2017华为物联网安全技术白皮书.pdf

3g54+1目录02 物联网时代即将到来01摘要04 物联网安全实践03物联网安全架构的基础06总结05物联网安全生态2.1 华为的“3T+1M”物联网安全视角2.2 物联网安全事件的影响2.3 物联网固有的基本挑战0304044.1 终端设计实践4.2 验证和测试安全实践3.1 在开放、协作和动态的物联网世界中的安全愿景 15164.3 隐私保护实践164.4 安全操作和维护实践174.5 最佳安全案例18073. 2 物联网安全架构的关键因素083.3 安全架构蓝图095.1 生态的重要性5.2 协同合作的作用5.3 安全机构及标准化组织6.1 加强物联网安全的方法6.2 结论212222 23232物联网（IoT）实现了虚拟世界和物理世界的融合，它是面向终端的传感器网络和由互联网技术推动的面向数据的应用之间的重要联结。物联网基础架构上呈现为地理分布式，通过各种传感器为人们的日常生活提供无处不在的连接。传感器可以捕获人们活动相关的各种信息并传递给物联网应用，这些应用在个人、群体和社会层面上改善了相关活动的效率，从而使物联网对我们的世界产生了深远的影响。物联网是物理和虚拟世界的混合，因此也给人们带来困惑与巨大挑战。物联网的开放性也一样，它汇聚了与公共、私人和社区等实体以及活动相关的信息，这些信息整合后被用于各种样的应用。然而，在数据采集时，人们并不完全知道其目的和用途。在现代社会中，引入物联网应优先考虑物联网相关者的利益， 同时满足其安全和隐私要求。后者在物联网中至关重要，其定义了集公共、私人和社区于一体的开放系统的安全界限。对所有利益相关者而言，建立和保护物联网安全界限是人们能够信任开放的物联网世界的基础。因此，全面而彻底的物联网安全保障至关重要。本白皮书是物联网安全议题构建执行面的第一步。本文包含如下内容： 描述关键技术，同时介绍物联网安全挑战的基础知识; 介绍物联网安全挑战和构建有效物联网安全架构方法的关键要素 ; 从终端、网络和平台等方面介绍物联网安全的最佳实践; 概述协作在物联网安全中的作用（例如在标准化机构和社区倡议等 方 面）； 列出物联网安全架构流程的重点工作，为可靠的物联网安全架构工作提供保障和支持。这些保障和支持包括重点架构、标准使用和重要生态系统等。华为物联网安全技术白皮书 2017摘要1摘要物联网时代即将到来物联网安全架构的基础物联网安全实践物联网安全生态总结3华为物联网安全技术白皮书 2017顾名思义，物联网将物理世界的物互相连接，并将其用于各种应用。物联网使用传感器来探测物理世界的相关属性，并使用执行器来控制物理世界的各个组成部分。正因为其对物理世界具有潜在的直接影响，所以安全对物联网来说至关重要。物联网终端的资源通常有限，且很容易受到恶意攻击。攻击者可以侵入一台物联网终端，并以此发起对其他物联网终端的攻击。因此，对单台物联网终端的入侵可以像传染病一样，逐渐扩散到成千上万的物联网终端。攻击者可利用众多受感染的物联网终端所组成的大型网络，对所有设备使用或依赖的服务或平台发起攻击。物联网安全来自终端、网络和平台等层面所带来技术挑战，以及以端到端方式整合安全技术的流程挑战。面对这些挑战，以下3个关键安全技术和1个流程能力至关重要：2.1 华为的“3T+1M”物联网安全视角31E/30K_6* g& 0*b!D6*r6*D6*b4图 3 跨领域的物联网场景近期的物联网安全事件突显了物联网安全规模的问题。Dyn最近遭受的 DDoS 攻击的峰值带宽达到了前所未有的高度，超过了1 Tbps。而这次 DDoS 攻击只涉及约120,000 台物联网设备，只占所有市场预测的几十亿物联网设备的很小一部分。在防御方面，大多数 DDoS 清洗中心的容量不超过 8 Tbps。据统计，DDoS 攻击的平均峰值规模每季度增长 26（即每年大约增加100）。据报道，超过100 Gbps 的 DDoS 攻击同比增长140。鉴于此仅依赖提升 DDoS 清洗能力来应对攻击似乎不现实3.4。我们还需要采取其他措施，而这需要我们重新思考和评估思路、工具、方法和流程。2.3.7 攻击规模等家居控制系统，可同时出现在智能家居和智能电网的场景中。同样，私家电动汽车也将出现在智能停车、智能电网和智能车辆的场景里，甚至可能是同时的，如图3所示。为了确保安全设计的正确性，对于每个物联网设备和场景，识别出的安全需求都应该与它所在的其他所有场景的安全需求进行交叉检查。这意味着物联网安全需要一个跨领域协调的框架。当存在多个物联网场景时，一个场景的安全漏洞可能会影响其他场景。物联网特定层面的漏洞既可以被纵向（即，跨协议层）利用，也可以被横向（即跨相邻系统）利用。没有人能预测攻击者可能会对受控的物联网设备下达的所有指令。因此，物联网安全架构的一个重要设计原则就是多层次的保护措施。当需要操作数百万台设备（例如，跨越多个城市的智能电表），手动干预就变得不切实际了。因此，大规模的操作自动化对物联网安全至关重要。物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来3. Akamai 季度安全报告，2016 年第四季度，akamai/us/en/about/our-thinking/state-of-the-internet-report/global-state-of-the-internet-security-ddos-attack-reports.jsp4. Verisign DDoS 趋势报告，2016 年第四季度，verisign/en_US/security-services/ddos-protection/ddos-report/index.xhtml华为物联网安全技术白皮书 20177许多物联网系统是开放式的，并且包含不同供应商提供的组件。