物聯(lián)網(wǎng)信息安全威脅與防護(hù)策略實(shí)現(xiàn)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了物聯(lián)網(wǎng)信息安全威脅與防護(hù)策略實(shí)現(xiàn)范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：物聯(lián)網(wǎng)被稱為繼計(jì)算機(jī)和互聯(lián)網(wǎng)之后的第三次信息技術(shù)革命，如今早已滲透到人們工作、生活的方方面面。然而物聯(lián)網(wǎng)的廣泛應(yīng)用難以掩蓋所存在的安全威脅，這些源自各種漏洞的威脅會導(dǎo)致生產(chǎn)中斷、資產(chǎn)損失和生活困擾，因此本文分析了物聯(lián)網(wǎng)信息安全威脅與需求，闡述了物聯(lián)網(wǎng)信息安全防護(hù)策略及實(shí)現(xiàn)方法。

關(guān)鍵詞：物聯(lián)網(wǎng)；信息安全威脅；安全防護(hù)策略

狹義上理解，物聯(lián)網(wǎng)是指物-物互聯(lián)的網(wǎng)絡(luò)，即利用信息感知設(shè)備（例如射頻識別RFID、GPS、激光掃描裝置、紅外感應(yīng)裝置等）獲取物品數(shù)據(jù)和信息，以互聯(lián)網(wǎng)為媒介，實(shí)現(xiàn)物品的智能識別、定位、跟蹤、監(jiān)控和管理[1]。廣義上說，物聯(lián)網(wǎng)不局限于物-物互聯(lián)，而是將一切事物數(shù)字化、網(wǎng)絡(luò)化，在物-物之間、人-物之間、人-環(huán)境之間實(shí)現(xiàn)信息空間與物理空間的充分融合和高效信息交換[2]。物聯(lián)網(wǎng)的發(fā)展和技術(shù)更新既帶動了經(jīng)濟(jì)發(fā)展，方便了我們的生活，也存在漏洞、網(wǎng)絡(luò)攻擊、數(shù)據(jù)安全等亟待解決的多種威脅[3]。因此，本文對物聯(lián)網(wǎng)信息安全威脅與安全防護(hù)策略的實(shí)現(xiàn)進(jìn)行了分析。

1物聯(lián)網(wǎng)信息安全威脅與安全需求

1.1物聯(lián)網(wǎng)系統(tǒng)架構(gòu)

物聯(lián)網(wǎng)一般采用三層架構(gòu)：由傳感器、RFID等采集數(shù)據(jù)的設(shè)備構(gòu)成感知層；由信息接入、數(shù)據(jù)匯聚和核心交換等網(wǎng)絡(luò)設(shè)備構(gòu)成網(wǎng)絡(luò)層；由數(shù)據(jù)分析、計(jì)算等管理功能抽象的應(yīng)用層[4]。三層架構(gòu)實(shí)現(xiàn)了物聯(lián)網(wǎng)從信息采集、信息傳輸?shù)叫畔⑻幚淼耐暾^程，但其面對的信息安全威脅也與三層架構(gòu)有著密切關(guān)系，下面圍繞這三層架構(gòu)進(jìn)行分析。

1.2物聯(lián)網(wǎng)常見信息安全威脅

物聯(lián)網(wǎng)之所以會面對各種安全威脅，主要原因是系統(tǒng)中存在漏洞，攻擊者利用這些漏洞進(jìn)行攻擊和非法入侵，而為了達(dá)到攻擊目的，攻擊者常常借助病毒、木馬、惡意軟件等手段[5]。例如攻擊者使用僵尸病毒，通過自動化腳本組合出物聯(lián)網(wǎng)終端節(jié)點(diǎn)用戶名和密碼，從而篡改設(shè)備配置，使之成為僵尸節(jié)點(diǎn)。隨著越來越多的終端節(jié)點(diǎn)設(shè)備被破解，龐大的僵尸網(wǎng)絡(luò)逐漸形成。根據(jù)物聯(lián)網(wǎng)三層結(jié)構(gòu)特點(diǎn)，各層常見信息安全威脅如圖1所示。

