物联网安全体系.ppt

,单击此处编辑母版标题样式,编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第一部分,全球物联网产业发展和安全现状,第二部分,物联网安全需求和防护体系,第三部分,物联网安全发展趋势和思考,全球物联网产业现状国家政策,我国发布十三五国家科技创新规划,作为国家重点专项规划之一，对我国未来5年科技创新做了系统谋划和前瞻布局。,物联网,：开展物联网系统架构、信息物理系统感知和控制等基础研究，攻克智能硬件（硬件嵌入式智能）、物联网,低功耗可信,泛在接入,等关键技术，构建物联网共性技术创新基础支撑平台，实现智能感知芯片、软件以及终端产品化；,智慧城市,：开展城市时空数据融合的智能决策、数据化服务、城市智能计算等关键技术研究，研发智慧城市公共服务一体化运 营平台，开展新型智慧城市群的应用创新示范；,智能制造业,：大力推动制造业向智能化方向发展，主要基于“互联网+”的创新设计、,物联网,的智能工厂，开展智能感知、智能 控制、工业传感器等技术研究，推动制造业信息化服务增效，提高制造业信息化和自动化水平。,美国,：将物联网发展和重塑智能制造业优势结合，希望重新,占领全球制造业至高点,，并借助联合GE、Amazon、Accenture、Cisco等打造符合工业物联网与海量数据分析平台，推动工业物联网标准框架制定；,欧盟,：从欧盟委员会到物联网领域的专业研究项目组，先后颁布了多份规划欧洲物联网未来发展动向的相关报告。希望借助国 际化的研究补助，让欧洲成为,物联网的研究重镇,，让欧洲各国的经济发展提升，并能够制订出统一标准的物联网法规与协议；,日本,：提出“i-Japan”计划，该战略旨在通过打造数字化社会，参与解决全球性的重大问题，提升国家的竞争力，确保日本 在全球的领先地位；,韩国,：提出物联网基本规划，从服务、平台、网络到终端设备与信息安全，全面建构开放式物联网生态体系。,多国积极推动物联网产业发展,北美、欧洲、东亚的多个国家和地区制定相应的政策，推动物联网产业的发展。,全球物联网产业现状终端市场,-,10,000,000,000,20,000,000,000,30,000,000,000,40,000,000,000,50,000,000,000,60,000,000,000,70,000,000,000,80,000,000,000,2015,2016,201720182019,APCEMALA,20202021,North America,20222023,WE,2024,2025,$200,$0,$600,$400,$1,000,$800,$1,400,$1,200,$1,800,$1,600,2013,2014,20152016,Latin America,2017,$Billions,CEMA,North America,万物互联网催生了大量的链接需求，IoT市场前景,广阔,数据来源:IDC,20182019,Western Europe,2020,Asia/Pacific,连接数增长情况,2020年，IoT总连接将达到,300亿,2025年，IoT总连接将达到,700亿,连接分布情况,主要分布在亚太、北美、西欧,IoT市场空间巨大,预计2020年全球IoT市场空间达到1.7万亿美金,年增长,率(CAGR)为：,16.9%,亚太、北美、西欧市场空间较大，总和超过,80%,物联网产业安全现状,物联网市场发展迅速，终端数量剧增，安全隐患大,物联网终端安全高危漏洞,80%的设备采用简单密码,70%的通信过程未加密,90%固件存在安全隐患,大量设备没有更新补丁，甚 至无法更新，telnet不能禁 用，使用硬编码密码,物联网终端安全防护措施不足,物联网设备的专用性、低成本、轻量级，导致很少防病毒软件 能适配安装,出厂未进行安全检查,物联网终端在室外分散安装，导致物理攻击、篡改和仿冒,物联网业务深入多个行业，全方位影响人民生活，相应的 安全问题也将带来严重威胁，甚至包括生命和财产安全,2014年10月西班牙上百万台智能电表存在的漏洞，可以使黑客关闭整个电路网，造 成大面积停电。