物联网安全技术白皮书

1、共建可信可管的物联网世界物联网安全技术白皮书01物联网快速发展，安全问题不容忽视06物联网需要多重的端到端安全防御体系13 物联网安全实践参考17 物联网安全典型案例22 共建可信可管的物联网世界26 总 结缩略语摘 要物联网（Internet of Things，简称 IoT）将海量的设备互联，使得网络更加开放复杂，业务更加丰富多样。IoT 将带我们进入一个万物感知、万物互联、万物智能的全新世界，然而同时，IoT 世界也面临巨大的安全挑战。本文分析了 IoT 安全技术的发展现状， 提出了多重的端到端安全防御机制应作为应对 IoT 安全威胁的有效保障，并进一步总结了 IoT 安全的实践供参考。

2、目前 IoT 技术正在飞速发展，新的安全问题和安全威胁依旧层出不穷，IoT 安全需要整个产业链的共建、共荣。所以我们倡导 IoT 的安全需要政府、国际组织和行业来共同建设，在政策引导、法律颁布、标准制定、技术创新和产业生态等方面加大投入，以促进 IoT 产业的健康发展。1物联网快速发展1安全问题不容忽视物联网的发展趋势IoT一个新的时代已悄然来临。全行业数字化转型中，IoT 扮演了关键角色，技术创新下的海量连接，极大地提升了社会运转的效率，方便了人们的生活。可以预见，IoT 将在多个领域加速渗透，整个 IoT 市场将快速打开。IoT 已经成为全行业数字化转型的驱动力，全球的公司、政府、组织和团

3、体都在积极投入和研究这一仍处在发展中的技术，利用遍布各处的传感器，广泛收集和分析数据并应用，以更好地支撑各行各业的快速发展。随着移动设备近年来的飞速普及，及其周边平台和服务的不断扩张，IoT 市场空间迅速扩大。据 Gartner 预测， 到 2020 年全球 IoT 设备数量将增至 208 亿台，复合增速高达 34%。IoT 将渗透进人们生活的方方面面，广泛进入各行各业，衍生出诸如智慧家庭、智慧教育、智慧医疗、可穿戴设备、车联网等多种场景，其应用市场空间预测可参考图 1-1。 智能楼宇建筑家$22Bn 智慧家庭$60Bn 智慧医疗$1Trillion健康教育智慧教育$344Bn穿戴设备$60B

4、n环境智能硬件水文、大气、环境监控$705Bn公共事业水务 $330Bn能源 $400Bn车联网$104Bn交通智慧城市安全、交通$1.6Trillion图 1-1. IoT 应用市场空间预测( 数据来源：Ovum、GSMA、Gartner)2 共建可信可管的物联网世界物联网安全的威胁和挑战诱人的数字之下可能蕴藏着巨大的危机：据 CNN 报道，2016 年 10 月 21 日，美国东部遭遇史上最大规模的 DDoS 攻击，攻击流量超过 1Tbps，近半个美国的网络遭到攻击并瘫痪。造成这次事故的元凶， 不是大家一贯所熟悉的 PC 和服务器等 IT 设备，而是 IoT 中很容易被人们所忽略的 IPC

5、 摄像头、家庭路由器、数字视频录像机等微型智能设备。这些设备感染了 Mirai 恶意软件，造成的攻击导致亚马逊等百余家知名网站出现数小时的瘫痪。据金融时报报道，2015 年 12 月 23 日，乌克兰伊万诺 - 弗兰科夫斯克地区超过一半区域断电几小时，大量用户受到影响。黑客以 BlackEnergy 病毒为攻击工具， 通过远程控制电力控制系统节点下达断电指令，并通过对系统数据擦除覆盖、关机等系列操作阻碍系统恢复。2015 年 7 月，连线杂志报道了一起吉普大切诺基被黑客远程控制的事故。菲亚特 - 克莱斯勒针对此次事件发布了“网络级安全措施”，防止汽车通过移动通信网络被远程控制，为了进一步保障安

6、全，该公司还面向美国的 140 万辆汽车发出了“自愿安全召回”说明。安全威胁将长期存在，这是需要面对的事实，因为传统网络里 IT 安全手段已经很丰富了，依然存在大量的安全问题，IoT 世界也将面临同样的挑战。从个人、家庭、社会到国家，此类重大安全事件层出不穷，Forrester 对全球组织的一项调查表明，47% 使用或计划使用 IoT 的商业组织在行业应用中曾遇到过安全问题1。更深入的调查显示： 27% 的控制系统被攻破或感染 80% 的设备采用简单密码； 70% 的通信过程未加密； 90% 的固件升级或更新未做签名 , 大量设 备可能不更新，甚至无法更新。随着生产力的提高和生活的便利化，在这

7、个渐渐被IoT 设备包围的世界中，随之而来的将是无处不在的安全威胁。从 IoT 的三个层面（见图 1-3）来看有哪些安全威胁：感知层的泛 Sensor 无处不在，导致 IoT 端点不可信： 终端在户外、分散安装、易被接触到又没有纳入管理，导致物理攻击、篡改和仿冒。2015 年 7 月，汽车远程被控制事件2016 年 10 月 21 日，DDOS 攻击事件2015 年 12 月 23 日，乌克兰电网事件图 1-2. 物联网安全事件不断1 Forrester, “Security: The Vital Element of the Internet of Things,” 2015 。3 终端驱动

