劉存　侯文婷

摘? ?要：隨著新型基礎(chǔ)設(shè)施建設(shè)的不斷推進，物聯(lián)網(wǎng)受到了越來越多的關(guān)注。在高速化、智能化、數(shù)據(jù)化的萬物互聯(lián)時代，如何保障物聯(lián)網(wǎng)及物聯(lián)網(wǎng)設(shè)備安全成為當前安全領(lǐng)域的一個重要課題。文章闡述了一種以安全貫穿物聯(lián)網(wǎng)設(shè)備的設(shè)計、研發(fā)、測試、運行、迭代的全生命周期的安全體系建設(shè)方法與實踐。首先，結(jié)合近年國內(nèi)外物聯(lián)網(wǎng)安全事件和物聯(lián)網(wǎng)的信息化特性分析物聯(lián)網(wǎng)安全風險;然后，基于物聯(lián)網(wǎng)安全實踐提出技術(shù)解決思路，并以物聯(lián)網(wǎng)的設(shè)計、研發(fā)、測試、運行、迭代的生命周期過程為基礎(chǔ)，將安全能力和解決方法分階段進行整合，形成基于物聯(lián)網(wǎng)生命周期的安全體系;最后，通過具體項目實踐，分析該安全體系的可行性及效果。

關(guān)鍵詞：物聯(lián)網(wǎng)（IoT）;物聯(lián)網(wǎng)安全;生命周期安全

中圖分類號： F299.23? ? ? ? ? 文獻標識碼：A

Abstract： With the continuous improvement of new infrastructure construction， namely 5G base stations， Bigdata operation centers， artificial intelligence and etc.， the Internet of Things（IoT） industry received extensive attention. In this high-speed， intelligent and data-based IoT era， how to ensure the security of the IoT device and system has become an important topic. This paper describes a method and some practices of constructing a security system which runs through the IoT lifecycle， namely the design stage， the development stage， the testing stage， the publish stage and the operation stage. Firstly， the security risks of the IoT system are analyzed in combination with the security incidents both at home and abroad in recent years in this paper. Then， based on the security practices， technical solutions for security risks are put forward. After that， based on the lifecycle process for IoT system， security solutions are integrated in each of the lifecycle stages， and this forms a security system based on the IoT lifecycle. Finally， this paper presents the practice from IoT security team where feasibility and effect of the security system could be analyzed.

Key words： internet of things （IoT）; internet of things（IoT） security; lifecycle security

1 引言

隨著國家對于新型基礎(chǔ)設(shè)施建設(shè)的逐步推進完善，5G基站、大數(shù)據(jù)中心、人工智能等新型基礎(chǔ)設(shè)施建設(shè)已經(jīng)在全國多個省市投入實際使用，為人們的生產(chǎn)生活帶來便利的同時，也為物聯(lián)網(wǎng)這一新行業(yè)的發(fā)展拓寬了道路。在物聯(lián)網(wǎng)行業(yè)可預(yù)見的爆發(fā)面前，如何做好物聯(lián)網(wǎng)安全是整個行業(yè)亟待解決的重大問題。本文從物聯(lián)網(wǎng)的安全問題入手，深入分析物聯(lián)網(wǎng)的安全風險和應(yīng)對手段，并結(jié)合行業(yè)實踐將安全手段以合適的方式嵌入物聯(lián)網(wǎng)的研發(fā)生命周期中，形成了一套基于物聯(lián)網(wǎng)生命周期的安全體系建設(shè)方案，旨在為物聯(lián)網(wǎng)行業(yè)的安全建設(shè)提供一個可行的解題思路。

2 物聯(lián)網(wǎng)的發(fā)展和安全問題

目前，物聯(lián)網(wǎng)終端已經(jīng)滲透進智慧表計、智慧農(nóng)業(yè)、智慧交通、智慧醫(yī)療等領(lǐng)域，并正在以更高增速和更廣覆蓋度與人民群眾生產(chǎn)生活進行融合，形成萬物互聯(lián)、大連接的新型網(wǎng)絡(luò)格局。在全球范圍內(nèi)，物聯(lián)網(wǎng)終端數(shù)量也在持續(xù)高速增長。根據(jù)GSMA（Global System for Mobile Communications Association）的統(tǒng)計結(jié)果，截至2019年底，全球物聯(lián)網(wǎng)設(shè)備連接數(shù)量已經(jīng)達到了110億。其中，消費物聯(lián)網(wǎng)終端數(shù)量達到了60億，工業(yè)物聯(lián)網(wǎng)終端數(shù)量達到了50億，如圖1所示。

據(jù)GSMA的預(yù)測分析，2025年全球物聯(lián)網(wǎng)終端數(shù)量將突破250億，較2019年實現(xiàn)127%的增長率[1]。除了數(shù)量增長，物聯(lián)網(wǎng)應(yīng)用覆蓋的領(lǐng)域也在持續(xù)拓展，根據(jù)IoT-Analytics統(tǒng)計數(shù)據(jù)顯示，2018年，全球范圍內(nèi)公布的1600個物聯(lián)網(wǎng)建設(shè)項目中，智慧城市項目占比23%、工業(yè)物聯(lián)網(wǎng)項目占比17%、智慧建筑項目占比12%、車聯(lián)網(wǎng)項目占比11%、智慧能源項目占比10%，另外智慧醫(yī)療、智慧供應(yīng)鏈、智慧農(nóng)業(yè)、智慧零售等項目分別占比6%、5%、4%和2%[2]， 如圖2所示。

