• <button id="rrgjj"></button>

    <button id="rrgjj"><tr id="rrgjj"><kbd id="rrgjj"></kbd></tr></button>
    <em id="rrgjj"><acronym id="rrgjj"><input id="rrgjj"></input></acronym></em>

    應用

    技術

    物聯網世界 >> 物聯網新聞 >> 物聯網熱點新聞
    企業注冊個人注冊登錄

    淺談工業物聯網終端面臨的安全威脅

    2019-09-05 11:08 淺談工業物聯網終端面臨的安全威脅

    導讀:工業物聯網中的信息安全,往往影響著功能安全和物理安全。因此在工業物聯網中,信息安全事故的發生可能會導致嚴重的連帶效應。工業物聯網的信息安全漏洞被攻擊,可能引起工業安全相關系統或設備的功能失效。

    隨著物聯網的快速發展,其面臨的安全形勢比傳統互聯網時代的更為嚴峻。物聯網終端這個新角色的加入,它們的安全風險威脅著所有接入物聯網的設備。尤其是在工業物聯網領域,往往需要集成已部署的傳統傳感器構建工業物聯網底層。傳統傳感器本身原有的漏洞,在新的物聯網環境中更加危機四伏。本文淺顯的討論了工業物聯網終端面臨的安全威脅,介紹了中國AII組織和美國IIC分別發布的工業物聯網安全實施框架。

    工業互聯網終端面臨的安全威脅

    目前物聯網終端的安全建設尚有很多工作要完成,尤其是傳統的部分終端,由于歷史原因,終端廠商在設計生產時并沒有考慮到物聯網應用場景,導致終端在集成進物聯網中時,成為物聯網系統不可忽視的安全漏洞。

    工業物聯網終端是整個工業物聯網的基礎層,該層包含了功能各異的傳統傳感器、新型智能終端等節點。工業物聯網終端的主要安全隱患包含但不僅限于:

    ·硬件設備攻擊

    終端硬件的組件和配置被篡改。如果在硬件架構設計上未作安全考慮,在攻擊者接觸到終端硬件后,可以利用工具直接從硬件中提取數據,查找漏洞或分析破解加密系統。攻擊者甚至直接克隆,篡改電路,加裝惡意設備,繞過軟件上的種種安全措施,致使數據外泄。

    ·對操作系統的攻擊

    系統啟動進程被截獲或覆蓋。攻擊者通過修改終端硬件平臺固件之間的接口,如UEFI或BIOS,從而改變終端功能。

    劫持Guest操作系統或進程管理程序。這樣攻擊者可以控制應用程序的硬件資源分配,進而可以改變終端系統的行為,最終可以繞過安全控制,獲得對硬件和軟件資源的訪問特權。

    ·對業務應用的攻擊

    非法更改應用程序或公共API。攻擊者通過執行惡意應用程序或重寫應用程序API達到攻擊目的。

    利用部署或升級程序的漏洞。錯誤和有漏洞的部署和升級程序也可能作為滲入點,例如,錯誤或惡意的安裝腳本和被截獲破解的數據通信,都能被攻擊者利用,進而惡意更新終端上的可執行腳本或軟件包。

    ·網絡攻擊

    海量的惡意數據訪問請求,即DDoS攻擊。如果不能正確因對DDoS攻擊,可能會妨礙終端功能的及時準確的執行。

    開放不必要的網絡服務和接口,通信協議無加密或加密強度過低,預留的維修后門及通用的初始化弱口令等。

    ·其他類型的攻擊

    開發時引入的漏洞。這些漏洞往往會在代碼的架構、設計或編寫過程中引入。例如引入了安全程度較低的或惡意的第三方代碼庫,使用了不受信任的開發框架,都可能導致漏洞或惡意代碼出現在終端的運行軟件中。

