物联网的安全和互联网的安全问题一样,永远都会是一个被广泛关注的话题。由于物联网连接和处理的对象主要是机器或物以及相关的数据,其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网要高,对“隐私权”(Privacy)保护的要求也更高(如ITU物联网报告中指出的),此外还有可信度(Trust)问题,包括“防伪”和DoS(Denial of Services)(即用伪造的末端冒充替换(eavesdropping等手段)侵入系统,造成真正的末端无法使用等),由此有很多人呼吁要特别关注物联网的安全问题。
物联网系统的安全和一般IT系统的安全基本一样,主要有8个尺度: 读取控制,隐私保护,用户认证,不可抵赖性,数据保密性,通讯层安全,数据完整性,随时可用性。 前4项主要处在物联网DCM三层架构的应用层,后4项主要位于传输层和感知层。其中“隐私权”和“可信度”(数据完整性和保密性)问题在物联网体系中尤其受关注。如果我们从物联网系统体系架构的各个层面仔细分析,我们会发现现有的安全体系基本上可以满足物联网应用的需求,尤其在其初级和中级发展阶段。
物联网应用的特有(比一般IT系统更易受侵扰)的安全问题有如下几种:
1 Skimming:在末端设备或RFID持卡人不知情的情况下,信息被读取
2 Eavesdropping: 在一个通讯通道的中间,信息被中途截取
3 Spoofing:伪造复制设备数据,冒名输入到系统中
4 Cloning: 克隆末端设备,冒名顶替
5 Killing:损坏或盗走末端设备
6 Jamming: 伪造数据造成设备阻塞不可用
7 Shielding: 用机械手段屏蔽电信号让末端无法连接
主要针对上述问题,物联网发展的中、高级阶段面临如下五大特有(在一般IT安全问题之上)的信息安全挑战:
1 4大类(有线长、短距离和无线长、短距离)网路相互连接组成的异构(heterogeneous)、多级(multi-hop)、分布式网络导致统一的安全体系难以实现“桥接”和过度
2 设备大小不一,存储和处理能力的不一致导致安全信息(如PKI Credentials等)的传递和处理难以统一
3 设备可能无人值守,丢失,处于运动状态,连接可能时断时续,可信度差,种种这些因素增加了信息安全系统设计和实施的复杂度
4 在保证一个智能物件要被数量庞大,甚至未知的其他设备识别和接受的同时,又要同时保证其信息传递的安全性和隐私权
5 多租户单一Instance服务器SaaS模式对安全框架的设计提出了更高的要求
对于上述问题的研究和产品开发,国内外都还处于起步阶段,在WSN和RFID领域有一些针对性的研发工作,统一标准的物联网安全体系的问题还没提上议事日程,比物联网统一数据标准的问题更滞后。这两个标准密切相关,甚至合并到一起统筹考虑,其重要性不言而喻。
物联网信息安全应对方式:
首先是调查。企业IT首先要现场调查,要理解当前物联网有哪些网络连接,如何连接,为什么连接,等等。
其次是评估。IT要判定这些物联网设备会带来哪些威胁,如果这些物联网设备遭受攻击,物联网在遭到破坏时,会发生什么,有哪些损失。
最后是增加物联网网络安全。企业要依靠能够理解物联网的设备、协议、环境的工具,这些物联网工具最好还要能够确认和阻止攻击,并且能够帮助物联网企业选择加密和访问控制(能够对攻击者隐藏设备和通信)的解决方案。
虽然与IPv4相比,IPv6在网络保密性、完整性方面做了更好的改进,在可控性和抗否认性方面有了新的保证,但目前多数网络攻击和威胁来自应用层而非网络层。因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
安全新问题如影随形
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术,如SNMP(简单网络管理)等,不管是移植还是重建,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟,因此缺乏对IPv6网络进行监测和管理的手段,对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、、IDS(入侵检测系统)、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上,IPv6环境下的病毒已经出现。