許多物聯(lián)網(wǎng)系統(tǒng)是開放式的,並且包含不同供應(yīng)商提供的元件。在多數(shù)情況下,這種開放性和可擴(kuò)展性可以為物聯(lián)網(wǎng)帶來巨大潛在價值。然而,正因為平臺、通訊網(wǎng)路和閘道以及眾多可用的終端設(shè)備可能來自不同的供應(yīng)商,在所有應(yīng)用場景中使用統(tǒng)一的安全系統(tǒng)具有很大的挑戰(zhàn)。
因此,十分重要的一點,我們需要考慮在整個系統(tǒng)中做些什麼來實現(xiàn)良好的安全基礎(chǔ)功能和靈活的先進(jìn)安全功能,怎麼做才能最大限度地保護(hù)這個靈活、開放的系統(tǒng)。有許多安全增強(qiáng)技術(shù)可用來幫助提高總體安全性,例如通用平臺和設(shè)備的重要關(guān)鍵模組、安全的作業(yè)系統(tǒng)和可靠的網(wǎng)元,這些可以使整個生態(tài)系統(tǒng)達(dá)到一個基本的安全水準(zhǔn),以便不同的供應(yīng)商可以在此基礎(chǔ)上進(jìn)一步提升其安全性。通過提供這些重要關(guān)鍵安全模組,華為與合作夥伴密切合作,為整個行業(yè)帶來更多安全可靠的解決方案,從而滿足我們的客戶需求。
只有通過合作和建立夥伴關(guān)系,才能保護(hù)這個龐大而複雜的環(huán)境。合作夥伴需要在開發(fā)、驗證、部署和營運(yùn)的整個生命週期中協(xié)同合作。因此,我們?yōu)槲锫?lián)網(wǎng)安全性原則設(shè)計一個靈活的架構(gòu),與合作夥伴密切合作,使能、授權(quán)並合力構(gòu)建完整、靈活、甚至可擴(kuò)展的端到端解決方案。華為正在通過OpenLab計畫促進(jìn)合作夥伴協(xié)作,與合作夥伴和客戶一起構(gòu)建並驗證完整、安全的解決方案,這超出了技術(shù)本身。
| 圖1 : 許多物聯(lián)網(wǎng)系統(tǒng)是開放式的,只有通過合作和建立夥伴關(guān)系,才能保護(hù)這個龐大而複雜的環(huán)境。 |
|
此外,要時刻謹(jǐn)記物聯(lián)網(wǎng)場景可以是極其動態(tài)變化的。可能隨時添加新設(shè)備,這些設(shè)備使用的元件、供應(yīng)商和平臺也不盡相同。有些設(shè)備可能不如其他設(shè)備那樣功能可靠,所以必須假設(shè)物聯(lián)網(wǎng)生態(tài)系統(tǒng)的某些組成部分在未來可能會被攻破。因此,我們需要考慮到這個活力十足但又危險重重的環(huán)境來設(shè)計安全措施和控制方法。必須不斷的檢測和評估,在必要的情況下,根據(jù)安全保障的要求和風(fēng)險狀況的變化,適配和更新安全保護(hù)措施。我們通過動態(tài)安全防範(fàn)策略進(jìn)行調(diào)控,在保護(hù)措施、增強(qiáng)檢測能力和安全回應(yīng)之間進(jìn)行不斷的反覆運(yùn)算。
以下介紹華為如何支撐其物聯(lián)網(wǎng)安全願景,分享架構(gòu)視角,討論關(guān)鍵技術(shù),並指出重要的最佳實踐。
物聯(lián)網(wǎng)安全架構(gòu)的關(guān)鍵因素
物聯(lián)網(wǎng)包含了眾多應(yīng)用場景,需要物聯(lián)網(wǎng)安全架構(gòu)提供多種不同的設(shè)計。然而,物聯(lián)網(wǎng)安全有效的方法應(yīng)以良好的準(zhǔn)則為基礎(chǔ)。
方法
使用標(biāo)準(zhǔn):標(biāo)準(zhǔn)來自於諸多利益相關(guān)方的安全知識和專業(yè)知識,因此是架構(gòu)設(shè)計的成本效益部分。
最佳實踐:物聯(lián)網(wǎng)安全需與IT安全(例如多層防禦、隔離、最小許可權(quán)等)保持一致,並複用其標(biāo)準(zhǔn)和實踐,這樣有助於更專注應(yīng)對和解決物聯(lián)網(wǎng)固有的安全挑戰(zhàn)。
監(jiān)管
監(jiān)管是有序管理物聯(lián)網(wǎng)安全架構(gòu)的方法,被監(jiān)管的安全架構(gòu)方法,可通過威脅分析和建模來支持不同的安全優(yōu)先順序。
