1、物联网感知层抗旁路攻击措施需要遵循安全编码规范,减少漏洞产生,降低潜在风险,加强安全开发流程。
2、建议部署厂商提供的整体安全解决方案。可以进行安全的身份认证,同时保护数据安全。什么是DNS 泛洪?
域名系统(DNS ) 服务器是 Internet 的“电话簿”;它们是 Internet 设备能够查找特定 Web 服务器以访问 Internet 内容的路径。DNS 泛洪是一种分布式拒绝服务攻击(DDoS),攻击者可以泛洪特定域的DNS 服务器,试图破坏该域的DNS 解析 如果用户无法找到电话簿,则无法通过查找地址来调用特定资源。通过中断 DNS 解析,DNS 洪水攻击将危及网站、API 或 Web 应用程序对合法流量的响应能力。DNS 洪水攻击可能难以与正常的大量流量区分开来,因为大量流量通常来自多个独特的位置,查询域上的真实记录,模仿合法流量。
DNS 泛洪攻击是如何工作的?
域名系统的功能是在容易记住的名称(例如examplecom)和难以记住的网站服务器地址(例如19216801)之间进行转换,因此成功攻击DNS 基础设施使大多数人无法使用Internet。DNS Flood攻击构成了一个相对较新的类型的基于DNS的攻击已经与高带宽的崛起增殖物联网(IOT)的互联网 僵尸网络就像未来。DNS Flood 攻击利用 IP 摄像机、DVR 盒和其他物联网设备的高带宽连接,直接淹没主要提供商的 DNS 服务器。来自物联网设备的大量请求使 DNS 提供商的服务不堪重负,并阻止合法用户访问提供商的 DNS 服务器。
DNS 泛洪攻击不同于DNS 放大攻击。与DNS 泛洪不同,DNS 放大攻击会反射和放大来自不安全 DNS 服务器的流量,以隐藏攻击源并提高其有效性。DNS 放大攻击使用连接带宽较小的设备向不安全的DNS 服务器发出大量请求。这些设备对非常大的DNS 记录发出许多小请求,但是在发出请求时,攻击者将返回地址伪造为目标受害者的返回地址。放大允许攻击者仅用有限的攻击资源就可以消灭更大的目标。
如何缓解DNS Flood 攻击?
DNS 泛洪代表了传统基于放大的攻击方法的变化。借助易于访问的高带宽僵尸网络,攻击者现在可以瞄准大型组织。在可以更新或更换受感染的物联网设备之前,抵御这些类型攻击的唯一方法是使用非常庞大且高度分布式的 DNS 系统,该系统可以实时监控、吸收和阻止攻击流量。“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。你好,要保障物联网信息安全需采用一定的防护手段。物联网是“万物互联”的网络,物联网技术原理更需要依托计算机,然而现在信息泄露事件还是非常严重的。前段时间国家有过相关报道过,在2020年境外约52万个计算机恶意程序控制服务器控制了国内大约有531万台主机,国家的信息安全也还在面临着非常严峻的威胁,所以物联网被黑客攻击并且监控的情况完全有可能发生。要保障物联网信息安全可以采用加密软件来防护的解决方案,天锐-绿盾加密软件可以对信息安全进行有力防护;如果担心被黑客攻击,可以采用天锐-绿盘的智能备份系统来对信息进行智能备份,通过灵活数据备份策略和高速恢复的智能备份方式,有效保护信息的安全。过去一年中,全球各地的物联网恶意攻击事件大幅增加,其中就包括了两次非常有名的DDoS攻击:一次发生在通过Akamai托管的“Krebs on Security”博客网站上,另一次则发生在为众多社交网站的关键互联网基础设施提供支持的Dyn DNS服务器上。
在这两个案例中,攻击者利用物联网设备(如IP监控摄像头、DVR以及其他与目标无关的消费类设备)创建了能够破坏目标(不相关)服务的僵尸网络。在DNS事件中,许多常用的互联网服务都遭到了破坏,包括Netflix、Spotify、Twitter、Tumblr等等。
可以看出,黑客在众多攻击事件中使用的套路是:将恶意代码写入通常位于网络附近或边缘位置的设备的非易失性存储中,令该设备被劫持成为恶意僵尸网络的一部分。而物联网边缘网络和设备之所以被黑客盯上,其原因就在于通常情况下,在企业认识到加密安全保护是新设计中稳健周全的基础支柱要素之前,大多数物联网设备都已经被部署完毕,这就让它们非常轻易地成为了黑客攻击入侵的目标。
更加聪明的深度防御
一般的物联网管理者,往往在软件安全方面投入了大量安全监管精力,但是却很容易忽略硬件选项。然而如果不同时考虑硬件和软件的话,则无法实现“自动防御故障”安全保护。
针对物联网领域的安全隐患,美光科技提出的策略是:设计具有相应的恶意软件抵御能力的设备,并使之具有适当级别的保护冗余,以防未来暴露出一些意想不到的安全漏洞。这也就是说,最好的深度防御其实是硬件和软件的强强联合。
美光科技认为,存储正是打通软件和硬件安全方案的关键点,因此其安全防御的思路,就是通过软件和硬件结合的存储级别的安全防护,来解决当前困扰物联网行业的安全难题。摘 要 物联网作为一项新兴的技术, 已经引起国内学术界高度重视。针对物联网的发展趋势,介绍了其基本概念和技术背景,以及对所涉及的利益相关者产生安全和隐私的影响。需要采取措施,确保该架构能抵御攻击,进行数据认证,访问控制,建立客户隐私。
