针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。
硬件接口
通过对多款设备的拆解发现,很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限,针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。
弱口令
目前物联网设备大多使用的是嵌入式linux系统,账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中,攻击者拿到这个文件可以通过John等工具进行系统密码破解,也可搜集常用的弱口令列表,通过机器尝试的方式获取系统相关服务的认证口令,一旦发现认证通过,则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。
信息泄漏
多数物联网设备厂商可能认为信息泄露不是安全问题,但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。
未授权访问
攻击者可以不需要管理员授权,绕过用户认证环节,访问并控制目标系统。主要产生的原因如下:
厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理,任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试,可能会将一些特定账户的认证硬编码到代码中,出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息,即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷,例如某摄像头存在不需要权限设置session的URL路径,攻击者只需要将其中的Username字段设置为admin,然后进入登陆认证页面,发现系统不需要认证,直接为admin权限。
远程代码执行
开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system,同时对输入的参数没有做严格过滤,导致可以执行额外的命令。
中间人攻击
中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密>
云(端)攻击
近年来,物联网设备逐步实现通过云的方式进行管理,攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据,伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。
目前最迫切需要解决的问题主要有以下七个方面:一是物联网概念不统一,需要定义和规范;二是物联网产业发展战略尚不明晰,需要加强顶层设计和战略规划;三是核心技术亟待突破,需要高度重视知识产权和产业标准化; 四是产业链亟待健全和整合,需要培育龙头企业; 五是商业模式尚不明晰,有待积极探索;六是亟需加快国家法律法规和相关配套政策制定;七是网络信息安全问题应引起足够重视。
软件方面:
由于物联网是基于各种信息传感设备,如传感器、射频识别(RFID)技术、全球定位系统、红外感应器、激光扫描等,实时采集任何需要监控、连接、互动的物体或过程,是与互联网结合形成的一个巨大网络。软件的安全永远不可忽视,所以①国家安全:中国大型企业、政府机构,如果与国外机构进行项目合作,如何确保企业商业机密、国家机密不被泄漏?这不仅是一个技术问题,而且还涉及到国家安全问题,必须引起高度重视。②个人隐私:在物联网中,RFID是一个很重要的技术。在RFID中,标签有可能预先被嵌入任何物品中,比如人们的日常生活物品中,但由于该物品(比如衣物)的拥有者,不一定能够觉察该物品预先已嵌入有电子标签以及自身可能不受控制地被扫描、定位和追踪,这势必会使个人的隐私问题受到侵犯。因此,如何确保标签物的拥有者个人隐私不受侵犯便成为射频识别技术以至物联网推广的关键问题。③不同企业的软件兼容问题,如果互不开放,持有戒心,则很难形成一个真正的大的网络。物联网技术虽然发展迅速,但仍存在以下不足之处:
