《等级保护与物联网安全-杨雪.doc》由会员分享,可在线阅读,更多相关《等级保护与物联网安全-杨雪.doc(11页珍藏版)》请在三一文库上搜索。
1、等级保护与物联网安全杨雪(湖北东方网盾信息安全技术有限公司,武汉市)摘要:介绍了信息安全等级保护和物联网的基本概念,结合多年信息安全工作经验,借鉴其他相关安全文献,对物联网技术的特点及物联网存在的安全问题做小结。以等级保护工作者的身份,站在信息安全等级保护的角度,简单论述物联网安全与信息安全等级保护的关系。分析物联网技术的发展对等级保护实施带来的影响以及如何在物联网系统中实施等级保护。关键字:物联网安全;等级保护;Level protection and safety of ThingsYang Xue(Hubei Network Shield Information Security Tec
2、hnology Co., Ltd., Wuhan)Abstract: The level of information security protection and the basic concepts of things, combined with years of experience in information security, security from other relevant literature on the characteristics of things and physical networking technology security problems m
3、ake Summary. The level of protection of the identity of workers, standing on the perspective of information security level of protection, the simple things discussed security and information security, the relationship between level of protection. Analyte level of networking technology development on
4、 the impact of the protection of things and how to implement the system level protection.Keywords: Internet of Things security; level of protection;1、 引言信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是我国信息安全保障的基本制度、基本国策。是开展信息
5、安全工作的基本方法,是促进信息化、维护国家信息安全的根本保障。物联网是新一代信息技术的重要组成部分。物联网的英文名称叫“The Internet of things”。顾名思义,物联网就是“物物相连的互联网”。这有两层意思:第一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物体与物体之间,进行信息交换和通信。因此,物联网的定义是:通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物体与互联网相连接,进行信息交换和通信,以实现对物体的智能化识别、定位、跟踪、监控和管理的一种网络。物联网是通过智
6、能感知、识别技术与普适计算、泛在网络的融合应用,被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。与其说物联网是网络,不如说物联网是业务和应用,物联网也被视为互联网的应用拓展。因此应用创新是物联网发展的核心,以用户体验为核心的创新2.0是物联网发展的灵魂。然而,任何新技术的应用都伴随着安全问题,物联网作为一个尚处于起步阶段的新兴产业,安全问题尤其突出。作为一名等保工作者,一直在不断学习新知识、新技术以充实自己,下面就从信息安全等级保护的角度,结合物联网自身的特点,谈一点看法。2、与安全相关的技术特点2.1 可跟踪性物联网主要特点之一就是:可跟踪性(Trackability)。也就是说任何
7、时候人们都知道物品的精确位置,甚至其周围环境。关于物联网的这个特点在航空业应用广泛,目前全世界11% 的航空公司均使用R FI D(射频识别装置)技术,通过这个技术,可以对乘客的行李进行跟踪,当乘客找不到行李的时候,就可以根据R FI D 技术发现失踪行李的位置,尽快的找到行李。同时,物联网的可跟踪性对于查询走失人口也可以起到很好的作用,当公安机关需要查找一个走失人口下落的时候,就不再像以往调用大量的警力去寻找,只需要通过简单的一个跟踪定位就很容易找到。这样既节省人力物力,又节省时间提高效率。2.2 可监控性物联网的另一特点还体现在它可以通过物品来实现对人的监控与保护。以酒后驾车为例,如果在汽
