等保2.0 | 物聯(lián)網(wǎng)安全擴(kuò)展要求 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2024-05-13 瀏覽次數(shù): |
物聯(lián)網(wǎng)是指將感知節(jié)點(diǎn)設(shè)備通過(guò)互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接起來(lái)構(gòu)成的系統(tǒng)。物聯(lián)網(wǎng)通??梢詮募軜?gòu)上分為三個(gè)邏輯層,即感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層,其中感知層既包括感知節(jié)點(diǎn)設(shè)備和網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備,也包括這些感知節(jié)點(diǎn)設(shè)備和網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備之間的短距離通信(通常為無(wú)線)部分;網(wǎng)絡(luò)傳輸層包括將感知數(shù)據(jù)遠(yuǎn)距離傳輸?shù)教幚碇行牡木W(wǎng)絡(luò)(互聯(lián)網(wǎng)、移動(dòng)網(wǎng)等 ),以及不同網(wǎng)絡(luò)融合的部分;處理應(yīng)用層包括對(duì)感知數(shù)據(jù)進(jìn)行存儲(chǔ)與智能處理并為業(yè)務(wù)應(yīng)用終端提供服務(wù)的平臺(tái)。
物聯(lián)網(wǎng)安全擴(kuò)展要求對(duì)物聯(lián)網(wǎng)感知層提出了要求,主要對(duì)象為感知節(jié)點(diǎn)設(shè)備和網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備,其中,感知節(jié)點(diǎn)設(shè)備是指對(duì)物體或環(huán)境進(jìn)行信息采集和/或執(zhí)行操作并能聯(lián)網(wǎng)進(jìn)行通信的裝置,也稱為感知終端;網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備是指將感知節(jié)點(diǎn)所采集的數(shù)據(jù)進(jìn)行匯總、適當(dāng)處理或數(shù)據(jù)融合并進(jìn)行轉(zhuǎn)發(fā)的裝置,也稱為物聯(lián)網(wǎng)網(wǎng)關(guān)。 其中,通用要求的適用性判定各家理解不同,此處不再贅述。
常見(jiàn)的感知節(jié)點(diǎn),除了攝像頭、溫感、煙感、還有智能設(shè)備的傳感模塊等等,不同的傳感網(wǎng),構(gòu)成是不一樣的,各位同僚測(cè)評(píng)時(shí)需要注意。 感知節(jié)點(diǎn)設(shè)備物理防護(hù)a) 感知節(jié)點(diǎn)設(shè)備所處的物理環(huán)境應(yīng)不對(duì)感知節(jié)點(diǎn)設(shè)備造成物理破壞,如擠壓、強(qiáng)振動(dòng)這一條主要是描述有關(guān)感知節(jié)點(diǎn)所處物理環(huán)境,如果會(huì)對(duì)設(shè)備造成損壞,需要描述出來(lái)。一般需要讓客戶提供相關(guān)的驗(yàn)收文檔,如果是賣(mài)出去的產(chǎn)品,則需要關(guān)注產(chǎn)品本身能否給感知節(jié)點(diǎn)提供防物理破壞以及防擠壓、防震動(dòng)的環(huán)境。 b) 感知節(jié)點(diǎn)設(shè)備在工作狀態(tài)所處物理環(huán)境應(yīng)能正確反映環(huán)境狀態(tài)(如溫濕度傳感器不能安裝在陽(yáng)光直射區(qū)域)這一項(xiàng)主要描述所處的環(huán)境能否正確反映出周?chē)臓顟B(tài),其實(shí)就是所處的環(huán)境能否讓感知節(jié)點(diǎn)正常工作,需要讓客戶提供驗(yàn)收文檔,如果是賣(mài)出去的產(chǎn)品,需要從可能所處的環(huán)境去描述能否正常工作。 c) 感知節(jié)點(diǎn)設(shè)備在工作狀態(tài)所處物理環(huán)境應(yīng)不對(duì)感知節(jié)點(diǎn)設(shè)備的正常工作造成影響,如強(qiáng)干擾、阻擋屏蔽等這一項(xiàng)主要描述所處的環(huán)境是否會(huì)對(duì)感知節(jié)點(diǎn)的正常工作造成影響,例如長(zhǎng)期處于一個(gè)強(qiáng)干擾,強(qiáng)電磁屏蔽的環(huán)境,會(huì)導(dǎo)致感知節(jié)點(diǎn)無(wú)法正常工作,詢問(wèn)客戶相關(guān)節(jié)點(diǎn)是否采取防干擾、防屏蔽的措施。 