从物联网概念的提出,到物联网架构的探讨,再到物联网产业的落地,物联网技术和产业的发展非常迅速,物联网加速了科技融入生活的同时,安全问题也随之而来。世界各地电力、能源、机场等重要机构网络和设备频受攻击,而物联网安全与互联网相比更加复杂,在物联网感知层各类感知器、控制器等大量分布于各行业现场,计算能力较弱,向物联网安全防护提出了严峻的挑战。感知层网关承担了各类感知设备的枢纽职责,由于缺乏统一的安全要求,不同物联网感知层网关的安全能力参差不齐,给物联网技术应用带来了极大安全风险,需要规范并制定针对物联网感知层网关的安全技术要求。
为促进物联网感知层网关产品的规范化应用,满足实际使用中的安全需求,国家标准委启动了《信息安全技术物联网感知层网关安全技术要求》国家标准的制定工作。该标准按照GB/T1.1-2009给出的规则起草,由全国信息安全标准化技术委员会(SAT/TC260)提出并归口,由国家市场监督管理总局、中国国家标准化管理委员会进行发布。
2018年12月28日,《信息安全 技术物联网感知层网关安全技术要求》国家标准正式发布,并将于2019年7月1日开始实施。
该标准由北京工业大学、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、北方工业大学、北京威努特技术有限公司、网神信息技术(北京)股份有限公司等单位共同参与了标准起草。黄敏、齐向东、吴云坤、曲晓东、孙凌、纪胜龙、乔思远等起草人为标准的起草制订做出了突出的贡献。
本次物联网国家标准的发布,标志着基于物联网应用的安全性已经有安全标准可以遵循,是感知层网关的通用性安全技术标准,规定了应用在物联网信息系统中感知层网关的安全技术要求,包括安全技术要求级别划分及其物理安全、安全功能和安全保障等要求。同时也适用于物联网信息系统中感知层网关的设计、开发与测试。为物联网感知层网关安全技术研发与产品产业化提供指导与参考。下面威努特将对《信息安全技术 物联网感知层网关安全技术要求》的部分内容解读:
物联网
物联网过感知终端,按照约定协议,连接物、人、系统和信息资源,实现对物理和虚拟世界的信息进行处理并作出做出反应的智能服务系统。{GB/T33745-2017 定义2.1.1}
物联网一般被认为是具有感知层、网络传输层、处理应用层的一个系统。感知层包括传感器节点、终端控制器节点、感知层网关节点、RFID标签、RFID读写器设备,以及短距离无线网络(如Zigbee)等;网络传输层主要以远距离广域网通信服务为主;处理应用层主要以云计算服务平台为基础,包括云平台的各类服务和用户终端等。由于云计算可以同时提供对数据的智能处理和对终端用户的服务,因此物联网架构中的处理层包括应用服务。
感知层
在一个物联网系统中,我们需要明确感知层的边界,即哪些属于感知层。如果物联网的感知层是一个传感网,则传感网中的感知节点、路由节点、汇聚节点以及传感网所使用的网络(通常为短距离射频)都属于物联网的感知层。注意汇聚节点不是作为整个设备属于感知层,而仅仅是其汇聚功能属于感知层。因为在物联网系统中,作为感知层部分的汇聚节点除了完成与感知节点的通信外,还要负责将汇聚后的信息传送给上层处理中心,而其与上层通信的功能显然不再属于感知层。由于在物联网中,感知层的汇聚节点不仅具有汇聚的功能,还需要负责将所负责的传感节点的信息传递给处理中心,因此一般将感知层的汇聚节点称为感知层网关节点。因此,以传感网为物联网系统感知层的边界在传感网的网关节点,其汇聚功能到传感器节点部分是物联网的感知层。
在一个以RFID为主的物联网应用系统中,感知层将包括RFID 标签和RFID 读写器的通信功能。从 RFID阅读器到后台数据库的部分将属于网络传输层。因此感知层的边界以RFID阅读器的功能为划分点。
感知层的安全技术包括如下内容:
1)设备安全,即传感器节点本身的安全,主要指传感器节点有足够的供电和正常的工作能力。更多的安全要求可能对传感器网络中的汇聚节点有意义。
2)计算安全,即传感器在处理数据时,处理器的执行环境安全性,包括操作系统(COS,Android,Linux,Windows等)安全,执行软件安全。
3)数据安全,主要指重要数据的安全存储和调用接口,如密钥信息,通过外部接口直接读取这些数据应该受限。
4)通信安全,即数据发送和接收时对数据的处理,包括对数据的加密和解密能力,完整性校验和验证能力,对通信方的身份鉴别能力等。
感知层网关
在物联网感知层各类感知器、控制器等大量分布于各行业现场,感知层网关是一种网络连接设备,属于物联网信息系统的重要组成部分,感知层网关运行于感知网络的边缘,是连接传统信息网络(有线网、移动网等)和感知网络的桥梁,支持一种或多种有线/无线短距离通信协议(Modbus、Profibus、OPC、ZigBee、蓝牙、Wi-Fi等)与广域网通信协议之间的数据编码和转换功能。
物联网感知层网关
