表等，考慮到不同應用之間數據的安全性要求差異，在數據存儲層面應提供安全隔離機制。同時數據在傳輸過程需要保證機密性、完整性。敏感的信息如視頻數據等，需要實現云端的加密存儲，超過必要存留期的個人數據需要

24、及時刪除。IoT 應用本身的安全也需要考慮，保證云端訪問時進行強制認證和業務權限控制，應用數據傳輸過程不因應用本身漏洞而被竊取或攻擊，PC 和移動等端點存儲時進行有效加密和隔離。10 共建可信可管的物聯網世界Internet路由器數據庫服務器ERP服務器MES服務器辦公網OPC監控終端ERP客戶端數據庫客戶端工控邊界防火墻OPC服務器OPC服務器工程師站工程師站OPC服務器OPC服務器工控區域防火墻工控區域防火墻工控區域防火墻工業交換機工業交換機現場網工控區域防火墻工控區域防火墻生產設備生產設備監控網圖 2-5 工業防火墻的應用API 安全管理安全生命周期管理（發放、認證、綁定、升級、退服）安

25、全監控與異常檢測（大數據 / 機器學習 / 入侵檢測系統）數據隔離密鑰管理數據加密軟件完整性保護TPM / vTPM隱私保護基本安全維護管理（賬戶 / 權限 / 日志）網路隔離 & DoS 防御操作系統 / 數據庫 / web 系統 的 安全加固虛擬化平臺安全圖 2-6 IoT 平臺安全11安全態勢感知由終端與設備、通信與網絡、平臺與應用構成的龐大的 IoT 系統，不但需要每個層面的多重安全防護，還需要有端云協同的智能大數據安全分析能力（如圖 2-7 所示）。實現整網的智能安全態勢感知、可視化和安全防護，必將是 IoT 安全的發展方向。海量的 IoT 終端很容易成為攻擊的發起點和跳板，造成對

26、IoT 核心平臺的威脅。大數據安全分析平臺通過終端的流量基線和行為基線進行實時監控分析，能夠及時發現被感染的終端，聯動安全設備，根據配置的安全策略及時對感染的終端進行阻斷和隔離，以避免對核心平臺和業務系統造成危害。另一方面，大數據安全分析平臺能夠作為 IoT 全網的統一安全監控管理平臺，通過對全網進行安全監控，調度全網安全設備，實現對已知威脅、未知威脅的防御，尤其是對 APT 等高級威脅進行防護，避免網絡被攻擊等安全事件。大數據安全分析平臺通過全網態勢感知，并依托安全威脅情報庫的支撐，主動對 IoT 做出安全趨勢預測，及時采取對應的措施，實現對威脅的主動防御。智慧城市車聯網工業制造能源醫療金融

27、圖 2-7 端云協同的安全態勢感知有效管理安 全 的 物聯網世界自動防御主動預測小結萬物互聯時代帶來了海量的聯接，IoT 的安全是部署時必須考慮的，而非可選項。多重的端到端安全防御機制， 為 IoT 安全可靠的運行提供了有效的技術保障。但是 IoT 的安全問題非常復雜，不僅涉及技術方面，更多的是涉及到人員、設備和系統等的管理方面，需要系統性地解決。IoT 技術在飛速發展，新技術帶來的新的安全問題層出不窮，多重的端到端安全防御機制也需要與時俱進的提升和優化，最終通過有效管理、自動防御、以及結合態勢感知的主動預測（如圖 2-8 所示），實現一個健康的 IoT 運行環境。12 共建可信可管的物聯網世

28、界12 共建可信可管的物聯網世界圖 2-8 IoT 安全防護3物聯網13安全實踐參考IoT 的安全問題可以通過參考和借鑒信息技術安全領域的相關實踐來解決。對于實踐的借鑒需要貫穿部署的整個過程，從研究設計到在市場中的部署，包括軟件和硬件的漏洞評估，還有系統與通信的加固等等。由于 IoT 設備能夠應用于廣泛的生態系統中，例如企業環境、家庭、工業系統、醫保等等，相關實踐還應該應用于終端的恰當使用和配置。對所有使用情況都要進行風險評估、威脅分析和潛在攻擊影響的分析，這樣才能選擇合適的安全實踐來達到成本、可用性與安全性的良好平衡。例如，對于為醫保場景設計的設備，與智能手表相比，就必須考慮更多的參數， 應