8、的不可信，可能会泄密和被控制。 OS 或软件过时，漏洞无法及时修复。 考虑成本问题，终端资源、计算能力受限，防病毒等传统的保护手段和高安全技术可能无法应用。网络层的 IP 化和融合化，打开了威胁的大门： 无线协议本身缺陷如缺乏有效认证可能导致接入侧泄密。 封闭的工业应用 & 协议无法被安全设备识别，被篡改和入侵后无法及时发现。 未加密的通信过程容易发生劫持、重放、篡改和窃听等中间人攻击。 IP 化后面临 IP 体系的安全问题：如来自互联网的攻击和入侵。平台和应用层的业务开放化带来新的安全风险： 平台层面所管理的设备分散、繁多，设备的升级过程和安全状态等难以管理。 新的通信协议可能带来应用层的安

9、全问题和漏洞， 比如畸形攻击、泛洪攻击等 新平台自身漏洞和 API 开放等容易引入新的风险。 越权访问导致隐私和安全凭证等重要数据有被泄露的风险。网络 应用丰富、数据中心出口多，DDoS 等网络攻击风险高。感知平台 & 应用RFID电视GSM/3G/4G/5G物流管理视频监控PSTN/ISDN手机WLAN/WSN车载摄像头IoT 网关IoT 业务平台ICT 管理QOS空间信息管理工业交换机工业以太网湿度 Sensor泛 Sensor 无处不在IP 化 / 融合化业务开放性24h工业控制健康监测目录服务接入交换机ONT温度 Sensor图 1-3 IoT 三个层次及特征4 共建可信可管的物联网世

10、界 参差不齐的 IoT 应用有不可信风险。另外，设备、网络和应用的厂商差异化，导致单一厂商无法进行全面的安全防护，甚至无法看到整个攻击面。最后，隐私可能是 IoT 面临的巨大法律挑战之一。IoT 涉及对大量终端设备上人类活动的持续监控，意味着海量单个设备会生成、发送并接收大量个人信息和数据。而监控可能会引发对隐私和个人数据保护的多种要求。这此类要求并非是 IoT 时代中新出现的。一直以来，大家都会关注每一次新技术革新所带来的隐私保护问题，所以在 IoT 时代关注隐私也就不足为奇了，而 IoT 时代涉及的设备更多、数据量更大，挑战可能更大。物联网安全的行业诉求IoT 的安全与其应用行业( 如图

11、1-4 所示) 关系紧密。由于各行各业在自身业务属性、服务对象、管理主体、工作方式等方面的差异性，IoT 安全在不同行业里的体现形式及相应需求也千差万别。工业和能源：工控系统和智能电网的安全， 如 ICS/SCADA 的安全。一旦工业控制系统遭到攻击，将可能导致整个系统停运，带来停产、停电等严重的后果。交通：智能车辆保护、无人驾驶飞行器的安全和保护、卫星通信系统的保护。一旦遭受黑客攻击，可能会造成严重的交通事故，威胁人们的生命安全。医疗：对连网的医疗设备的保护，医学和药物研究数据的加密，医疗数据的安全和无处不在的存储。试想如果安装在人身体里的无线心脏除颤器遭受黑客控制，病人的生命安全如何得到保

12、障？智慧城市：海量传感器所收集的治安、卫生、交通等信息传输和存储的安全。一旦轨道交通被不法者利用，就有可能发生调配失度、列车出轨的危险。金融：多种多样的移动支付带来了新的金融欺诈风险。一旦有漏洞被黑客利用，个人和企业的财产将遭受不可避免的损失。 因此，IoT 安全不仅事关商业利益，更已经影响到了国计民生的方方面面，构建 IoT 安全环境刻不容缓。工业金融交通智慧城市医疗能源图 1-4 IoT 应用52物联网需要多重的端到端6 共建可信可管的物联网世界安全防御体系从上述 IoT 的威胁和挑战来看，IoT 时代安全风险无处不在，大到系统平台，小到传感器，IoT 市场预期很高却危机四伏，任何一处风险

13、都有可能使得威胁扩散到整个网络与核心系统。因此安全问题需要从规划建设 IoT 之时就考虑，建立一种多重的端到端安全防御体系（如图 2-1 所示）, 确保即使在遭遇攻击时整个系统仍可持续运行。IoT 多重安全体现在IoT 设备芯片、终端及其OS 安全、网络安全、管理平台、应用和企业运营的安全，因此我们可以从这几个层面来看每层的安全防护技术和措施。保证每个层面安全的同时，还需要基于端管云的相互依赖和支撑关系来构建端到端的安全防御体系，这其中基于 IoT 整网的安全态势感知尤为重要。芯片和 OS 安全为保证设备的安全，安全芯片是各类高安全 IoT 设备的首选，芯片厂商通过 TPM、TEE 等技术（见

