1、 本期內容： 歐盟關鍵信息基礎設施環境中物聯網安全建議（上） 電子政務發展前沿電子政務發展前沿 2018. 國家電子政務外網管理中心主辦 2 2 編者的話 編者的話 物聯網（Internet of Things，簡稱“loT” ）以其智能化和互聯互通性等特征，快速成為新一代信息技術的重要發展方向。物聯網對傳統產業的改造升級和對大數據等新興產業的助推使其成為世界新科技革命和產業革命發展的重要驅動力量。然而，由于物聯網廣泛的網絡聯通性所帶來的一系列網絡和信息安全問題也引起高度的重視。 世界各國都在致力于推動物聯網產業的快速和健康發展。 發達國家在持續加大對物聯網核心技術、 標準制定和產業化等方面投

2、入的同時，也在不斷完善和加強對物聯網的安全管理。2017 年 11 月 20 日，歐洲網絡和信息安全管理局（ENISA）發布歐盟關鍵信息基礎設施環境中的物聯網安全基線建議 （以下簡稱建議 ） ，對物聯網安全現狀及安全基線建議進行了全面總結， 以期進一步促進歐洲物聯網產業的健康快速發展。 本期內容首先涵蓋了建議中的物聯網模型研究，重點針對基本元素組成、安全考量因素、安全挑戰、體系結構，以及資產分類等內容進行分析，其次包括了影響物聯網設備和網絡的主要安全威脅、漏洞、安全事件、風險因素以及攻擊場景等內容。 近年來，我國高度重視物聯網產業的發展，將物聯網作為戰略性新興產業列為國家重要信息化發展戰略的組

3、成部分。在 “十三五”國家信息化規劃和“互聯網+”國家行動計劃中，均提出要在國家重大信息化應用工程中加大對物聯網技術和應用的投入。 歐盟對物聯網安全發展提出的建議對我國物聯網發展有重要的借鑒意義。 責任編譯：韓帥 編 譯：黃溪玉、任飛 譯 審：舍日古楞 電子政務發展前沿 E-Government Frontiers 2 目 錄 目 錄 摘要. 1 一、引言 . 2 （一）歐盟與國際政策背景 . 3 二、物聯網模型 . 5 （一）物聯網基本元素 . 6 1物聯網中的“物” . 6 2智能決策 . 7 3傳感器和執行器 . 7 4嵌入式系統 . 8 5通信系統 . 9 （二）安全考量因素 . 10

4、 （三）定義橫向安全基線措施的挑戰 . 12 （四）體系結構 . 13 （五）資產分類 . 14 三、威脅與風險分析 . 19 （一）安全事件 . 19 （二）事件分類 . 20 （三）物聯網網絡安全攻擊場景示例 . 25 （四）重大網絡攻擊場景 . 29 電子政務發展前沿 E-Government Frontiers 1 歐盟關鍵信息基礎設施環境物聯網安全建議 歐盟關鍵信息基礎設施環境物聯網安全建議 摘要 物聯網（Internet of Things，簡稱“loT”）是一個集技術、社會、經濟價值于一體且綜合價值日益增長的技術范例。對ENISA而言，物聯網是一個新興概念， 它是融合了互聯設備與

5、服務的廣闊生態系統， 互聯設備和服務包括傳感器、用戶產品、日常智能家居用品、汽車以及工業和衛生組件服務與設備等。物聯網技術通過數據集成、交換和處理來動態適應特定環境，改變了商業世界以及人與人交往生活的方式。物聯網與信息物理系統緊密相關，因此物聯網也需注意安全性方面的影響。 物聯網發展仍面臨著許多非常嚴峻的安全保障挑戰，必須處理好這些挑戰，才能充分發揮物聯網的潛力。許多與物聯網相關的安全考量并不是最新的，它們可以從對網絡技術的使用經驗中獲取。然而，一些物聯網的實現特點帶來了新的挑戰、威脅和風險，這些威脅和風險是多種多樣并演化迅速的。要做好物聯網的安全保障工作，則需要對物聯網中所有相關的系統都加以

6、防護（包括物聯網組成設備、云后端和服務、應用程序、維護和診斷工具等）。 應對挑戰并確保物聯網產品及服務的安全應被列為優先落實的基礎性工作。人們應意識到不同的安全威脅所造成的不同影響， 針對物聯網的攻擊會極大地危及人們的安全與隱私，而且物聯網本身也可作為攻擊其他關鍵基礎設施的載體。由于物聯網可以徹底改變收集、分析、應用和保護個人信息的方式，應提升對隱私問題的關注度。應妥善處理這些問題，保障用戶對網絡、互聯設備以及相關服務的信賴與信心。 除了技術安全措施外，物聯網應用也引發了許多新的法律、政策和監管方面的挑戰，這些未解決的挑戰范圍廣泛且復雜，同時也放大了一些現存的問題。物聯網技術快速發展超過了相關