29、用更加嚴格的安全實踐，其原因是顯而易見的。總之，制造商在開發 IoT 設備時，技術、上市時間和成本的限制就是在設備的互操作性和設計中必須考慮的因素。一些設備受到技術因素的限制，例如內部處理資源和內存有限、能耗問題等。在這樣的壓力下，制造商需要通過盡量降低零件和產品的設計成本，來減少設備的單位成本，但是另一方面，他們必須考慮在一些情況下的安全風險。概念設計階段的安全實踐正如之前所言，強烈建議關注 IoT 部署生命周期的所有階段，包括從設計到客戶使用的整個過程。 提供關于目標環境的中肯的市場規范和安全立法的觀點與研究。 早期階段會幫助確定下一階段的可行性和需要考慮的方方面面。技術開發中的安全實踐一

30、旦使用場景和運行環境的條件與限制都確定了，我們就開始關注所需硬件和軟件的安全。硬件依據不同部分的限制條件和重要程度，需要關注以下實踐： 啟動安全：提供保護啟動進程和可信更新的機制。 固件、內存和存儲：確保固件更新過程的安全，并應用加密驗證；驗證由于硬編碼口令或敏感數據導致的可能的信息泄露情況；并對存儲介質加密。 CPU 和微控制器：在關鍵的使用場景中，最好具備針對篡改或反向攻擊的檢測機制，以避免被操縱。 物理接入：針對接口，如 USB 接口、JTAG 等提供保護或禁用。對不利的環境因素設計相應的應對措施。 網絡部件：使用無線板、藍牙或射頻部件時，遵循現行安全標準。 電源管理：停電時有自動恢復機

31、制。軟件 操作系統：選擇經過驗證的操作系統，對于不同的概念 & 計劃安全規劃設計 & 開發硬件 & 軟件安全功能設計操作 & 部署安全驗證 & 測試安全檢查點運維設備 &管理安全安全和隱私保護貫穿始終圖 3-1 IoT 安全的全生命周期管理14 共建可信可管的物聯網世界情況，應用推薦的加固措施。遵循最小權限原則。用戶權限和許可需要特別注意，開啟與操作系統運行相關的防漏洞利用保護，例如 ASLR、NX 內存、沙箱等。 API 和開發框架：如果提供，需通過漏洞評估和更新策略來確保使用安全。 更新：制定針對操作系統和軟件更新的策略，包括第三方軟件。功能與部署的安全實踐 安裝與配置：精心設計安全的設置

32、與安裝步驟。強制用戶修改默認的安全相關的配置，如默認密碼等。 連接與服務：對不必要的網絡配置，如開放端口， 進行驗證。對所有類型的通信進行強制加密。 加密：選擇經過驗證的加密套件或者在某些情況下私有加密套件，驗證諸如偽隨機數產生器等可能的缺陷。 隱私考慮：確保對個人數據或敏感數據的保護，在能夠存儲這類數據的設備和每個終端上應用數據銷毀和加密存儲的機制。 認證與授權：如需，應用安全機制與設備本身和像云服務這樣的服務進行交互并建立連接。 備份和容災：在一些情況下，建議提供安全措施來確保在災難發生時能夠對數據和操作系統進行備份和完全恢復。備份存儲需要加密。驗證和測試的安全實踐產品構建完成并執行了適用

33、的安全實踐后，還需要對其功效進行測試。檢查點應該包括： 硬件檢視和操控測試； 網絡流量分析； 接口安全分析； 對認證和默認配置的缺陷進行驗證； 服務和輸入測試，以檢查對 DoS 和 fuzzing 攻擊的防御； 在實際場景中對備份和恢復過程進行驗證； 對更新機制以及固件和軟件的完整性校驗進行測試； 運行環境中的法規遵從。用戶運維的安全實踐如果最后在終端處，用戶、云服務或任何與 IoT 設備交互的人對安全不關注，那么上述階段中采取的所有措施都會付諸東流。在使用 IoT 時，建議考慮： 如果設備提供的功能性和服務沒有用過或不必要， 則禁用。 保證設備更新并配置正確。 使用強口令并經常變更口令。 在