    工業物聯網安全實施框架

    在工業物聯網建設時,集成的終端往往種類繁多,并且可能來自于多家廠商,因此為了保障工業物聯網系統的安全,需要在統一安全標準和安全建設實施方面做更多努力。作為工業物聯網的底層,終端并非獨立存在,其安全威脅的也應放到整個工業物聯網系統的安全框架中解決。美國工業互聯網聯盟(IIC)發布了其制定的工業互聯網安全框架《Industrial Internet of Things Volume G4: Security Framework》(IISF),我國的工業互聯網產業聯盟(AII)業已起草發布了《工業互聯網安全框架》。

    從功能視角分析IISF,其包含了六個相互關聯的功能塊,并分為三層。頂層包含四個核心安全功能塊,即端點保護、通信&連接保護、安全監測和分析以及安全配置管理。中層是數據保護層,底層是安全模型和策略。

    1567588046692076220.png

    美國IIC發布的工業物聯網安全實施框架

    工業互聯網產業聯盟(AII)起草發布的《工業互聯網安全框架》,從防護對象、防護措施及防護管理三個視角構建工業互聯網安全框架。針對不同的防護對象部署相應的安全防護措施,根據實時監測結果發現網絡中存在的或即將發生的安全問題并及時做出響應。同時加強防護管理,明確基于安全目標的可持續改進的管理方針,從而保障工業互聯網的安全。

    1567588019502032274.png

    中國AII發布的工業互聯網安全框架

    元心物聯網終端操作系統解決方案

    物聯網終端具有不同于傳統嵌入式的單一性,也不同于手機等資源豐富設備。物聯網終端需要滿足:資源受限,安全,需求多樣性,物聯網通信,多種傳感器,硬件碎片化等諸多需求。元心IoT操作系統作為專為物聯網終端設計的操作系統,架構設計充分考慮物聯網的場景需求。元心IoT操作系統內核正在進行CC EAL5認證,是國內首家進行軟件EAL5測評的操作系統內核。

    元心IoT操作系統的防護機制如下:

    l、應對硬件設備攻擊:

    外設訪問控制,審計外設權限。

    2、應對操作系統和業務應用的攻擊:

    1)劃分用戶空間和內核空間,可以限制用戶空間對cpu敏感指令的使用。

    2)內存溢出防護,審計內核對象和驅動權限,線程隔離,線程級內存保護。

    3)擁有高特權級別,EL2(更高優先級),可以捕獲(trap)EL1(內核)的越權行為(訪問內存、寄存器、特權指令等)。

    4)內核完整性保護,虛擬化層的動態度量,確保上層內核的運行時安全,抵御內核攻擊。

    5)高強度的域間隔離,物理級隔離(SMMU,兩階段頁表保證域間隔離,I/O隔離;EL2機制保證內核與虛擬機隔離)。

    1567587971392066634.png

    除此之外,為提高適用性,元心IoT操作系統還有以下特性:

    ·穩定性好:所有服務都運行于內核之外

    ·集成方便:對于通信軟件協議棧,傳感器、通信模塊外設都以模塊形式替換,升級。

    ·裁剪性好:最小可適配8k內存

    ·功能配置便捷:Kconfig菜單式配置功能選項

    ·移植性強:適用arm,X86,arc,xtensa,risc-v等各種平臺。

    ·原生支持各種通信協議LwM2M,BSD socket BLE ,Bluetooth, BLE(Bluetooth Low Energy), Wi-Fi, IEEE 802.15.4(low-rate wireless personal area network),6Lowpan, CoAP, IPv4, IPv6, 和 NFC等協議

    ·系統設計了系統范圍線程管理sensor,通過channel及 trigger的機制靈活配置sensor

    結語

    工業物聯網中的信息安全,往往影響著功能安全和物理安全。因此在工業物聯網中,信息安全事故的發生可能會導致嚴重的連帶效應。工業物聯網的信息安全漏洞被攻擊,可能引起工業安全相關系統或設備的功能失效。元心IoT操作系統實現了強安全可控與現有生態兼容的結合,是工業物聯網終端操作系統的一個不可忽視的解決方案。


    支付宝提现捕鱼