8、车和汽车点火钥匙上都植入微型感应器,这种现象就可能被杜绝。当喝了酒的司机掏出汽车钥匙时,钥匙能通过气味感应器察觉到一股酒气,就通过无线信号立即通知汽车“不要发动”,汽车会意地自动罢工,并“命令”司机的手机给其亲友发短信,通知他们司机所在的位置,请亲友们来处理。汽车、钥匙、手机互相联络,对司机信息进行监控,杜绝了酒后驾车,保证了司机和路上行人的安全。同时,物联网还可以通过在城市道路信息采集系统、中央数据处理中心和行驶车辆之间不断地进行数据交换和分析处理,它们完全可以做到提供即时路况信息,选择最优路径。在机动车辆发生事故时,车载设备就可以及时向交通管理中心发出讯息,便于及时处理以减少道路拥堵;同样
9、,后方行驶的车辆也可以及时得到消息,绕开拥堵路段。2.3 可连接性物联网还可以通过与移动通讯技术的结合,实现物品通过无线网络的控制与兼容。笔者设想:如果物联网与手机3G网络结合,将很快改变人们的生活方式,使之更加便捷安全。比如商场超市里销售的禽肉蛋奶,在包装上嵌入了微型感应器,顾客用手机扫描就能了解食品的产地和转运、加工的时间地点等每个环节,甚至还能显示加工环境的照片,是否绿色安全,一目了然;家中老人们戴上嵌入智能传感器的手表,在外地的子女可以随时通过手机查询父母的血压、心跳是否稳定;智能化的住宅在主人上班时,传感器自动关闭水电气和门窗,定时向主人的手机发送消息,汇报安全情况。3、物联网存在的
10、安全性问题目前,物联网逐渐被人们认识和应用,它可以将人们和身边无数物品联系起来,使物品成为网络中用户的一份子,并给人们带来诸多便利。但是,在享受物联网带给人类便利的同时,物联网在信息安全方面也存在一定的局限性。3.1 信号的干扰随着物联网的兴起,个人和国家对物联网的依赖会越来越大,但是如果物联网中相关信号被干扰,对个人和国家相关机构的信息安全会造成威胁。个人通过物联网能够有效地管理自己的生活,尤其是可以智能化地处理一些突发事件,而不需要人为的干涉。但是,如果安置物品上的传感设备信号受到恶意干扰,很容易造成重要物品损失。而且,如果国家一些重要机构依赖物联网,也存在信号被干扰时重要信息被篡改丢失的
11、隐患。例如,银行等金融机构是国家的重要部门,涉及很多关系国家和个人经济方面的重要信息。在这种机构中装有R F I D 等装置,虽然对信息的监控有很大帮助,但也给不法分子提供了窃取信息的途径。不法分子通过信号干扰,窃取、篡改金融机构中的重要文件信息,会给个人和国家造成重大的损失。再如,公安机关可以利用物联网快速高效地对人和物进行跟踪定位,但同时物联网对公安机关的信息安全也存在一定的负面影响。在公安工作过程中存在大量的涉密信息文件,如果有人通过物联网采取信号干扰就可能造成对涉密文件信息的窃取,后果是不堪设想的。3.2 恶意的入侵物联网建立在互联网的基础上,对互联网的依赖性很高,在互联网中存在的危害
12、信息安全的因素在一定程度上同样也会造成对物联网的危害。随着互联网的发展,病毒攻击、黑客入侵、非法授权访问均会对互联网用户造成损害。与此同时,在物联网环境中互联网上传播的病毒、黑客、恶意软件如果绕过了相关安全技术的防范(如:防火墙),对物联网的授权管理进行恶意操作,掌握和控制他人的物品,就会造成对物品的侵害,进而对用户隐私权造成侵犯。更让人担忧的是,类似于银行卡、信用卡、身份证等敏感物品,如果被其他人掌控,后果会十分严重,不仅造成个人损失,而且还对整个社会的安全造成威胁。基于此种情况出现的可能性,笔者认为:我国应当在发展物联网的同时,加快与物联网相关的安全技术措施建设,不断提高物联网防范技术水平
13、,并且结合互联网的发展,研究与互联网同步发展的物联网安全手段,从而在物联网的起始阶段就打下安全技术基础。3.3 通讯的安全目前,在我国,3G 手机正在不断的推广和应用,3G 手机的上网功能是作为第三代移动通讯的亮点进行宣传的。“3G”(3rd-generation)是第三代移动通信技术的简称,是指支持高速数据传输的蜂窝移动通讯技术。3G 服务能够同时传送声音(通话)及数据信息(电子邮件、即时通信等)。代表特征是提供高速数据业务,可以将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统。如果将物联网与3G 手机智能结合起来,将会极大地方便人们的生活,从而改变人们传统的生活方式。然而,3G
14、手机的安全问题会直接影响到物联网的安全性。一方面,3G 手机就像计算机一样存在各种各样的漏洞,而通过漏洞方式感染的病毒将成为影响物联网安全的潜在因素。黑客们很有可能通过3G 手机,利用一些漏洞或后门程序窃取到物联网中的相关信息,侵犯物联网用户的正当利益。另一方面,3G 手机的易携带性很可能造成手机丢失,如果3G 手机丢失后被不法分子所利用,通过反汇编等手段进行解码操作,很可能造成用户信息的泄漏,进而导致更加严重的后果发生。4、等级保护角度看物联网物联网被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。物联网会让一切变得更加智能化,但也更加危险。4.1 物理安全物理安全是整个计算机网络系统