14、图 2-2）实现硬件级的高强度加密和隔离，提供可信环境和安全存储， 将重要密钥在可信芯片中存储，防止数据泄密；同时支持设备安全启动，对软件和固件的启动、升级进行签名，保护数据完整性。未来 IoT 需要低成本、低能耗且标准统一的芯片级安全技术。芯 片 & 操作系统网关3G/4G/NB-IoTIoT 防火墙IoT 平台网络安全智能中心. .智慧家庭公共事业梯联网平安城市. . 安全 终端 芯片安全 (TPM/TEE) 操作系统安全 ( 隔离 ) 终端安全插件 ( 轻量化 )安全 网络 防火墙识别并过滤 IoT 协议和应用 防火墙处理百万并发连接 无线和固网加密传输安全云 通过大数据分析和机器学习进

15、行威胁建模 IoT 网络安全态势感知 未知威胁检测 预警及实时协同防护图 2-1 IoT 多重端到端安全架构7TEE 区根密钥图 2-2 TEE 芯片安全当然，作为完整解决方案，安全的操作系统必不可少， 通常轻量化的IoT OS 调度机制中，不区分用户态和内核态， 使用统一的内存空间，所有应用和内核均运行在特权模式。系统服务将会面临众多不确定的安全隐患。如果使用轻量级安全 OS 的隔离机制，使得用户态与内核态隔离、应用与应用隔离，并支持内核内存保护机制，及内核隔离调度机制，那么业务系统的可靠性与安全性都会得到极大提高。安全 OS 通过内存管理重新进行合理布局，使得内核空间和应用空间分离；并采用

16、 Syscall 机制实现内核态和用户态权限分离，通过 VM 实现不同应用之间的权限保护； 基于 MPU 或 MMU 来提供给用户可配置的内存保护接口。具体安全保护措施（如图 2-3 所示）包括： 设计合理的内存布局 区分内核态和用户态 应用进程之间进行隔离 提供内存保护接口通过轻量级隔离机制实现的安全区是操作系统的安全保障。应用可借助内存保护单元创建基于安全区独立的应用安全域。安全 OS 建立的轻量级隔离机制主要特性体现在以下方面： 安全访问控制：沙盒与沙盒之间的相互隔离，安全访问通道的建立使用，恶意代码非法访问的有效管控； 安全核：为固件更新（FOTA）、安全存储、秘钥管理、加解密、设备

17、ID 等提供安全保护基础。由此安全 OS 能够提供可信的身份认证、安全的固件更新、Internet 服务访问权限管控和加解密及密钥管理等功能。终端安全IoT 终端包括接入传感器和设备，能够采集相关的数据，并通过网络进行设备连接和数据上报，具备低功耗、低成本、低计算存储能力、易接触、运行周期长、接口及协议复杂等特征。如上特征导致传统的安全防御架构不再适用，需要一种能适应IoT 终端特点的新安全防护措施（如图2-4 所示）：8 共建可信可管的物联网世界APP1 禁止APP2用户群IRQReturn 系统调用内核态禁止禁止内核沙箱数据 / 堆栈内核堆栈内核数据应用级特权级禁止允许图 2-3 OS 安

18、全机制 物理安全：IoT 复杂环境下的防水，防尘，防震， 防电磁干扰。 接入安全：防仿冒的非法终端接入网络，防止 IoT 设备沦为 DDoS“肉鸡”。通过轻量级易集成的安全应用插件进行终端异常分析和加密通信等，实现终端入侵防护， 从而防止终端成为跳板、攻击关键网络节点。同时需要轻量化的强制认证机制和分布式认证、区块链等新型技术。 运行环境安全：通过轻量级实时嵌入式操作系统内核级安全机制进行防护；业务代码安全启动支持软件签名， 保证只有合法没有被篡改的软件包才能加载；同时通过安全访问白名单防止恶意代码非法访问。IoT 终端的安全需要从硬件到软件综合考虑，包括硬件芯片级的安全、OS 安全和 OS

19、层以上的终端安全加固。终端的可信和可管是最基本的安全要求，IoT 难以在不可信的基础上大规模扩展。因此，各厂商需要依据数据的敏应用 1应 用 2 操作系统 /应用数据 / 堆栈接入安全物理安全业务数据安全运行环境安全统一纳管 业务数据安全：本地数据安全，如数据隔离、防止拷贝和泄露等。 统一管理：提供全生命周期的安全管理，包括设备激活、身份认证、安全存储、安全启动、完整性检查、软件升级和设备退服在内的完整的生命周期管理。图 2-4 终端安全防护措施9感程度、终端的智能程度和不同的网络架构特点，甄选各种终端安全技术来适配复杂的海量 IoT 终端，如为平衡引入安全机制所带来的资源消耗和成本，选择使用

20、轻量化安全加密和分布式认证等新型安全技术。网络层安全万物互联意味着网络要支撑多样的业务和庞大的流量，需要用到各类通信技术，包括以太网、RS232、RS485、PLC 等有线技术及GPRS、LTE、Zigbee、Z-Wave、Bluetooth、Wifi 等无线技术。基于这些通信技术的传统网络层安全机制大部分依然适用于 IoT，包括网络安全域隔离，设备接入网络的认证，防火墙自动防御网络攻击，DDoS 攻击防护，应用和 Web 攻击防护，控制面、用户面提供 IPSec 安全传输等。IoT 的网络层安全需要重点关注的主要有两点，一是新的 IoT 通信技术如 NB-IoT 及未来 5G 的安全，二是大