7、政策、法律和監管設施所能適應的極限，導致沒有可依循的安全性框架要求。 這導致了大多數公司和制造商分別基于自己的方式來設計物聯網設備，造成了不同制造商之間，以及物聯網設備和傳統系統之間的互通性不足問題。 出于如上考慮，ENISA正在出臺一系列物聯網安全標準建議書。這項工作的目標為深度洞悉物聯網的安全需求，將核心資產與相關威脅進行映射，并評估可能出現的攻擊和識別潛在的實踐和措施，用以保護物聯網系統。 電子政務發展前沿 E-Government Frontiers 2 綜上，考慮到已完成的所有背景調查、專家會談意見、可靠實踐以及安全措施，提出了以下一系列建議： 1、促進物聯網安全舉措與法規條例的協調

8、一致。此項建議的目標受眾為物聯網行業、供應商、制造商、協會。 2、提高對物聯網網絡安全需求的認知。此項建議的目標受眾為物聯網行業、供應商、制造商、協會、學術界、消費者組織、監管機構。 3、提出物聯網安全軟硬件開發生命周期指南。此項建議的目標受眾為物聯網開發商、物聯網平臺運營商、物聯網行業、制造商。 4、建立物聯網生態系統的互通規范。此項建議的目標受眾為物聯網行業、供應商、制造商、協會、監管機構。 5、促進物聯網安全的經濟與行政激勵舉措。此項建議的目標受眾為物聯網行業、協會、學術界、消費者組織、監管機構。 6、建立物聯網產品與服務生命周期安全管理準則。此項建議的目標受眾為物聯網開發商、平臺運營商

9、、行業、制造商。 7、建立物聯網產品與服務生命周期安全管理準則。此項建議的目標受眾為物聯網行業、監管機構。 一、引言 物聯網是近年出現的一個新的概念，由凱文阿什頓（Kevin Ashton）在1999 年提出。它描述了一個能動態適應環境的寬廣生態系統，并能通過互聯的設備和服務來收集、交換并處理信息。物聯網與信息物理系統緊密相連，從這方面來說，可以通過提升業務質量來推動智能基礎設施的建設。 物聯網是計算自然演化的結果，并帶來了與之對應的挑戰，比如物聯網這樣一個不成熟的生態系統難免存在相關標準和安全考量不足的問題， 所涉及每個行業情況和應用情況都是不同的，又比如物聯網在全球范圍內的擴展方面面臨挑戰

10、。根據 Gartner 公司的統計數據，在 2017 年物聯網中的“物”將達 84 億，較2016 年同比增長 31%，到 2020 年互聯設備預計會達到 200 億。目前，市場上有許多不同的物聯網解決方案，如谷歌、微軟、亞馬遜、蘋果、三星等，其中許多公司使用專有的云服務、協議和操作系統。 物聯網所面臨的威脅面極其廣闊，與物聯網設備、系統和服務相關的安全威脅和安全風險多種多樣且變化迅速， 它們對公民的安全和隱私有著巨大的影響， 。 電子政務發展前沿 E-Government Frontiers 3 因此， 必須了解哪些目標是需要重點安全防護的，同時也必須制定具體的安全措施以保護物聯網免受網絡威

11、脅。 物聯網匯集了數億的智能系統和數以百萬計的應用， 必將推動新的消費和商業行為，這將需要越來越多的智能處理技術方案。反過來說，到 2020 年，物聯網預計將為不同的供應商和公司帶來價值近 3 兆美元（約 2 兆 8500 億歐元）的新商業機會。本報告基于從 ENISA 過去的工作中提煉出來的專業知識和深刻見解，涵蓋了以下一系列物聯網的垂直應用領域： 智能家居 智能城市和智能公共運輸 智能電網 智能汽車 智能機場 電子醫療與智能醫院 本 報 告 涵 蓋 了 在 關 鍵 信 息 基 礎 設 施 （ CII ， Critical Information Infrastructure） 背景下的物聯

12、網威脅模型， 以及應對具體威脅的安全措施細節。同時，本報告為物聯網安全提出了一系列建議，為未來的相關工作指明了方向。 （一）歐盟與國際政策背景 （一）歐盟與國際政策背景 近年來，歐盟委員會一直致力于在歐洲普及物聯網和對物聯網潛力的挖掘，為此通過了一系列配套的政策措施，推進開展了相關舉措。 2015 年 3 月，歐盟委員會創立了物聯網創新聯盟（AIOTI，Alliance for Internet of Things Innovation） ，目的是要建造一個創新性的和產業驅動的歐洲物聯網生態系統。至今，AIOTI 已成為了歐洲最大的物聯網協會，這增強了歐盟委員會的信息，促進其與所有物聯網利益相