15、安全的前提,是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物联网就是“物物相连的互联网”, 其用户端延伸和扩展到了任何物体。相对于传统信息系统,其设备、 设施的范围都有了很大的扩充,延伸了“机房”的概念,拥有庞大的终端数量。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件。4.2 网络安全物联
16、网就是“物物相连的互联网”,所以物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络,作为物联网“躯干”的互联网络的安全也是物联网安全又一重点。物联网络在传统网络的基础上也有延伸,提出了“感知网络”的概念。感知网络是指通信网络能够感知现存的网络环境,通过对所处环境的理解,实时调整通信网络的配置,智能地适应专业环境的变化。同时,它还具备从变化中学习的能力,且能把它们用到未来的决策中。在做所有决策的时候,网络都要把端对端目标(end-to-end goals)考虑进去。而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,所以没法提供统
17、一的安全保护体系。核心网络的传输与信息安全问题。核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大,且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。此外,现有通信网络的安全架构都是从人通信的角度设计的,并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。4.3 数据安全物联网数据安全问题主要是数据与实物间的一致性问题。物的运动和变化可能是由于生长条件、存放环境等自然因素造成的。自然因素引起的变化常常是缓慢的、隐性的。这种数据变化的变更和监管有赖于传感技术的发展。人为因素致使物理发生运动和变化,例如:组装、分配、运送等,
18、多数是明显的、急剧的。技术人员在对这类数据进行采集和监控时,需要对人的行为进行组织和控制。数据与实物的不一致可能是在信息采集过程中出现失真现象,也可能是实物流通使用过程中失察。单纯从技术的角度解决数据与实物的一致性,是非常困难的。数据与实物不一致可能是技术因素造成的。传感技术影响到数据采集的深度和精度,产生了数据的失真与误差,使数据与实物信息不完全一致。从保护要素的角度来看,物联网的保护要素仍然是可用性、机密性、可鉴别性与可控性。由此可以形成一个物联网安全体系。其中可用性是从体系上来保障物联网的健壮性、鲁棒性与可生存性;机密性是要构建整体的加密体系来保护物联网的数据隐私;可鉴别性是要构建完整的
19、信任体系来保证所有的行为、来源、数据的完整性等都是真实可信的;可控性是物联网最为特殊的地方,是要采取措施来保证物联网不会因为错误而带来控制方面的灾难。包括控制判断的冗余性、控制命令传输渠道的可生存性、控制结果的风险评估能力等。总之,物联网安全既蕴含着传统信息安全的各项技术需求,又包括物联网自身特色所面临的特殊需求,如可控性问题,传感器的物联安全问题等。这些都需要得到相关研究者的重视。5、结语随着物联网的发展,物联网、互联网和3G 手机的不断结合,未来物联网智能化程度将越来越高,在社会生活更多的领域中得到广泛应用。同时,物联网在安全性方面的影响也不容忽视。物联网信号的窃取将直接影响到整个物联网的
20、信息安全。病毒、黑客、恶意软件的强大,很可能会限制我们的出行或通过入侵我们手机阻挡我们的通讯。当互联网上的电脑感染病毒后我们可以通过断网阻挡病毒的传播,但是当整个世界都成为一个网络后,病毒一旦爆发泛滥时,我们是否做好了应对准备?事实上,物联网建设不仅仅是技术问题,还将涉及规划、基础建设、管理、安全等各个方面的问题,这需要国家层面出台相应配套的政策、法规并加强技术方面的建设。作者简介:杨雪(1984-03-21),男(汉),湖北,中级测评师,大学本科,主要研究方向:等级保护测评参考文献:1 GB 17859-1999 计算机信息系统 安全等级保护划分准则2 GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求3 王建宙. 从互联网到“物联网”J. 通信世界, 2009(33).4 吴雪霁. 把握“ 物联网” 时代的三个关键点J. 通信世界,2009(33).5 刘纯. 物联网, 物与物的“对话”N. 无锡日报,2009-08-31.6 郝文江.物联网技术安全问题探析J. 实践探究,2010-017 方滨兴.关于物联网的安全J.方向标.2010