1 安全问题:物联网设备和系统的安全问题一直是一个热点和难点,缺乏有效的安全保护措施容易导致设备被攻击、信息泄露等问题。
2 标准化问题:由于物联网涉及到多个领域和技术,标准化工作并不完善,导致不同厂商和设备之间的兼容性和互联互通存在问题。
3 能耗问题:由于物联网设备需要不断收集和传输数据,因此能源消耗较大,需要更加智能化和节能的设计。
4 隐私问题:物联网设备收集的数据可能包含用户的隐私信息,如何保护用户的隐私成为一个重要的问题。
5 数据处理问题:物联网设备所产生的数据量庞大,如何高效地处理和分析数据,提取有用的信息,是一个需要解决的问题。
6 成本问题:物联网设备和系统的成本较高,对于一些中小企业和个人用户来说可能承受不起。
因此,未来需要在这些方面加强研究和改进,提高物联网技术的安全性、标准化、能源效率、隐私保护、数据处理和成本效益等方面的表现,以推动物联网技术的可持续发展。随着IoT继续增长,并且成为企业领导和消费者生活中的必需品,企业面临着很大的挑战。
Infoblox公司首席基础设施官Cricket
Liu表示,“大多数IT专业人士认识到物联网将会给其网络带来挑战,这些年来,网络管理员一直在试图满足‘携带自己的设备到工作场所(BYOD)’趋势,IoT将会造成终端的增长。”
随着越来越多连接系统和设备(从智能手机和平板电脑到汽车、制造系统、家用电器和监控摄像机)变得更加智能,物联网正迅速发展,生成和共享着大量数据。IoT承诺给企业带来更高的效率和更好的业务决策,大部分受访者表示他们认为这是一个潜在的机会。
然而,网络资源和安全被视为网络障碍。86%的受访IT专业人员表示,他们了解IoT带来的网络需求,78%表示他们有足够的预算,75%表示他们有足够的人员。并且,大多数人表示他们预计他们的预算和人员配备在明年将会增加,来更好地帮助他们满足物联网的需求。
46%的受访者表示他们希望其IoT解决方案的部署将会成为其现有网络的一部分。然而,这可能会带来网络容量问题,54%的受访者表示网络基础设施管理同样也会成为其企业的优先级事项。
Infoblox的Liu表示,这将需要企业更加重视网络管理和自动化解决方案,以应对上升的网络复杂性。
供应商和分析师预计物联网将会迅速增长。思科公司非常重视IoT,他们甚至创建了一个相关的业务部门,该公司预测,到2020年,将会有多达500亿台联网设备。Gartner分析师认为这个数字为260亿台,不包括电脑、平板电脑和智能手机。IDC分析师预计IoT收入将会从2013年的19万亿美元增长到2020年的71万亿美元。
智能联网设备的数量(以及它们之间的数字流量)的增长不仅会给网络造成压力,而且还会带来安全和隐私问题。根据思科表示,很难保护市场上已经有的100亿台联网设备,在未来6年增加400亿台将会扩大威胁环境,为攻击者提供了更多目标。
虽然63%的人认为物联网会带来网络安全问题,但另外37%的人认为这种担心只是炒作而已。
根据Infoblox的调查显示,“随着越来越多的对象和IP地址被添加进来,网络团队需要追踪其网络上的情况,同时也要记住所有这些对象和IP地址都是企业IT基础设施中的潜在薄弱环节。”
IT专业人士都看到了BYOD趋势的兴起,而IoT将会让他们很难追赶上添加到企业网络的设备的速度。56%的受访者表示,IT管理人员很难控制IoT部署的位置,45%的受访者称他们没有从业务线工作人员获得关于部署的足够的信息。然而,74%的受访者称他们的业务已经整合到IoT业务计划。
对于物联网,IT领导现在可以做的就是确保他们参与到IoT部署的早期规划中,在任何购买决策之前,他们还可以重新调整网络访问政策来确保新设备和系统连接不会给网络资源或安全带来威胁,并确保网络任务自动化,并且部署或扩展其IPv6计划来确保IPv4地址的短缺不会减缓他们的物联网工作。
