許多物聯(lián)網(wǎng)系統(tǒng)是開(kāi)放式的,并且包含不同供應(yīng)商提供的元件。在多數(shù)情況下,這種開(kāi)放性和可擴(kuò)展性可以為物聯(lián)網(wǎng)帶來(lái)巨大潛在價(jià)值。然而,正因?yàn)槠脚_(tái)、通訊網(wǎng)路和閘道以及眾多可用的終端設(shè)備可能來(lái)自不同的供應(yīng)商,在所有應(yīng)用場(chǎng)景中使用統(tǒng)一的安全系統(tǒng)具有很大的挑戰(zhàn)。
因此,十分重要的一點(diǎn),我們需要考慮在整個(gè)系統(tǒng)中做些什么來(lái)實(shí)現(xiàn)良好的安全基礎(chǔ)功能和靈活的先進(jìn)安全功能,怎么做才能最大限度地保護(hù)這個(gè)靈活、開(kāi)放的系統(tǒng)。有許多安全增強(qiáng)技術(shù)可用來(lái)幫助提高總體安全性,例如通用平臺(tái)和設(shè)備的重要關(guān)鍵模組、安全的作業(yè)系統(tǒng)和可靠的網(wǎng)元,這些可以使整個(gè)生態(tài)系統(tǒng)達(dá)到一個(gè)基本的安全水準(zhǔn),以便不同的供應(yīng)商可以在此基礎(chǔ)上進(jìn)一步提升其安全性。通過(guò)提供這些重要關(guān)鍵安全模組,華為與合作伙伴密切合作,為整個(gè)行業(yè)帶來(lái)更多安全可靠的解決方案,從而滿(mǎn)足我們的客戶(hù)需求。
只有通過(guò)合作和建立伙伴關(guān)系,才能保護(hù)這個(gè)龐大而復(fù)雜的環(huán)境。合作伙伴需要在開(kāi)發(fā)、驗(yàn)證、部署和營(yíng)運(yùn)的整個(gè)生命周期中協(xié)同合作。因此,我們?yōu)槲锫?lián)網(wǎng)安全性原則設(shè)計(jì)一個(gè)靈活的架構(gòu),與合作伙伴密切合作,使能、授權(quán)并合力構(gòu)建完整、靈活、甚至可擴(kuò)展的端到端解決方案。華為正在通過(guò)OpenLab計(jì)畫(huà)促進(jìn)合作伙伴協(xié)作,與合作伙伴和客戶(hù)一起構(gòu)建并驗(yàn)證完整、安全的解決方案,這超出了技術(shù)本身。
| 圖1 : 許多物聯(lián)網(wǎng)系統(tǒng)是開(kāi)放式的,只有通過(guò)合作和建立伙伴關(guān)系,才能保護(hù)這個(gè)龐大而復(fù)雜的環(huán)境。 |
|
此外,要時(shí)刻謹(jǐn)記物聯(lián)網(wǎng)場(chǎng)景可以是極其動(dòng)態(tài)變化的。可能隨時(shí)添加新設(shè)備,這些設(shè)備使用的元件、供應(yīng)商和平臺(tái)也不盡相同。有些設(shè)備可能不如其他設(shè)備那樣功能可靠,所以必須假設(shè)物聯(lián)網(wǎng)生態(tài)系統(tǒng)的某些組成部分在未來(lái)可能會(huì)被攻破。因此,我們需要考慮到這個(gè)活力十足但又危險(xiǎn)重重的環(huán)境來(lái)設(shè)計(jì)安全措施和控制方法。必須不斷的檢測(cè)和評(píng)估,在必要的情況下,根據(jù)安全保障的要求和風(fēng)險(xiǎn)狀況的變化,適配和更新安全保護(hù)措施。我們通過(guò)動(dòng)態(tài)安全防范策略進(jìn)行調(diào)控,在保護(hù)措施、增強(qiáng)檢測(cè)能力和安全回應(yīng)之間進(jìn)行不斷的反覆運(yùn)算。
以下介紹華為如何支撐其物聯(lián)網(wǎng)安全愿景,分享架構(gòu)視角,討論關(guān)鍵技術(shù),并指出重要的最佳實(shí)踐。
物聯(lián)網(wǎng)安全架構(gòu)的關(guān)鍵因素