关键词 物联网 隐私
中图分类号:C913 文献标识码:A
Talking about the Problems of Internet Things Privacy
HUANG Ling
(College of Electronics and Information Engineering, Nanjing Institute of
Information Technology, Nanjing, Jiangsu 210046)
Abstract IOT(Internet of Things), as an emerging technology, attracts much attention form domestic academia and industry For its trend, this paper describes the basic concept and technical background Its development has an impact on the security and privacy of the involved stakeholders Measures ensuring the architecture"s resilience to attacks, data authentication, access control and client privacy need to be established
Key words Internet of things; privacy
1 物联网:概念和技术背景
物联网(IOT)是一个新兴的基于互联网的信息体系结构,促进商品和服务在全球供应链网络的交流。例如,某类商品的缺货,会自动报告给供应商,这反过来又立即引起电子或实物交付。从技术角度来看,物联网是基于数据通信的工具,主要是RFID(无线电射频识别)标签的物品,通过提供的IT基础设施,促进一个安全和可靠的 “物”的交流的方式。
基于目前普遍的看法,物联网的新的IT基础设施是由EPCglobal和GS1引入的电子产品代码(EPC)。“物”是携带一个特定EPC 的RFID标签的物理对象;基础设施可以给本地和远程的用户提供和查询EPC信息服务(EPCIS)。信息并不完全保存在RFID标签上,通过对象名称解析服务(ONS)的连接和互联。信息可由互联网上的分布式服务器提供,
ONS是权威的(连接元数据和服务),在这个意义上,实体可以拥有―集中―改变对有关EPC信息的控制。从而,该架构还可以作为无处不在的计算的骨干,使智能环境识别和确定对象,并接收来自互联网的资料,以方便他们的自适应功能。
ONS是基于知名的域名系统(DNS)。从技术上讲,为了使用DNS来找到有关物品的信息,该物品的EPC必须转换成DNS可以理解的格式,这是典型的“点”分隔的,由左往右形式的域名。EPC编码语法上是正确的域名,然后在使用现有的DNS基础设施,ONS可以考虑是DNS子集。然而,由于这个原因,ONS也将继承所有的DNS弱点。
2 安全和隐私需求
21 物联网技术的要求
物联网的技术架构对所涉及的利益相关者产生安全和隐私的影响。隐私权包括个人信息的隐蔽性以及能够控制此类信息的能力。隐私权可以看作一个基本的和不可剥夺的人权,或作为个人的权利。用户可能并不知道物体的标签的归属性,并有可能不是声音或视觉信号来引起使用物体的用户注意。因此不需要知道它们个体也可以被跟踪,留下它们的数据或可在其网络空间被追踪。
既然涉及到商业过程,高度的可靠性是必要的。在本文中,对所要求的安全和隐私进行了说明:(1)抗攻击的恢复能力:该系统应避免单点故障,并应自动调节到节点故障;(2)数据验证:作为一项原则,检索到的地址和对象的信息必须经过验证;(3)访问控制:信息供应商必须能够实现对所提供的数据访问控制;(4)客户隐私:只有信息供应商从观察一个特定的客户查询系统的使用可以进行推断,至少,对产品的推断应该是很难进行。
使用物联网技术的民营企业在一般的经营活动将这些要求纳入其风险管理意识中。
22 隐私增强技术(PET)