1.3物聯(lián)網(wǎng)信息安全需求

根據(jù)物聯(lián)網(wǎng)架構(gòu)層次特點(diǎn)及威脅來源，信息安全需求主要包括以下幾方面：第一，節(jié)點(diǎn)安全需求。如圖1顯示的情況，節(jié)點(diǎn)自身易受到各種攻擊，譬如物理攻擊、惡意注入、篡改假冒等，因而需加強(qiáng)節(jié)點(diǎn)防護(hù)措施。第二，數(shù)據(jù)安全需求。數(shù)據(jù)采集是物聯(lián)網(wǎng)感知層的主要功能，攻擊者通過竊聽、篡改、偽造數(shù)據(jù)方式進(jìn)行攻擊，所以需對采集的數(shù)據(jù)加以保護(hù)。第三，網(wǎng)絡(luò)安全服務(wù)需求。數(shù)據(jù)傳輸是網(wǎng)絡(luò)層的重要功能，為避免網(wǎng)絡(luò)擁塞和拒絕服務(wù)，故有安全服務(wù)需求。第四，輕量高效的安全需求。通常，物聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備的計(jì)算能力、存儲容量、電池電量等有一定限制，不適合運(yùn)行復(fù)雜、能耗高的安全系統(tǒng)，所以輕量化、能耗低、效率高是基本需求。

2物聯(lián)網(wǎng)信息安全防護(hù)策略及實(shí)現(xiàn)

2.1物聯(lián)網(wǎng)信息安全防護(hù)策略

第一，感知層安全防護(hù)策略。感知層包含各類傳感器、RFID、攝像頭及多種智能設(shè)備，這些設(shè)備大小、功能各異，面對的安全威脅也多種多樣，故需從硬件、接入、操作系統(tǒng)、應(yīng)用等多個環(huán)節(jié)入手，確保硬件安全、接入安全、操作系統(tǒng)安全和應(yīng)用安全，保證數(shù)據(jù)不被篡改和未授權(quán)獲取，防范非法侵入和攻擊，保證操作系統(tǒng)升級更新過程安全可控，應(yīng)用軟件行為受到監(jiān)控。第二，網(wǎng)絡(luò)層安全防護(hù)策略。物聯(lián)網(wǎng)采用無線局域網(wǎng)、窄帶物聯(lián)網(wǎng)絡(luò)、蜂窩移動網(wǎng)絡(luò)、無線自組網(wǎng)絡(luò)等多種接入技術(shù)，面對的安全威脅也復(fù)雜多樣，需從身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)傳輸加密操作、網(wǎng)絡(luò)通信安全感知等方面進(jìn)行加強(qiáng)，包括引入身份認(rèn)證機(jī)制、強(qiáng)化終端數(shù)據(jù)完整性保護(hù)、禁止明文傳輸（即加密處理）、跟蹤監(jiān)控通信網(wǎng)絡(luò)行為等策略。第三，應(yīng)用層安全防護(hù)策略。物聯(lián)網(wǎng)內(nèi)會產(chǎn)生海量數(shù)據(jù)，配置大量服務(wù)資源，為避免攻克一點(diǎn)而全網(wǎng)崩潰的局面的出現(xiàn)，應(yīng)采用去中心管理系統(tǒng)，即分布式數(shù)據(jù)管理系統(tǒng)，同時配置系統(tǒng)加固、漏洞檢測、安全審計(jì)等功能，強(qiáng)化安全防護(hù)能力。對于采用云計(jì)算的應(yīng)用，為防范各種攻擊行為，可采取設(shè)置安全基線、自動檢測、不定期掃描漏洞和系統(tǒng)更新、數(shù)據(jù)統(tǒng)計(jì)分析、安裝防病毒軟件等策略，并采取業(yè)務(wù)分級保護(hù)措施。

2.2物聯(lián)網(wǎng)信息安全防護(hù)框架

結(jié)合物聯(lián)網(wǎng)信息安全防護(hù)策略，構(gòu)建應(yīng)用于多種場景、不同構(gòu)架層次的防護(hù)框架，如圖2所示。感知層安全防護(hù)的重點(diǎn)是保護(hù)終端設(shè)備安全，為此根據(jù)防護(hù)策略需采取多種防護(hù)技術(shù)，防御攻擊者借助僵尸病毒發(fā)起攻擊是關(guān)鍵環(huán)節(jié)。網(wǎng)絡(luò)層安全防護(hù)的重心是保障數(shù)據(jù)傳輸安全，其中核心是保障通信的安全，保護(hù)通信可采取通信加密和認(rèn)證的方式。應(yīng)用層安全防護(hù)的重點(diǎn)是保護(hù)通信服務(wù)器安全，為此可采取異常流量監(jiān)測和通信協(xié)議深度包檢測的方式，發(fā)現(xiàn)異常及時報(bào)警，以防范攻擊規(guī)模擴(kuò)大。

2.3物聯(lián)網(wǎng)信息安全防護(hù)策略的實(shí)現(xiàn)