感知层网关的安全功能与承载它的软硬件平台的处理能力密切相关,通常具备操作系统。防火墙、路由等功能常常附加在感知层网关上。
感知层网关设备部署环境多样,在户外部署时,易受物理环境包括温度、湿度、供电、电磁、人为破坏等因素的影响。
感知层网关的安全威胁
感知层网关可能面临安全威胁主要包括:
a) 攻击者可以窃取或者截获感知层网关数据,可以收集来自于感知终端的源地址、目的地址、数据内容、数据传输时间和协议类型等;
b) 攻击者伪造感知终端,对感知层网关发起拒绝服务攻击和重放攻击;
c) 未授权的用户伪装成已授权的用户试图访问网络资源;
d) 用户超越所授予的权限而访问和修改数据;
e) 存在被盗窃、人为损坏,导致的设备组件的完整性缺失;
f) 供电不足导致设备无法正常运转;
g) 部署环境选择不当,如高温、潮湿、静电、雷击等恶劣环境,会对设备安全构成威胁。
级别划分说明
参考GA/T681-2007对于网关安全技术的分级原则,安全技术要求分为基础级和增强级2个等级。其中基础级符合GA/T681-2007网关安全保护等级划分第二级要求,增强级符合GA/T681-2007网关安全保护等级划分第三级要求。
在GB/T22240规定的三级以下物联网信息系统中,感知层网关应满足基础级要求;在GB/T22240规定的三级和三级以上物联网信息系统中,感知层网关应满足增强级要求。
基础级安全技术要求
基础级安全技术要求主要包括物理安全要求、安全功能要求、安全保障三大要求。
1.1 物理安全要求
感知层网关在物理安全方面,应满足如下要求:
a)所在物理环境应该具备防火、防静电的措施;
b)所在物理环境应该具备防潮、防水的措施;
c)主要部件应进行固定,并设置明显的不易除去的标记。
1.2 安全功能要求
1.2.1 感知终端接入认证
感知层网关应能够对接入的感知终端进行认证,满足如下要求:
a)应保证对感知终端标识在感知层网关生命周期内的唯一性;
b)应能够对感知终端进行鉴别,至少支持如下机制之一:
1) 基于网络标识的鉴别;
2) 基于MAC 地址的鉴别;
3) 基于通信协议的鉴别;
4) 基于通信端口的鉴别;
5) 基于口令鉴别;
c)应保证密钥存储和交换安全。
1.2.2 网络访问控制
感知层网关应对接入的感知终端实施访问控制,应满足如下要求:
a)支持访问控制表(ACL)等访问控制策略,防止资源被非法访问和非法使用;
b)应控制本地或远程的访问。
1.2.3 数据保护
1.2.3.1 数据存储保护
感知层网关应满足如下数据存储保护要求:
a)对感知层网关中存储的重要数据进行保护,避免非授权的访问;
b)具备对感知层网关存储数据的完整性检测机制,实现鉴别信息、协议转换规则、审计记录重要数据的完整性检测。
1.2.3.2 数据传输保护
感知层网关应满足如下数据传输保护要求:
a)应保护感知层网关数据在传输过程中不被泄露,采用密码技术对重要数据(指令控制数据、业务数据)实施机密性保护,确保数据传输的保密性;
b)具备对传输数据完整性校验机制,实现隐私数据、重要业务数据等重要数据的传输完整性保护(如:校验码、消息摘要、数字签名等);
c)具有通信延时和中断的处理机制。
1.2.4 系统安全保护
1.2.4.1 时间戳
应具备可靠的时间戳。
1.2.4.2 标识与鉴别
感知层网关应能够对于操作系统用户进行标识和鉴别,满足如下要求:
a)感知层网关的操作系统用户应有唯一标识;
b)对感知层网关操作系统用户进行身份鉴别,使用用户名和口令鉴别时,口令应由字母、数字及特殊字符组成,长度不小于8位。
1.2.4.3 访问控制
感知层网关应能够对于操作系统用户进行访问控制,满足如下要求:
a)应能控制感知层网关操作系统用户的访问权限,并避免权限的扩散;
b)应仅授予感知层网关操作系统用户完成任务所需的最小权限;
c)应能控制数据的本地或远程访问;
d)应提供安全措施控制对感知层网关进行远程配置。
e)控制范围应覆盖所有主体、客体以及它们之间的操作。
1.2.4.4 安全审计
1.2.4.4.1 审计数据生成
应能对下列可审计事件生成审计记录:
a)审计功能的启动和关闭;
b)身份鉴别失败,应记录用户的身份和所使用的访问设备的标识;
c)协议转换失败,应记录转换数据包的来源和时间;
d)任何读取、修改、破坏审计记录的尝试;
e)所有对访问授权与拒绝规则覆盖的主体执行操作的请求,以及受影响客体的标识;
f)修改安全属性的所有尝试,以及修改后安全属性的新值;
g)所有使用安全功能中鉴别数据管理机制的请求;
h)所有访问鉴别数据的请求,以及访问请求的目标;
i)任何对鉴别机制的使用;
j)所有使用标识机制的尝试;
k)因鉴别尝试不成功的次数超出了设定的限制。
对于每一个审计记录,安全功能应至少记录以下信息:事件发生的日期和时间,事件的类型和主体身份。
1.2.4.4.2 审计数据查阅
应满足如下审计数据查阅要求:
a) 应限制审计记录访问;
