物联网:信息安全与实战

2017-08-05 10:02:34 无锡成事科技有限公司 223

1501898600661189.jpg

201610,美国互联网服务商Dynamic Network Service遭遇了大规模DDOS攻击,造成多家美国网站出现登录问题。有数据表明,黑客发起此次攻击,是运用了全球上千万件感染恶意代码的物联网智能设备,例如CCTV闭路监控装置、数码摄影设备等。

堪称灾难的事件背后,物联网安全问题不容小觑。尽管目前物联网的安全威胁相对传统互联网仍然只占到很小部分,但随着行业的高速发展,针对物联网的病毒很有能在未来几年流行开来,原来能够阻碍网络病毒的那些屏障正在一项一项消失。不久的将来,物联网或将成为网络安全事件的重灾区。

 

1、攻击平面与安全防护

物联网安全问题如何解决?其实方案早就有了,我们可以借鉴传统网络安全的知识,并针对物联网的特点做些相应的升级改造。网络安全中一个重要的概念就是攻击表面,也称攻击面、攻击层面,它是指网络环境中可以被未授权用户(攻击者)输入或提取数据的可攻击位置。这些攻击表面可能是某个服务端口,也可能是某个页的输入框、某个TCP的链接等。对于网络安全的防守方,希望的是攻击表面越小越好,当然最理想的情况是没有攻击表面。典型的例子就是物理隔离,很多国防军工类企业,使用物理隔离办法,将内网与外网完全隔离开来,实现网络没有可被攻击的位置。当然,这种安全模式缺点也很明显,即完全不具有任何灵活性,并造成了完全的数据孤岛,这会给工作生产产生负面影响,极大降低效率。因此,攻击表面与数据流动犹如硬币的两个面,缩小攻击表面必然造成数据的流动性变差,而要增加数据的流动性则必然造成攻击表面的扩大。所以,实现物联网安全其实就是最大限度保障所必须的功能的前提下,尽可能缩小攻击表面。

物联网安全就是与攻击表面的斗争,而攻击表面的粒度定义越细致,则在安全攻防中获得胜利的机会越大,最理想情况是整个攻击表面能够正好符合所有的应用需要,没有一个和应用无关的多余攻击表面,通俗来讲就是只给物联网运行所需的权限,而不给任何多余权限,以免被黑客利用。

降低物联网攻击表面的方法很多,包括使用安全分析软件对物联网软件的源代码进行扫描分析,发现软件中的潜在漏洞,比如SQL注入、堆栈溢出、使用不安全的库函数、在日志中记录了一些用户敏感信息、使用明文存储密匙等等。通过使用源代码基本的安全分析扫描可以解决大部分已知安全问题,有效降低软件的攻击平面。同样的通过使用用户安全认证技术,可以有效避免非授权用户的登录,减少物联网节点的攻击平面。在网络传输过程中,使用加密技术是减少网络攻击平面的必然选择,在网络协议的选择上应该使用经过安全验证的标准协议,尽量避免为了降低安全测试与维护成本而使用自定义的通信协议。

 

2、数据的物联网安全监控系统设计

所谓物联网网关是连接物联网与传统通信网络的纽带。作为网关设备,物联网网关可以实现感知网络与通信网络,不同类型感知网络之间的协议转换,既可以实现广域互联,也可以实现局域互联。此外物联网网关还需要具备设备管理功能,运营商通过物联网网关设备可以管理底层的各感知节点,了解各节点的相关信息,并实现远程控制。在物联网网关的功能基础上,叠加上与安全相关的一系列功能就形成了智能安全网关。回想一下前文提到的攻击表面,要有效实现物联网的安全就需要尽可能的减小物联网的攻击表面,同时智能安全网关还能够成为安全猎手最重要的监控设备,监控黑客的入侵。智能安全网关通过将所有内部物联网的数据流汇聚到自己这里,并与自己的安全监控数据合并,再通过公共网络传输到云与数据中心当中,有效地将攻击表面缩小到网关节点上,并为安全猎手提供了猎杀黑客入侵的必要条件。图1是一个物联网智能安全网关的设计实现框图。

2.jpg

1 物联网智能安全网关的设计实现框图 

        我们将一块OpenFPGAduino作为物联网网关节点并叠加上一整套网络安全软件,实现了一个物联网安全智能网关。这个网关连接了左边的各种物联网,包括智能电网、工业控制网、车联网等,右边通过广域网连接了云服务与数据中心。图的下方是承载网关功能的OpenFPGAduino物理硬件,图的上方给出了一些必要的安全软件,利用Kerberos安全网关实现了对任何接入网关的设备的安全认证,确保只有获得授权的用户与设备才能接入到安全网关;利用Iptable安全网关实现了基本的网络防火墙功能,将广域网上可能出现的对物联网设备的攻击阻挡在安全网关之外;利用SquidHTTP代理,可以有效的过滤用户通过Web对物联网设备的控制与访问,并实现对用户访问物联网设备的行为进行监控,为快速发现黑客行为提供了帮助;利用Snort安全网关实现了以侦测签名与通信协议的侦测方法实现对黑客网络侵入检测。从某种意义上来说,智能安全网关继承了传统网络中的多种安全设备,为接入其中的物联网节点提供全方位的安全服务与保障,使得物联网节点远离黑客攻击。

        总的来讲,由于有了基于大数据的物联网安全监控系统,我们可以做到对入侵行为的精确监控,并实现在入侵的每一个环节上有效发现入侵、分析入侵并实施击杀。利用大数据的海量数据,在与黑客的攻防战中掌握住信息权,让黑客无处遁形,只能接受数据猎手的降维打击。

服务支持

0510-85072212

周一至周五 08:30~17:30

企业微信公众号