2.3.1感知層信息安全防護(hù)策略的實(shí)現(xiàn)感知層內(nèi)分布著大量節(jié)點(diǎn)終端設(shè)備，攻擊者主要通過端口掃描和暴力破解方式進(jìn)行攻擊，為實(shí)現(xiàn)感知層信息安全防護(hù)策略，可從加強(qiáng)端口掃描檢測和暴力破解檢測做起。檢測端口掃描可部署入侵檢測系統(tǒng)（IDS），其原理是對節(jié)點(diǎn)終端設(shè)備收集的數(shù)據(jù)進(jìn)行分析，從中發(fā)現(xiàn)攻擊信息，識別攻擊行為，進(jìn)而判斷是否存在入侵行為，有則立即采取措施避免攻擊擴(kuò)大。確定入侵行為后向防火墻報(bào)警，防火墻實(shí)時阻斷端口掃描數(shù)據(jù)包。防御暴力破解攻擊可利用防火墻工具，通過限制相關(guān)服務(wù)的登錄次數(shù)來防御，因?yàn)楸┝ζ平庑柰ㄟ^大量嘗試獲得正確的登錄用戶名和密碼，設(shè)置登錄失敗次數(shù)的閾值（例如3次），防火墻就會自動屏蔽攻擊者的IP地址。為避免合法用戶因輸入錯誤而被防火墻屏蔽，可采取設(shè)置白名單的措施。

2.3.2網(wǎng)絡(luò)層信息安全防護(hù)策略的實(shí)現(xiàn)網(wǎng)絡(luò)層信息安全防護(hù)可采取通信加密和身份認(rèn)證策略?，F(xiàn)代加密算法有對稱加密算法和非對稱加密算法之分，前者加密和解密使用同一密鑰，后者加密和解密使用不同的密鑰。對稱加密算法的優(yōu)點(diǎn)是加解密快速，但用戶數(shù)量過多時密鑰管理負(fù)擔(dān)重，AES、DES或3DES是典型的對稱加密算法。非對稱加密算法復(fù)雜，安全性高，但相對對稱加密算法來說加解密速度比較慢，RSA是典型的非對稱加密算法。身份認(rèn)證策略也是基于密碼學(xué)理論實(shí)現(xiàn)的，主要基于數(shù)字證書或公鑰、身份標(biāo)識認(rèn)證，例如基于數(shù)字證書的身份認(rèn)證由發(fā)證機(jī)構(gòu)（CA）用私鑰對身份信息（用戶名、公鑰）、證書機(jī)構(gòu)名稱、證書有效期進(jìn)行數(shù)字簽名，再加上用戶身份信息就形成了數(shù)字證書。

2.3.3應(yīng)用層信息安全防護(hù)策略的實(shí)現(xiàn)應(yīng)用層信息安全防護(hù)主要是檢測深度包和監(jiān)測異常流量。深度包檢測是對通信協(xié)議進(jìn)行解析和訪問控制，拒絕不符合通信協(xié)議及特征異常的數(shù)據(jù)包。監(jiān)測通信流量的通信系統(tǒng)，一旦發(fā)現(xiàn)異常數(shù)據(jù)包，即報(bào)警處理。

3結(jié)語

通常，物聯(lián)網(wǎng)由感知層、網(wǎng)絡(luò)層和應(yīng)用層三層架構(gòu)組成，各層具有不同的功能與特點(diǎn)，面對的安全威脅也不盡相同。為應(yīng)對多種安全威脅，提出了物聯(lián)網(wǎng)節(jié)點(diǎn)、數(shù)據(jù)、網(wǎng)絡(luò)安全服務(wù)、輕量高效等安全需求。針對物聯(lián)網(wǎng)架構(gòu)不同層次安全威脅，各層次有其獨(dú)特的安全防護(hù)策略。為實(shí)現(xiàn)這些安全防護(hù)策略，需構(gòu)建安全防護(hù)框架，并在框架指導(dǎo)下確立各層次安全防護(hù)策略的實(shí)現(xiàn)方法。

參考文獻(xiàn)：

[1]王斌.工業(yè)物聯(lián)網(wǎng)信息安全防護(hù)技術(shù)研究[D].成都：電子科技大學(xué)，2018：1.

[2]駱漢光.面向物聯(lián)網(wǎng)的輕量級安全協(xié)議及關(guān)鍵技術(shù)研究[D].成都：電子科技大學(xué)，2019：1-4.

[3]楊威超.數(shù)據(jù)驅(qū)動的物聯(lián)網(wǎng)安全威脅檢測與建模[D].鄭州：中國人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué)，2019：1-2.

[4]鈕鑫，楊小來.物聯(lián)網(wǎng)系統(tǒng)安全威脅分析與研究[J].科技通報(bào)，2019，35（5）：132-137.

[5]劉化坤，宋蘭霞，肖玉月，等.淺析物聯(lián)網(wǎng)信息安全問題及解決對策[J].電腦知識與技術(shù)，2019，15（23）：24-25.

作者：馬艷娟 王和寧 單位：國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心青海分中心