21、量专有协议及工控网络的安全机制。NB-IoT 及未来 5G 时代对安全的主要要求包括： 海量IoT 终端的高并发、去中心化、分布式统一认证。 部署形态上适配 NFV 环境的软化、自动化部署、动态可编程。 开放环境下的端到端加密，新型轻量级加密算法。 安全检测上对跨层跨厂商的攻击检测，多安全功能协同。IoT 需要充分利用无线移动通信的物理层传输特性， 通过认证、加密和安全传输等技术的应用，在保证用户通信传输质量的同时，防止未知位置的窃听和增加中间人攻击的难度。空口层面，终端和网络基于无线标准进行双向认证，确保经过验证的合法的终端接入合法的网络。同时终端和网络之间建立安全通道，对终端数据提供加密和

22、完整性保护，防止信息泄露、通讯内容被篡改和窃听。另外，IoT 终端采用了大量的专有接口如 KNX、ModBus、CANBus 等，然后被接入到工控网络中，而这些终端和网络大多都是设计在孤立环境中运行的，安全机制相对薄弱。随着 IoT 的逐步发展，这些终端和网络将被逐步接入到互联网中，这会引入新的安全问题。为解决这些问题，需要 IoT 防火墙（见图 2-5）或安全网关等设备支持对工业协议和各行业应用的深度识别和自动过滤；支持海量接入的加密能力；实现白名单过滤技术，包括自定义协议能力；需要对终端资源消耗攻击和基于多行业应用流量攻击特征的 DDoS 自动防护；网络安全产品还需要提供基于 IoT 特征

23、的病毒和高级威胁的防护功能。平台和应用安全IoT 管理平台主要提供海量 IoT 终端的管理、数据管理、运营管理和安全的管理，如图 2-6 所示。各类管理中最关键的安全因素是个人数据保护，大量的个人数据可能会从分散的端侧传输到某个 IoT 云平台或处理平台，因此个人数据需要得到充分的保护，符合相关国家和地区的隐私保护法律的要求。另外，IoT 平台需要支持接入不同的垂直应用，比如智慧家庭、车联网、智能抄表等，考虑到不同应用之间数据的安全性要求差异，在数据存储层面应提供安全隔离机制。同时数据在传输过程需要保证机密性、完整性。敏感的信息如视频数据等，需要实现云端的加密存储，超过必要存留期的个人数据需要

24、及时删除。IoT 应用本身的安全也需要考虑，保证云端访问时进行强制认证和业务权限控制，应用数据传输过程不因应用本身漏洞而被窃取或攻击，PC 和移动等端点存储时进行有效加密和隔离。10 共建可信可管的物联网世界Internet路由器数据库服务器ERP服务器MES服务器办公网OPC监控终端ERP客户端数据库客户端工控边界防火墙OPC服务器OPC服务器工程师站工程师站OPC服务器OPC服务器工控区域防火墙工控区域防火墙工控区域防火墙工业交换机工业交换机现场网工控区域防火墙工控区域防火墙生产设备生产设备监控网图 2-5 工业防火墙的应用API 安全管理安全生命周期管理（发放、认证、绑定、升级、退服）安

25、全监控与异常检测（大数据 / 机器学习 / 入侵检测系统）数据隔离密钥管理数据加密软件完整性保护TPM / vTPM隐私保护基本安全维护管理（账户 / 权限 / 日志）网路隔离 & DoS 防御操作系统 / 数据库 / web 系统 的 安全加固虚拟化平台安全图 2-6 IoT 平台安全11安全态势感知由终端与设备、通信与网络、平台与应用构成的庞大的 IoT 系统，不但需要每个层面的多重安全防护，还需要有端云协同的智能大数据安全分析能力（如图 2-7 所示）。实现整网的智能安全态势感知、可视化和安全防护，必将是 IoT 安全的发展方向。海量的 IoT 终端很容易成为攻击的发起点和跳板，造成对

26、IoT 核心平台的威胁。大数据安全分析平台通过终端的流量基线和行为基线进行实时监控分析，能够及时发现被感染的终端，联动安全设备，根据配置的安全策略及时对感染的终端进行阻断和隔离，以避免对核心平台和业务系统造成危害。另一方面，大数据安全分析平台能够作为 IoT 全网的统一安全监控管理平台，通过对全网进行安全监控，调度全网安全设备，实现对已知威胁、未知威胁的防御，尤其是对 APT 等高级威胁进行防护，避免网络被攻击等安全事件。大数据安全分析平台通过全网态势感知，并依托安全威胁情报库的支撑，主动对 IoT 做出安全趋势预测，及时采取对应的措施，实现对威胁的主动防御。智慧城市车联网工业制造能源医疗金融