例如,有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战,目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外,DHCP( Dynamic Host Configuration Protocol,动态主机配置协议)必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源,攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道,从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议,而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现,IPv6报头采用基本报头+扩展报头链组成的形式,这种设计可以更方便地增添选项,以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit,使路由器可以加快对数据包的处理速度,网络转发效率得以提高,从而改善网络的整体吞吐量,使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段,其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum,中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制,链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算,增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,允许核心路由器根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证,网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT(Network Address Translation,网络地址转换),允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接,系统都会在两端主机上对数据包进行 IPSec封装,中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时,能进一步增强对DNS新的攻击方式的防护,例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址。物联网硬件设备厂商安全意识淡薄,安全投入不足。
1、物联网将社会经济活动全部放置在全球网络上,所有活动理论上透明化,一旦遭受攻击,人们以及社会安全和隐私就面临着巨大的威胁。
2、在物联网的感知层,传感器的安全运行几乎全部依赖于网络安全接入技术,采用完善的路由控制技术,能够降低非法设备入侵系统对物联网设备造成安全威胁,实现对非法入侵用户的阻隔。
物联网的三大特征为感知物体、信息传输、智能处理。
“一句式”理解物联网:把所有物品通过信息传感设备与互联网连接起来,进行信息交换,即物物相息,以实现智能化识别和管理。
物联网应用案例:
物联网传感器产品已率先在上海浦东国际机场防入侵系统中得到应用。机场防入侵系统铺设了3万多个传感节点,覆盖了地面、栅栏和低空探测,可以防止人员的翻越、偷渡、恐怖袭击等攻击性入侵。
ZigBee路灯控制系统点亮济南园博园。ZigBee无线路灯照明节能环保技术的应用是此次园博园中的一大亮点。园区所有的功能性照明都采用了ZigBee无线技术达成的无线路灯控制。
扩展资料:
随着电子化、智能化发展,人们进入万物互联时代。但是,随着物联网连接设备数量激增,黑客也越来越多地将注意力转移到这一领域。
首先,物联网设备内置的安全性薄弱,安全更新时有时无,一些规模较小的制造商生产的设备更是如此。其次,用户往往不会主动更新设备。此外,物联网设备存在于网络外围,导致用户和企业经常忽视它们。
上述几点原因为黑客植入恶意软件提供了可乘之机,通过安装僵尸恶意软件,降低设备处理能力,网络罪犯就可以借此牟利。
目前,还有很多人没有认识到这一问题的严重性。他们认为恶意软件只能制造小麻烦,不是真正的威胁。毕竟,恶意软件没有试图窃取信息,只是减慢它们的速度,降低它们的性能。
但事实上,这一观点是错误的,因为这些恶意软件很可能成为启动其他攻击的后门,威胁更多设备安全。
参考资料:
参考资料:
一、移动安全威胁
1、社交安全
随着21世纪的发展,移动互联网更迎来了蓬勃的发展,如今工作设备和个人设备之间的界限也在不断模糊。越来越多的员工会在智能手机上同时查看多个收件箱。这些收件箱连接着工作账户和个人账户,并且几乎所有人在工作日都会在网上处理某种形式的个人业务(即使没有疫情和在家远程办公,情况依然如此)。因此,除了与工作相关的邮件外,员工同时接收私人邮件的情况从表面上看并不奇怪,但实际上这可能是攻击者的一个诡计。这使得员工社交是受攻击链上最薄弱的一环。