13、關者密切合作，建立有競爭力的物聯網市場和新的商業模式，造福歐洲公民和企業。 2015 年 5 月出臺的統一數字市場（DSM，Digital Single Market）戰略強調必須避免物聯網的碎片化，促進互通性，充分發揮物聯網的潛力，使歐洲可以進一步推進物聯網的發展。為了滿足 DSM 的需求并對外通告其將推出的政策，2016年 4 月， 歐洲委員會詳細闡述了“推進歐洲物聯網發展”文件中的歐盟物聯網愿電子政務發展前沿 E-Government Frontiers 4 景，并將此作為“數字化歐洲工業部分（DEI，Digital European Industry） ”倡議的組成部分。 歐盟物聯網愿

14、景的三大支柱是： 蓬勃發展的物聯網生態系統； 以人為本的物聯網發展路線； 統一物聯網市場。 要建立統一物聯網市場可能面臨的問題包括如何控制大量且多樣的互聯設備，以及如何明確且通用地識別互聯設備。因此，建議一個用于識別和認證物理網目標系統的開放型系統是十分重要的。此外，還應確立一種可突破地理空間限制的物聯網互通編號空間，在 2016 年歐盟電信規則審查中已經討論了關于編號的一些內容。 在歐洲統一數字市場的 ICT 標準化路線圖中，為了確保標準采用最新的技術路線和方法，委員會確定了五個優先領域，物聯網便是其中之一。五大優先領域應各自增強競爭力，推進創新工作，幫助歐洲更好地進入全球市場。其他四個優先

15、領域分別是 5G 通信、網絡安全、云計算和大數據。 在促進歐洲統一物聯網市場的背景下，2017 年 1 月提出了歐洲數據經濟（European data economy）倡議。該倡議提出了歐盟數據跨國自由流轉的相關政策和法律要求，明確了責任問題，這對強化物聯網產品和服務的法律依據至關重要。除了上述舉措外，歐盟還在“地平線 2020 研究和創新計劃”中設置了具體的物聯網發展目標，在對“歐盟統一數字市場”的中期評審中提出了關于物聯網的大量內容，包括責任劃分和網絡安全等內容。此外，在數據保護工作委員會發布第 29 號文2014 年 8 月關于物聯網最新發展的意見中，確定了物聯網生態系統的數據保護風險

16、，為歐盟法律框架的應用提供指導。 歐盟的最新工作行動是 2017 年 9 月為歐盟網絡安全相關機構（即歐洲議會和 ENISA 委員會） 發布了新的規章管理制度建議和信息通信技術網絡安全認證文件（ “網絡安全法案” ） ，并廢止了歐盟 523/2016 號管理文件。 與此同時，歐洲委員會發布了歐洲議會、委員會關于網絡適應、威懾和防御的聯合行動：為歐盟建立強有力的網絡安全機制 ，該文件描述了歐盟的總體網絡安全戰略。其目標是增強歐盟抵御網絡攻擊的能力、完善偵查機制，以及加 電子政務發展前沿 E-Government Frontiers 5 強國際合作。對于如何實現目標，該文件制定了一系列措施，其中一

17、部分專門面向物聯網，如落實貫穿物聯網設備整個生命周期的安全設計激勵措施。通過這些措施可以推進框架內各種方案的落實，表明產品制造將使用最先進的安全方法，要求產品應通過足夠的安全測試，如果出現新的漏洞和威脅，供應商應及時提供軟件更新服務。 2017 年 8 月 1 日，4 名美國議員提出了2017 年物聯網網絡安全改進法案 ，該法案無論對歐盟還是美國來說都應得到足夠重視。該法案的出臺與 2016 年的一系列物聯網網絡攻擊事件相關。 這一改進法案為美國政府采購互聯設備提供了最基礎的網絡安全要求，包括： 要求供應商確保他們的設備是可修補升級的，遵循行業標準協議，嚴禁使用硬編碼密碼，并且不能包含任何已知

18、的安全漏洞； 要求銷售物聯網設備的供應商提供書面證明，證明其銷售的設備在提交方案時，其軟硬件或組件不包含任何已知的安全漏洞或缺陷。如果供應商后續識別到了漏洞，必須及時進行披露和修補； 要求各執行機構清點該機構使用的所有聯網設備； 與 NIST 合作， 向各機構詳細介紹應采取的特殊安全措施 （如， 網絡分段） ，幫助各機構應用安全措施； 指導美國國土安全部（DHS，Department of Homeland Security）中的美國國家保護與計劃局（NPPD，National Protection and Programs Directorate）進行制定安全漏洞通報協作工作指南，允許研究人

19、員發現安全漏洞，并與供應商分享； 要求提供包含更新建議在內的有效性報告，每 5 年向國會提交一次。 二、物聯網模型 ENISA 將物聯網定義為“集互聯、傳感、執行、可智能決策為一體的網絡生態系統” 。 信息是物聯網的核心， 處于傳感、 決策和行動的一種持續循環狀態中，給物聯網賦予了真正的含義。 電子政務發展前沿 E-Government Frontiers 6 圖 2 物聯網生態系統普適性示意圖 圖 2 體現出物聯網的普及性在于其可以作為關鍵或非關鍵基礎設施的核心。物聯網幾乎與人們日常生活的所有方面相關,影響了商業應用、工業以及私人領域等。 本質上,物聯網在日常用品中嵌入“智能”的因素,從而增