27、图 2-7 端云协同的安全态势感知有效管理安 全 的 物联网世界自动防御主动预测小结万物互联时代带来了海量的联接，IoT 的安全是部署时必须考虑的，而非可选项。多重的端到端安全防御机制， 为 IoT 安全可靠的运行提供了有效的技术保障。但是 IoT 的安全问题非常复杂，不仅涉及技术方面，更多的是涉及到人员、设备和系统等的管理方面，需要系统性地解决。IoT 技术在飞速发展，新技术带来的新的安全问题层出不穷，多重的端到端安全防御机制也需要与时俱进的提升和优化，最终通过有效管理、自动防御、以及结合态势感知的主动预测（如图 2-8 所示），实现一个健康的 IoT 运行环境。12 共建可信可管的物联网世

28、界12 共建可信可管的物联网世界图 2-8 IoT 安全防护3物联网13安全实践参考IoT 的安全问题可以通过参考和借鉴信息技术安全领域的相关实践来解决。对于实践的借鉴需要贯穿部署的整个过程，从研究设计到在市场中的部署，包括软件和硬件的漏洞评估，还有系统与通信的加固等等。由于 IoT 设备能够应用于广泛的生态系统中，例如企业环境、家庭、工业系统、医保等等，相关实践还应该应用于终端的恰当使用和配置。对所有使用情况都要进行风险评估、威胁分析和潜在攻击影响的分析，这样才能选择合适的安全实践来达到成本、可用性与安全性的良好平衡。例如，对于为医保场景设计的设备，与智能手表相比，就必须考虑更多的参数， 应

29、用更加严格的安全实践，其原因是显而易见的。总之，制造商在开发 IoT 设备时，技术、上市时间和成本的限制就是在设备的互操作性和设计中必须考虑的因素。一些设备受到技术因素的限制，例如内部处理资源和内存有限、能耗问题等。在这样的压力下，制造商需要通过尽量降低零件和产品的设计成本，来减少设备的单位成本，但是另一方面，他们必须考虑在一些情况下的安全风险。概念设计阶段的安全实践正如之前所言，强烈建议关注 IoT 部署生命周期的所有阶段，包括从设计到客户使用的整个过程。 提供关于目标环境的中肯的市场规范和安全立法的观点与研究。 早期阶段会帮助确定下一阶段的可行性和需要考虑的方方面面。技术开发中的安全实践一

30、旦使用场景和运行环境的条件与限制都确定了，我们就开始关注所需硬件和软件的安全。硬件依据不同部分的限制条件和重要程度，需要关注以下实践： 启动安全：提供保护启动进程和可信更新的机制。 固件、内存和存储：确保固件更新过程的安全，并应用加密验证；验证由于硬编码口令或敏感数据导致的可能的信息泄露情况；并对存储介质加密。 CPU 和微控制器：在关键的使用场景中，最好具备针对篡改或反向攻击的检测机制，以避免被操纵。 物理接入：针对接口，如 USB 接口、JTAG 等提供保护或禁用。对不利的环境因素设计相应的应对措施。 网络部件：使用无线板、蓝牙或射频部件时，遵循现行安全标准。 电源管理：停电时有自动恢复机

31、制。软件 操作系统：选择经过验证的操作系统，对于不同的概念 & 计划安全规划设计 & 开发硬件 & 软件安全功能设计操作 & 部署安全验证 & 测试安全检查点运维设备 &管理安全安全和隐私保护贯穿始终图 3-1 IoT 安全的全生命周期管理14 共建可信可管的物联网世界情况，应用推荐的加固措施。遵循最小权限原则。用户权限和许可需要特别注意，开启与操作系统运行相关的防漏洞利用保护，例如 ASLR、NX 内存、沙箱等。 API 和开发框架：如果提供，需通过漏洞评估和更新策略来确保使用安全。 更新：制定针对操作系统和软件更新的策略，包括第三方软件。功能与部署的安全实践 安装与配置：精心设计安全的设置

32、与安装步骤。强制用户修改默认的安全相关的配置，如默认密码等。 连接与服务：对不必要的网络配置，如开放端口， 进行验证。对所有类型的通信进行强制加密。 加密：选择经过验证的加密套件或者在某些情况下私有加密套件，验证诸如伪随机数产生器等可能的缺陷。 隐私考虑：确保对个人数据或敏感数据的保护，在能够存储这类数据的设备和每个终端上应用数据销毁和加密存储的机制。 认证与授权：如需，应用安全机制与设备本身和像云服务这样的服务进行交互并建立连接。 备份和容灾：在一些情况下，建议提供安全措施来确保在灾难发生时能够对数据和操作系统进行备份和完全恢复。备份存储需要加密。验证和测试的安全实践产品构建完成并执行了适用

33、的安全实践后，还需要对其功效进行测试。检查点应该包括： 硬件检视和操控测试； 网络流量分析； 接口安全分析； 对认证和默认配置的缺陷进行验证； 服务和输入测试，以检查对 DoS 和 fuzzing 攻击的防御； 在实际场景中对备份和恢复过程进行验证； 对更新机制以及固件和软件的完整性校验进行测试； 运行环境中的法规遵从。用户运维的安全实践如果最后在终端处，用户、云服务或任何与 IoT 设备交互的人对安全不关注，那么上述阶段中采取的所有措施都会付诸东流。在使用 IoT 时，建议考虑： 如果设备提供的功能性和服务没有用过或不必要， 则禁用。 保证设备更新并配置正确。 使用强口令并经常变更口令。 在