在多数情况下，这种开放性和可扩展性可以为物联网带来巨大潜在价值。然而，正因为平台、通信网络和网关以及众多可用的终端设备可能来自不同的供应商，在所有场景中使用统一的安全系统具有很大挑战。因此，十分重要的一点是，我们需要考虑在整个系统中做些什么来实现良好的安全基础功能和灵活的高级安全功能，怎么做才能最大限度地保护这个灵活、开放的系统。有许多安全增强技术可用来帮助提高总体安全性，例如通用平台和设备的重要关键模块、安全的操作系统和可靠的网元，这些可以使整个生态系统达到一个基本的安全水平，以便不同的供应商可以在此基础上进一步提升其安全性。通过提供这些重要关键安全模块，华为与合作伙伴密切合作，为整个行业带来更多安全可靠的解决方案，从而满足我们的客户需求。只有通过合作和建立伙伴关系，才能保护这个庞大而复杂的环境。合作伙伴需要在开发、验证、部署和运营的整个生命周期中协同合作。因此，我们为物联网安全策略设计一个灵活的框架，与合作伙伴密切合作，使能、授权并合力构建完整、灵活、甚至可扩展的端到端解决方案。华为正在通过OpenLab计划促进合作伙伴协作，与合作伙伴和客户一起构建并验证完整、安全的解决方案，这超出了技术本身。此外，要时刻谨记物联网场景可以是极其动态变化的。可能随时添加新设备，这些设备使用的组件、供应商和平台也不尽相同。有些设备可能不如其他设备那样功能可靠，所以必须假设物联网生态系统的某些组成部分在未来可能会被攻破。因此，我们需要考虑到这个活力十足但又危险重重的环境来设计安全措施和控制方法。必须不断的检测和评估，在必要的情况下，根据安全保障的要求和风险状况的变化，适配和更新安全保护措施。我们通过动态安全防范策略进行调控，在保护措施、增强检测能力和安全响应之间进行不断的迭代。以下章节介绍华为如何支撑其物联网安全愿景，分享架构视角，讨论关键技术，并指出重要的最佳实践。3.1 在开放、协作和动态的物联网世界中的安全愿景物联网安全架构的基础3-k. | “x物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 201783.2 物联网安全架构的关键因素 使 用 标 准： 标准来自于诸多利益相关方的安全知识和专业知识，因此是架构设计的成本效益部分； 最 佳 实 践： 物联网安全需与IT安全（例如多层防御、隔离、最小权限等）保持一致，并复用其标准和实践，这样有助于更专注应对和解决物联网固有的安全挑战。监管是有序管理物联网安全架构的方法，被监管的安全架构方法，可通过威胁分析和建模来支持不同的安全优先级。 威 胁 分 析： 在威胁分析中，针对可能会对系统产生负面影响的行为进行识别和分析，关注其发生概率并考虑其后果。因此，在量化安全相关事件的可能性时需要采用系统的方法。此外物联网场景可能会共享设备、数据和3.2.1 方法3.2.2 监管攻击者相关信息的系统分析；攻击者最大可能的攻击向量列表；攻击者所针对的设备列表。服务，为了解决跨领域等问题，我们必须采取条理清晰的威胁分析方法； 威胁建模： 威胁建模是识别系统潜在攻击者类别，然后针对每个攻击者类别，识别、枚举和排列潜在威胁的优先级（从相应的攻击者的角度来看）。威胁建模的目的在于将以下关键的安全信息提供给系统利益相关方（例如系统开发人员、系统运营商等）：然而，物联网中所有供应商的安全设计能力成熟度不一，可能无法在威胁分析、威胁建模能力和使用程度上达到相同的水平。例如，一些物联网供应商可能缺乏安全资源或面临市场因素，迫使他们在设计中更多地考虑功能特性，而不是安全。 物联网安全架构的基础物联网安全实践物联网安全生态总结物联网包含了众多应用场景，需要物联网安全架构提供多种不同的设计。然而，物联网安全有效的方法应以良好的准则为基础。摘要物联网时代即将到来华为物联网安全技术白皮书 201793.3 安全架构蓝图物联网涉及多个利益相关方，例如设备制造商、服务提供商、网络运营商和应用开发者。为确保物联网安全不被忽视以及避免处理不当，物联网利益相关方之间的协作应遵循安全业务框架。构建物联网安全架构的管理和审计，可使物联网设备在其整个生命周期内安全问题可控，如图 4所示： 在设计、开发、测试、认证等环节的整个生产过程中，针对供应链和生产的风险注入进行全面管理和控制。基于标准 IT 安全实践的工具可以根据风险状况，复用于物联网设备的生产阶段； 通过管理软件更新和漏洞补丁方式，在运维（注册、更新等）中进行总体管控、治理以及风险暴露。相应的措施包括通过渗透测试等方式，验证部署的安全措施，以及评估 CERT等所在组织对安全事件的响应能力； 在即将退市阶段（例如，用于监测风险等）。3.3.1 业务框架安全治理提供了一种针对物联网设备的涵盖所有处理流程、利益相关方和生命周期的整体安全性可视可控的方法。审计能够实现物联网流程、设备等安全事项的合规和验证。V+,% “n/8 se7tcEM se3# sl!)3e E*#Te0)3e?ue:-e- C“e-3| 9e5 5NUB|F $&35Ue V+K UK.U0)3e seFBZecEMe5Fae*U-52e4cEM seZK!# sd.kgeG5, e4g图 4 物联网安全业务架构物联网安全架构的基础物联网安全实践物联网安全生态总结摘要物联网时代即将到来华为物联网安全技术白皮书 2017