20、加了這些事物的可用性,如能源、交通、醫療、零售等。大多數與物聯網相關的行業都是至關重要的,任何影響這些行業的事件都可能嚴重影響整個社會。 工業 4.0 和工業物聯網在數字產業方面頻繁地與物聯網產生聯系。工業 4.0指的是世界第四次工業革命。它被定義為工業制造系統和產品在設計、制造、操作和服務方面的快速轉型，數字技術、互聯網與傳統行業相互融合，形成數字化與制造業高度集成的價值鏈。在本項研究中,我們更關注物聯網的普適性概念。 本章將提供對物聯網元素及架構的簡要概括， 其中包括了需要考慮的具體安全事項。 （一）物聯網基本元素 （一）物聯網基本元素 下面將詳細介紹組成物聯網生態系統的不同元素， 這些元

21、素主要包括物聯網中的“物” 、智能決策、傳感器、執行器、嵌入式系統和通信系統。有關物聯網系統資產分類將在第 2.5 章節中詳細介紹。 1物聯網中的“物” 1物聯網中的“物” 在物聯網環境中， “物”是指一種能夠被識別或者集成到通信網絡中的物理 電子政務發展前沿 E-Government Frontiers 7 對象或者虛擬對象?！拔铩北仨毦邆渫ㄐ拍芰?，即通過“物”之間或者云后臺網絡實現數據交換。此外，“物”可能具有其他的可選特征，比如，抓取數據，存儲、處理和使用數據，執行原始或云支撐的應用，機器學習等等。組成物聯網生態系統的“物”能夠被智能系統所驅動，這些智能系統可以自動連接各個“物”，并操控

22、它們。另外，智能系統能夠從一個或者多個“物”接收并處理數據，同時獲得了進行智能決策的基礎信息。 2智能決策 2智能決策 在物聯網系統中，連接到“智能系統”的設備數量呈現井噴的態勢，這些設備可以存儲、處理、分析和共享數據，使得數以萬計的“物”連上了網絡，并產生了更多的數據。因此，非常有必要配置一種能夠從大量數據中萃取核心數據的技術，以便快速做出決策。另外，物聯網技術強化了基于驅動技術的智能決策理念。 智能決策首先需要依靠足夠的數據量作為支撐。 這些決策可以簡化為一個閾值跨越檢測機制、 機器學習或深度學習系統。這些決策將最終影響行動并產生新生態信息，這些信息能夠協助“物”通過自身的分析功能做出決策

23、，或是綜合物聯網生態系統的其他元素一起聯合做出決策。 上述整個過程可支撐這些特性：環境感知、自適應性、自主性、自優化性、可配置性、自愈性和自護性等等。 3傳感器和執行器 3傳感器和執行器 傳感器是物聯網系統的重要組成部分，因為它能夠感知周圍的環境，并串聯起整個系統。傳感器可以小到毫米級，更容易嵌入各種實體對象中（可以滿足小到心臟起搏器，大到道路的各種實體對象） 。 在物理層面，傳感器能夠作用于物理、化學、生物等對象；在電子層面，傳感器能夠搜集網絡和應用的信息。 它們能從幾百公里遠的地方搜集具有相關性的重要數據，并對其進行實時或者非實時處理。常見的傳感器有加速度計、溫度傳感器、壓力傳感器、光傳感

24、器、聲傳感器等。 雖然有些傳感器被安裝在普通場合（比如道路），但它們的被重視程度卻在電子政務發展前沿 E-Government Frontiers 8 不斷加強，特別是在工業領域，這些傳感器能夠從網絡和應用搜集動態數據，以實時優化工業流程。 執行器的定義是驅動或者控制某些系統的實體。簡而言之，執行器按照傳感數據要求的方向進行操作，它能夠根據電子輸入調整物理輸出。比如說智能燈和智能恒溫器，它們的執行器能夠充分利用光傳感器或溫度傳感器反饋回來的數據， 并實時調整到合適的光亮度或溫度。 執行器還廣泛應用在制造和裝配過程中，比如在制造馬達和螺線管時，閥門就是一類控制液壓系統的執行器。 總的來說， 傳感