,2015年2月BMW爆出有220万车载系统存在安全漏洞，黑客可以远程打开车门。,2015年7月因为发现远程攻击漏洞，黑客可远程操作使汽车减速、关闭引擎、刹车失 灵，克莱斯勒召回140万带有Uconnect车载系统的汽车。,2016年4月德国核电站负责燃料装卸系统遭攻击。,2016 年10 月21 日，美国遭遇史上最严重分布式拒绝服务（DDoS）攻击，美国东 海岸出现了大面积断网事件，造成上百家网站都无法访问。此次“断网”事件是由于 美国最主要DNS 服务商Dyn遭遇了大规模DDoS攻击所致。,2016 年 12 月 17 日乌克兰 国 家 能 源 公 司 因 黑 客 攻 击 遭 受 断电 事故。,物联网产业包括设备制造商、互联网厂商、运营商等多个环节。同时，物联网安全风险无处不在，大到网络系统和平台，小到传感器等终端设 备。任何一处风险都有可能使得威胁扩散到整个网络与核心系统。各环节在立足市场，抢占入口的同时，极少提前规划部署安全防护措施，物联网产业市场预期很高却危机四伏。因此安全问题需要从规划建设之 时就考虑，建立多重的端到端安全防御体系。,物联网产业链中安全环节占比低,终端安全隐患多，业务安全威胁大，安全产业链环节占比低。,物联网安全事件分析,10月，安全人员发布了物联网恶意代码Mirai分析报告,2016年9月，黑产世界公布了Mirai攻击的源码,事 件 回 顾,1,Mirai病毒,高效扫描物联网系统设备，通过感染存在漏洞（采用出 厂密码设置或弱口令）物联网设备，像“寄生虫”一样 存在设备中，进行操控。,被病毒感染后，设备成为僵尸网络机器人，在黑客命令 下针对目标网络发动高强度攻击。通过Mirai僵尸网络 病毒每次可以发动38万个IoT机器人参与攻击。,Mirai可以删除，但也能“重生”。对于存在漏洞的物 联网设备，简单的清除和重启不能彻底排除。,2,攻击目标,通过路由、网关等连网设 备都可能成为Mirai的攻击 目标,网络摄像头、DVR、路由 器、其它家用网络设备包 括门窗、灯泡等，可以通 过物联网进行控制的都可 能 成 为 Mirai 僵 尸 网 络 的“猎物”,3,防范措施,对IoT设备进行固件升 级并设置强口令,通过加密技术、关闭不 必要的端口、虚拟化技 术都能够有效的提高服 务器的安全。,密码替代技术,事件分析,物联网终端数量巨大，终端漏洞引起的网络攻击会愈加频繁，网络运营商对于终端难于监管，必须在网络侧采取必要的安全防护措施，避免对通信网的安全威胁。,源码公开一天后，10月21日黑客发动了DDoS攻击,黑客操控数百万网络摄像头及,通过Mirai僵尸网络以DDoS劫持攻击方式瘫痪了美,导致大量美国知名网站无法访,相关DVR录像机作为“肉鸡”,国主要域名服务器供应商Dyn公司的服务器,问，半个美国陷入断网状态。,IoT僵尸网络 Mirai分析,恶意软件Mirai感染全 球物联网设备,Mriai IoT DDoS木马瞄,准蜂窝网络设备,国外黑客发现国产摄像,机存在漏洞,利用Mirai发动DDoS攻,击源码公布,第一部分,全球物联网产业发展和安全现状,第二部分,物联网安全需求和防护体系,第三部分,物联网安全发展趋势和思考,物联网安全威胁分析,物联网终端,互联网,网络面临的威胁,1、流量攻击,物联网接入网和核心网面临着来自终端和互联网 的双向流量攻击威胁，消耗网络带宽，造成网络拥 塞，甚至瘫痪。