34、將 IoT 設備與其他基礎設施集成時，為評估網絡連接和與環境的交互，確保選擇合適的位置放置設備。避免不當的干擾和暴露。 不要丟棄不用的 IoT 設備，它可能會變成不可控的安全問題。或者在丟棄前將設備內的數據進行有效清理。隱私保護實踐參考我們怎樣做才能在迎接IoT 時代的同時實現隱私保護？15隱私保護有很多種途徑，例如技術措施等，但是法律法規提供了最低限度的強制保護要求。在歐盟，主要的法規是新的統一個人數據保護法（EU GDPR），GDPR 提出了從設計著手隱私保護（Privacy by Design）的理念，并要求對特定的數據處理進行隱私影響評估（Privacy Impact Assessme

35、nt， 簡稱 PIA）。PIA 是履行數據保護義務的重要工具。正如 GDPR 所述， 當數據處理可能會導致較高個人權利和自由的風險時，需要執行 PIA。為了盡可能多地保障個人權利和自由，歐盟數據保護咨詢機構二十九條工作組提出了IoT 隱私保護方面的提議，如2： 在 IoT 中使用新的應用前應進行隱私影響評估。 IoT 中的每一位利益相關人應遵循“從設計著手隱私保護”和“默認隱私保護”的原則。 許多 IoT 利益相關人只需要匯聚數據而不需要原始數據，這種情況下一旦提取了數據處理所需的數據，必須立刻刪除原始數據。 設備制造商必須通知用戶傳感器收集的數據類型、如何進一步處理、傳感器接收的數據類型以及

36、如何處理并整合這些數據。 一旦數據主體撤銷同意或者反對數據處理，設備制造商應能夠迅速通知所有利益相關人。 與智能手機上的“免打擾”特性類似，IoT 設備應提供“不收集數據”的選項以便能調度或者快速禁用傳感器。 為防止位置跟蹤，設備制造商應能通過禁用不使用的無線接口來限制采集設備指紋，或者使用隨機標識（如使用隨機 MAC 地址去掃描 Wi-Fi 網絡）防止永久標識用于位置跟蹤。 用戶有權利訪問各自的數據。要給用戶提供工具， 以便用戶能使用結構清晰且常用的格式輕松導出各自數據。因此，設備制造商應提供用戶友好的界面，幫助用戶獲取他們要存儲的匯聚數據和 / 或原始數據。 使用同一設備的不同用戶應該通過

37、設置區分開來， 這樣用戶之間無法知曉彼此的活動。 默認情況下，IoT 設備上的社交應用在將設備生成的信息發布到社交平臺前應讓用戶審閱、編輯并決定。 默認情況下，IoT 設備發布到社交媒體平臺上的信息不應對外公布或者被搜索引擎索引。 用戶對使用連接設備和對結果數據處理的同意，必須是經過告知并自由給出的。若用戶決定不使用設備或者某一業務，用戶不應受到經濟懲罰或者降低設備接入能力。在西班牙，對數據的保護是 AEPD 部門的責任，該部門通過利益相關方對游戲規則的變化進行監控，同時也需要與主要公司以及公民攜手合作。公民扮演著多種角色： 互聯網用戶、內容生成者還有數據制造者。就這一點來看， 我們必須確保他

38、們的安全。為保證安全，在公共部門已經有關于信息再利用的指導方針，以及對個人數據匿名化的指導。如果一個公司尊重隱私、數據匿名化，以及數據保護， 那么該公司會贏得更多客戶信任，公司的經濟價值就會更高。從總體上看，一個公司在市場的信用與它的經濟價值是直接相關的。基于這樣的想法，我們需要重拾被遺忘的權利，并呼吁互聯網公司關注法律安全。 最后，針對將于2018 年生效的新規，我們需要繼續敦促必要工具的開發。為了實現這一目標，SETSI（現 SESIAD）、AEPS 和西班牙國家安全部隊在接下來的一年所做的工作將會是至關重要的。2 EU Article 29 Working Party. Opinion

