轉自:中國通信院,全文下載地址: https://t00y.com/file/22083442-408800610
【摘 要】
白皮書主要從物聯網終端(含物聯網卡)和終端安全發展態勢出發,梳理物聯網終端的普適架構,分析切實存在的安全風險,提出集“新技術、新手段、新平臺”於一體的安全保障體系,並結合實際,對推動物聯網終端安全未來發展進行了展望。
【目 錄】
一、物聯網終端概述. 1
(一)物聯網終端發展情況. 1
(二)物聯網終端架構及分類. 5
二、物聯網終端安全發展態勢. 9
(一)終端安全能力普遍較低,安全事件頻發. 9
(二)終端安全事件影響較廣,覆蓋垂直行業. 10
(三)物聯網卡較難實名登記,變身詐騙溫牀. 12
(四)終端安全產業揚帆起步,催生多樣生態. 13
三、物聯網終端安全風險分析. 15
(一) 物聯網終端安全風險點分析. 15
(二) 物聯網卡安全風險點分析. 17
四、物聯網終端安全保障體系. 19
(一) 評估安全風險. 20
(二) 增加安全能力. 22
(三) 全面監測預警. 28
五、物聯網終端安全未來展望. 28
(一)明確要求,推動健康發展. 28
(二)以卡促端,創新管理模式. 29
(三)鼓勵創新,促進產業革新. 30
(四)產業聚力,構築共識生態. 31
1. 概述
毫無疑問,物聯網時代已經到來,據Gartner所發佈的調查報告顯示,2017年全球物聯網設備數量大約爲84億,到2020年這個數字將達到200億。
然而,和其它的很多行業一樣,在物聯網迅速發展的同時,安全問題也伴隨而生。目前物聯網終端面臨的安全形勢不容樂觀,安全事件層出不窮,而且一次比一次規模大,影響深遠。那麼物聯網終端到底面臨着哪些安全風險,又有哪些安全解決方案呢?
作爲物聯網終端安全系列文章的開篇,本文主要爲大家分析介紹一下物聯網終端面臨的安全風險。在後面的系列文章中,將陸續詳細介紹物聯網終端安全解決方案。
2. 物聯網終端安全風險分析
物聯網終端面臨的安全風險,主要分爲如下三大類,即:硬件風險、軟件風險以及數據風險。
2.1 硬件風險
硬件風險指的是由於物聯網終端硬件攻擊面導致的被攻擊的風險,即,硬件層面上可能被攻擊的薄弱環節所導致的風險,具體包括:硬件設計缺陷、硬件接口未做保護,說明如下:
硬件設計缺陷
由於硬件設計上安全考慮不足,可能導致攻擊者長驅直入。比如:如果設備沒有防拆功能,攻擊者可以拆開設備,並利用工具讀取敏感信息;如果硬件沒有電磁信號屏蔽機制,攻擊者則可能通過側信道攻擊獲取密鑰。因此硬件安全缺陷,會給物聯網終端設備造成極大的安全隱患。
硬件接口未做保護
通常爲了便於終端維護,設備生產廠商會預留相應的硬件或者軟件調試接口,以便於進行運維過程中單中的本地調試或者遠程調試。而如果這些接口沒有有效控制和管理的話,可能構成極大隱患。
2.2 軟件風險
軟件風險是物聯網終端面臨的第二大類風險,這類風險是由於物聯網終端軟件攻擊面所導致的,具體包括軟件漏洞、缺乏安全有效的更新機制、薄弱的身份認證和授權機制,說明如下:
軟件漏洞
物聯網設備通常採用通用、開源的操作系統,或直接調用並未做任何安全檢測的第三方組件,給物聯網智能終端帶來了極大的安全風險。比如:“Heartbleed”漏洞就是由於開源的OpenSSL1.0.1版本存在缺陷導致的。
缺乏安全有效的更新機制
任何軟件的安全漏洞都是無法徹底避免的,物聯網終端軟件也是一樣,因此需要一種快捷、安全地軟件更新機制。當然,即使有了軟件更新機制,如果軟件升級過程中沒有完整性和合法性校驗,升級過程可能被惡意攻擊和利用,這無疑給物聯網終端安全帶來更大的隱患。
薄弱的身份認證和授權機制
現在的物聯網終端身份認證和授權不足是普遍的問題,大量智能終端還在使用弱密碼,或者使用缺省登錄帳號和密碼,設置一些設備沒有設置缺省密碼,登錄不需要任何認證,黑客很容易就可以獲取到這類設備的控制權。
2016年美國大規模斷網事件,就是由於大量採用弱密碼的攝像頭被黑客攻擊利用,並進而發動DDOS攻擊所導致的。
來源:中國信通院