34、将 IoT 设备与其他基础设施集成时，为评估网络连接和与环境的交互，确保选择合适的位置放置设备。避免不当的干扰和暴露。 不要丢弃不用的 IoT 设备，它可能会变成不可控的安全问题。或者在丢弃前将设备内的数据进行有效清理。隐私保护实践参考我们怎样做才能在迎接IoT 时代的同时实现隐私保护？15隐私保护有很多种途径，例如技术措施等，但是法律法规提供了最低限度的强制保护要求。在欧盟，主要的法规是新的统一个人数据保护法（EU GDPR），GDPR 提出了从设计着手隐私保护（Privacy by Design）的理念，并要求对特定的数据处理进行隐私影响评估（Privacy Impact Assessme

35、nt， 简称 PIA）。PIA 是履行数据保护义务的重要工具。正如 GDPR 所述， 当数据处理可能会导致较高个人权利和自由的风险时，需要执行 PIA。为了尽可能多地保障个人权利和自由，欧盟数据保护咨询机构二十九条工作组提出了IoT 隐私保护方面的提议，如2： 在 IoT 中使用新的应用前应进行隐私影响评估。 IoT 中的每一位利益相关人应遵循“从设计着手隐私保护”和“默认隐私保护”的原则。 许多 IoT 利益相关人只需要汇聚数据而不需要原始数据，这种情况下一旦提取了数据处理所需的数据，必须立刻删除原始数据。 设备制造商必须通知用户传感器收集的数据类型、如何进一步处理、传感器接收的数据类型以及

36、如何处理并整合这些数据。 一旦数据主体撤销同意或者反对数据处理，设备制造商应能够迅速通知所有利益相关人。 与智能手机上的“免打扰”特性类似，IoT 设备应提供“不收集数据”的选项以便能调度或者快速禁用传感器。 为防止位置跟踪，设备制造商应能通过禁用不使用的无线接口来限制采集设备指纹，或者使用随机标识（如使用随机 MAC 地址去扫描 Wi-Fi 网络）防止永久标识用于位置跟踪。 用户有权利访问各自的数据。要给用户提供工具， 以便用户能使用结构清晰且常用的格式轻松导出各自数据。因此，设备制造商应提供用户友好的界面，帮助用户获取他们要存储的汇聚数据和 / 或原始数据。 使用同一设备的不同用户应该通过

37、设置区分开来， 这样用户之间无法知晓彼此的活动。 默认情况下，IoT 设备上的社交应用在将设备生成的信息发布到社交平台前应让用户审阅、编辑并决定。 默认情况下，IoT 设备发布到社交媒体平台上的信息不应对外公布或者被搜索引擎索引。 用户对使用连接设备和对结果数据处理的同意，必须是经过告知并自由给出的。若用户决定不使用设备或者某一业务，用户不应受到经济惩罚或者降低设备接入能力。在西班牙，对数据的保护是 AEPD 部门的责任，该部门通过利益相关方对游戏规则的变化进行监控，同时也需要与主要公司以及公民携手合作。公民扮演着多种角色： 互联网用户、内容生成者还有数据制造者。就这一点来看， 我们必须确保他

38、们的安全。为保证安全，在公共部门已经有关于信息再利用的指导方针，以及对个人数据匿名化的指导。如果一个公司尊重隐私、数据匿名化，以及数据保护， 那么该公司会赢得更多客户信任，公司的经济价值就会更高。从总体上看，一个公司在市场的信用与它的经济价值是直接相关的。基于这样的想法，我们需要重拾被遗忘的权利，并呼吁互联网公司关注法律安全。 最后，针对将于2018 年生效的新规，我们需要继续敦促必要工具的开发。为了实现这一目标，SETSI（现 SESIAD）、AEPS 和西班牙国家安全部队在接下来的一年所做的工作将会是至关重要的。2 EU Article 29 Working Party. Opinion

39、8/2014 on Recent Developments on the Internet of Things.16 共建可信可管的物联网世界物联网安全典型案例174经过多年的培育和探索，全球 IoT 已经从实验阶段走向实际商用，智慧城市、智能物流等领域已经出现 IoT 的身影，并将广泛进入智慧家庭、可穿戴设备、车联网和智能电梯等。可以预见，IoT 将在多个领域加速渗透，整个IoT 市场将快速打开，给经济发展和人们日常生活带来巨大便利。然而，福兮，祸之所伏。IoT 庞大网络体系和其中流转的海量数据安全问题是巨大的隐患点。无论是信息的泄露、系统被破坏或者被外部控制，都会导致严重的损失，安全至关重