39、8/2014 on Recent Developments on the Internet of Things.16 共建可信可管的物聯網世界物聯網安全典型案例174經過多年的培育和探索，全球 IoT 已經從實驗階段走向實際商用，智慧城市、智能物流等領域已經出現 IoT 的身影，并將廣泛進入智慧家庭、可穿戴設備、車聯網和智能電梯等。可以預見，IoT 將在多個領域加速滲透，整個IoT 市場將快速打開，給經濟發展和人們日常生活帶來巨大便利。然而，福兮，禍之所伏。IoT 龐大網絡體系和其中流轉的海量數據安全問題是巨大的隱患點。無論是信息的泄露、系統被破壞或者被外部控制，都會導致嚴重的損失，安全至關重

40、要。工業互聯網中的關鍵基礎設施已經成為網絡攻擊的對象。這些設施一旦被攻擊，造成網絡癱瘓，將會對國家安全、社會穩定造成不可估量的傷害。而且，攻擊主體已經上升到黑客組織乃至國家層面，攻擊手段也日益專業化、組織化和精細化。隨著特斯拉汽車的推出，以及蘋果、谷歌等互聯網巨頭新的智能汽車系統的成熟，車聯網正在從概念變為現實， 但是智能汽車一旦遭受黑客攻擊，車主被勒索甚至可能會造成嚴重的交通事故，威脅人們的生命安全。IoT 場景非常多，本文僅就智慧城市、智慧家庭、智能電網和梯聯網的部分成功實踐進行了優秀 DNA 分析， 供正在快速發展的廣大 IoT 垂直行業進行參考。新的 IoT 技術快速發展，新的安全問題

41、、威脅永遠不會停止，通過實踐摸索總結出 IoT 安全真諦的腳步永遠不會停下。智慧城市信息和通信技術快速發展，改變著人們的生活，也改變著城市運行和管理的方式，智慧城市應運而生。很多國家都在打造智慧城市，如中國、新加坡和泰國等，IoT 幫助智慧城市建立了一個巨大的神經網絡。IP 攝像頭作為智慧城市的神經網元之一，部署在各種復雜的環境中，監管困難，很容易被選擇為攻擊對象 ( 見圖 4-2)。其數量巨大， 一旦被攻擊，影響非常廣泛。通過對 IP 攝像頭使用場景下安全威脅分析，可以有針對性地構建 IoT 防御措施（如表4-1 中所示），并將其廣泛應用于視頻監控領域中。圖 4-1 車聯網18 共建可信可管

42、的物聯網世界典型安全威脅防御措施偽 IP 攝像頭終端欺騙仿冒設備唯一證書認證；設備生命周期管理視頻內容竊聽篡改，本地數據竊取安全隧道信令及數據雙加密；安全沙箱防數據泄露；大數據威脅基線跳板攻擊設備接口管理；網絡隔離；大數據威脅基線弱密碼，漏洞等入侵安全插件自檢表 4-1竊取隱私商業機密黑客屏幕矩陣WAN/Internet視頻監控中心欺騙仿冒圖 4-2 黑客入侵攻擊 IP 攝像頭網絡智慧家庭智慧家庭利用 IoT 技術，將家庭智能控制、信息交流及消費服務等有效地融入到家居生活中。目前業界，如AT&T、Telefonica、Vodafone、DT、中國移動、中國電信和中國聯通等均在發展智慧家庭業務，