d) 關(guān)鍵感知節(jié)點(diǎn)設(shè)備應(yīng)具有可供長(zhǎng)時(shí)間工作的電力供應(yīng)(關(guān)鍵網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備應(yīng)具有持久穩(wěn)定的電力供應(yīng)能力)這一項(xiàng)主要描述感知節(jié)點(diǎn)自身的電力供應(yīng),比如感知模塊由設(shè)備自身供電。重要程度為關(guān)鍵的節(jié)點(diǎn)需要有穩(wěn)定的電力供應(yīng),比如監(jiān)控需要不間斷供電,需要提供電力系統(tǒng)的維護(hù)記錄。 接入控制a)應(yīng)保證只有授權(quán)的感知節(jié)點(diǎn)可以接入是否通過(guò)一些技術(shù)手段,例如用戶身份鑒別、節(jié)點(diǎn)自身設(shè)置唯一編碼等在感知節(jié)點(diǎn)進(jìn)行接入時(shí)進(jìn)行校驗(yàn)??梢試L試?yán)@過(guò)驗(yàn)證機(jī)制。 入侵防范a) 應(yīng)能夠限制與感知節(jié)點(diǎn)通信的目標(biāo)地址,以避免對(duì)陌生地址的攻擊行為這一項(xiàng)主要描述感知節(jié)點(diǎn)是否限制了與其通信的目標(biāo)地址,需要登錄感知節(jié)點(diǎn),查看是否對(duì)通信的地址進(jìn)行限制。 b) 應(yīng)能夠限制與網(wǎng)關(guān)節(jié)點(diǎn)通信的目標(biāo)地址,以避免對(duì)陌生地址的攻擊行為。這一項(xiàng)主要描述網(wǎng)關(guān)節(jié)點(diǎn)是否限制了通信的地址,需要登錄網(wǎng)關(guān)節(jié)點(diǎn),查看是否限制通信地址。 感知節(jié)點(diǎn)設(shè)備安全a)應(yīng)保證只有授權(quán)的用戶可以對(duì)感知節(jié)點(diǎn)設(shè)備上的軟件應(yīng)用進(jìn)行配置或變更登錄感知節(jié)點(diǎn),是否只有授權(quán)用戶對(duì)相關(guān)配置進(jìn)行變更,主要核查是否只有授權(quán)用戶才能配置和變更,同時(shí)需要使用當(dāng)前用戶訪問(wèn)傳感網(wǎng)內(nèi)非授權(quán)資源,最簡(jiǎn)單當(dāng)然是實(shí)際操作。不能實(shí)際操作盡可能讓客戶提供相關(guān)的視頻或者驗(yàn)收文檔,否則給不符合。 b) 應(yīng)具有對(duì)其連接的網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備(包括讀卡器)進(jìn)行身份標(biāo)識(shí)和鑒別的能力登錄感知節(jié)點(diǎn),核查是否通過(guò)技術(shù)手段對(duì)連接的網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行身份標(biāo)識(shí)和鑒別,一般來(lái)說(shuō)是通過(guò)協(xié)議或者唯一標(biāo)識(shí)一類去保證,同時(shí)需要嘗試去連接非授權(quán)設(shè)備,看看能否連接。 c) 應(yīng)具有對(duì)其連接的其他感知節(jié)點(diǎn)設(shè)備(包括路由節(jié)點(diǎn))進(jìn)行身份標(biāo)識(shí)和鑒別的能力。登錄感知節(jié)點(diǎn),查是否通過(guò)技術(shù)手段對(duì)連接的其他的感知節(jié)點(diǎn)進(jìn)行身份標(biāo)識(shí)和鑒別,同b項(xiàng)。 網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全a)應(yīng)設(shè)置最大并發(fā)連接數(shù)查看網(wǎng)關(guān)設(shè)備是否設(shè)置了最大連接數(shù)的相關(guān)配置 b) 應(yīng)具備對(duì)合法連接設(shè)備(包括終端節(jié)點(diǎn)、路由節(jié)點(diǎn)、數(shù)據(jù)處理中心)進(jìn)行標(biāo)識(shí)和鑒別的能力和感知節(jié)點(diǎn)基本一致,登錄網(wǎng)關(guān)節(jié)點(diǎn)能否對(duì)其他節(jié)點(diǎn)進(jìn)行標(biāo)識(shí)和鑒別,要嘗試去繞開(kāi)驗(yàn)證機(jī)制,能否讓非授權(quán)節(jié)點(diǎn)接入。 b) 應(yīng)具備過(guò)濾非法節(jié)點(diǎn)和偽造節(jié)點(diǎn)所發(fā)送的數(shù)據(jù)的能力訪談客戶,網(wǎng)關(guān)如何辨別非法節(jié)點(diǎn)和偽造節(jié)點(diǎn),寫(xiě)清楚措施。 