然而，物聯(lián)網(wǎng)蓬勃發(fā)展的背后，物聯(lián)網(wǎng)安全事件頻發(fā)，安全問題儼然已成為制約物聯(lián)網(wǎng)發(fā)展的巨大阻礙。從物聯(lián)網(wǎng)興起之初，針對物聯(lián)網(wǎng)的攻擊事件就層出不窮。一些不法分子利用物聯(lián)網(wǎng)終端、APP、傳輸、服務(wù)端的設(shè)計缺點或安全漏洞等，對物聯(lián)網(wǎng)進行主動攻擊、惡意控制、數(shù)據(jù)竊取和篡改等非法操作，對物聯(lián)網(wǎng)乃至整個社會都帶來了極大的危害。如著名的Mirai病毒，不僅在2016年通過控制大批物聯(lián)網(wǎng)攝像頭設(shè)備造成了美國東海岸的“斷網(wǎng)事件”，近些年更是改變了其TTP（戰(zhàn)術(shù)、技術(shù)和程序），將目標瞄準企業(yè)級物聯(lián)網(wǎng)設(shè)備。據(jù)捕獲最新Mirai病毒變種的Palo Alto Network Unit 42的研究人員表示，瞄準了企業(yè)級設(shè)備的Mirai病毒將獲得更大的帶寬，為僵尸網(wǎng)絡(luò)的DDOS攻擊提供更大的“火力”[3]。因此，如何有效地做好物聯(lián)網(wǎng)系統(tǒng)的安全防護，抵御外部的攻擊，使得物聯(lián)網(wǎng)更加安全可靠，是當下物聯(lián)網(wǎng)產(chǎn)業(yè)和安全產(chǎn)業(yè)關(guān)注和研究的重點。

3 物聯(lián)網(wǎng)安全風險分析

為了研究如何針對物聯(lián)網(wǎng)系統(tǒng)進行有效的防護，首先應(yīng)針對物聯(lián)網(wǎng)的安全風險進行深度的分析。作為當前信息化建設(shè)的重要一環(huán)，物聯(lián)網(wǎng)系統(tǒng)無疑是我國信息系統(tǒng)的重要一部分，故為了深入分析其安全風險，可采用信息安全風險評估模型[4]進行分析，如圖3所示，即通過定位資產(chǎn)價值、資產(chǎn)的脆弱性以及威脅的來源和威脅的可能性，分析出物聯(lián)網(wǎng)系統(tǒng)的安全風險，之后可針對安全風險進行針對性的處置。

3.1資產(chǎn)分析

典型的物聯(lián)網(wǎng)系統(tǒng)主要由物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)服務(wù)端、物聯(lián)網(wǎng)管控終端構(gòu)成，如圖4所示。通過三類終端互聯(lián)互通，物聯(lián)網(wǎng)系統(tǒng)可以進行物聯(lián)網(wǎng)自身業(yè)務(wù)處理，實現(xiàn)關(guān)鍵數(shù)據(jù)的傳輸和存儲，通過用戶指令對物聯(lián)網(wǎng)終端進行指令控制下發(fā)等業(yè)務(wù)。通過分析三類終端特性及其資產(chǎn)屬性可知，物聯(lián)網(wǎng)系統(tǒng)的核心資產(chǎn)要素為終端設(shè)備資產(chǎn)和數(shù)據(jù)資產(chǎn)。

（1）物聯(lián)網(wǎng)設(shè)備終端

作為物聯(lián)網(wǎng)神經(jīng)末梢，物聯(lián)網(wǎng)終端目前主要包含兩大核心功能;一是對物理世界真實物體信息的采集、識別和控制;二是通過終端的通信模塊，將采集到的數(shù)據(jù)信息傳輸至物聯(lián)網(wǎng)服務(wù)端或物聯(lián)網(wǎng)管控終端，并接受另外兩端的決策指令。為了實現(xiàn)上述功能，物聯(lián)網(wǎng)終端通常會配備傳感器、計算芯片、數(shù)據(jù)模塊以及通信模塊。其中傳感器是為了對外界環(huán)境進行有效感知;計算芯片則是對感知內(nèi)容、外部決策等進行綜合計算處理;數(shù)據(jù)模塊主要是對銜接傳感、計算和通信模塊，將其中的數(shù)據(jù)進行有效的轉(zhuǎn)發(fā)和存儲;通信模塊主要實現(xiàn)物聯(lián)網(wǎng)設(shè)備終端和其他雙端的通信，將終端處理的信息傳遞給另外兩端，并接受另外兩端的指令。物聯(lián)網(wǎng)設(shè)備終端核心的資產(chǎn)要素為兩點：一是終端本身的資產(chǎn)價值，包括傳感、計算、聯(lián)網(wǎng)能力等;二是物聯(lián)網(wǎng)設(shè)備終端上產(chǎn)生的數(shù)據(jù)的資產(chǎn)價值。