43、例如家庭醫療、娛樂、能源、安防等（見圖 4-3）。在具體實踐中，智慧家庭解決方案需要多重端到端的安全防御機制來保障安全： 傳感器和設備安全：通過 Zigbee/Z-Wave 等近場通信協議，提供基于共享密鑰方式的加密通信通道，實現端點和網關的安全連接，保障了傳感器和設備安全。 網關內置單獨的 TPM 芯片實現安全啟動，檢測軟件、固件被篡改和植入惡意程序的風險，可信狀態上報到19云端，實現所有網關設備安全狀態的云端可視。 云平臺提供基于大數據和機器學習技術的安全分析能力，通過采集和分析各種日志、事件、流量信息，實現對物聯網設備狀態異常、終端用戶行為異常、云平臺狀態異常的分析，及時識別和管控對端側

44、設備以及云平臺入侵攻擊的風險。家庭安全家庭監控安全中心電視傳播實現豐富電視體驗低碳生活方式，減少能源消耗家庭能源家庭醫療管理家人健康實時視頻 7*24 小時保護您的家及時檢測風險并報警圖 4-3 智慧家庭安全智能電網建設靈活、清潔、安全、高效、經濟和友好的智能電網是許多國家和組織未來電網的發展方向，各國制定電力發展規劃，加強基礎設施建設。智能電網主要包括四大模塊，即高級計量架構（AMI）、高級配電運行（ADO）、高級輸電運行（ATO）、高級資產管理（AAM）。其中AMI 是智能電網的關鍵，全球電力計量系統正在逐步向AMI 演進，受電力物聯網浪潮影響，精確計量已成大勢所趨，智能電表成為 AMI

45、的核心。預計 2020 年，全球智能預付費業務線損分析PLC-IoT智能電表IoT 網關電表安裝將達到 59% 的滲透率。圖 4-4 智能抄表20 共建可信可管的物聯網世界實現百萬級的電表管理，可以幫助電力企業實現智能抄表、線損分析、用電分析和預付費等業務，然而智能電表一旦遭遇攻擊，例如被冒充或篡改，可能導致“無記錄” 消費、甚至大面積停電，從而造成經濟損失、甚至安全事故。這樣，智能電表將變成智能電網攻擊的強力武器。因此， 安全成為智能抄表必須考慮的因素。如何保證智能電表可信接入并對關鍵基礎設施進行有效保護，成為智能電網安全中的重要挑戰。電表分散在戶外，安全無保障，存在仿冒和數據篡改風險，因此

46、需進行終端防竊電設計和有效的身份認證以防非法接入；同時異常事件自動上報，竊電行為精準定位； 電表數據在上報過程中需要進行加密，防監聽和防泄漏； 而電力網絡則需要防止高級安全威脅、DDoS 和病毒等攻擊以防業務中斷、經濟損失。因此方案提供商需具備包括安全在內端到端解決方案和交付能力，并加強與用戶之間的互動，從而改善客戶體驗、提升供電品質，實現節能減排、提高企業運營效率、降低運營成本。梯聯網資料顯示，目前全球已經有超過 1500 萬部電梯在運行，而且這個數字還在不斷增長中。這么巨大的市場，加上近年來屢見報道的電梯安全事故，讓電梯行業成為一個運維服務需求巨大的市場。梯聯網部署后，對電梯的操控就可以通

47、過云端進行， 一旦有安全問題，如電梯被控制或者電梯部署位置等核心數據被泄露，后果不堪設想。為確保整個梯聯網的安全， 同樣需要多重的安全機制來保證數據傳輸和運維過程的安全（如圖 4-5 所示）： 第一是芯片，必須通過 TPM 確保傳感器、網關等設備的認證信息或軟件包是無法被篡改的； 第二是操作系統，在底層需要有安全模塊，確保OS 層面的安全，確保運行環境安全； 第三是網絡，從電梯到云端連接的通道全部采用加密，確保數據傳輸安全； 最后是云平臺，提供專門的安全防護方案，包括應用安全、高級威脅防護、云邊界安全、邏輯邊界安全和DDoS 攻擊防護等。智能終端IoT 網關網絡應用 / 云芯片安全安全證書終端