2006至2020年,物联网应用从闭环、碎片化走向开放、规模化,智慧城市、工业物联网、车联网等率先突破。中国物联网行业规模不断提升,行业规模保持高速增长,江苏、浙江、广东省行业规模均超千亿元。
截至到2019年,我国物联网市场规模已发展到15万亿元。未来巨大的市场需求将为物联网带来难得的发展机遇和广阔的发展空间。
近年来,我国政府出台各类政策大力发展物联网行业,不少地方政府也出台物联网专项规划、行动方案和发展意见,从土地使用、基础设施配套、税收优惠、核心技术和应用领域等多个方面为物联网产业的发展提供政策支持。在工业自动控制、环境保护、医疗卫生、公共安全等领域开展了一系列应用试点和示范,并取得了初步进展。
目前我国物联网行业规模已达万亿元。中国物联网行业规模超预期增长,网络建设和应用推广成效突出。在网络强国、新基建等国家战略的推动下,中国加快推动IPv6、NB-IoT、5G等网络建设,消费物联网和产业物联网逐步开始规模化应用,5G、车联网等领域发展取得突破。
政策推动我国物联网高速发展
自2013年《物联网发展专项行动计划》印发以来,国家鼓励应用物联网技术来促进生产生活和社会管理方式向智能化、精细化、网络化方向转变,对于提高国民经济和社会生活信息化水平,提升社会管理和公共服务水平,带动相关学科发展和技术创新能力增强,推动产业结构调整和发展方式转变具有重要意义。
以数字化、网络化、智能化为本质特征的第四次工业革命正在兴起。物联网作为新一代信息技术与制造业深度融合的产物,通过对人、机、物的全面互联,构建起全要素、全产业链、全价值链全面连接的新型生产制造和服务体系,是数字化转型的实现途径,是实现新旧动能转换的关键力量。
我国物联网行业呈高速增长状态 未来将有更广阔的空间
自2013年以来我国物联网行业规模保持高速增长,增速一直维持在15%以上,江苏、浙江、广东省行业规模均超千亿元。中国通信工业协会的数据表明,随着物联网信息处理和应用服务等产业的发展,中国物联网行业规模已经从2013年的4896亿元增长至2019年的15万亿元。
虽然我国物联网发展显著,但我国物联网行业仍处于成长期的早中期阶段。目前中国物联网及相关企业超过3万家,其中中小企业占比超过85%,创新活力突出,对产业发展推动作用巨大。
物联网作为中国新一代信息技术自主创新突破的重点方向,蕴含着巨大的创新空间,在芯片、传感器、近距离传输、海量数据处理以及综合集成、应用等领域,创新活动日趋活跃,创新要素不断积聚。
物联网在各行各业的应用不断深化,将催生大量的新技术、新产品、新应用、新模式。未来巨大的市场需求将为物联网带来难得的发展机遇和广阔的发展空间。
在政策、经济、社会、技术等因素的驱动下,2020年GSMA移动经济发展报告预测,2019-2025年复合增长率为9%左右,2020年中国物联网行业规模目标16亿元,按照目前物联网行业的发展态势,十三五规划的目标有望超预期完成;预计到2025年,中国物联网行业规模将超过27万亿元。
未来物联网行业将向着多元方向发展
标准化是物联网发展面临的最大挑战之一,它是希望在早期主导市场的行业领导者之间的一场斗争。目前我国物联网行业百家争鸣,还未有一个统一的标准出现。因此在未来可能通过不断竞争将会出现限数量的供应商主导市场,类似于现在使用的Windows、Mac和Linux *** 作系统。
合规化同样是当下物联网面临的问题之一,特别是数据隐私问题。目前数据隐私已成为网络社会的一个关键词,各种用户数据泄露或被滥用的事件频发,特别是Facebook的丑闻引发了全球担忧。
因此在未来,我国各种立法和监管机构将提出更加严格的用户数据保护规定,,用户的敏感数据可能会随着时间的推移而受到更严格的监管。
安全化是指预防物联网软件遭受网络黑客攻击,在未来,以安全为重点的物联网设施将受到更多的关注,特别是某些特定的基础行业,如医疗健康、安全安防、金融等领域。
多重技术推动物联网技术创新
从技术创新趋势来看,物联网行业发展的内生动力正在不断增强。连接技术不断突破,NB-Iot、eMTC、Lora等低功耗广域网全球商用化进程不断加速;物联网平台迅速增长,服务支撑能力迅速提升;