25、器常表現為輸入設備， 能夠匯集周圍環境信息。 相比較而言，執行器經常表現為輸出設備，能夠基于過程信息做出決策。然而，在大多數物聯網系統里，傳感器和執行器并不是單獨存在的，通常同時集成在嵌入式系統內。 4嵌入式系統 4嵌入式系統 傳感器和執行器是物聯網的基本元素。他們可以通過網關連接到云后端，從傳感器獲取數據，幫助執行器做出決策。物聯網設備不僅包括普通的傳感器和執行器，還包括嵌入式系統，比如嵌入式傳感器和執行器。它們具備直接連接到局域網或云端的網絡功能，以及運行軟件的能力。嵌入式物聯網系統基于每個處理單元處理數據。屬于嵌入式系統的物聯網設備示例有：醫療植入物、可穿戴設備（如智能手表）、聯網燈、智

26、能恒溫器等等。圖 3 是嵌入式物聯網系統結構示意圖。 電子政務發展前沿 E-Government Frontiers 9 圖 3 嵌入式物聯網系統結構示意圖 圖 3 嵌入式物聯網系統結構示意圖 5通信系統 5通信系統 不同類型物聯網的通信要求差異很大，取決于其目的和受到的資源限制。在物聯網生態系統的特定部署環境中，選擇的通信協議類型取決于其使用要求。在物聯網生態系統中，經常采取不同協議的組合，并使用網關來保障互通性。 物聯網通信系統依靠結構化的方式發送和接收信息單元，使用不同類型、互通性較強的網絡，可服務位于附近或遠處的機構。這些網絡具有不同的屬性，比如不同的 QoS、彈性、安全性和管理方式等

27、。 物聯網生態系統中的通信協議分為無線和有線兩種類型。 無線通信協議多種多樣，短程無線通信協議包括 ZigBee、藍牙或低功耗藍牙（BLE，Bluetooth Low Energy）、Wi-Fi 或低功耗 Wi-Fi、近場通信（NFC，Near Field Communication）或射頻識別（RFID，Radio Frequency Identification）；移動網絡以及長距離無 線 通 信 協 議 主 要 包 括 LoRaWAN 、 SigFox 、 窄 帶 - 物 聯 網 （ NB-IoT ，NarrowBand-IoT） 協議或 LTE-M 等。 上述每一個協議都基于各自的標準

28、進行定義，例如 ZigBee 和 ZigBee 3.0 是基于 IEEE 802.15.4 協議。 有線通信協議和鏈路 （如電子政務發展前沿 E-Government Frontiers 10 以太網、USB、SPI、MIPI 和 I2C 等）還提供對設備的訪問功能。此外，值得強調的是，物聯網通信也支持非 IP 協議，如 SMS、LiDar 和雷達等。 無線技術具有不同的特性，如特定的信號范圍、帶寬等，可以分為無線個域網（WPAN，Wireless Personal Area Network），無線局域網（WLAN，Wireless Local Area Network）或無線廣域網（WWAN

29、，Wireless Wide Area Networks）。 在 ENISA 針對智能家居的研究中， 還列出了不同類型的智能家居網絡。 盡管如此，鑒于本報告研究的背景，已經采用了更通用和更廣泛的技術方法與路線，從而可與智能家居的研究保持一致。 表 1 描述了不同通信層對應的通信協議。 數據鏈路層處理有線或者無線物理鏈路間的連接，例如傳感器之間，或傳感器與將一組傳感器連接到 Internet 的網關之間的連接。網絡層分為兩層，第一層是處理從數據源到目的地的數據包并進行傳輸的路由子層，第二層是構建數據包的封裝子層。會話層是實現物聯網通信子系統元素之間消息收發功能的協議。 表 1 與物聯網相關的通信

30、協議列表 表 1 與物聯網相關的通信協議列表 會話層 AMQP, CoAP, DDS, MQTT, XMPP 網絡層 封裝子層 6LowPAN, Thread 路由子層 CARP, RPL 數據鏈路層 Bluetooth / BLE, Wi-Fi / Wi-Fi HaLow, LoRaWAN, Neul, SigFox, Z-Wave, ZigBee, USB 綜上所述，物聯網的“物”需要傳輸和接收數據，但它們不一定需要直接依靠互聯網的支撐，可以通過內部網絡將它們收集和接收的數據傳遞給相關單元，如有必要也可通過互聯網發送。因此，由多個“物”組成的物聯網生態系統有可能在沒有連接到互聯網的情況下運

31、行。相比“物聯網”的定義， “互聯網”一詞應簡單地看作是一種泛化概念，意味著互聯特性，無需從更嚴格的技術意義層面來解釋，互聯網連接或 IP 協議棧將成為物聯網生態系統的一個基本要求。 （二）安全考量因素 （二）安全考量因素 隨著我們越來越依賴于生活中各方面的智能互聯設備，數十億的“物”可能成為侵入和干擾的目標， 一旦遭受成功攻擊可能嚴重侵犯個人隱私并威脅到公共 電子政務發展前沿 E-Government Frontiers 11 安全。因此，安全是物聯網的核心關注點之一，實現物聯網需要優先考慮安全方案。另一個重要方面涉及物聯網設備的管理，即明確責任范圍，應結合物聯網生態系統固有的復雜性和異構性