40、要。工业互联网中的关键基础设施已经成为网络攻击的对象。这些设施一旦被攻击，造成网络瘫痪，将会对国家安全、社会稳定造成不可估量的伤害。而且，攻击主体已经上升到黑客组织乃至国家层面，攻击手段也日益专业化、组织化和精细化。随着特斯拉汽车的推出，以及苹果、谷歌等互联网巨头新的智能汽车系统的成熟，车联网正在从概念变为现实， 但是智能汽车一旦遭受黑客攻击，车主被勒索甚至可能会造成严重的交通事故，威胁人们的生命安全。IoT 场景非常多，本文仅就智慧城市、智慧家庭、智能电网和梯联网的部分成功实践进行了优秀 DNA 分析， 供正在快速发展的广大 IoT 垂直行业进行参考。新的 IoT 技术快速发展，新的安全问题

41、、威胁永远不会停止，通过实践摸索总结出 IoT 安全真谛的脚步永远不会停下。智慧城市信息和通信技术快速发展，改变着人们的生活，也改变着城市运行和管理的方式，智慧城市应运而生。很多国家都在打造智慧城市，如中国、新加坡和泰国等，IoT 帮助智慧城市建立了一个巨大的神经网络。IP 摄像头作为智慧城市的神经网元之一，部署在各种复杂的环境中，监管困难，很容易被选择为攻击对象 ( 见图 4-2)。其数量巨大， 一旦被攻击，影响非常广泛。通过对 IP 摄像头使用场景下安全威胁分析，可以有针对性地构建 IoT 防御措施（如表4-1 中所示），并将其广泛应用于视频监控领域中。图 4-1 车联网18 共建可信可管

42、的物联网世界典型安全威胁防御措施伪 IP 摄像头终端欺骗仿冒设备唯一证书认证；设备生命周期管理视频内容窃听篡改，本地数据窃取安全隧道信令及数据双加密；安全沙箱防数据泄露；大数据威胁基线跳板攻击设备接口管理；网络隔离；大数据威胁基线弱密码，漏洞等入侵安全插件自检表 4-1窃取隐私商业机密黑客屏幕矩阵WAN/Internet视频监控中心欺骗仿冒图 4-2 黑客入侵攻击 IP 摄像头网络智慧家庭智慧家庭利用 IoT 技术，将家庭智能控制、信息交流及消费服务等有效地融入到家居生活中。目前业界，如AT&T、Telefonica、Vodafone、DT、中国移动、中国电信和中国联通等均在发展智慧家庭业务，

43、例如家庭医疗、娱乐、能源、安防等（见图 4-3）。在具体实践中，智慧家庭解决方案需要多重端到端的安全防御机制来保障安全： 传感器和设备安全：通过 Zigbee/Z-Wave 等近场通信协议，提供基于共享密钥方式的加密通信通道，实现端点和网关的安全连接，保障了传感器和设备安全。 网关内置单独的 TPM 芯片实现安全启动，检测软件、固件被篡改和植入恶意程序的风险，可信状态上报到19云端，实现所有网关设备安全状态的云端可视。 云平台提供基于大数据和机器学习技术的安全分析能力，通过采集和分析各种日志、事件、流量信息，实现对物联网设备状态异常、终端用户行为异常、云平台状态异常的分析，及时识别和管控对端侧

44、设备以及云平台入侵攻击的风险。家庭安全家庭监控安全中心电视传播实现丰富电视体验低碳生活方式，减少能源消耗家庭能源家庭医疗管理家人健康实时视频 7*24 小时保护您的家及时检测风险并报警图 4-3 智慧家庭安全智能电网建设灵活、清洁、安全、高效、经济和友好的智能电网是许多国家和组织未来电网的发展方向，各国制定电力发展规划，加强基础设施建设。智能电网主要包括四大模块，即高级计量架构（AMI）、高级配电运行（ADO）、高级输电运行（ATO）、高级资产管理（AAM）。其中AMI 是智能电网的关键，全球电力计量系统正在逐步向AMI 演进，受电力物联网浪潮影响，精确计量已成大势所趋，智能电表成为 AMI

45、的核心。预计 2020 年，全球智能预付费业务线损分析PLC-IoT智能电表IoT 网关电表安装将达到 59% 的渗透率。图 4-4 智能抄表20 共建可信可管的物联网世界实现百万级的电表管理，可以帮助电力企业实现智能抄表、线损分析、用电分析和预付费等业务，然而智能电表一旦遭遇攻击，例如被冒充或篡改，可能导致“无记录” 消费、甚至大面积停电，从而造成经济损失、甚至安全事故。这样，智能电表将变成智能电网攻击的强力武器。因此， 安全成为智能抄表必须考虑的因素。如何保证智能电表可信接入并对关键基础设施进行有效保护，成为智能电网安全中的重要挑战。电表分散在户外，安全无保障，存在仿冒和数据篡改风险，因此

46、需进行终端防窃电设计和有效的身份认证以防非法接入；同时异常事件自动上报，窃电行为精准定位； 电表数据在上报过程中需要进行加密，防监听和防泄漏； 而电力网络则需要防止高级安全威胁、DDoS 和病毒等攻击以防业务中断、经济损失。因此方案提供商需具备包括安全在内端到端解决方案和交付能力，并加强与用户之间的互动，从而改善客户体验、提升供电品质，实现节能减排、提高企业运营效率、降低运营成本。梯联网资料显示，目前全球已经有超过 1500 万部电梯在运行，而且这个数字还在不断增长中。这么巨大的市场，加上近年来屡见报道的电梯安全事故，让电梯行业成为一个运维服务需求巨大的市场。梯联网部署后，对电梯的操控就可以通