2、无线网络自身的安全问题
移动网络自身存在一定的安全性问题,在移动电子商务给使用者带来方便的同时也隐藏着诸多安全问题,如通信被窃听、通信双方身份欺骗与通信内容被篡改等。由于通信媒介的不同,信息的传输与转换也可能造成不安全的隐患。
3、软件病毒造成的安全威胁
目前,手机软件病毒呈加速增长的趋势加重了这种安全威胁,软件病毒会传播非法信息,破坏手机软硬件,导致手机无法正常工作。主要安全问题表现在用户信息、银行账号和密码等被窃等方面。
4、运营管理漏洞
目前有着众多的移动商务平台,而其明显的特点是平台良莠不齐,用户很难甄别这些运营平台的真伪和优劣。在平台开发过程中一些控制技术缺少论证,在使用过程中往往出现诸多问题,而服务提供者对平台的运营疏于管理,机制不健全,这些都导致了诸多的安全问题。
5、数据泄漏
数据泄漏被广泛地认为是2021年企业安全面临的最令人担忧的威胁之一,也是最昂贵的威胁之一。比如将公司文件传输到公有云存储服务、将机密信息粘贴到错误的位置,或者将电子邮件转发给错误的收件人。对于这种类型的泄漏,数据丢失防护工具可能是最有效的保护措施。此类软件的设计明确旨在防止敏感信息的暴露,包括意外情况。
6、过时的设备
智能手机、平板电脑和小型互联设备(物联网)给企业安全带来了风险,因为与传统的工作设备不同,它们通常不能保证及时和持续的软件更新。这一点在安卓平台尤为明显,在安卓平台,绝大多数制造商在保持产品最新(无论是 *** 作系统更新还是每月安全补丁)方面效率低下。物联网设备情况也是如此,许多设备甚至都没有设计获取更新的功能。
7、密码设置
在现实生活中,大多数人似乎完全忘记了对密码的管理,有数据研究表明企业中80%以上因黑客攻击造成的数据泄露都要归咎于密码强度脆弱或是密码被盗。在移动设备上这种●“木马”病毒首当其冲
据金山反病毒监测中心统计,2005年1月到10月,共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%。尤其是以用户有价账号的木马病毒(如网银、QQ、网游)多达2000多种,如果算上变种则要超过万种,平均下来每天有30个病毒出现。综合2005年的病毒情况,具有以下的特征:
●计算机病毒感染率首次下降
2005年我国计算机病毒感染率为80%,比去年的8557%下降了557个百分点。这是自2001年以来,我国计算机病毒疫情首次呈下降趋势。同期的间谍软件感染率则大大高于去年,由2004年的30%激增到2005年的90%。2001年在感染病毒的用户当中,感染次数超过3次的达到5665%,而2005年降为547%。2005年病毒造成的危害主要是网络瘫痪,接近20%,而2003年和2004年病毒危害集中在系统崩溃,这表明蠕虫病毒造成的网络问题越来越严重。2001年因计算机病毒造成损失的比例为43%,今年为5127%,这表明计算机病毒造成的危害正在加剧。
●90%用户遭受“间谍软件”袭击
据介绍,2005年,间谍软件已经大面积闯入了我们的网络生活中。根据公安部发布的《2005年全国信息网络安全状况暨计算机病毒疫情调查活动》公布的相关数据显示,2005年中国有将近90%的用户遭受间谍软件的袭击,比起2004年的30%提高了6成。就连大名鼎鼎的比尔盖茨面对间谍软件也无能为力,惊呼:“我的计算机从未被病毒入侵过,但却居然被间谍软件和广告软件骚扰。”
尽管随着打击力度的加强,2005年的间谍软件有了更加明显的改变,之前大多是流氓的推广方式,比如通过网站下载插件、d广告、代码的方式。用一些IE辅助工具可以有效拦截,但是这次最烦的表现形式是间谍软件直接d广告,IE辅助工具根本无法拦截。需要可以彻底把间谍软件清除才能减少广告。虽然许多杀毒软件厂商对间谍软件的清除下了很大的力量,但是由于还没有一款完全意义上的针对间谍软件的安全工具,因此对于间谍软件的彻底清除还远远没有达到用户的需求。
●“间谍软件”成为互联网最大的安全威胁
间谍软件在2005年表现出传播手段多样化的特点,间谍软件的制造者为了寻求利益的最大化,吸引更多的人成为监视的对象,采用了越来越复杂的传播方式。根据调查显示,针对间谍软件的传播方式,用户最为反感的“间谍软件”形式主要包括:d广告的间谍软件、安装不打招呼的软件、控件、不容易卸载的程序、容易引起系统不稳定的程序、网银网游账号的木马程序。
间谍软件的危害不仅仅是花花绿绿的广告的骚扰,往往背后还隐藏着更加严重的威胁:间谍软件被黑客利用能够记录用户在计算机上的任何活动,包括敲打了哪个键盘、密码、发送和接收的电子邮件、网络聊天记录和照片等等。2005年万事达国际xyk公司宣布,位于亚利桑那州土桑市的一家xyk数据处理中心的计算机网络被侵入,4000万张xyk账号和有效日期等信息被盗,盗窃者采用的手段正是在这家xyk数据中心的计算机系统中植入了一个间谍软件。
