PDF《物联网安全白皮书》

物联网安全白皮书 绿盟科技创新中心 ?

2016 绿盟科技 版权声明 特别声明 本文中出现的任何文字叙述、 文档格式、 插图、 照片、 方法、 过程等内容, 除另有特别注明, 版权均属绿盟科技所有,受到有关产权及版权法保护.

任何个人、机构未经绿盟科技的书面授 权许可,不得以任何方式复制或引用本文的任何片断. 为避免客户数据泄露,所有数据在进行分析前都已经匿名化处理,不会在中间环节出现 泄露,任何与客户有关的具体信息,均不会出现在本报告中. 《物联网安全白皮书》 由绿盟科技创新中心撰写 绿盟科技持续关注物联网安全的相关信息 , 如需了解更多,请联系: 一.物联网安全概述・1 1.1 引言・1 1.2 物联网安全的体系结构・3 1.3 研究项目和标准化组织・4 1.3.1 物联网安全项目・4 1.3.2 TRUST・6 1.3.3 OWASP Internet of Things Project・6 1.3.4 CSA・6 1.3.5 NIST・7 1.3.6 IoT Security Foundation・7 二.物联网安全需求及对策

9 2.1 引言・9 2.2 隐私保护・9 2.3 认证・10 2.4 访问控制管理・10 2.5 数据保护・11 2.6 物理安全・11 2.7 设备保护和资产管理・11 2.8 攻击检测和防御・12 2.8.1 拒绝服务攻击・12 2.8.2 病毒攻击

12 2.8.3 APT 攻击・12 2.8.4 蜜罐

13 2.9 态势感知・13 2.9.1 异常行为检测・13 2.9.2 脆弱性评估

13 2.9.3 威胁情报交换・14 2.9.4 可视化展示

14 2.9.5 物联网事件响应措施・14 2.10 通信保护

14 2.11 日志和审计・15 三.物联网安全相关技术

16 3.1 引言・16 3.2 已有技术在物联网环境中的应用・17 3.2.1 异常行为检测・17 3.2.2 代码签名

17 3.2.3 白盒密码

18 3.2.4 over-the air (OTA)18 3.2.5 深度包检测 (DPI )技术・18 目录 3.2.6 防火墙

19 3.2.7 访问控制

20 3.3 新技术的探索・21 3.3.1 区块链

21 3.4 物联网相关设备、平台、系统的漏洞挖掘和安全设计・21 3.4.1 物联网平台漏洞挖掘・21 3.4.2 物联网协议的 0Day 漏洞主动挖掘技术

22 3.4.3 物联网操作系统漏洞挖掘・22 3.4.4 嵌入式设备安全框架・22 四.物联网安全公司及产品介绍・24 4.1 引言・24 4.2 赛门铁克・25 4.3 CUJO・27 4.4 Vidder

28 4.5 NexDefense

29 4.6 Intel・30 五.总结及思考・37 5.1 物联网安全可以作为切入点的领域・37 5.2 物联网安全研究点・37

1 一.物联网安全概述 1.1 引言 早在

1999 年,MIT AutoID 研究室的 Kevin Ashton 在研究将射频识别 信息与互联网相连接的时候首先提到了物联网的概念;

同年,在美国召开 的移动计算和网络国际会议就提出, 传感网是下一个世纪人类面临的又 一个发展机遇 ;

2005 年11 月17 日,信息社会世界峰会(WSIS)上, 国际电信联盟(ITU)发布了《ITU 互联网报告 2005:物联网》,正式提 出了 物联网 的概念;

2009 年8月,温家宝总理到无锡物联网产业研 究院考察时,明确指示在物联网的发展中,要早一点谋划未来,早一点攻 破核心技术,并且明确要求尽快建立中国的传感信息中心,或者叫 感知 中国 中心.物联网已经被视为继计算机和互联网之后的第三次信息技术 革命. 那么什么是物联网呢?维基百科对于物联网(Internet of Things)的 定义为物联网是将物理设备、车辆、建筑物和一些其它嵌入电子设备、软件、传感器等事物与网络连接起来,使这些对象能够收集和交换数据的网 络.物联网允许远端系统通过现有的网络基础设施感知和控制事物,可以 将物理世界集成到基于计算机系统,从而提高效率、准确性和经济利益. 经过二十多年的发展,物联网已经逐步融入到我们的生活中来.从应用于 家庭的智能恒温器,智能电灯等设备,到与身体健康相关的智能穿戴设备. 每一种智能设备的出现,都大大便利了人们的生活. 但是物联网在给人们的生活带来便利的同时,也会给人们带来种种隐 忧. 2014年, 研究人员演示了如何在15秒的时间内入侵家里的恒温控制器, 通过对恒温控制器数据的收集,入侵者就可以了解到家中什么时候有人, 他们的日程安排是什么等信息.许多智能电视带有摄像头,即便电视没有 打开,入侵智能电视的攻击者可以使用摄像头来监视你和你的家人.攻击 者在获取对于智能家庭中的灯光系统的访问后,除了可以控制家庭中的灯 光外,还可以访问家庭的电力,从而可以增加家庭的电力消耗,导致极大 的电费账单.种种安全问题提示人们,在享受物联网带来的方便快捷的同 时,也要关注物联网的安全问题. CSA 发布的白皮书《Security Guidance for Early Adopters of the Internet of Things (IoT)》1 中提到 IoT 带来如下新的挑战: