针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。
硬件接口
通过对多款设备的拆解发现,很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限,针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。
弱口令
目前物联网设备大多使用的是嵌入式linux系统,账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中,攻击者拿到这个文件可以通过John等工具进行系统密码破解,也可搜集常用的弱口令列表,通过机器尝试的方式获取系统相关服务的认证口令,一旦发现认证通过,则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。
信息泄漏
多数物联网设备厂商可能认为信息泄露不是安全问题,但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。
未授权访问
攻击者可以不需要管理员授权,绕过用户认证环节,访问并控制目标系统。主要产生的原因如下:
厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理,任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试,可能会将一些特定账户的认证硬编码到代码中,出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息,即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷,例如某摄像头存在不需要权限设置session的URL路径,攻击者只需要将其中的Username字段设置为admin,然后进入登陆认证页面,发现系统不需要认证,直接为admin权限。
远程代码执行
开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system,同时对输入的参数没有做严格过滤,导致可以执行额外的命令。
中间人攻击
中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密>
云(端)攻击
近年来,物联网设备逐步实现通过云的方式进行管理,攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据,伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。
物联网用途广泛,遍及智能交通、环境保护、政府工作、公共安全、平安家居、智能消防、工业监测、环境监测、路灯照明管控、景观照明管控、楼宇照明管控、广场照明管控、老人护理、个人健康、花卉栽培、水系监测、食品溯源、敌情侦查和情报搜集等多个领域。国际电信联盟于2005年的报告曾描绘“物联网”时代的图景:当司机出现 *** 作失误时汽车会自动报警;公文包会提醒主人忘带了什么东西;衣服会“告诉”洗衣机对颜色和水温的要求等等。物联网在物流领域内的应用则比如:一家物流公司应用了物联网系统的货车,当装载超重时,汽车会自动告诉你超载了,并且超载多少,但空间还有剩余,告诉你轻重货怎样搭配;当搬运人员卸货时,一只货物包装可能会大叫“你扔疼我了”,或者说“亲爱的,请你不要太野蛮,可以吗?”;当司机在和别人扯闲话,货车会装作老板的声音怒吼“笨蛋,该发车了!”
物联网把新一代IT技术充分运用在各行各业之中,具体地说,就是把感应器嵌入和装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中,然后将“物联网”与现有的互联网整合起来,实现人类社会与物理系统的整合,在这个整合的网络当中,存在能力超级强大的中心计算机群,能够对整合网络内的人员、机器、设备和基础设施实施实时的管理和控制,在此基础上,人类可以以更加精细和动态的方式管理生产和生活,达到“智慧”状态,提高资源利用率和生产力水平,改善人与自然间的关系。
应用案例
物联网传感器产品已率先在上海浦东国际机场防入侵系统中得到应用。
系统铺设了3万多个传感节点,覆盖了地面、栅栏和低空探测,可以防止人员的翻越、偷渡、恐怖袭击等攻击性入侵。上海世博会也与中科院无锡高新微纳传感网工程技术研发中心签下订单,购买防入侵微纳传感网1500万元产品。
ZigBee路灯控制系统点亮济南园博园。ZigBee无线路灯照明节能环保技术的应用是此次园博园中的一大亮点。园区所有的功能性照明都采用了ZigBee无线技术达成的无线路灯控制。
首家手机物联网落户广州
将移动终端与电子商务相结合的模式,让消费者可以与商家进行便捷的互动交流,随时随地体验品牌品质,传播分享信息,实现互联网向物联网的从容过度,缔造出一种全新的零接触、高透明、无风险的市场模式。手机物联网购物其实就是闪购。广州闪购通过手机扫描条形码、二维码等方式,可以进行购物、比价、鉴别产品等功能。
这种智能手机和电子商务的结合,是“手机物联网”的其中一项重要功能。预计2013年手机物联网占物联网的比例将过半,至2015年手机物联网市场规模达6847亿元,手机物联网应用正伴随着电子商务大规模兴起。
与门禁系统的结合
一个完整的门禁系统由读卡器、控制器、电锁、出门开关、门磁、电源、处理中心这八个模块组成,无线物联网门禁将门点的设备简化到了极致:一把电池供电的锁具。除了门上面要开孔装锁外,门的四周不需要设备任何辅佐设备。整个系统简洁明了,大幅缩短施工工期,也能降低后期维护的本钱。无线物联网门禁系统的安全与可靠首要体现在以下两个方面:无线数据通讯的安全性包管和传输数据的安稳性。
与云计算的结合
物联网的智能处理依靠先进的信息处理技术,如云计算、模式识别等技术,云计算可以从两个方面促进物联网和智慧地球的实现:首先,云计算是实现物联网的核心。 其次,云计算促进物联网和互联网的智能融合。
与TD结合
物联网发展是确保TD成功的重大契机。TD-SCDMA是我国拥有自主知识产权的第三代移动通信系统,是宽带无线通信网络,TD的发展需要数据业务的拉动,物联网应用是需求最迫切的增强型数据业务,具有广阔的应用前景,能够充分发挥TD网络优势,有助于促进TD产业链的成熟。
完善现有网络,发挥TD优势,积极推动无线传感器网络与TD网络融合,构建适于物联网应用的GPRS/TD/WSN(无线传感器网络)融合网络,大力发展适于TD网络承载的物联网业务,提升TD的核心竞争力,给物联网的发展以强有力的支撑,是中国移动的发展思路。
与移动互联结合
物联网的应用在与移动互联相结合后,发挥了巨大的作用。
智能家居使得物联网的应用更加生活化,中凌e家智能家居控制系统 具有网络远程控制、摇控器控制、触摸开关控制、自动报警和自动定时等功能,普通电工即可安装,变更扩展和维护非常容易,开关面板颜色多样,图案个性,给每一个家庭带来不一样的生活体验。
与指挥中心的结合
物联网在指挥中心已得到很好的应用,网连网智能控制系统可以指挥中心的大屏幕、窗帘、灯光、摄像头、DVD、电视机、电视机顶盒、电视电话会议;也可以调度马路上的摄像头图像到指挥中心,同时也可以控制摄像头的转动。网连网智能控制系统还可以通过3G网络进行控制,可以多个指挥中心分级控制,也可以连网控制。还可以显示机房温度湿度,可以远程控制需要控制的各种设备开关电源。
物联网助力食品溯源,肉类源头追溯系统
从2003年开始,中国已开始将先进的RFID射频识别技术运用于现代化的动物养殖加工企业,开发出了RFID实时生产监控管理系统。该系统能 够实时监控生产的全过程,自动、实时、准确的采集主要生产工序与卫生检验、检疫等关键环节的有关数据,较好的满足质量监管要求,对于过去市场上常出现的肉 质问题得到了妥善的解决。此外,政府监管部门可以通过该系统有效的监控产品质量安全,及时追踪、追溯问题产品的源头及流向,规范肉食品企业的生产 *** 作过 程,从而有效的提高肉食品的质量安全。
希望能帮到您,望采纳
安全物联网 (Internet of Things in Safety)是在自然资源、交通、住建、水利、能源、文旅古建及其他存在安全隐患的领域,利用传感器、大数据、BIM、GIS及AI等技术,建立泛在安全物联网监测预警系统。
通过在目标监测区域部署多源高精度传感器,并利用无线通信方式形成自组织的网络系统,协同完成对监测目标结构安全状态的实时感知、采集和传输。
同时,借助嵌入式人工智能边缘计算和云计算技术,对监测目标进行智能分析,实现监测预警和超前预测预警,最终达到安全感知、智慧管养和平安中国的目的。
安全物联网的经济和社会价值主要体现在四个方面:
强国:灾情是中国国情日益重要的组成部分,防灾减灾能力是多灾之国综合国力的有效构成要素。
安全物联网技术和行业的发展是提升国家应对自然灾害和基础设施灾害的综合防灾减灾能力的重要支撑。
惠政:公共安全是新型智慧城市的明确诉求,安全物联网运用云计算、大数据、物联网、人工智能等信息技术,构建城市智能基础设施,实现城市管理的数字化、精确化、智能化,最终提升政府的行政效能和城市管理水平。
为民:随着城镇化和现代化进程的持续发展,人民群众日常高度依赖基础设施,同时基础设施领域灾害的发生也会造成严重的人员伤亡和经济损失。
安全物联网可以为各类基础设施提供实时安全监测预警系统,从而避免和减少重大灾害的发生,实现从救灾向减灾的战略转变。
兴业:安全物联网的应用场景还覆盖工业生产安全、基建施工安全、消防安全、环境安全等领域。 安全物联网的应用场景还覆盖工业生产安全、基建施工安全、消防安全、环境安全等领域。
百度百科-安全物联网
大数据时代的到来,用户的私人信息越来越不安全。好多人每天都被骚扰电话,广告推销所折磨,越来越多的人知道你的电话,姓名,职业,朋友圈。严重的后果是,某些不法分子利用这些信息对你或者你的亲友进行诈骗。现在各种网站,各种应用注册的时候可能会捆绑手机,QQ,邮箱等信息,商家拿到这些信息,一定要保护用户的私人信息,保证用户的信息安全,这方面好多公司还做得很不到位。
周鸿祎提过用户信息安全三原则,具体内容如下:
第一,用户的信息是用户的个人资产。很多互联网大公司可能比较抵制我这个观点,因为互联网大公司在用户协议里说:因为用户号码是我给的,所以用户是我的,用户的好友列表也是我的,用户产生的内容也是我的。但是,它又发表一个免责声明,说用户产生的任何法律问题,都与自己无关。先不说这种自相矛盾的逻辑,我的观点是,用户使用厂商的服务产生的信息,是属于用户自己的个人资产。用户使用各种设备、各种软件产生的数据,虽然存储在厂商的服务器上,但是从所有权方面讲,它应该明确地属于用户,是用户的财产。
二是平等交换的原则。在大数据时代,通过云端的数据交换,厂商为用户提供服务。只要用户使用了厂商的服务,就会有相关的数据产生。你用微信的时候,为了匹配朋友,你的地址本自然要上传。为了与朋友聊天,你的聊天记录自然会保存在厂商的服务器上。但是,用户的信息和厂商之间,应该遵循平等交换的原则。什么叫平等交换?用户享受服务,厂商获取信息,但在这个过程中,用户要有知情权,厂商要得到用户授权才能使用用户信息,也就是说,用户要有选择权,有拒绝权。 举个例子,如果是一个类似大众点评这样的应用,因为要根据用户的地点给他找饭馆,自然它需要用户的位置信息,我认为这是合理的。这就是平等交换。但如果是一个小说阅读软件,也要获取用户的位置信息,我认为这个服务就不再是一个平等的交换,实际上它要了不该要的东西。平等交换原则也符合《消费者权益保护法》的基本原则,就是消费者要有知情权、选择权。
三是安全处理原则。有的人认为安全就是互联网安全公司干的事,就是杀毒软件的事,我觉得这个观点是错的。任何一家互联网公司,包括现在做可穿戴硬件的公司,都会变成一个互联网服务公司,用户会使用这些硬件产生大量的数据。所以,任何一家互联网公司都有责任保护用户信息的安全,要在云端对用户数据进行足够强度的加密,包括安全存储和安全传输。
物联网时代早已到来。安全性问题已经研究了10多年。怎么保证其安全性:
需要有国际法保护的 *** 作系统。至少有国家保护的 *** 作系统。因为, *** 作系统是物联网的精髓。
人人懂得保护隐私的重要性。保护隐私应该立法。因为,物联网的开放性,就好比人人可以进入“超市”购物、砍价、付款、闲聊,谁要赤身裸背在超市闲逛,那谁也没办法。即安全性需要人人重视。即便你无所谓,对计算机不做严格管理,也可被别有用心的黑客当炮灰或堡垒。
国家必须对物联网立法,用法管网,才能建立正常的安全秩序,有法可依,违法必究。
上网者的后台必须是实名制。一旦有问题,依法上后台查阅,谁也跑不了。就像现在正在实行的“电话实名制”。最好是线路也实名制,终端IP也实名制,利于快速破案。
商家必须实名制登记,其商铺、网店可以虚拟,但店铺必须国家工商注册,并有注册号可以查询真伪。提供查询的机关必须是国家管理部门,而不是一般的没有资质的社会团体。这样,人们进入商铺或网店就踏实多了。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)