（2）物聯(lián)網(wǎng)服務(wù)端

物聯(lián)網(wǎng)服務(wù)端是整個物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的核心功能。通過物聯(lián)網(wǎng)設(shè)備終端收集的數(shù)據(jù)通常會匯總到服務(wù)端進行進一步處理，處理后向物聯(lián)網(wǎng)管控端進行推送展示等。此外，物聯(lián)網(wǎng)系統(tǒng)中的管理業(yè)務(wù)，如用戶分類分級、系統(tǒng)運維、可用性監(jiān)控等也都由物聯(lián)網(wǎng)服務(wù)端進行完成。以物聯(lián)網(wǎng)系統(tǒng)的資產(chǎn)分析角度，物聯(lián)網(wǎng)服務(wù)端的核心資產(chǎn)要素為數(shù)據(jù)的資產(chǎn)價值。

（3）物聯(lián)網(wǎng)管控終端

物聯(lián)網(wǎng)管控終端通常是和終端用戶進行交互的終端應(yīng)用。以目前的商用及民用物聯(lián)網(wǎng)系統(tǒng)而言，主要是安卓、IOS、Web、小程序等應(yīng)用。這些應(yīng)用運行在移動設(shè)備、PC等終端系統(tǒng)上，實現(xiàn)了和物聯(lián)網(wǎng)設(shè)備終端以及物聯(lián)網(wǎng)服務(wù)端的通信，并將設(shè)備狀態(tài)等通過界面交互的模式進行展示。同時管控終端還可以接受終端用戶的管控指令，進而對物聯(lián)網(wǎng)設(shè)備終端進行管控?；谝陨戏治?，物聯(lián)網(wǎng)管控終端本身對于物聯(lián)網(wǎng)系統(tǒng)來說資產(chǎn)價值較低，主要是展示和交互的實現(xiàn)方。

3.2 威脅分析

針對物聯(lián)網(wǎng)的攻擊事件大致可以分為三類[5]。

（1）拒絕服務(wù)攻擊類事件

以美國斷網(wǎng)事件為代表，利用物聯(lián)網(wǎng)設(shè)備的計算性能和聯(lián)網(wǎng)特性，通過控制由物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò)，從而進行拒絕服務(wù)攻擊的安全事件是目前物聯(lián)網(wǎng)安全事件的主流之一。2019年全球異常物聯(lián)網(wǎng)設(shè)備的IP總量為128萬余個，在全球物聯(lián)網(wǎng)設(shè)備中占比2.1%。其中參與過拒絕服務(wù)攻擊的物聯(lián)網(wǎng)設(shè)備所使用過的IP數(shù)量近17萬，占全部異常物聯(lián)網(wǎng)設(shè)備IP總量的13.08%[6]。攻擊者主要通過物聯(lián)網(wǎng)終端設(shè)備的缺陷和漏洞，植入木馬或惡意軟件感染等方式大量控制物聯(lián)網(wǎng)終端設(shè)備，從而形成能夠進行拒絕服務(wù)攻擊的僵尸網(wǎng)絡(luò)。

（2）設(shè)備控制類事件

設(shè)備控制類安全事件主要是黑客通過漏洞等控制物聯(lián)網(wǎng)終端設(shè)備的安全事件，如2019年智能門鎖廠商Smart Deadbolts被爆發(fā)現(xiàn)漏洞，攻擊者可以通過漏洞遠程控制門鎖開關(guān)，進而無阻礙的闖入房間。設(shè)備控制類事件通常發(fā)生在和物理世界存在強交互的物聯(lián)網(wǎng)領(lǐng)域，如智能門鎖、智能門禁等。

（3）敏感數(shù)據(jù)泄露事件

敏感數(shù)據(jù)泄露事件主要是黑客通過入侵或控制個人隱私相關(guān)的物聯(lián)網(wǎng)設(shè)備所引起的事件。相較傳統(tǒng)的服務(wù)器數(shù)據(jù)泄露，物聯(lián)網(wǎng)敏感數(shù)據(jù)泄露會更直接和隱秘的泄露個人隱私數(shù)據(jù)。如2019年末，亞馬遜旗下的Ring曝出安全漏洞，黑客可以控制設(shè)備進而監(jiān)控用戶家庭、獲取用戶的WiFi密碼、甚至還有黑客通過Ring攝像頭跟搖籃里的嬰兒打招呼。

通過分析可知，物聯(lián)網(wǎng)的威脅主要來自于外部攻擊。從攻擊目標的角度來看，攻擊者通常以控制終端和獲取數(shù)據(jù)為最終目的，這與之前在資產(chǎn)分析中對資產(chǎn)價值的分析結(jié)果一致;從攻擊手段來看，物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)服務(wù)端以及物聯(lián)網(wǎng)控制端都可能作為被攻擊對象遭受威脅，進而給整個物聯(lián)網(wǎng)帶來風險。

3.3 脆弱性分析

通過對資產(chǎn)和威脅進行分析，可以看出，設(shè)備資產(chǎn)和數(shù)據(jù)資產(chǎn)是物聯(lián)網(wǎng)系統(tǒng)中需要著重保護的高價值資產(chǎn)，而外部威脅也往往指向這兩類資產(chǎn)。根據(jù)信息系統(tǒng)風險模型，威脅利用脆弱性對資產(chǎn)產(chǎn)生風險，為了具體分析物聯(lián)網(wǎng)的脆弱性，將物聯(lián)網(wǎng)系統(tǒng)按照信息系統(tǒng)架構(gòu)圖展開，如圖5所示，并結(jié)合之前在物聯(lián)網(wǎng)的攻防實踐，依次分析其脆弱性所在。

