• <em id="qvh4r"><acronym id="qvh4r"><u id="qvh4r"></u></acronym></em>
    <th id="qvh4r"></th>
      1. <rp id="qvh4r"><object id="qvh4r"><input id="qvh4r"></input></object></rp>

        淺談工業物聯網終端面臨的安全威脅

        2019-09-19 23:16:40 作者:佚名 出處 : 互聯網

          隨著物聯網的快速發展,其面臨的安全形勢比傳統互聯網時代的更為嚴峻。物聯網終端這個新角色的加入,它們的安全風險威脅著所有接入物聯網的設備。尤其是在工業物聯網領域,往往需要集成已部署的傳統傳感器構建工業物聯網底層。傳統傳感器本身原有的漏洞,在新的物聯網環境中更加危機四伏。本文淺顯的討論了工業物聯網終端面臨的安全威脅,介紹了中國AII組織和美國IIC分別發布的工業物聯網安全實施框架。

          工業互聯網終端面臨的安全威脅

          目前物聯網終端的安全建設尚有很多工作要完成,尤其是傳統的部分終端,由于歷史原因,終端廠商在設計生產時并沒有考慮到物聯網應用場景,導致終端在集成進物聯網中時,成為物聯網系統不可忽視的安全漏洞。

          工業物聯網終端是整個工業物聯網的基礎層,該層包含了功能各異的傳統傳感器、新型智能終端等節點。工業物聯網終端的主要安全隱患包含但不僅限于:

          硬件設備攻擊

          終端硬件的組件和配置被篡改。如果在硬件架構設計上未作安全考慮,在攻擊者接觸到終端硬件后,可以利用工具直接從硬件中提取數據,查找漏洞或分析破解加密系統。攻擊者甚至直接克隆,篡改電路,加裝惡意設備,繞過軟件上的種種安全措施,致使數據外泄。

          對操作系統的攻擊

          系統啟動進程被截獲或覆蓋。攻擊者通過修改終端硬件平臺固件之間的接口,如UEFI或BIOS,從而改變終端功能。

          劫持Guest操作系統或進程管理程序。這樣攻擊者可以控制應用程序的硬件資源分配,進而可以改變終端系統的行為,最終可以繞過安全控制,獲得對硬件和軟件資源的訪問特權。

          對業務應用的攻擊

          非法更改應用程序或公共API。攻擊者通過執行惡意應用程序或重寫應用程序API達到攻擊目的。

          利用部署或升級程序的漏洞。錯誤和有漏洞的部署和升級程序也可能作為滲入點,例如,錯誤或惡意的安裝腳本和被截獲破解的數據通信,都能被攻擊者利用,進而惡意更新終端上的可執行腳本或軟件包。

          網絡攻擊

          海量的惡意數據訪問請求,即DDoS攻擊。如果不能正確因對DDoS攻擊,可能會妨礙終端功能的及時準確的執行。

          開放不必要的網絡服務和接口,通信協議無加密或加密強度過低,預留的維修后門及通用的初始化弱口令等。

          其他類型的攻擊

          開發時引入的漏洞。這些漏洞往往會在代碼的架構、設計或編寫過程中引入。例如引入了安全程度較低的或惡意的第三方代碼庫,使用了不受信任的開發框架,都可能導致漏洞或惡意代碼出現在終端的運行軟件中。

          工業物聯網安全實施框架

          在工業物聯網建設時,集成的終端往往種類繁多,并且可能來自于多家廠商,因此為了保障工業物聯網系統的安全,需要在統一安全標準和安全建設實施方面做更多努力。作為工業物聯網的底層,終端并非獨立存在,其安全威脅的也應放到整個工業物聯網系統的安全框架中解決。美國工業互聯網聯盟(IIC)發布了其制定的工業互聯網安全框架《Industrial Internet of Things Volume G4: Security Framework》(IISF),我國的工業互聯網產業聯盟(AII)業已起草發布了《工業互聯網安全框架》。

          從功能視角分析IISF,其包含了六個相互關聯的功能塊,并分為三層。頂層包含四個核心安全功能塊,即端點保護、通信&連接保護、安全監測和分析以及安全配置管理。中層是數據保護層,底層是安全模型和策略。

          美國IIC發布的工業物聯網安全實施框架

          工業互聯網產業聯盟(AII)起草發布的《工業互聯網安全框架》,從防護對象、防護措施及防護管理三個視角構建工業互聯網安全框架。針對不同的防護對象部署相應的安全防護措施,根據實時監測結果發現網絡中存在的或即將發生的安全問題并及時做出響應。同時加強防護管理,明確基于安全目標的可持續改進的管理方針,從而保障工業互聯網的安全。

          中國AII發布的工業互聯網安全框架

        黄色片欧美