物聯網信息安全威脅與防護策略實現

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了物聯網信息安全威脅與防護策略實現范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：物聯網被稱為繼計算機和互聯網之后的第三次信息技術革命，如今早已滲透到人們工作、生活的方方面面。然而物聯網的廣泛應用難以掩蓋所存在的安全威脅，這些源自各種漏洞的威脅會導致生產中斷、資產損失和生活困擾，因此本文分析了物聯網信息安全威脅與需求，闡述了物聯網信息安全防護策略及實現方法。

關鍵詞：物聯網；信息安全威脅；安全防護策略

狹義上理解，物聯網是指物-物互聯的網絡，即利用信息感知設備（例如射頻識別RFID、GPS、激光掃描裝置、紅外感應裝置等）獲取物品數據和信息，以互聯網為媒介，實現物品的智能識別、定位、跟蹤、監控和管理[1]。廣義上說，物聯網不局限于物-物互聯，而是將一切事物數字化、網絡化，在物-物之間、人-物之間、人-環境之間實現信息空間與物理空間的充分融合和高效信息交換[2]。物聯網的發展和技術更新既帶動了經濟發展，方便了我們的生活，也存在漏洞、網絡攻擊、數據安全等亟待解決的多種威脅[3]。因此，本文對物聯網信息安全威脅與安全防護策略的實現進行了分析。

1物聯網信息安全威脅與安全需求

1.1物聯網系統架構

物聯網一般采用三層架構：由傳感器、RFID等采集數據的設備構成感知層；由信息接入、數據匯聚和核心交換等網絡設備構成網絡層；由數據分析、計算等管理功能抽象的應用層[4]。三層架構實現了物聯網從信息采集、信息傳輸到信息處理的完整過程，但其面對的信息安全威脅也與三層架構有著密切關系，下面圍繞這三層架構進行分析。

1.2物聯網常見信息安全威脅

物聯網之所以會面對各種安全威脅，主要原因是系統中存在漏洞，攻擊者利用這些漏洞進行攻擊和非法入侵，而為了達到攻擊目的，攻擊者常常借助病毒、木馬、惡意軟件等手段[5]。例如攻擊者使用僵尸病毒，通過自動化腳本組合出物聯網終端節點用戶名和密碼，從而篡改設備配置，使之成為僵尸節點。隨著越來越多的終端節點設備被破解，龐大的僵尸網絡逐漸形成。根據物聯網三層結構特點，各層常見信息安全威脅如圖1所示。

1.3物聯網信息安全需求

根據物聯網架構層次特點及威脅來源，信息安全需求主要包括以下幾方面：第一，節點安全需求。如圖1顯示的情況，節點自身易受到各種攻擊，譬如物理攻擊、惡意注入、篡改假冒等，因而需加強節點防護措施。第二，數據安全需求。數據采集是物聯網感知層的主要功能，攻擊者通過竊聽、篡改、偽造數據方式進行攻擊，所以需對采集的數據加以保護。第三，網絡安全服務需求。數據傳輸是網絡層的重要功能，為避免網絡擁塞和拒絕服務，故有安全服務需求。第四，輕量高效的安全需求。通常，物聯網節點設備的計算能力、存儲容量、電池電量等有一定限制，不適合運行復雜、能耗高的安全系統，所以輕量化、能耗低、效率高是基本需求。

2物聯網信息安全防護策略及實現

2.1物聯網信息安全防護策略

第一，感知層安全防護策略。感知層包含各類傳感器、RFID、攝像頭及多種智能設備，這些設備大小、功能各異，面對的安全威脅也多種多樣，故需從硬件、接入、操作系統、應用等多個環節入手，確保硬件安全、接入安全、操作系統安全和應用安全，保證數據不被篡改和未授權獲取，防范非法侵入和攻擊，保證操作系統升級更新過程安全可控，應用軟件行為受到監控。第二，網絡層安全防護策略。物聯網采用無線局域網、窄帶物聯網絡、蜂窩移動網絡、無線自組網絡等多種接入技術，面對的安全威脅也復雜多樣，需從身份認證、數據完整性保護、數據傳輸加密操作、網絡通信安全感知等方面進行加強，包括引入身份認證機制、強化終端數據完整性保護、禁止明文傳輸（即加密處理）、跟蹤監控通信網絡行為等策略。第三，應用層安全防護策略。物聯網內會產生海量數據，配置大量服務資源，為避免攻克一點而全網崩潰的局面的出現，應采用去中心管理系統，即分布式數據管理系統，同時配置系統加固、漏洞檢測、安全審計等功能，強化安全防護能力。對于采用云計算的應用，為防范各種攻擊行為，可采取設置安全基線、自動檢測、不定期掃描漏洞和系統更新、數據統計分析、安裝防病毒軟件等策略，并采取業務分級保護措施。