,2、非法入侵,攻击者可能利用运维管理上的漏洞，对核心网元 和系统发起入侵，感染病毒，篡改重要业务数据，造成网元或者业务失效，甚至瘫痪整个网络。,1、流量攻击,通过互联网对平台实施DDoS攻击，导致平 台无法服务。,2、入侵攻击,由于平台自身的安全漏洞，攻击者可以从互 联网入侵平台设备。,3、恶意代码,平台软件系统可能感染来自互联网的病毒、木马、蠕虫。,平台面临的威胁,互联网,接入网+核心网,云平台,物联网业 务平台1,物联网业 务平台2,物联网业 务平台3,终端面临的威胁,1、非法入侵,由于终端侧自身的漏洞（弱口令、版本漏洞）导致的设备被非法入侵和控制。,2、恶意代码（病毒、木马。蠕虫）,多数物联网终端由于成本受限、处理性能不高 等原因，自有安全防护能力差，易遭受病毒、木 马、蠕虫和恶意软件的攻击，导致设备无法正常 使用、信息泄露甚至危及整个网络系统的安全。,端、管、云都面临非法入侵、恶意代码、流量攻击等安全威胁,物联网安全需求,端管云协同的智能安全态势感知防护安全需求,终端,（感知层）,网络,（网络传输层）,云端,（应用处理层）,应用安全,访问认证,业务权限管理,数据隔离,密钥管理,数据加密,物理安全,接入安全,运行环境安全,设备防盗、防水、防干扰,设备入侵防护：终端异常分析、加密通信,轻量级强认证机制：分布式认证、区块链,操作系统安全、软件安全、防恶意代码,业务数据安全,隔离、防泄漏、防复制,设备激活、身份认证、安全存储、安全启动、完整性检查软件升级,统一管理,网络安全域隔离,设备接入认证防火墙自动防御,部署环境适配虚拟化环境要求,DDoS防护,IPSeC安全传输,开放环境下端到端加密,海量终端统一认证,传统通信技术,新型通信技术,软件完整性保护,数据隐私保护,数据安全,应用安全,统一 安全 管理,实时 安全 监控,操作系统安全,平台安全,组件安全,硬件安全,环境安全,物联网安全体系架构,物联网有巨量的感知终端，复杂的通信网络，庞大的数据存储与处理中心。但抽象来看，物联网是终端-传输管道-云端架构。,向物联网应用、服务提供者，物联 网终端、数据提供能力统一的控制 管理平台。提供集中的数据分析、存储，进行数据的使用和价值挖掘,通过运营商2G/3G/4G网络、LPWA网络、宽带、其它网络等,（广电网、车载通信网）进行数据 回传。,终端具有移动化、微型化 特征，包括,摄像头、智能 家电、传感器、智能设备 等。,工业互联网,车联网,智慧医疗,智能家居,公共安全,环境监测,智慧城市,智能物流,食品追溯,能源,智能生活,。,云,管,端,无线接入,有线接入 互联网,行业专,网,核心网,NB-IoT,数据整合,数据挖掘,数据呈现,数据存储,设备管理,业务指令,接入控制,计费管理,设计,备算,安安,全全,数通,据信,安安,全全,无L,线P,网W,安A,全安 全,防数,DD据,oS安,攻全 击,云平台环境安全,云平台 应用服务安全,云平台数据安全,整体架构,安全技术,数 据 安 全,1,M2M 开发板,智能停,车,智能抄 表,车队管 理,智慧家 庭,智能监 控,健康监 测,单模块移动终端,模卡一体化终端,M2M SIM 卡,行业定制终端,终端,云平台,LoRa等非标,2/3/4G/NB-IoT,/eMTc/TE-V/5G,HSS,PGW,SGW,MME,短距+网关,网络,非蜂窝网络,蜂窝网络,终端设置强口令，定期更换,定期升级系统（OTA技术）；代码签名,终端出厂后安全检查,终端设备安装病毒防护软件,建立专门用于物联网的恶意代码监测，识别恶意代码并进行告警和拦截处置。