（1）物聯(lián)網(wǎng)控制終端側(cè)脆弱性分析

目前，主流物聯(lián)網(wǎng)控制終端主要是由安卓、蘋果、小程序、Web應(yīng)用等構(gòu)成。由于移動技術(shù)在近年來的大力發(fā)展，以移動終端應(yīng)用，即安卓APP、蘋果APP和小程序作為主流。由于目前絕大多數(shù)物聯(lián)網(wǎng)廠商的移動開發(fā)經(jīng)驗較少，所以在物聯(lián)網(wǎng)控制端一側(cè)廣泛存在代碼易被逆向破解、通信安全存在問題、密鑰管理不善、不能較好的抵御黑客攻擊調(diào)試等安全問題。這些安全問題（脆弱性）被外部威脅利用后，可以通過管控終端對服務(wù)端和設(shè)備終端發(fā)起攻擊，進而竊取服務(wù)端數(shù)據(jù)或?qū)崿F(xiàn)控制設(shè)備終端的目的。

（2）物聯(lián)網(wǎng)設(shè)備終端側(cè)脆弱性分析

物聯(lián)網(wǎng)終端設(shè)備通?？梢哉J為由硬件、固件系統(tǒng)、應(yīng)用模塊、數(shù)據(jù)模塊和通信接入模塊五大部分組成[7]，如圖6所示。

1）硬件模塊

硬件模塊脆弱性主要集中在主板設(shè)計方面，由于主板在設(shè)計時沒有考慮到安全攻擊的可能，會殘留敏感絲印信息、調(diào)試接口或不安全的封裝組件等。攻擊者可以通過硬件的固有接口針對物聯(lián)網(wǎng)終端設(shè)備進行諸如Testpin滲透、硬件提權(quán)、固件提取等攻擊。

2）固件系統(tǒng)

固件系統(tǒng)是物聯(lián)網(wǎng)終端設(shè)備實現(xiàn)功能的核心，也是脆弱性集中暴露的位置。固件系統(tǒng)中可能存在各類系統(tǒng)漏洞，如溢出漏洞、越權(quán)漏洞等，給了攻擊者通過漏洞攻擊系統(tǒng)進而掌控系統(tǒng)的機會;同時固件系統(tǒng)自身在沒有安全處理的情況下，容易被攻擊者逆向分析出核心邏輯和信息，從而進行高級攻擊;最后，物聯(lián)網(wǎng)固件系統(tǒng)通常存在升級需求，對缺乏安全措施的系統(tǒng)升級進行攻擊進而將惡意代碼植入物聯(lián)網(wǎng)終端設(shè)備是黑客常用的攻擊手段。

3）應(yīng)用模塊

應(yīng)用模塊主要針對復(fù)雜的物聯(lián)網(wǎng)操作系統(tǒng)而言，如安卓、Linux等。在復(fù)雜系統(tǒng)中，應(yīng)用模塊是實現(xiàn)物聯(lián)網(wǎng)功能的重要模塊，其核心邏輯是否得到有效保護、是否有針對攻擊調(diào)試的應(yīng)對手段是應(yīng)用模塊中的安全問題（脆弱性）所在。

4）數(shù)據(jù)模塊

在物聯(lián)網(wǎng)終端設(shè)備上，數(shù)據(jù)模塊不僅存儲有應(yīng)用的數(shù)據(jù)，同時也是重要系統(tǒng)數(shù)據(jù)、配置參數(shù)甚至邏輯代碼的存儲位置。數(shù)據(jù)模塊主要的脆弱性在于權(quán)限訪問和數(shù)據(jù)加密，這兩項最終都牽扯到物聯(lián)網(wǎng)設(shè)備終端上安全密鑰的問題。

5）通信模塊

目前物聯(lián)網(wǎng)終端的通信模塊上主要存在蜂窩通信和非蜂窩通信兩種。其中蜂窩通信主要采用運營商的2G、3G、4G、5G以及NBIoT等通信協(xié)議。非蜂窩通信主要包含藍牙、WiFi、Zigbee、LoRa等。在通信中，物聯(lián)網(wǎng)終端設(shè)備可能由于協(xié)議的使用不善而導致通信內(nèi)容被截取、分析、篡改等，進而造成數(shù)據(jù)泄露以及惡意控制等安全問題。

（3）通信網(wǎng)絡(luò)側(cè)脆弱性分析

通信網(wǎng)絡(luò)側(cè)主要包含服務(wù)端與物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)設(shè)備終端和物聯(lián)網(wǎng)管控端、物聯(lián)網(wǎng)管控與服務(wù)端的通信。通信中主要的脆弱性問題是通信內(nèi)容的加密和通信雙方的身份認證問題。

（4）服務(wù)端系統(tǒng)側(cè)脆弱性分析

服務(wù)端系統(tǒng)的脆弱性主要來自信息系統(tǒng)漏洞，如云平臺漏洞、大數(shù)據(jù)系統(tǒng)漏洞、Web服務(wù)漏洞、外部開發(fā)API的漏洞等。通過這些漏洞，攻擊者可以侵入服務(wù)端，竊取服務(wù)端存儲的物聯(lián)網(wǎng)數(shù)據(jù)或通過服務(wù)端對物聯(lián)網(wǎng)終端下發(fā)指令達到控制終端的目的。物聯(lián)網(wǎng)服務(wù)端系統(tǒng)的脆弱性和傳統(tǒng)信息系統(tǒng)中的服務(wù)端脆弱性從本質(zhì)上沒有區(qū)別，屬于傳統(tǒng)信息安全領(lǐng)域的范疇。