2.2物聯網信息安全防護框架

結合物聯網信息安全防護策略，構建應用于多種場景、不同構架層次的防護框架，如圖2所示。感知層安全防護的重點是保護終端設備安全，為此根據防護策略需采取多種防護技術，防御攻擊者借助僵尸病毒發起攻擊是關鍵環節。網絡層安全防護的重心是保障數據傳輸安全，其中核心是保障通信的安全，保護通信可采取通信加密和認證的方式。應用層安全防護的重點是保護通信服務器安全，為此可采取異常流量監測和通信協議深度包檢測的方式，發現異常及時報警，以防范攻擊規模擴大。

2.3物聯網信息安全防護策略的實現

2.3.1感知層信息安全防護策略的實現感知層內分布著大量節點終端設備，攻擊者主要通過端口掃描和暴力破解方式進行攻擊，為實現感知層信息安全防護策略，可從加強端口掃描檢測和暴力破解檢測做起。檢測端口掃描可部署入侵檢測系統（IDS），其原理是對節點終端設備收集的數據進行分析，從中發現攻擊信息，識別攻擊行為，進而判斷是否存在入侵行為，有則立即采取措施避免攻擊擴大。確定入侵行為后向防火墻報警，防火墻實時阻斷端口掃描數據包。防御暴力破解攻擊可利用防火墻工具，通過限制相關服務的登錄次數來防御，因為暴力破解需通過大量嘗試獲得正確的登錄用戶名和密碼，設置登錄失敗次數的閾值（例如3次），防火墻就會自動屏蔽攻擊者的IP地址。為避免合法用戶因輸入錯誤而被防火墻屏蔽，可采取設置白名單的措施。

2.3.2網絡層信息安全防護策略的實現網絡層信息安全防護可采取通信加密和身份認證策略。現代加密算法有對稱加密算法和非對稱加密算法之分，前者加密和解密使用同一密鑰，后者加密和解密使用不同的密鑰。對稱加密算法的優點是加解密快速，但用戶數量過多時密鑰管理負擔重，AES、DES或3DES是典型的對稱加密算法。非對稱加密算法復雜，安全性高，但相對對稱加密算法來說加解密速度比較慢，RSA是典型的非對稱加密算法。身份認證策略也是基于密碼學理論實現的，主要基于數字證書或公鑰、身份標識認證，例如基于數字證書的身份認證由發證機構（CA）用私鑰對身份信息（用戶名、公鑰）、證書機構名稱、證書有效期進行數字簽名，再加上用戶身份信息就形成了數字證書。

2.3.3應用層信息安全防護策略的實現應用層信息安全防護主要是檢測深度包和監測異常流量。深度包檢測是對通信協議進行解析和訪問控制，拒絕不符合通信協議及特征異常的數據包。監測通信流量的通信系統，一旦發現異常數據包，即報警處理。

3結語

通常，物聯網由感知層、網絡層和應用層三層架構組成，各層具有不同的功能與特點，面對的安全威脅也不盡相同。為應對多種安全威脅，提出了物聯網節點、數據、網絡安全服務、輕量高效等安全需求。針對物聯網架構不同層次安全威脅，各層次有其獨特的安全防護策略。為實現這些安全防護策略，需構建安全防護框架，并在框架指導下確立各層次安全防護策略的實現方法。

參考文獻：

[1]王斌.工業物聯網信息安全防護技術研究[D].成都：電子科技大學，2018：1.

[2]駱漢光.面向物聯網的輕量級安全協議及關鍵技術研究[D].成都：電子科技大學，2019：1-4.

[3]楊威超.數據驅動的物聯網安全威脅檢測與建模[D].鄭州：中國人民解放軍戰略支援部隊信息工程大學，2019：1-2.

[4]鈕鑫，楊小來.物聯網系統安全威脅分析與研究[J].科技通報，2019，35（5）：132-137.

[5]劉化坤，宋蘭霞，肖玉月，等.淺析物聯網信息安全問題及解決對策[J].電腦知識與技術，2019，15（23）：24-25.

作者：馬艷娟 王和寧 單位：國家計算機網絡與信息安全管理中心青海分中心