32、，并考慮到可擴展性問題。下述是有關安全物聯網生態系統的一般性問題。 潛在攻擊面極大。與物聯網有關的威脅和風險是多方面的，并可迅速演變。應考慮到威脅風險對公民健康、安全和隱私的影響（數據收集和處理過程中可能并不清楚相關數據的用戶信息，物聯網從各種來源收集、交換和處理大量數據，有時會包括敏感數據）。 設備資源有限。由于技術水平限制，傳統的安全方案需要進行重大改造之后才能應用到物聯網系統。大部分物聯網設備僅具有有限的處理、記憶和電力保障能力，因此，高級安全控制不能有效應用于物聯網。 生態系統復雜。由于物聯網不是獨立設備的集合，而是設備、通信、接口和人員等方面集合的多樣性生態系統，因此，安全問題需引起

33、重視。 標準和法規不健全。隨著各種新技術的不斷涌現，現有的標準和法規已經很難指導物聯網安全防護和良好實踐工作的開展，并且有使安全問題進一步復雜化的趨勢。 部署形式廣泛。除了物聯網商業應用之外，最近出現了通過在傳統基礎設施之上采用物聯網而實現關鍵設施智能化的趨勢。 安全整合問題。由于利益相關者之間可能存在相互矛盾的觀點和要求，所以安全整合是一個非常具有挑戰性的任務。例如，不同的物聯網設備和系統可以采用不同的認證解決方案，但這些解決方案必須可被集成和互通。 生產安全問題：由于執行器的存在，生產安全與物聯網環境高度相關。網絡安全威脅可能直接成為生產安全威脅，例如，最近針對車聯網的網絡安全攻擊就是一種

34、證明。 低成本因素。隨著物聯網在社會各領域的廣泛滲透，在某些關鍵部門已應用了一些高級功能，利用諸如數據流、高級監控和集成等手段可顯著節約成本。然而，與物聯網設備和系統相關的低成本特性很有可能影響安全性。制造商一般傾向于縮減安全功能以降低成本，因此，物聯網產電子政務發展前沿 E-Government Frontiers 12 品已有的安全性能很有可能無法抵御某些網絡攻擊。 專業人才缺乏。物聯網網絡安全是一個相當新穎的領域，目前還缺乏具備適當技能和專業知識的人才。 安全更新。將安全更新應用于物聯網非常具有挑戰性，因為特殊的用戶接口并不支持傳統的更新機制。而且，對于安全更新機制本身的安全防護也是一項

35、難題，如果再考慮無線更新問題，無疑將是難上加難。 不安全的編程。由于物聯網產品的上市時間壓力高于其他領域，使得產品的隱私保護功能往往不夠完善。因此，基于預算、開發周期等因素，相比安全性，物聯網產品更加強調功能性和可用性。 責任不明確。對于安全事件，考慮到物聯網所涉及的龐大而復雜的供應鏈，缺乏明確的責任邊界可能會導致安全責任的互相推諉。而且，當單個組件由多方共享時，安全問題并沒有明確的責任界定。此外，執行責任界定是另一個重要的安全問題。 （三）定義橫向安全基線措施的挑戰 （三）定義橫向安全基線措施的挑戰 ENISA 和絕大多數被采訪的專家一致認為，安全措施和威脅的影響程度要取決于不同資產的重要性

36、，橫向全面地研究物聯網安全極具復雜度，不同的應用案例、使用場景、應用方式在安全方面也各不相同。 每個物聯網環境都需要進行風險評估。通過分析不同資產面臨的潛在威脅，確定合理的攻擊情景，將攻擊場景代入預先定義的物聯網服務環境中，進一步確定哪些威脅是關鍵的，哪些不是關鍵的，哪些可以做減輕處理的。應以橫向方式分析物聯網的復雜性，而不是從智能汽車、智能機場、智能醫院、智能家居、公共智能交通和 ICS/SCADA 等特定物聯網縱向層面進行分析。 盡管如此，本報告還是研究了與垂直管理單位相關的物聯網橫向領域，滿足關鍵信息基礎設施對于界定物聯網基準安全措施的首要需求。同時，本報告擴展了 ENISA 在垂直領域

37、的方法論，提升了物聯網安全領域的研究水平。 電子政務發展前沿 E-Government Frontiers 13 （四）體系結構 （四）體系結構 由于物聯網解決方案基于特定技術進行開發，專注于特定的應用。因此，物聯網領域呈現分散和異構的體系架構，缺乏統一的標準化體系。ENISA 研究了幾個現有的物聯網架構，并在這些橫向架構的基礎上，提出了基于關鍵要素的體系結構，可以在不同資產、不同平臺環境等之間加強互通性。物聯網架構研究主要涉及如下幾個方面： AIOTI 高級架構功能模型 FP7-ICT-IoT-A 體系參考模型 NIST 物聯網（NoT，Network of Things）框架 ITU-T