3.4 風險分析總結(jié)

通過對物聯(lián)網(wǎng)資產(chǎn)、威脅以及脆弱性的分析，可以對物聯(lián)網(wǎng)系統(tǒng)的風險有較為完整的認識。物聯(lián)網(wǎng)目前面臨的風險主要是其高價值資產(chǎn)，即物聯(lián)網(wǎng)終端設(shè)備以及物聯(lián)網(wǎng)數(shù)據(jù)，面臨的由攻擊者為了發(fā)動拒絕服務(wù)供給、控制終端設(shè)備或竊取敏感數(shù)據(jù)，通過利用物聯(lián)網(wǎng)控制終端、物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)通信測以及物聯(lián)網(wǎng)服務(wù)端的脆弱性發(fā)起攻擊而產(chǎn)生的風險。對于以上風險，比較直接的處理方式就是降低物聯(lián)網(wǎng)系統(tǒng)的脆弱性，即通過對物聯(lián)網(wǎng)系統(tǒng)進行安全防護，防止外部威脅對物聯(lián)網(wǎng)資產(chǎn)產(chǎn)生危害。

4 基于物聯(lián)網(wǎng)生命周期的安全防護體系

4.1 物聯(lián)網(wǎng)常見防護手段分析

目前，應(yīng)對物聯(lián)網(wǎng)安全風險的主要方式是通過降低物聯(lián)網(wǎng)系統(tǒng)的脆弱性進而減少外部威脅對于物聯(lián)網(wǎng)資產(chǎn)的危害風險，主要措施包括五個方面。

（1）安全滲透測試

安全滲透測試是發(fā)現(xiàn)可被利用的系統(tǒng)脆弱性的最好方法之一。需要注意的是安全滲透測試的目標應(yīng)是整個物聯(lián)網(wǎng)系統(tǒng)而非單個端，通過模擬攻擊者對物聯(lián)網(wǎng)系統(tǒng)進行包含物聯(lián)網(wǎng)設(shè)備終端、物聯(lián)網(wǎng)管控終端、物聯(lián)網(wǎng)服務(wù)端的完整滲透測試，不僅可以發(fā)現(xiàn)各端上的安全隱患，還可以發(fā)現(xiàn)在多端聯(lián)動時出現(xiàn)的安全問題。

（2）代碼安全加固

代碼安全加固是指針對源代碼或編譯后的應(yīng)用、庫文件等進行安全防護的手段。代碼加固的核心是防止逆向、調(diào)試等攻擊手段，防止攻擊者通過逆向或調(diào)試代碼，讀懂代碼邏輯，進而根據(jù)代碼邏輯構(gòu)造高級攻擊。目前，代碼加固主要適用于物聯(lián)網(wǎng)終端設(shè)備固件、物聯(lián)網(wǎng)終端設(shè)備應(yīng)用、物聯(lián)網(wǎng)管控端應(yīng)用（安卓、IOS、小程序）等。其中針對物理聯(lián)網(wǎng)管控端，即安卓、IOS、小程序等的代碼加固方案業(yè)內(nèi)比較成熟，針對物聯(lián)網(wǎng)終端設(shè)備固件以及應(yīng)用的加固技術(shù)主要集中在部分頭部安全廠商手中。

（3）密鑰安全防護

密鑰安全是終端設(shè)備上數(shù)據(jù)加密以及身份認證的安全技術(shù)，這里的密鑰安全防護主要指終端上的密鑰安全手段（服務(wù)端由處于網(wǎng)絡(luò)安全設(shè)備防護，認為是較為安全的環(huán)境），這包括物聯(lián)網(wǎng)設(shè)備終端以及物聯(lián)網(wǎng)管控端兩個部分。目前，行業(yè)內(nèi)物聯(lián)網(wǎng)設(shè)備終端上通常以安全芯片進行密鑰防護，而物聯(lián)網(wǎng)管控端上安全防護手段主要為軟件密鑰防護。但是值得關(guān)注的是，物聯(lián)網(wǎng)設(shè)備終端上除了安全芯片的使用，與其配套的可信執(zhí)行環(huán)境也是必要的。目前，很多攻擊事件在物聯(lián)網(wǎng)設(shè)備終端使用了安全芯片的情況下仍獲取了其中的密鑰，究其主要原因就是沒有與安全芯片相配合的可信執(zhí)行環(huán)境，導致密鑰在外部參與運算的時候被輕易獲取。物聯(lián)網(wǎng)管控端的密鑰安全問題可以通過密鑰白盒等軟件密鑰防護手段進行實現(xiàn)，目前該手段在移動應(yīng)用安全領(lǐng)域應(yīng)用較廣。