47、过云端进行， 一旦有安全问题，如电梯被控制或者电梯部署位置等核心数据被泄露，后果不堪设想。为确保整个梯联网的安全， 同样需要多重的安全机制来保证数据传输和运维过程的安全（如图 4-5 所示）： 第一是芯片，必须通过 TPM 确保传感器、网关等设备的认证信息或软件包是无法被篡改的； 第二是操作系统，在底层需要有安全模块，确保OS 层面的安全，确保运行环境安全； 第三是网络，从电梯到云端连接的通道全部采用加密，确保数据传输安全； 最后是云平台，提供专门的安全防护方案，包括应用安全、高级威胁防护、云边界安全、逻辑边界安全和DDoS 攻击防护等。智能终端IoT 网关网络应用 / 云芯片安全安全证书终端

48、操作系统安全防篡改网络安全IPsec/SSH应用 / 云 安全防攻击IoT 操作系统梯联网图 4-5 梯联网安全2122 共建可信可管的物联网世界共建可信可管的物联网世界5政府和行业积极引导随着 IoT 的兴起，世界主要大国也开始予以重视， 并尝试制定国家 IoT 战略。例如：西班牙网络安全局（INCIBE）于 2016 年 7 月发布了Cyber Security Market Trends，倡议加强 IoT 安全的能力建设；美国国土安全部（DHS）2016 年 11 月发布了Strategic Principles for Securing the Internet of Things，作

49、为 IoT 安全的指导原则；European Programmer Horizon 2020 设定了融合网络安全和 IoT 前景以及发展安全社会，保障欧洲和其公民的自由和安全等跨越多个方面的议题；中国工业互联网联盟（AII）下属设置 IoT 安全专项组，负责完善标准制定等。IoT 正在驱动着一轮新的行业变革。但是在很多行业中，安全需求不同，各行业安全方案既不全面也不成熟， 在安全风险评估及应对方面并没有明确的思路。单靠某个或某些行业的力量来保障 IoT 安全是不够的，需要有更高层级的协调方来使各个相关行业能够协同作战。因此 IoT 安全相关的政策、法规及标准需要各国政府和行业组织作为国家战略之

50、一去重视和加大投入，共同建设和推动 IoT 的发展。加快物联网安全标准建设在技术的发展和演进过程中，标准起到了至关重要的作用，产品和解决方案均须依赖或遵从其适用的标准。在IoT 中，标准扮演着越发重要的作用，因为 IoT 是多类技术的结合，覆盖从底层接入技术到上层跨垂直行业应用。相应地，IoT 安全正在逐渐成为各大标准组织的关注热点。目前很多标准和联盟组织都在针对 IoT 安全的各种挑战，积极建议和设计安全技术标准，以满足更智能、全联接的生态系统需求。23组织相关文档IoT 安全相关贡献US NISTNIST.SP.800-160: Systems Security Engineering20

51、16 年 11 月发布 Systems Security Engineering，提出一套关于 IoT 的网络安全指南，通过对连接设备生命周期管理的过程来保护利益相关者的需求。IIC(Industrial Internet Consortium)Industrial Internet of Things Volume G4: Security Framework2016 年 9 月发布工业 IoT 安全架构，期望产业界能对于如何保障 IIoT（工业 IoT）系统安全达成共识，目标是确保安全性成为 IIoT 系统架构的基础元素，并涵盖包括终端装置以及系统元件之间连接的整个 IIoT 系统。IET

52、FRFC7744: Use Cases for Authentication and Authorization in Constrained Environments, RFC7925: Transport Layer Security (TLS) /Datagram Transport Layer Security (DTLS)Profiles for the Internet of Things . .在应用层、传输层和网络层的安全协议及第三方认证 / 授权协议都有长期的积累，而且被广泛地应用。鉴于部分 IoT 设备存在如处理能力、存储、代码量、能耗等方面资源受限， 工作组 ACE、DI

53、CE、T2TRG 和 CORE 正在致力于开发相关协议来适配。GSMA（GSM Association）IoT Security Guidelines着力于电信行业，当前为寻求发展 IoT 服务的服务提供商，提供一系列安全指南，旨在帮助IoT 产业建立对IoT 安全的共识。以确保在 IoT 服务的整个生命周期都部署最佳安全实践。oneM2MoneM2M Security Solutions（TS-0003）聚焦制定 IoT 管理和应用使能平台业务层标准，覆盖需求、架构、API 标准、安全和互操作。oneM2M 计划引入可信执行环节（TEE），期望所有利益相关方都借助相互隔离的存储和执行资源来管理和控制私有的证书和安全策略。TCG（Trusted Computing Group）Guidance for securing IoT using TCG technology, Architects Guide: IoT Security为加速增强 IoT 安全，TCG 成立 IoT Sub Group，旨在指导如何将可信计算应用于IoT。TCG 已提出一系列安全策略指南， 目前正在努力完善标准来