物聯(lián)網(wǎng)包含了眾多應(yīng)用場(chǎng)景,需要物聯(lián)網(wǎng)安全架構(gòu)提供多種不同的設(shè)計(jì)。然而,物聯(lián)網(wǎng)安全有效的方法應(yīng)以良好的準(zhǔn)則為基礎(chǔ)。
方法
使用標(biāo)準(zhǔn):標(biāo)準(zhǔn)來(lái)自于諸多利益相關(guān)方的安全知識(shí)和專(zhuān)業(yè)知識(shí),因此是架構(gòu)設(shè)計(jì)的成本效益部分。
最佳實(shí)踐:物聯(lián)網(wǎng)安全需與IT安全(例如多層防御、隔離、最小許可權(quán)等)保持一致,并復(fù)用其標(biāo)準(zhǔn)和實(shí)踐,這樣有助于更專(zhuān)注應(yīng)對(duì)和解決物聯(lián)網(wǎng)固有的安全挑戰(zhàn)。
監(jiān)管
監(jiān)管是有序管理物聯(lián)網(wǎng)安全架構(gòu)的方法,被監(jiān)管的安全架構(gòu)方法,可通過(guò)威脅分析和建模來(lái)支持不同的安全優(yōu)先順序。
威脅分析:在威脅分析中,針對(duì)可能會(huì)對(duì)系統(tǒng)產(chǎn)生負(fù)面影響的行為進(jìn)行識(shí)別和分析,關(guān)注其發(fā)生概率并考慮其后果。因此,在量化安全相關(guān)事件的可能性時(shí)需要采用系統(tǒng)的方法。此外物聯(lián)網(wǎng)場(chǎng)景可能會(huì)共用設(shè)備、資料和服務(wù),為了解決跨領(lǐng)域等問(wèn)題,我們必須采取條理清晰的威脅分析方法。
威脅建模:威脅建模是識(shí)別系統(tǒng)潛在攻擊者類(lèi)別,然后針對(duì)每個(gè)攻擊者類(lèi)別,識(shí)別、枚舉和排列潛在威脅的優(yōu)先級(jí)(從相應(yīng)的攻擊者的角度來(lái)看)。威脅建模的目的在于將以下關(guān)鍵的安全資訊提供給系統(tǒng)利益相關(guān)方(例如系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)運(yùn)營(yíng)商等):
* 攻擊者相關(guān)資訊的系統(tǒng)分析;
* 攻擊者最大可能的攻擊向量列表;
* 攻擊者所針對(duì)的設(shè)備清單。
然而,物聯(lián)網(wǎng)中所有供應(yīng)商的安全設(shè)計(jì)能力成熟度不一,可能無(wú)法在威脅分析、威脅建模能力和使用程度上達(dá)到相同的水準(zhǔn)。例如,一些物聯(lián)網(wǎng)供應(yīng)商可能缺乏安全資源或面臨市場(chǎng)因素,迫使他們?cè)谠O(shè)計(jì)中更多地考慮功能特性,而不是安全。
安全架構(gòu)藍(lán)圖
業(yè)務(wù)框架
物聯(lián)網(wǎng)涉及多個(gè)利益相關(guān)方,例如設(shè)備制造商、服務(wù)提供者、網(wǎng)路營(yíng)運(yùn)商和應(yīng)用開(kāi)發(fā)者。為確保物聯(lián)網(wǎng)安全不被忽視以及避免處理不當(dāng),物聯(lián)網(wǎng)利益相關(guān)方之間的協(xié)作應(yīng)遵循安全業(yè)務(wù)框架。構(gòu)建物聯(lián)網(wǎng)安全架構(gòu)的管理和審視,可控管物聯(lián)網(wǎng)設(shè)備在其整個(gè)生命周期內(nèi)的安全問(wèn)題,如圖2所示。