●中国“网络钓鱼”名列全球第二
网络钓鱼作为一个网络蛀虫,自从2004年出现以后,迅速成为威胁互联网安全的主要攻击方式。进入2005年,网络钓鱼已经从最初的为技术痴迷的Vxer(病毒爱好者),变成受利益诱惑的职业人。他们不断地挖掘系统的漏洞、规则的失误,利用病毒的行为、人们的好奇心,四处进行着“钓鱼”、诈骗。
网络钓鱼在2004年及以前,多以邮件方式投递到用户邮箱中,而仅这种方式已经不能满足利益熏心的制造者。因此网络钓鱼在2005年的传播手段从单一的主动推送方法,增加“守株待兔”方法,以更加多样化的传播方式,这些方式包括:假冒网上银行、网上证券网站;利用虚假电子商务进行诈骗;利用木马和黑客技术等手段窃取用户信息等等,实际上,2005年“网络钓鱼”者在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、msn进行各种各样的“网络钓鱼”不法活动。
以今年5月份为例,“网络钓鱼”案件比上月激增226%,创有史以来最高纪录。随后的几个月内,网络钓鱼的攻击方式仍以平均每月73%的比例向上增加。据国家计算机病毒应急处理中心统计,目前中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位。
●病毒传播更多样、更隐蔽
2005年,网页浏览、电子邮件和网络下载是感染计算机病毒最常见的途径,分别占59%、50%和48%。计算机病毒通过网络下载、浏览和电子邮件进行传播和破坏的比例分别比去年
上升了6%,而利用局域网传播感染的情况与去年比较减少了7%,可以看到利用互联网传播已经成为了病毒传播的一个发展趋势。
同时,随着各大门户网站的即时通讯工具的推出,利用IM(即时通讯工具)作为传播的重要途径,而且已经渐渐追上了微软漏洞,成为了网络间病毒传播的首选方式,从年初的“MSN性感鸡”到利用QQ传播的“书虫”、“QQRRober”、“QQTran”,以及可以通过多种IM平台进行传播的“QQMsgTing”,它们都通过IM广阔的交流空间大肆传播着。每一个使用IM工具的人,至少会接到一次这类病毒的侵扰。同时,此类病毒在传播过程都会根据生活中的热点事件、新闻人物、或者信息构造诱惑信息,诱使聊天好友打开地址或接收病毒文件。
据统计,通过IM工具传播的病毒高达270万次起,排在所有病毒之首。这也使得国内IM厂家高度重视,腾讯推出的QQ2005,就在业界率先与杀毒厂商合作,与金山公司合作推出了国际首创的“QQ安全中心”。
●漏洞病毒出现的时间间隔越来越短
根据行业人士试验得到的反馈,在2005年,一台未打补丁的系统,接入互联网,不到2分钟就会被各种漏洞所攻击,并导致电脑中毒。因此,今年虽然病毒的感染率呈现出下降的趋势,但病毒仍然存在巨大的危害,并且利用漏洞的方法仍是病毒传播的最重要手段。
据了解,目前普通用户碰到的漏洞威胁,主要以微软的 *** 作系统漏洞居多。微软被新发现的漏洞数量每年都在增长,仅2005年截至11月,微软公司便对外公布漏洞51个,其中严重等级27个。众所周知,微软的Windows *** 作系统在个人电脑中有极高的市场占有率,用户群体非常庞大。利用微软的系统漏洞传播的病毒明显具有传播速度快、感染人群多、破坏严重的特点。03年的冲击波、04年的震荡波以及05年的狙击波便是很好的佐证。
利用漏洞的病毒越来越多。2005年8月15日凌晨,利用微软漏洞攻击电脑的病毒“狙击波”,被称为历史上最快利用漏洞的一个病毒,距离该漏洞被公布时间仅有一周。
因此,国内有关反病毒工程师告诉用户,2006年对于网络病毒的防护措施主要是以防护为主,但是除此之外,还要有相应的检测、响应及隔离能力。在大规模网络病毒暴发的时候,能够通过病毒源的隔离,把疫情降到最低,对于残留在网络上的病毒,人们也要有相应的处理能力。物联网的引入已经推动了多个行业的发展,例如农业、公用事业、制造业和零售业。
物联网解决方案有助于提高工厂和工作场所的生产率和效率。同样,由物联网驱动的医疗设备也导致了互联和主动的医疗保健方法的发展。
智慧城市还利用物联网来构建联网的交通信号灯和停车场,以减少交通流量不断增加的影响。
但是,物联网安全威胁的影响可能被证明是物联网实施中的主要问题。诸如DDoS、勒索软件和社会工程学之类的IoT安全威胁可用于窃取人员和组织的关键数据。攻击者可以利用IoT基础设施中的安全漏洞来执行复杂的网络攻击。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)