威脅分析:在威脅分析中,針對可能會對系統(tǒng)產(chǎn)生負(fù)面影響的行為進(jìn)行識別和分析,關(guān)注其發(fā)生概率並考慮其後果。因此,在量化安全相關(guān)事件的可能性時需要採用系統(tǒng)的方法。此外物聯(lián)網(wǎng)場景可能會共用設(shè)備、資料和服務(wù),為瞭解決跨領(lǐng)域等問題,我們必須採取條理清晰的威脅分析方法。
威脅建模:威脅建模是識別系統(tǒng)潛在攻擊者類別,然後針對每個攻擊者類別,識別、枚舉和排列潛在威脅的優(yōu)先級(從相應(yīng)的攻擊者的角度來看)。威脅建模的目的在於將以下關(guān)鍵的安全資訊提供給系統(tǒng)利益相關(guān)方(例如系統(tǒng)開發(fā)人員、系統(tǒng)運(yùn)營商等):
* 攻擊者相關(guān)資訊的系統(tǒng)分析;
* 攻擊者最大可能的攻擊向量列表;
* 攻擊者所針對的設(shè)備清單。
然而,物聯(lián)網(wǎng)中所有供應(yīng)商的安全設(shè)計能力成熟度不一,可能無法在威脅分析、威脅建模能力和使用程度上達(dá)到相同的水準(zhǔn)。例如,一些物聯(lián)網(wǎng)供應(yīng)商可能缺乏安全資源或面臨市場因素,迫使他們在設(shè)計中更多地考慮功能特性,而不是安全。
安全架構(gòu)藍(lán)圖
業(yè)務(wù)框架
物聯(lián)網(wǎng)涉及多個利益相關(guān)方,例如設(shè)備製造商、服務(wù)提供者、網(wǎng)路營運(yùn)商和應(yīng)用開發(fā)者。為確保物聯(lián)網(wǎng)安全不被忽視以及避免處理不當(dāng),物聯(lián)網(wǎng)利益相關(guān)方之間的協(xié)作應(yīng)遵循安全業(yè)務(wù)框架。構(gòu)建物聯(lián)網(wǎng)安全架構(gòu)的管理和審視,可控管物聯(lián)網(wǎng)設(shè)備在其整個生命週期內(nèi)的安全問題,如圖2所示。
在設(shè)計、開發(fā)、測試、認(rèn)證等環(huán)節(jié)的整個生產(chǎn)過程中,針對供應(yīng)鏈和生產(chǎn)的風(fēng)險注入進(jìn)行全面管理和控制。基於標(biāo)準(zhǔn)IT安全實踐的工具可以根據(jù)風(fēng)險狀況,複用於物聯(lián)網(wǎng)設(shè)備的生產(chǎn)階段。
透過管理軟體更新和漏洞補(bǔ)丁方式,在營運(yùn)(註冊、更新等)中進(jìn)行總體管控、治理以及風(fēng)險暴露。相應(yīng)的措施包括通過滲透測試等方式,驗證部署的安全措施,以及評估CERT等所在組織對安全事件的回應(yīng)能力。
在即將下市階段(例如,用於監(jiān)測風(fēng)險等)。
安全管理提供了一種針對物聯(lián)網(wǎng)設(shè)備的涵蓋所有處理流程、利益相關(guān)方和生命週期的整體安全性可視可控的方法。審計能夠?qū)崿F(xiàn)物聯(lián)網(wǎng)流程、設(shè)備等安全事項的合規(guī)和驗證。
威脅類別
| 圖2 : 物聯(lián)網(wǎng)安全業(yè)務(wù)架構(gòu) |
|
物聯(lián)網(wǎng)安全架構(gòu)設(shè)計需要構(gòu)建安全能力來解決以下類型的安全威脅:
系統(tǒng)完整性的破壞:如果某些系統(tǒng)元件被篡改,系統(tǒng)將無法按設(shè)計運(yùn)行。破壞系統(tǒng)完整性的典型方法是在系統(tǒng)中植入惡 意軟體,從而對系統(tǒng)安全造成持續(xù)的威脅。
系統(tǒng)入侵:攻擊者突破邊界保護(hù)和身份認(rèn)證機(jī)制,利用系統(tǒng)漏洞或使用其他攻擊手段侵入系統(tǒng)。然後,攻擊者惡意使用系 統(tǒng)資源,破壞系統(tǒng)資料或進(jìn)程,或者竊取重要的系統(tǒng)資料。
惡意濫用許可權(quán):使用者或進(jìn)程利用系統(tǒng)漏洞發(fā)起越權(quán)等攻擊,以獲得未經(jīng)授權(quán)的存取權(quán)限,由此產(chǎn)生的特權(quán)濫用,並對系統(tǒng)安全造成嚴(yán)重威脅。
資料安全的威脅:是指數(shù)據(jù)完整性、機(jī)密性和可用性的威脅以及對隱私資訊的威脅(披露或未經(jīng)授權(quán)使用隱私資訊)。
網(wǎng)路服務(wù)攻擊引起的業(yè)務(wù)中斷:攻擊者攻擊系統(tǒng)提供的網(wǎng)路服務(wù),導(dǎo)致系統(tǒng)無法正常提供網(wǎng)路服務(wù)。