履行对客户隐私的要求是相当困难的。多项技术已经开发,以实现信息的隐私目标。这些隐私增强技术(PET)的可描述如下。(1)虚拟专用网络()是由商业伙伴的紧密团体建立的外联网。作为唯一的合作伙伴,他们承诺要保密。但是,这个方案不会允许一个动态的全球信息交换,考虑到外联网以外的第三方是不切实际的。(2)传输层安全(TLS),基于一个全球信托机构,还可以提高物联网的保密性和完整性。然而,每个ONS委派都需要一个新的TLS连接,信息搜索由于许多额外的层将产生负面影响。(3)DNS安全扩展(DNSSEC)的公共密钥加密技术记录资源记录,以保证提供的信息来源的真实性和完整性。然而,如果整个互联网界采用它。DNSSEC只能保证全球ONS信息的真实性。(4)洋葱路由对许多不同来源来编码和混合互联网上的数据,即数据可以打包到多个加密层,使用传输路径上的洋葱路由器的公共密钥加密。这个过程会妨碍一个特定的源与特定的互联网协议包匹配。然而,洋葱路由增加了等待时间,从而导致性能问题。(5)一旦提供了EPCIS私人信息检索系统(PIR)将隐瞒客户感兴趣的信息,然而,可扩展性和密钥管理,以及性能问题,会出现在诸如ONS的一个全球性的接入系统中,这使得这种方法变得不切实际的。(6)另一种方法来增加安全性和保密性是同行对等(P2P)系统,它表现出良好的的可扩展性和应用程序的性能。这些P2P系统是基于分布式哈希表(DHT)的。然而,访问控制,必须落实在实际的EPCIS本身,而不是在DHT中存储的数据,因为这两项设计没有提供加密。在这种情况下,使用普通的互联网和Web服务安全框架,EPCIS连接和客户身份验证的加密可以容易地实现,特别是,客户身份验证可以通过发布共享机密或使用公共密钥来实现。
重要的是,附加到一个对象RFID标签可以在稍后阶段被禁用,以便为客户来决定他们是否要使用标签。 RFID标签可及将其放入保护箔网格而禁用,网格称为“法拉第笼”,由于某些频率的无线电信号不能穿过,或将其“杀”死,如移除和销毁。然而,这两个选择有一定的缺点。虽然将标签放在笼子,相对比较安全的,如果客户需要,它需要每一个产品的每个标签都在笼中。某些标签将被忽略并留在客户那里,她/他仍然可以追溯到。发送一个“杀”命令给标签,留下重新激活的可能性或一些识别的信息在标签上。此外,企业可能倾向于为客户提供奖励机制不破坏标签或暗中给他们标签,不用杀死标签,解散标签和可识别对象之间的连接可以实现。ONS上面的信息可被删除,以保护对象的所有者的隐私。虽然标签仍然可以被读取,但是,关于各人的进一步信息,是不可检索。
此外,由RFID撷取的非个人可识别信息需要透明化。有源RFID可以实时跟踪游客的运动,不用识别哪个游客是匿名的 ;然而,在没有任何限制的情况下收集这些资料是否被传统隐私权的法律涵盖,这一问题仍然存在。
人们对隐私的关心的确是合理的,事实上,在物联网中数据的采集、处理和提取的实现方式与人们现在所熟知的方式是完全不同的, 在物联网中收集个人数据的场合相当多,因此,人类无法亲自掌控私人信息的公开。此外,信息存储的成本在不断降低,因此信息一旦产生, 将很有可能被永久保存,这使得数据遗忘的现象不复存在。实际上物联网严重威胁了个人隐私,而且在传统的互联网中多数是使用互联网的用户会出现隐私问题, 但是在物联网中,即使没有使用任何物联网服务的人也会出现隐私问题。确保信息数据的安全和隐私是物联网必须解决的问题,如果信息的安全性和隐私得不到保证,人们将不会将这项新技术融入他们的环境和生活中。
物联网的兴起既给人们的生活带来了诸多便利, 也使得人们对它的依赖性越来越大。如果物联网被恶意地入侵和破坏,那么个人隐私和信息就会被窃取,更不必说国家的军事和财产安全。国家层面从一开始就要注意物联网的安全、可信、隐私等重大问题,如此才能保障物联网的可持续健康发展。安全问题需要从技术和法律上得到解决。
参考文献
[1] 吴功宜智慧的物联网[M]北京:机械工业出版社,2010.
[2] 宋文无线传感器网络技术与应用[M]北京:电子工业出版社,2007.
[3] ITU ITU In ternet Reports 2005: The Intern et of Th ings [R] Tun is, 2005
[4] In tern at ion alTelecomm unicat ion Un ion U IT ITU In ternetR eports 2005: The Internet of Th ings[R]2005
路由器高危漏洞致德国百万用户断网、黑客入侵15万台打印机、智能泰迪熊玩具泄露200多万条亲子聊天记录……与物联网设备漏洞相关的黑客攻击一再发生,使得国外对物联网设备的安全风险有所警觉。美国联邦调查局曾警告家长,互联网玩具有泄露隐私的风险,黑客可以通过攻击互联网玩具来获得孩子的姓名、地点等个人信息。
针对物联网设备攻击的危害远不止于数据失窃那么简单。安全研究人员演示了如何将勒索软件安装到家庭的智能恒温器上。他们甚至可以将温度调高到95摄氏度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。他们还能对联网的车库门、车辆甚至家电发动类似的攻击。随着无人驾驶日益普及,黑客可以控制车辆,换广播电台、开启雨刷器、逼停车辆乃至引发交通事故。更令人担心的是,黑客有可能攻击植入人体且具有无线功能的医疗器械,借以危害人体健康。
国际权威咨询公司高德纳预测,2020年全球物联网设备数量将高达260亿件,解决物联网设备的安全防护问题已是刻不容缓。来源:央广
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)