b) 应能提供审计记录的查阅功能。
1.2.4.4.3 审计数据存储
应能够保护审计记录信息,防止对审计记录的修改。
1.2.4.5 失败保护
应具备保护状态,确保感知层网关断电恢复时安全策略的正确性。
1.3 安全保障要求
1.3.1 开发
1.3.1.1 安全架构
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:
a) 与产品设计文档中对安全功能实施抽象描述的级别一致;
b) 描述与安全功能要求一致的产品安全功能的安全域;
c) 描述产品安全功能初始化过程为何是安全的;
d) 证实产品安全功能能够防止被破坏;
e) 证实产品安全功能能够防止安全特性被旁路。
1.3.1.2 功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:
a) 完全描述产品的安全功能;
b) 描述所有安全功能接口的目的与使用方法;
c) 标识和描述每个安全功能接口相关的所有参数;
d) 描述安全功能接口相关的安全功能实施行为;
e) 描述由安全功能实施行为处理而引起的直接错误消息;
f) 证实安全功能要求到安全功能接口的追溯。
1.3.1.3 产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:
a) 根据子系统描述产品结构;
b) 标识和描述产品安全功能的所有子系统;
c) 描述安全功能所有子系统间的相互作用;
d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。
1.3.2 指导性文档
1.3.2.1 操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述应满足以下要求:
a) 描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;
b) 描述如何以安全的方式使用产品提供的可用接口;
c) 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;
d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性;
e) 标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;
f) 充分实现安全目的所必须执行的安全策略。
1.3.2.2 准备程序
开发者应提供产品及其准备程序,准备程序描述应满足以下要求:
a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;
b) 描述安全安装产品及其运行环境必需的所有步骤。
1.3.3 生命周期支持
1.3.3.1 配置管理能力
开发者的配置管理能力应满足以下要求:
a) 为产品的不同版本提供唯一的标识;
b) 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项;
c) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法。
1.3.3.2 配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者,配置项列表应包含产品、安全保障要求的评估证据和产品的组成部分的内容。
1.3.3.3 交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。
1.3.4 测试
1.3.4.1 测试覆盖
开发者应提供测试覆盖文档,并表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性。
1.3.4.2 功能测试
开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容:
a) 测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其它测试结果的任何顺序依赖性;
b) 预期的测试结果,表明测试成功后的预期输出;
c) 实际测试结果和预期的一致性。
1.3.4.3 独立测试
开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试。
1.3.5 脆弱性评定
基于已标识的潜在脆弱性,产品能够抵抗具有基本攻击潜力的攻击者的攻击;
增强级则是在满足基础级要求下又增加了一些要求。
查看《信息安全技术物联网感知层网关安全技术要求》全文:http://www.baige.me/v?i=Rak
声明:本文来自威努特工控安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