38、物聯網參考模型 ISO/IEC CD 30141 物聯網參考架構（IoT RA，Internet of Things Reference Architecture） ISACA 概念物聯網架構 M2M 架構模型 IEEE P2413 架構框架標準 在分析了上述架構的基礎上， 我們將基本元素并延概括抽離并應用到一個統一的高級物聯網參考模型中，該模型涵蓋了上述架構的關鍵元素。我們的目標是利用這個高級參考模型（如圖 4 所示）來定義物聯網安全的資產，并協助持續應用識別威脅和攻擊的新方法，圖 4 對高級參考模型進行了詳細描述。 電子政務發展前沿 E-Government Frontiers 14 圖

39、4 物聯網高級參考模型示意圖 圖 4 展示了構成物聯網高級參考模型的不同元素。需要說明的是，我們并不希望提出一種全新的物聯網架構或參考模型。相反，通過分析現有的工作，我們希望抽象出基本要素， 以便識別出需要保護的資產。 而且， 在物聯網生態系統中，更加強調橫向安全。上述研究適用于參考模型包含的所有元素，不僅包括需要在邏輯上和物理上保護的設備， 而且還包括通信、 網絡元件、 存儲信息和云平臺等?？偟膩碚f，應考慮幾個安全因素，例如身份驗證、可用性、恢復能力和認證授權機制， 或者使用密碼技術來保護數據的機密性。圖 4 列出了一些可以考慮的安全機制，但是應該指出，隱私保護在整個物聯網生態系統中具有同樣

40、重要的地位，應予以重點考慮。 （五）資產分類 （五）資產分類 解決物聯網網絡安全問題應先從資產識別與資產分解方面著手。 本節對物聯 電子政務發展前沿 E-Government Frontiers 15 網生態系統中需要保護的關鍵資產組和資產進行概述。 由于我們正在以橫向方式部署物聯網，因此對于特定資產的保護級別將隨著使用情況和應用場景而改變。 所有物聯網資產應被列入對應的關鍵資產組類別中，資產分類如圖 5 所示，表 2 則對所列資產進行了詳細闡述。需要說明的是，最低級別的分類標準是指示性的，在傳感器部分并未將所有傳感器類型都列出，只是挑選了一些代表類型，在網絡、協議等部分也是如此。 電子政務發

41、展前沿 E-Government Frontiers 16 圖 5 資產分類示意圖 表 2 資產分類表 資產分類資產分類 資產資產 描述描述 物聯網設備 硬件 構建物聯網設備的物理組件（傳感器和執行器除外），如微控制器、微處理器、設備的物理端口、主板等。 軟件 包括物聯網設備的操作系統， 安裝或運行的固件程序或應用程序 傳感器 該子系統的目的是檢測或測量環境中的活動， 發送信息給其它電子設備處理。 傳感器有很多用途， 如測量溫度、感知運動等。 執行器 物聯網設備的輸出單元，基于處理信息執行決策。 其它物聯網生態系統設備 物聯網接口設備 提供接口服務， 或在一個給定的物聯網生態系統中作為與其它物

42、聯網設備間的聚合器。此外，用戶可通過該設備與物聯網設備實現交互。 物聯網管理設備 負責管理其它物理網設備或網絡等。 電子政務發展前沿 E-Government Frontiers 17 資產分類資產分類 資產資產 描述描述 嵌入式系統 基于一個處理單元獨立處理數據， 種類包括嵌入式傳感器、嵌入式執行器、連網模塊，可直接連接到云，占據獨立運行空間，具備運行軟件的能力。 通信系統 網絡 允許物聯網生態系統的不同節點通過數據鏈路交換數據和信息，根據空間范圍的不同可劃分不同的類別，如局域網、城域網、廣域網。 協議 定義了在兩個或多個物理網設備通過給定的信道如何通信的規則集， 有很多通信協議， 如基于有

43、線或無線的，物聯網通信協議有 ZigBee,MQTT,CoAP,BLE 等。 基礎設施 路由器 在物聯網生態系統的不同網絡間轉發數據包的網絡組件。 網關 保障系統的互通性， 包括協議翻譯組件、 故障隔離器等。 電力供應 可以為物聯網設備或內部組件提供電源， 通常為外部電源或電池集的形式。 安全資產 為物聯網設備提供安全功能，包括防火墻、應用防火墻（WAF，Web Application Firewall）、云防護、入侵防御、入侵檢測和認證授權等。 平臺與后端 基于 Web 的服務 向互聯網用戶或互聯網連接應用提供一種基于 web 的接口。 這意味著 web 技術可以應用于人機通信或 M2M 通