（4）通信安全防護

通信安全防護主要是針對數(shù)據(jù)加密和身份認證兩項進行安全防護。正常來講，通過使用SSL/TLS協(xié)議可以有效的保障身份認證和數(shù)據(jù)加密的安全性，但是由于終端存儲環(huán)境的不安全性，較難實現(xiàn)私鑰和公鑰的安全存儲，容易被竊取或替換進而產(chǎn)生范圍性的通信攻擊。目前的解決方法主要是和密鑰防護進行結(jié)合，通過將私鑰和首次通信成功時的公鑰進行安全存儲，采用安全的SSL/TLS協(xié)議，保障通信的安全。

（5）終端態(tài)勢感知

態(tài)勢感知在傳統(tǒng)安全方向是較為成熟的技術(shù)手段，其持續(xù)感知、快速響應(yīng)、及時處置的思路和特點是應(yīng)對復(fù)雜網(wǎng)絡(luò)安全情況以及突發(fā)性安全問題的較好解題思路。傳統(tǒng)的態(tài)勢感知主要是服務(wù)器和PC端，目前，移動端的態(tài)勢感知也已經(jīng)興起，物聯(lián)網(wǎng)設(shè)備終端的態(tài)勢感知，受制于物聯(lián)網(wǎng)設(shè)備終端的系統(tǒng)，目前只有少數(shù)頭部廠商在進行研究時使用。物聯(lián)網(wǎng)終端設(shè)備態(tài)勢感知的主要側(cè)重點在于進程監(jiān)控、網(wǎng)絡(luò)行為監(jiān)控以及外部入侵監(jiān)控，通過這些監(jiān)控可以較為迅速的發(fā)現(xiàn)攻擊者的攻擊行為、散布的惡意代碼以及利用設(shè)備發(fā)動的網(wǎng)絡(luò)攻擊等事件。

4.2 基于物聯(lián)網(wǎng)生命周期的安全體系分析

在安全手段并不缺乏的情況下，如何將安全手段有機的整合，形成可以在物聯(lián)網(wǎng)生產(chǎn)實踐中采用的安全體系，是目前行業(yè)內(nèi)面臨的普遍難題。主要原因為：一是由于物聯(lián)網(wǎng)生態(tài)較為復(fù)雜，目前物聯(lián)網(wǎng)行業(yè)生態(tài)體系中，有從事模組、芯片、終端設(shè)備、解決方案等廠商，也有自建生態(tài)從芯片到開發(fā)全部提供服務(wù)端的生態(tài)廠商;二是對于安全的分鐘定位職責不明確，導致每個環(huán)節(jié)不知道自己的安全責任也不知道采用什么樣的安全手段。

為此，通過在物聯(lián)網(wǎng)行業(yè)內(nèi)的不斷探索總結(jié)，形成了以方案商和生態(tài)廠商為目標，基于物聯(lián)網(wǎng)生命周期的安全體系建設(shè)方法。該方法主要基于SDL模型[8]，在物聯(lián)網(wǎng)場景下進行變換取舍，定位在物聯(lián)網(wǎng)行業(yè)對于安全需求度較高，有研發(fā)能力和較高議價話語權(quán)的方案商和生態(tài)廠商，為物聯(lián)網(wǎng)的全生命周期提供安全建設(shè)保障。物聯(lián)網(wǎng)全生命周期安全防護體系主要將安全工作分布在物聯(lián)網(wǎng)研發(fā)生命周期的五個階段中，如圖7所示。

（1）設(shè)計階段

設(shè)計階段指物聯(lián)網(wǎng)系統(tǒng)開始規(guī)劃設(shè)計的最初階段。這一階段是對整個物聯(lián)網(wǎng)安全進行定義的階段，是最重要的安全環(huán)節(jié)之一。在這一階段主要需要明確后續(xù)需要遵守的安全規(guī)范，這包括技術(shù)規(guī)范和管理規(guī)范等。同時應(yīng)對物聯(lián)網(wǎng)系統(tǒng)的攻擊面進行具體的分析，建立威脅模型，并根據(jù)自身的物聯(lián)網(wǎng)系統(tǒng)特點制定安全策略。

（2）實現(xiàn)階段

實現(xiàn)階段主要指硬件工程和代碼工程階段，此階段主要需要依據(jù)設(shè)計階段的安全規(guī)范進行相應(yīng)安全開發(fā)、安全工程和安全實現(xiàn)。由于物聯(lián)網(wǎng)的安全很多和硬件相關(guān)，此階段至關(guān)重要，很多安全設(shè)計如果不在此階段得到較好實現(xiàn)則后續(xù)會極難改正，如主板的串口安全設(shè)計、模塊封裝安全等。此階段同時需要將安全手段進行集成，如以SDK形式存在的安全模塊等。

（3）驗證階段

安全驗證階段主要是對安全實現(xiàn)的檢驗和驗證，這個階段和開發(fā)過程中的測試階段有所重疊。除了驗證安全功能和安全規(guī)范的實現(xiàn)以外，同時也是進行整體風險評估的最佳時期，通過整體的風險評估，可以發(fā)現(xiàn)殘余的風險并及時進行處置。

（4）發(fā)布階段

發(fā)布階段是物聯(lián)網(wǎng)系統(tǒng)上線的環(huán)節(jié)，這一環(huán)節(jié)之后物聯(lián)網(wǎng)系統(tǒng)將真正暴露在外部威脅之下，故此環(huán)節(jié)需要進行最終的安全評析，確認上線后可能出現(xiàn)的安全問題以及應(yīng)對措施;同時應(yīng)對上線物聯(lián)網(wǎng)系統(tǒng)進行全面的安全防護處置，低于外部威脅可能發(fā)起的攻擊。