c) 授權(quán)用戶應(yīng)能夠在設(shè)備使用過(guò)程中對(duì)關(guān)鍵密鑰進(jìn)行在線更新訪談客戶,設(shè)備在鑒別時(shí)是否涉及關(guān)鍵密鑰,是否通過(guò)網(wǎng)絡(luò)進(jìn)行更新。如果是出廠固定的形式一般給不符合。 d) 授權(quán)用戶應(yīng)能夠在設(shè)備使用過(guò)程中對(duì)關(guān)鍵配置參數(shù)進(jìn)行在線更新訪談客戶,是否對(duì)關(guān)鍵配置參數(shù)或者唯一標(biāo)識(shí)一類進(jìn)行在線更新,如果是出廠固定的形式一般給不符合。 抗數(shù)據(jù)重放重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊,是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包,來(lái)達(dá)到欺騙系統(tǒng)的目的,主要用于身份認(rèn)證過(guò)程,破壞認(rèn)證的正確性。重放攻擊可以由發(fā)起者,也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進(jìn)行。攻擊者利用網(wǎng)絡(luò)監(jiān)聽(tīng)或者其他方式盜取認(rèn)證憑據(jù),之后再把它重新發(fā)給認(rèn)證服務(wù)器。重放攻擊在任何網(wǎng)絡(luò)通信過(guò)程中都可能發(fā)生,是計(jì)算機(jī)世界黑客常用的攻擊方式之一。----摘自百度百科 a) 應(yīng)能夠鑒別數(shù)據(jù)的新鮮性,避免歷史數(shù)據(jù)的重放攻擊這一條主要是查看這個(gè)感知節(jié)點(diǎn)是如何去防止重放攻擊的,一般來(lái)說(shuō)會(huì)去校驗(yàn)數(shù)據(jù)的時(shí)間戳。 b) 應(yīng)能夠鑒別歷史數(shù)據(jù)的非法修改,避免數(shù)據(jù)的修改重放攻擊這一條要防止的是修改重放,有點(diǎn)類似防篡改,一般是校驗(yàn)完整性,使用安全算法去校驗(yàn)即可,使用不安全算法的(MD5、RSA2048以下)的給不符合。 數(shù)據(jù)融合處理a)應(yīng)對(duì)來(lái)自傳感網(wǎng)的數(shù)據(jù)進(jìn)行數(shù)據(jù)融合處理,使不同種類的數(shù)據(jù)可以在同一個(gè)平臺(tái)被使用。訪談系統(tǒng)管理員,是否在后臺(tái)對(duì)傳感網(wǎng)收集的數(shù)據(jù)進(jìn)行處理,這塊在智能家居智能汽車(chē)比較常見(jiàn),因?yàn)樗麄儠?huì)對(duì)這部分?jǐn)?shù)據(jù)進(jìn)行進(jìn)一步的加工。一般的傳感網(wǎng)只涉及視頻音頻的話,一般給不適用。 感知節(jié)點(diǎn)管理a) 應(yīng)指定人員定期巡視感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備的部署環(huán)境,對(duì)可能影響感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備正常工作的環(huán)境異常進(jìn)行記錄和維護(hù)管理層面,這塊訪談安全主管或者相關(guān)的售后人員,是否定期對(duì)感知節(jié)點(diǎn)進(jìn)行維修和巡視,需要提供相關(guān)的文檔和表單記錄。 b) 應(yīng)對(duì)感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備入庫(kù)、存儲(chǔ)、部署、攜帶、維修、丟失和報(bào)廢等過(guò)程作出明確規(guī)定,并進(jìn)行全程管理對(duì)與感知節(jié)點(diǎn)的整個(gè)生命周期應(yīng)有一套完整的制度,需要提供相關(guān)的管理制度以及記錄表單 c) 應(yīng)加強(qiáng)對(duì)感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備部署環(huán)境的保密性管理,包括負(fù)責(zé)檢查和維護(hù)的人員調(diào)離工作崗位應(yīng)立即交還相關(guān)檢查工具和檢查維護(hù)記錄等對(duì)于感知節(jié)點(diǎn)的管理人員,上崗、離崗應(yīng)該有相關(guān)的制度規(guī)定以及記錄。 以上是有關(guān)物聯(lián)網(wǎng)拓展的相關(guān)理解和測(cè)評(píng)方法,可能比較模糊,希望對(duì)大家有所幫助。 |
上一篇:財(cái)政部、國(guó)家網(wǎng)信辦聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》 下一篇:2024年5月13日聚銘安全速遞 |