在設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、認(rèn)證等環(huán)節(jié)的整個(gè)生產(chǎn)過(guò)程中,針對(duì)供應(yīng)鏈和生產(chǎn)的風(fēng)險(xiǎn)注入進(jìn)行全面管理和控制。基于標(biāo)準(zhǔn)IT安全實(shí)踐的工具可以根據(jù)風(fēng)險(xiǎn)狀況,復(fù)用于物聯(lián)網(wǎng)設(shè)備的生產(chǎn)階段。
透過(guò)管理軟體更新和漏洞補(bǔ)丁方式,在營(yíng)運(yùn)(注冊(cè)、更新等)中進(jìn)行總體管控、治理以及風(fēng)險(xiǎn)暴露。相應(yīng)的措施包括通過(guò)滲透測(cè)試等方式,驗(yàn)證部署的安全措施,以及評(píng)估CERT等所在組織對(duì)安全事件的回應(yīng)能力。
在即將下市階段(例如,用于監(jiān)測(cè)風(fēng)險(xiǎn)等)。
安全管理提供了一種針對(duì)物聯(lián)網(wǎng)設(shè)備的涵蓋所有處理流程、利益相關(guān)方和生命周期的整體安全性可視可控的方法。審計(jì)能夠?qū)崿F(xiàn)物聯(lián)網(wǎng)流程、設(shè)備等安全事項(xiàng)的合規(guī)和驗(yàn)證。
威脅類(lèi)別
| 圖2 : 物聯(lián)網(wǎng)安全業(yè)務(wù)架構(gòu) |
|
物聯(lián)網(wǎng)安全架構(gòu)設(shè)計(jì)需要構(gòu)建安全能力來(lái)解決以下類(lèi)型的安全威脅:
系統(tǒng)完整性的破壞:如果某些系統(tǒng)元件被篡改,系統(tǒng)將無(wú)法按設(shè)計(jì)運(yùn)行。破壞系統(tǒng)完整性的典型方法是在系統(tǒng)中植入惡 意軟體,從而對(duì)系統(tǒng)安全造成持續(xù)的威脅。
系統(tǒng)入侵:攻擊者突破邊界保護(hù)和身份認(rèn)證機(jī)制,利用系統(tǒng)漏洞或使用其他攻擊手段侵入系統(tǒng)。然后,攻擊者惡意使用系 統(tǒng)資源,破壞系統(tǒng)資料或進(jìn)程,或者竊取重要的系統(tǒng)資料。
惡意濫用許可權(quán):使用者或進(jìn)程利用系統(tǒng)漏洞發(fā)起越權(quán)等攻擊,以獲得未經(jīng)授權(quán)的存取權(quán)限,由此產(chǎn)生的特權(quán)濫用,并對(duì)系統(tǒng)安全造成嚴(yán)重威脅。
資料安全的威脅:是指數(shù)據(jù)完整性、機(jī)密性和可用性的威脅以及對(duì)隱私資訊的威脅(披露或未經(jīng)授權(quán)使用隱私資訊)。
網(wǎng)路服務(wù)攻擊引起的業(yè)務(wù)中斷:攻擊者攻擊系統(tǒng)提供的網(wǎng)路服務(wù),導(dǎo)致系統(tǒng)無(wú)法正常提供網(wǎng)路服務(wù)。
3T+1M安全架構(gòu)
物聯(lián)網(wǎng)威脅普遍存在于物聯(lián)網(wǎng)基礎(chǔ)設(shè)施中從終端到云平臺(tái)的各個(gè)部分,華為為這些遭受威脅的部分提供安全能力保障,例如物聯(lián)網(wǎng)終端作業(yè)系統(tǒng)。
華為物聯(lián)網(wǎng)安全解決方案系統(tǒng)包括以下部分:
1.物聯(lián)網(wǎng)終端(例如感測(cè)器和執(zhí)行器等):提供檢測(cè)和控制物理環(huán)境的設(shè)備;
2.物聯(lián)網(wǎng)網(wǎng)路:利用IoT領(lǐng)域的通信技術(shù)(例如NFC、IEEE 802.15.4和 ModBus等),收集和處理感測(cè)器資料,同時(shí)連接到下文所述的物聯(lián)網(wǎng)平臺(tái)。網(wǎng)路側(cè)的物聯(lián)網(wǎng)閘道可作為本地策略執(zhí)行設(shè)備。蜂窩移動(dòng)網(wǎng)等底層網(wǎng)路保障域間安全資料交換,并提供防攻擊服務(wù);