区块链、边缘计算、人工智能等新技术题材不断注入物联网,为物联网带来新的创新活力。受技术和产业成熟度的综合驱动,物联网呈现“边缘的智能化、连接的泛在化、服务的平台化、数据的延伸化”等特点。
——以上数据来源于前瞻产业研究院《中国物联网行业应用领域市场需求与投资预测分析报告》
1我国城市生命线工程安全运维管理现状为了保障城市生命线工程安全运行,我国部分城市相关部门采取了一定的监控措施。以上海为例,为了有效减少爆管或是漏水情况,上海浦东威立雅自来水公司在所辖部分区域水管内安装了流量仪;为了确保用电安全,上海电力建立了远程监控预警系统;为确保生命线工程的安全,上海市由国土资源管理部门和轨道交通企业合作建设了全球首个地面沉降监测网络——上海市轨道交通沉降基准网。
由于现有煤气、自来水地下管道、供电和通信线路等部分设施老化,加上违章施工和使用不当及偷盗、人为破坏等问题,造成煤气泄漏燃爆和大口径水管爆裂、通信供电线路中断等事故时有发生。城市生命线工程安全运维管理还存在一些薄弱环节,城市公共安全风险和隐患日益增多,原因主要有:
1)城市生命线工程相关的管理部门众多,运行监测信息获取、公共安全风险和隐患监测等无法在一个平台上统一管理;
2)各部门独立的管理平台系统往往互不相通、自成体系,形成信息孤岛,导致信息和资源无法共享;
3)突发事件应急指挥技术支撑系统的智能分析和辅助决策水平亟需进一步提高。因此,作为智慧城市以及城市公共安全的重要组成部分,城市生命线工程的安全保障要依靠预防加控制,必须采取有效的监控和预警。
2物联网和bim技术在城市建筑安全生命线运维管理中的适用性
从国内外研究现状来看,城市生命线工程的研究主要集中在地震震害分析、风险评估、应急管理等方面。1991年美国麻省理工的Kevin教授首次提出物联网(TheInternetofThings)的概念,是指将利用RFID等传感技术随时随地获取物体的信息,然后通过各种网络与互联网的融合,将信息实时准确地传递出去,最后利用云计算、模糊识别等智能计算技术,对海量数据信息进行分析和处理,从而对物体实施智能化控制。
近年来,国内外陆续开展了物联网在供热、供气和供水等方面的应用研究,并在此基础上将物联网与GIS相结合,提出基于物联网和GIS的基础设施管理系统。目前关于城市生命线工程方面的研究主要存在以下问题:
1)将物联网技术单独应用在某一类生命线工程中,尚无建立统一的运维应急管理框架以及各部门间的协同响应机制;
2)物联网与三维GIS的融合从一定程度上解决了运维阶段发生事故时管道线路的定位问题,在利用三维动态模拟不同管线之间以及管线与建筑物之间的具体关系和影响问题时,必须将设计施工等信息录入模型,需大量的手动输入,造成数据信息丢失严重。
建筑信息模型(BuildingInformationModeling,BIM)的出现不仅可整合城市生命线工程的图形化及非图形化资料,提供虚拟实境模型,并纳入流程的观念,降低规划、设计、施工、运维各阶段转移工程资料的信息遗漏问题。国际标准组织于2006年提出了CGB(CAD-GIS-BIM)架构,并制定相关技术标准以达到整合宏观与微观空间信息,并进行交换与交互 *** 作,提供城市数字化、救灾等相关应用。
事实上,BIM是三维GIS发展的新趋势,是一种应用于工程设计、建造、运行和维护管理的数据化工具,通过参数模型整合各种项目所具有的真实信息,并在项目全生命周期过程中为各方主体提供信息协同、共享和传递,具有可视性、可模拟性等特点。BIM是物联网应用的基础数据模型,而物联网作为互联网的有效延伸,包含并兼容了互联网所有的应用和资源。城市生命线工程运维安全管理以其多领域、多主体、多目标等特征,成为物联网和BIM延伸和应用的最佳平台,是实现智慧城市的重要发展方向,如图1所示。
3基于物联网和BIM的城市建筑安全生命线运维管控平台设计
31设计目标
本系统采用以公共安全科技为核心,以物联网、bim技术为支撑,以建设规划管理、日常运行管理和应急管理流程为主线,软硬件相结合,通过对城市生命线工程的实时动态监控,旨在突发事件应急管理等提供科学决策的技术平台。生命线工程的各个子系统共用基于BIM的生命线工程动态监控数据库,实现统一化管理,最终为城市应急管理提供科学决策基础和依据,技术体系如图1所示。