（5）響應(yīng)階段

響應(yīng)階段是上線后對于物聯(lián)網(wǎng)系統(tǒng)安全持續(xù)跟進的階段。這個階段主要是對物聯(lián)網(wǎng)系統(tǒng)進行安全運維，對發(fā)生的安全問題進行感知定位并快速響應(yīng)，保障物聯(lián)網(wǎng)的安全運行。

通過將安全技術(shù)、安全手段融入以上的物聯(lián)網(wǎng)全生命周期安全體系，可以有效地提高安全效率，降低安全成本，并構(gòu)建持續(xù)化的物聯(lián)網(wǎng)安全體系。

5 基于物聯(lián)網(wǎng)生命周期的安全防護體系的實踐

為評估物聯(lián)網(wǎng)生命周期防護體系的可行性和有效性，本文安全團隊和當前行業(yè)內(nèi)較為知名的物聯(lián)網(wǎng)生態(tài)公司進行合作，在其物聯(lián)網(wǎng)設(shè)備的生產(chǎn)實際中實踐了物聯(lián)網(wǎng)生命周期防護體系。安全團隊選取了攝像頭、行車記錄儀、掃地機器人、智能門鎖、智能音響、兒童手表等多類物聯(lián)網(wǎng)設(shè)備進行實踐，確保該體系在當前主流物聯(lián)網(wǎng)設(shè)備上的應(yīng)用效果。

通過對多類物聯(lián)網(wǎng)設(shè)備的設(shè)計、實現(xiàn)、驗證、發(fā)布、運維響應(yīng)過程的不斷迭代和磨合，總結(jié)出了基于物聯(lián)網(wǎng)生命周期的安全體系建設(shè)在實際生產(chǎn)中的最佳實踐方法，如圖8所示。

5.1 設(shè)計階段

安全團隊應(yīng)在此階段制定安全上線和安全審核規(guī)范。規(guī)范中對不同種類的物聯(lián)網(wǎng)產(chǎn)品應(yīng)實現(xiàn)的安全基線進行了詳細的說明。同時根據(jù)安全規(guī)范制定了安全上線策略，如果物聯(lián)網(wǎng)設(shè)備不能達到安全基線，則安全對設(shè)備上線有一票否決權(quán)。此外，對于安全開發(fā)和安全工程，安全團隊應(yīng)提出明確的規(guī)定和規(guī)范，同時提供大量的安全框架和組件，便于實現(xiàn)階段的開發(fā)實現(xiàn)。

5.2 實現(xiàn)階段

在實現(xiàn)階段，安全團隊為物聯(lián)網(wǎng)產(chǎn)品提供用于物聯(lián)網(wǎng)平臺、安卓平臺、IOS平臺、小程序平臺的安全功能組件（具體覆蓋范圍應(yīng)考慮自身業(yè)務(wù)范圍和場景）。通過標準化提供此類安全組件，可以讓各類物聯(lián)網(wǎng)產(chǎn)品快速集成標準化的安全能力，避免了自身實現(xiàn)導致重復(fù)、標準不統(tǒng)一等問題。在最佳實踐中，這些安全組件包括用于構(gòu)建可信執(zhí)行性環(huán)境的密鑰存儲安全SDK、用于通信安全的通信安全SDK、用于數(shù)據(jù)安全的數(shù)據(jù)加密SDK、用于持續(xù)安全感知的態(tài)勢感知SDK等。

5.3 驗證階段

在此階段，安全團隊應(yīng)承擔起物聯(lián)網(wǎng)設(shè)備的上線安全驗證工作，并確保只有通過安全驗證的設(shè)備才能被允許上線。最佳實踐中，安全團隊配備完善的物聯(lián)網(wǎng)安全滲透人員和工具，可以對物聯(lián)網(wǎng)系統(tǒng)進行完整的風險評估，包括針對物聯(lián)網(wǎng)設(shè)備終端的硬件風險評估、固件風險評估、通信風險評估、密鑰風險評估、數(shù)據(jù)風險評估、漏洞風險挖掘等;針對各類APP的合規(guī)風險評估、漏洞風險評估、組件風險評估、攻擊風險評估等;針對服務(wù)端的漏洞風險評估、業(yè)務(wù)風險評估、接口風險評估等。通過全面的風險評估，安全團隊為物聯(lián)網(wǎng)設(shè)備上線前提供風險和修復(fù)意見，幫助產(chǎn)品在驗證環(huán)節(jié)修復(fù)自身安全問題。

5.4 發(fā)布階段

在此階段，安全團隊應(yīng)為物聯(lián)網(wǎng)設(shè)備及相關(guān)軟件的發(fā)布上線提供安全保障。最佳實踐中，安全團隊在發(fā)布上線階段提供了自動化的安全處置工具，無論固件發(fā)布、安卓APP發(fā)布、IOS應(yīng)用、小程序等的發(fā)布（首次上線和更新），都會經(jīng)過安全發(fā)布工具進行處理，在安全發(fā)布工具處理過程中，會自動對代碼進行加固，實現(xiàn)代碼防逆向、防調(diào)試、防注入、防止運行在風險環(huán)境等安全能力，保障了物聯(lián)網(wǎng)產(chǎn)品及各類軟件的安全。