48、操作系統安全防篡改網絡安全IPsec/SSH應用 / 云 安全防攻擊IoT 操作系統梯聯網圖 4-5 梯聯網安全2122 共建可信可管的物聯網世界共建可信可管的物聯網世界5政府和行業積極引導隨著 IoT 的興起，世界主要大國也開始予以重視， 并嘗試制定國家 IoT 戰略。例如：西班牙網絡安全局（INCIBE）于 2016 年 7 月發布了Cyber Security Market Trends，倡議加強 IoT 安全的能力建設；美國國土安全部（DHS）2016 年 11 月發布了Strategic Principles for Securing the Internet of Things，作

49、為 IoT 安全的指導原則；European Programmer Horizon 2020 設定了融合網絡安全和 IoT 前景以及發展安全社會，保障歐洲和其公民的自由和安全等跨越多個方面的議題；中國工業互聯網聯盟（AII）下屬設置 IoT 安全專項組，負責完善標準制定等。IoT 正在驅動著一輪新的行業變革。但是在很多行業中，安全需求不同，各行業安全方案既不全面也不成熟， 在安全風險評估及應對方面并沒有明確的思路。單靠某個或某些行業的力量來保障 IoT 安全是不夠的，需要有更高層級的協調方來使各個相關行業能夠協同作戰。因此 IoT 安全相關的政策、法規及標準需要各國政府和行業組織作為國家戰略之

50、一去重視和加大投入，共同建設和推動 IoT 的發展。加快物聯網安全標準建設在技術的發展和演進過程中，標準起到了至關重要的作用，產品和解決方案均須依賴或遵從其適用的標準。在IoT 中，標準扮演著越發重要的作用，因為 IoT 是多類技術的結合，覆蓋從底層接入技術到上層跨垂直行業應用。相應地，IoT 安全正在逐漸成為各大標準組織的關注熱點。目前很多標準和聯盟組織都在針對 IoT 安全的各種挑戰，積極建議和設計安全技術標準，以滿足更智能、全聯接的生態系統需求。23組織相關文檔IoT 安全相關貢獻US NISTNIST.SP.800-160: Systems Security Engineering20

51、16 年 11 月發布 Systems Security Engineering，提出一套關于 IoT 的網絡安全指南，通過對連接設備生命周期管理的過程來保護利益相關者的需求。IIC(Industrial Internet Consortium)Industrial Internet of Things Volume G4: Security Framework2016 年 9 月發布工業 IoT 安全架構，期望產業界能對于如何保障 IIoT（工業 IoT）系統安全達成共識，目標是確保安全性成為 IIoT 系統架構的基礎元素，并涵蓋包括終端裝置以及系統元件之間連接的整個 IIoT 系統。IET

52、FRFC7744: Use Cases for Authentication and Authorization in Constrained Environments, RFC7925: Transport Layer Security (TLS) /Datagram Transport Layer Security (DTLS)Profiles for the Internet of Things . .在應用層、傳輸層和網絡層的安全協議及第三方認證 / 授權協議都有長期的積累，而且被廣泛地應用。鑒于部分 IoT 設備存在如處理能力、存儲、代碼量、能耗等方面資源受限， 工作組 ACE、DI

53、CE、T2TRG 和 CORE 正在致力于開發相關協議來適配。GSMA（GSM Association）IoT Security Guidelines著力于電信行業，當前為尋求發展 IoT 服務的服務提供商，提供一系列安全指南，旨在幫助IoT 產業建立對IoT 安全的共識。以確保在 IoT 服務的整個生命周期都部署最佳安全實踐。oneM2MoneM2M Security Solutions（TS-0003）聚焦制定 IoT 管理和應用使能平臺業務層標準，覆蓋需求、架構、API 標準、安全和互操作。oneM2M 計劃引入可信執行環節（TEE），期望所有利益相關方都借助相互隔離的存儲和執行資源來管理和控制私有的證書和安全策略。TCG（Trusted Computing Group）Guidance for securing IoT using TCG technology, Architects Guide: IoT Security為加速增強 IoT 安全，TCG 成立 IoT Sub Group，旨在指導如何將可信計算應用于IoT。TCG 已提出一系列安全策略指南， 目前正在努力完善標準來