,DDo,S,攻,击,城域网出口检测异常流量，进行流量清洗 骨干网部署DDoS防御系统可防止国际和网 间的攻击,非法入侵,防火墙自动防御系统,核心网元漏洞扫描和弱口令检查，升级设备,设置防火墙和IPS，对出入平台数据进行过滤,基线核查系统检查服务器设备配置,漏洞扫描系统定期扫描漏洞,定期渗透测试,部署流量清洗系统,DDo,S攻击,非法入侵,恶意代码,定期升级系统和防病毒软件;代码签名,非法入侵,恶意代码,云 安 全,网 络 安 全,终 端 安 全,物联网体系安全防护策略,从物联网的网络端和云端出发建立端、管、云的安全防护体系,数据分析平台,业务管理平台,设备管理平台,云服务平台,运营商,物联网终端安全防护方案建议,运营商可利用自身优势，基于核心网数据分析来建立智能终端及物联网终端的安全防护方案。,建立物联网恶意软件和病毒数据库，对各类物联网终端行为特征进行模板化,建立安全防护平台，采集用户行为数据，,分析终端用户的全类数据传输行为，包括信令消息、,用户数据包和SMS短信消息。,物联网安全防护难点,物联网终端数量巨大，类型千差万别，而其中很大一部分因为设备处理能力和功耗等原因无 法安装防护软件。,物联网安全的重点是要保护物联网终端传输数据的安全性、私密性和准确度。,运营商在物联网安全防护方面的优势,从业务流程上分析，所有的物联网终端传输的数据都要经过运营商的核心网。,如果能在核心网把所有物联网终端传输的数据都收集后，对其进行进行分析、保护，监测是,否有数据的非法传输行为，是最直接、建设成本最低、对业务影响最小的方式。,运营商物联网安全防护方案,智能终端保护平台,检测：,安全 威胁,例如受感染 的用户，最 活跃的威胁，受影响的设,备,观察：,关联 电信网络传 输的数据模 型和数据库,减轻：,通过 应用自动化 操作，将影 响降低至最 小：,通知用户,冻结增值 服务,触发固件 更新（物联 网）,安全的洞 察力（监 控平台）,恶意软 件智能 数据库,数据流 关联性 分析,防护实施 引擎（自 动处理）,GSM/3GGG/LSSTNME SCEdge rouBteRrAS,Mobile,由于物联网终端的特殊性，面临巨大的安全风险及防护难点，建议运营商从自身优势出,发，在网络侧建立终端安全监测防护方案，保证整个物联网体系的安全。,第一部分,全球物联网产业发展和安全现状,第二部分,物联网安全需求和防护体系,第三部分,物联网安全发展趋势和思考,物联网安全方面的投入比例会逐步提高,数以亿计的物联网设备将会覆盖整个星球，安全威胁无处不在，态势感知能力的建设将使网络具备主动防御能 力，符合未来物联网的发展趋势,。,物联网安全产业发展趋势,物联网安全产业规模的发展速度将快于物联网产业的整体发展速度。,LPWAN（低功率广域物联网）安全研究加速,在网络层，低功耗广域网LPWAN 技术（主要包括：,NB-LOT、LoRa、Sigfox,等）将逐步占据主要市场，成为物联网网络传输层的主流产品，其安全技术将直接影响到物联网网络传输层的数据保护。,短距传输技术的安全问题凸显,大多数物联网终端节点是通过网关节点实现数据传输，一般采用短距离无线传输方式（Wifi、蓝牙、,ZigBee等）。目前，短距离无线传输的安全性还不够高，不足以支持物联网产业的需求。,物联网终端成为DDoS（分布式拒绝服务）攻击新的增长点,物联网终端数量规模大、防护能力受限，网络将面临大量肉鸡终端的威胁和攻击，网络安全防护压力大。,态势感知能力将成为更大的安全目标,