5.5 響應(yīng)階段

在此階段，安全團隊應(yīng)主要考慮如何進行上線后的持續(xù)風險感知和及時處置。最佳實踐中，安全團隊在實現(xiàn)階段為各個物聯(lián)網(wǎng)產(chǎn)品提供了態(tài)勢感知組件，保證了產(chǎn)品上線后持續(xù)安全的可能性。態(tài)勢感知模塊會對物聯(lián)網(wǎng)設(shè)備的進程安全、網(wǎng)絡(luò)行為安全進行監(jiān)控，同時對外部侵入事件進行及時預(yù)警，第一時間發(fā)現(xiàn)攻擊者針對物聯(lián)網(wǎng)設(shè)備的攻擊。同時態(tài)勢感知系統(tǒng)配備完善的更新升級機制，發(fā)現(xiàn)安全問題后可以通過推送更新升級的方式處置安全風險，實時保障物聯(lián)網(wǎng)產(chǎn)品的安全。

6 結(jié)束語

隨著新基建、萬物互聯(lián)、大連接等理念的逐步深化和實踐，物聯(lián)網(wǎng)已經(jīng)呈現(xiàn)爆發(fā)的態(tài)勢。如何保障物聯(lián)網(wǎng)安全也是國家主管部門、安全從業(yè)者以及物聯(lián)網(wǎng)行業(yè)本身需要積極探索的方向。物聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全體系的建設(shè)需要對傳統(tǒng)的網(wǎng)絡(luò)信息安全模式進行革命性的創(chuàng)新和變革，才能滿足物聯(lián)網(wǎng)發(fā)展帶來的技術(shù)挑戰(zhàn)和運營挑戰(zhàn)[9]。在這種背景下，本文安全團隊探索并實踐了基于物聯(lián)網(wǎng)生命周期的安全建設(shè)體系，將安全技術(shù)手段和安全管理手段結(jié)合，嵌入整個物聯(lián)網(wǎng)研發(fā)的生命周期體系中，從而保證每一個安全能力、安全手段以最恰當、最有效的方式嵌入到物聯(lián)網(wǎng)系統(tǒng)中，形成經(jīng)濟、有效、持續(xù)性的物聯(lián)網(wǎng)安全防護體系。本文基于物聯(lián)網(wǎng)生命周期的安全建設(shè)體系，作為物聯(lián)網(wǎng)安全建設(shè)的一個實踐有效的思路，可為當前物聯(lián)網(wǎng)安全行業(yè)提供參考。

參考文獻

[1] GSMA Public Policy Position. Spectrum for the Internet of Things [EB/OL].https：//www.gsma.com/spectrum/wp-content/uploads/2017/05/Spectrum-IOT-Position-Paper.pdf，2016.

[2] IoT-Analytics. List Of 1，600 Enterprise IoT Projects [EB/OL].https：//iot-analytics.com/product/list-of-1600-enterprise-iot-projects-2018/，2018.

[3] Unit42.New Mirai Variant Targets Enterprise Wireless Presentation & Display Systems[EB/OL].https：//unit42.paloaltonetworks.com/new-mirai-variant-targets-enterprise-wireless-presentation-display-systems/，2019.

[4] GB /T 20984-2007，信息安全技術(shù)信息安全風險評估規(guī)范[S].北京： 中國標準出版社， 2007.

[5] 中國信息通信研究院. 物聯(lián)網(wǎng)安全白皮書（2018年）[EB/OL].http：//www.caict.ac.cn/kxyj/qwfb/bps/201809/P020180919390470911802.pdf，2018.

[6] 中國電信云堤，綠盟科技. 2019 DDoS攻擊態(tài)勢報告 [EB/OL].http：//blog.nsfocus.net/wp-content/uploads/2019/12/2019-DDoS-%E6%94%BB%E5%87%BB%E6%80%81%E5%8A%BF%E6%8A%A5%E5%91%8A.pdf，2019.

[7] 中國信息通信研究院. 物聯(lián)網(wǎng)終端安全白皮書（2019）[EB/OL].http：//www.caict.ac.cn/kxyj/qwfb/bps/201911/P020191115523217021278.pdf， 2019.

[8] WU Mengge， 吳夢歌， DONG Chaoqun，等. 軟件安全開發(fā)生命周期模型研究[C]// 全國計算機新科技與計算機教育學術(shù)會議. 2011.

[9] 劉志成.物聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全生態(tài)體系構(gòu)建新論[J].網(wǎng)絡(luò)空間安全， 2018，12：85-89.

作者簡介：

劉存（1986-），男，漢族，吉林人，天主教魯汶大學，碩士，三六零智慧科技（天津）有限公司，產(chǎn)品總監(jiān);主要研究方向和關(guān)注領(lǐng)域：移動安全、IoT安全、密鑰安全。

侯文婷（1975-），女，漢族，山東德州人，清華大學，博士，三六零智慧科技（天津）有限公司，首席技術(shù)官;主要研究方向和關(guān)注領(lǐng)域：移動安全、IoT安全，大數(shù)據(jù)存儲建模安全、芯片設(shè)計自動化。

（本文為“2020年429首都網(wǎng)絡(luò)安全日”活動征文）