陈兴海,等•基于物联网和BIM的建筑安全运维管理应用研究本系统按照城市生命线工程建设与运行信息的采集、传输、分析和应用(简称“感、传、知、用”)四个环节展开,以标准规范与运行管理、信息安全为保障,分为感知、网络和应用三个层面,确保各单位相关数据互联互通和资源共享,如图2所示。其中,感知层主要利用射频识别等感知设备,即把传感器分别安装到生命线工程及相邻建筑物的关键部位,实时获取位置距离、力学性能、运行参数等感知信息;网络层主要通过各类相关网络,特别是有线宽带和无线宽带专网的建设和应用,对感知信息进行安全可靠传输;应用层主要是运用云计算、云存储等技术,对获取的物联网信息进行共享整合、智能分析和处理控制,通过有效的运行管理模式,服务城市统一应急管理科学决策。
32系统主要功能
模块根据生命线工程监测预警与应急管理系统的特征和目标,并结合供水、供气管道、电力、通讯线路,桥梁结构监测等类型分析,城市生命线工程安全运维管控平台系统应包括工程信息共享平台、监测数据管理、三维模拟与漫游、健康诊断与安全评估与应急预警管理的五大功能模块。
33技术架构
331工程信息共享平台通过制订相关标准,在设计施工阶段形成BIM的基础上,开展城市生命线工程相关各单位物联网感知设备和管理对象的编码服务,收录生命线工程的基本信息,包括工程名称、地理位置、项目规模、建造日期、主要设备材料信息、参建单位相关资料,以及动态监测测点布置、传感器类型、参数设定等内容。
332监测数据管理系统能够通过传感器实时采集工程结构健康安全数据信息,利用网络将获取的信息传输到BIM数据库中进行位置定位,然后存储在云计算网络服务器中,用户可以实时共享查询所需信息。
333三维模拟与漫游系统可以根据用户的选择范围生成三维浏览图,从不同角度观察生命线工程的空间位置、相互关系等信息,通过改变参数来模拟生命线工程综合网络的变化情况。
334健康诊断与安全评估针对不同生命线工程的特点,当监控系统发现监测数据有异常情况时,通过预先设置的阀值来判断生命线工程的安全运行状况,超过设置的安全设计值将会触发调用服务器中的历史数据进行健康诊断与安全评估,并整合各单位工程的相关业务信息,实现智能分析研判,同时将分析结果存入数据库中。
335应急预警管理根据健康诊断与安全评估系统模块的研判,应急预警管理系统具有制定生命线工程的维护管理方案、启动城市联动防灾应急预案,以及提供城市防灾指挥数据支持等功能。基于物联网和BIM的城市生命线工程安全运维管控平台通过上述五大系统功能模块,全面对工程结构和管线安全运维状况开展在线动态实时监测,系统维护人员和各相关部门可以通过平台提供的客户端查询各个系统功能模块的工作状态和监测对象的实时工共享信息,协同对工程出现的异常状态做出及时科学决策。
随着经济社会的快速发展以及城市化进程的不断推进,城市公共安全风险和隐患逐步增多,作为智慧城市的重要组成部分,基于物联网的城市建筑安全生命线工程运维管理平台在城市管理中的地位也日益凸显,它能发挥不断提高城市安全运行和应急管理能力。通过本文研究,主要得到以下成果:
(1)针对城市生命线工程运维安全管理多领域、多主体、多目标等特征,成为物联网和BIM延伸和应用的最佳平台,是实现智慧城市的重要发展方向;
(2)采用以公共安全科技为核心,以物联网、BIM技术为支撑,以建设规划管理、日常运行管理和应急管理流程为主线,软硬件相结合,通过生命线工程的各个子系统共用基于BIM的生命线工程动态监控数据库,实现统一化管理,最终为城市应急管理提供科学决策基础和依据;
(3)根据生命线工程监测预警与应急管理系统的特征和目标,并结合供水、供气管道、电力、通讯线路,桥梁结构监测等类型分析,提出了城市生命线工程安全运维管控平台系统五大功能模块的技术架构。
更多关于工程/服务/采购类的标书代写制作,提升中标率,您可以点击底部官网客服免费咨询:>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)