3T+1M安全架構(gòu)
物聯(lián)網(wǎng)威脅普遍存在於物聯(lián)網(wǎng)基礎(chǔ)設(shè)施中從終端到雲(yún)平臺的各個部分,華為為這些遭受威脅的部分提供安全能力保障,例如物聯(lián)網(wǎng)終端作業(yè)系統(tǒng)。
華為物聯(lián)網(wǎng)安全解決方案系統(tǒng)包括以下部分:
1.物聯(lián)網(wǎng)終端(例如感測器和執(zhí)行器等):提供檢測和控制物理環(huán)境的設(shè)備;
2.物聯(lián)網(wǎng)網(wǎng)路:利用IoT領(lǐng)域的通信技術(shù)(例如NFC、IEEE 802.15.4和 ModBus等),收集和處理感測器資料,同時連接到下文所述的物聯(lián)網(wǎng)平臺。網(wǎng)路側(cè)的物聯(lián)網(wǎng)閘道可作為本地策略執(zhí)行設(shè)備。蜂窩移動網(wǎng)等底層網(wǎng)路保障域間安全資料交換,並提供防攻擊服務(wù);
3.物聯(lián)網(wǎng)平臺:提供連接管理、資料管理和業(yè)務(wù)使能功能;
4.安全運(yùn)維和管理:包括安全運(yùn)維、定期物聯(lián)網(wǎng)安全評估、安全報告和基於最佳實踐策略自動識別安全事件。
為了應(yīng)對上述威脅,華為物聯(lián)網(wǎng)安全「3T(技術(shù))+1M(管理)」縱深防禦體系架構(gòu)涵蓋了端管雲(yún)及平臺資料隱私安全保護(hù),同時加上端到端安全管控與運(yùn)維,多道防線,縱深防禦。
終端適度防攻擊能力(1T):
物聯(lián)網(wǎng)終端應(yīng)具備適度防攻擊能力。資源(記憶體,儲存,CPU等)受限的終端提供基礎(chǔ)安全,工業(yè)控制終端提供X.509認(rèn)證與簽名安全,關(guān)鍵業(yè)務(wù)終端提供先進(jìn)安全能力。作為安全防禦的第一道防線。
基礎(chǔ)安全為必須滿足基本認(rèn)證和加密傳輸能力,先進(jìn)安全提供可信,防入侵保護(hù)能力,遠(yuǎn)程安全管理等,部署華為LiteOS可採用先進(jìn)安全功能,在NB-IoT環(huán)境下華為提供應(yīng)用層傳輸可採用的優(yōu)化標(biāo)準(zhǔn)DTLS等加密方法。此外,提供華為物聯(lián)網(wǎng)終端安全技術(shù)規(guī)範(fàn)、華為物聯(lián)網(wǎng)終端安全測試用案例,及黑盒測試工具保證不同終端接入安全。
惡意終端檢測與隔離(1T):
網(wǎng)路管道側(cè)提供防海量終端浪湧式風(fēng)暴,NB-IoT環(huán)境無線連接時遵從3GPP相關(guān)安全標(biāo)準(zhǔn)提供鑒權(quán)與完整性檢查,有IoT閘道環(huán)境還包括IOT閘道安全傳輸、協(xié)議識別、入侵偵測等安全能力,視覺化安全分析與管理。在雲(yún)端環(huán)境,提供邊界物理和虛擬化基礎(chǔ)設(shè)施安全保護(hù),物聯(lián)協(xié)議識別與過濾,黑白名單等,構(gòu)建雲(yún)原生的安全元件DFW, VSG, WAF進(jìn)行網(wǎng)路隔離和回應(yīng)。惡意終端檢測與隔離由平臺設(shè)備管理提供,大資料機(jī)器學(xué)習(xí)分析系統(tǒng),業(yè)務(wù),事件,使用者,設(shè)備行為進(jìn)行視覺化快速檢測和隔離惡意攻擊。此作成安全防禦的第二道防線。
平臺與資料保護(hù)(1T):
雲(yún)端平臺及資料防護(hù)安全能力。包括資料存儲、處理、傳輸、開放等。資料隱私保護(hù),資料生命週期管理,資料的API安全授權(quán),租戶數(shù)據(jù)隔離等。採用雲(yún)原生安全及大數(shù)據(jù)安全技術(shù)保護(hù)雲(yún)平臺不受惡意攻擊及對敏感數(shù)據(jù)隱私保護(hù),滿足歐洲資料隱私合規(guī)要求。此作為安全防禦的第三道防線。
安全管控與營運(yùn)(1M):
智慧化安全狀態(tài)感應(yīng)、日常IoT安全評估及運(yùn)維安全報告、最佳實踐策略自動識別安全事件。為物聯(lián)網(wǎng)營運(yùn)管理人員提供安全指導(dǎo)和豐富的安全巡檢工具,該層面的安全防禦支援標(biāo)準(zhǔn)操作流程。
(本文為華為物聯(lián)網(wǎng)安全架構(gòu)白皮書)