3.物聯(lián)網(wǎng)平臺(tái):提供連接管理、資料管理和業(yè)務(wù)使能功能;
4.安全運(yùn)維和管理:包括安全運(yùn)維、定期物聯(lián)網(wǎng)安全評(píng)估、安全報(bào)告和基于最佳實(shí)踐策略自動(dòng)識(shí)別安全事件。
為了應(yīng)對(duì)上述威脅,華為物聯(lián)網(wǎng)安全「3T(技術(shù))+1M(管理)」縱深防御體系架構(gòu)涵蓋了端管云及平臺(tái)資料隱私安全保護(hù),同時(shí)加上端到端安全管控與運(yùn)維,多道防線,縱深防御。
終端適度防攻擊能力(1T):
物聯(lián)網(wǎng)終端應(yīng)具備適度防攻擊能力。資源(記憶體,儲(chǔ)存,CPU等)受限的終端提供基礎(chǔ)安全,工業(yè)控制終端提供X.509認(rèn)證與簽名安全,關(guān)鍵業(yè)務(wù)終端提供先進(jìn)安全能力。作為安全防御的第一道防線。
基礎(chǔ)安全為必須滿(mǎn)足基本認(rèn)證和加密傳輸能力,先進(jìn)安全提供可信,防入侵保護(hù)能力,遠(yuǎn)程安全管理等,部署華為L(zhǎng)iteOS可采用先進(jìn)安全功能,在NB-IoT環(huán)境下華為提供應(yīng)用層傳輸可采用的優(yōu)化標(biāo)準(zhǔn)DTLS等加密方法。此外,提供華為物聯(lián)網(wǎng)終端安全技術(shù)規(guī)范、華為物聯(lián)網(wǎng)終端安全測(cè)試用案例,及黑盒測(cè)試工具保證不同終端接入安全。
惡意終端檢測(cè)與隔離(1T):
網(wǎng)路管道側(cè)提供防海量終端浪涌式風(fēng)暴,NB-IoT環(huán)境無(wú)線連接時(shí)遵從3GPP相關(guān)安全標(biāo)準(zhǔn)提供鑒權(quán)與完整性檢查,有IoT閘道環(huán)境還包括IOT閘道安全傳輸、協(xié)議識(shí)別、入侵偵測(cè)等安全能力,視覺(jué)化安全分析與管理。在云端環(huán)境,提供邊界物理和虛擬化基礎(chǔ)設(shè)施安全保護(hù),物聯(lián)協(xié)議識(shí)別與過(guò)濾,黑白名單等,構(gòu)建云原生的安全元件DFW, VSG, WAF進(jìn)行網(wǎng)路隔離和回應(yīng)。惡意終端檢測(cè)與隔離由平臺(tái)設(shè)備管理提供,大資料機(jī)器學(xué)習(xí)分析系統(tǒng),業(yè)務(wù),事件,使用者,設(shè)備行為進(jìn)行視覺(jué)化快速檢測(cè)和隔離惡意攻擊。此作成安全防御的第二道防線。
平臺(tái)與資料保護(hù)(1T):
云端平臺(tái)及資料防護(hù)安全能力。包括資料存儲(chǔ)、處理、傳輸、開(kāi)放等。資料隱私保護(hù),資料生命周期管理,資料的API安全授權(quán),租戶(hù)數(shù)據(jù)隔離等。采用云原生安全及大數(shù)據(jù)安全技術(shù)保護(hù)云平臺(tái)不受惡意攻擊及對(duì)敏感數(shù)據(jù)隱私保護(hù),滿(mǎn)足歐洲資料隱私合規(guī)要求。此作為安全防御的第三道防線。
安全管控與營(yíng)運(yùn)(1M):
智慧化安全狀態(tài)感應(yīng)、日常IoT安全評(píng)估及運(yùn)維安全報(bào)告、最佳實(shí)踐策略自動(dòng)識(shí)別安全事件。為物聯(lián)網(wǎng)營(yíng)運(yùn)管理人員提供安全指導(dǎo)和豐富的安全巡檢工具,該層面的安全防御支援標(biāo)準(zhǔn)操作流程。
(本文為華為物聯(lián)網(wǎng)安全架構(gòu)白皮書(shū))