44、信的物聯網中。 云基礎設施和服務 物聯網中，云后端可以通過匯聚分散設備的數據，并加以處理，提供計算、存儲、應用、服務等能力。 決策 數據挖掘 使用算法和服務對收集到的數據進行處理， 并將數據轉換成一種預定義的結構供后續使用， 在處理超大數據集時需要應用大數據技術模式。 數據處理和計算 使用算法和服務流程促進對匯聚數據的處理以獲取有用信息，可應用多種規則和邏輯處理這些信息，做出決策并自動執行過程。 機器學習方法可以用來學習之前的有用信息。 應用與服務 數據分析和虛擬化 一旦數據被收集和處理， 由此產生的結果信息可被分析和虛擬化，以識別新的模式，提高操作效率等。 設備和網絡管理 物聯網生態系統設備

45、和網絡的管理包括操作系統、 固件和應用程序的軟件更新，還包括對設備和網絡的監測，以及對可被用于審計的日志進行收集和存儲。 設備使用情況 物聯網生態系統中設備和網絡的具體情況， 包括設備當前狀態、使用模式和性能等。 信息 休眠時 信息存儲在云后臺數據庫或設備本身。 傳輸時 數據在兩個或多個物聯網組件間交互。 使用時 通常指數據被用于一個應用、服務或其他物聯網元素。 本報告根據訪談中專家的回復信息描繪了重要資產分類圖，如圖 6 所示。在這些采訪中采用了結構化問卷,通過針對專家的調研問題用來評估主要物聯網資電子政務發展前沿 E-Government Frontiers 18 產，專家們將資產分為不重

46、要,重要性低,中等重要性,高重要性和至關重要五個重要性等級。 需要說明的是，本報告是以橫向的方式分析給定資產的重要性復雜度，而不是通過某個具體垂直用例研究?；谶@個要求來得出最終結論是具有挑戰性的，但也正是本報告要實現的目標。 圖 6 資產關鍵性示意圖 據研究結果顯示，最重要的物聯網資產是傳感器,其次是設備和網絡管理設備，然后是通信系統、網關和應用程序及服務,至少有三分之二的專家將這些資產標記為關鍵。 因此,在解決物聯網的安全問題時,這些資產應該優先考慮。 另外，這些結果是基于橫向研究方法,在不同的部署和應用環境中資產關鍵性的表現不同?？傊?資產評估和風險評估是確定物聯網資產關鍵性和安全威脅的

47、關鍵。 電子政務發展前沿 E-Government Frontiers 19 三、威脅與風險分析 本章的主要目標是確定和梳理影響物聯網設備和網絡的主要安全威脅、漏洞、風險因素以及攻擊場景，從受訪專家的視角將不同的安全威脅、風險和攻擊情景根據其嚴重性賦予了不同的等級。除此之外，本章還詳細討論了三個最為嚴重的攻擊情景，說明復雜性，并提出具體的安全措施來應對不利影響。 （一）安全事件 （一）安全事件 針對物聯網設備的安全威脅數量在過去幾年中呈現上升態勢。 圖 7 顯示了自2009 年以來發現的一些主要的物聯網安全事件，從圖中我們可以看出，針對物聯網的攻擊事件在次數上逐年遞增。然而，應該指出的是，這份

48、圖表只列舉了一些主要的安全事件，實際發生的數目會大于這個數字。這主要是由于物聯網在日?；顒雍完P鍵基礎設施中的應用越來越廣泛， 因而網絡安全事件的數量也勢必會有所增加。（關于圖中各個安全事件的詳細信息，請參閱附錄） 電子政務發展前沿 E-Government Frontiers 20 圖 7 物聯網安全事件的簡易時間線 （二）事件分類 （二）事件分類 正如前文所述， 與物聯網直接相關的攻擊事件數量在近年來一直呈現著逐年增長的態勢，并在 2016 年以 Mirai 僵尸網絡攻擊事件為標志達到了一個巔峰。這些網絡攻擊絕大多數與設備被入侵或者系統被攻破有關， 與此同時也增加了物聯網所面臨的危害數量。依

49、照 ENISA 所發布的威脅分類標準，我們在圖 8 中描述了關于物聯網的威脅分類，并列舉了一些攻擊實例（節選）。 電子政務發展前沿 E-Government Frontiers 21 圖 8 物聯網威脅分類示意圖 電子政務發展前沿 E-Government Frontiers 22 然而，不同的安全威脅所帶來的潛在影響也各有不同，因為它們會在不同的應用環境當中表現不同的特征。在訪談中，物聯網專家對威脅在不同方面的影響進行了深入探討，其中影響最大的幾個方面如圖 9 所示。 圖 9 物聯網威脅所帶來的影響程度示意圖 每個威脅的影響都是通過計算受訪者回答的加權平均數來確定的， 在得到每個威脅的加權平

50、均數后， 我們通過一個 5 分制的量化表對威脅的影響程度進行相應的量化。 在圖 9 中提供了一個可視化結果表示每個威脅的影響,而圖 10 則描述了經過準確計算后的結果,其中落在 3 到 3.5 中的結果代表重要威脅,落在 3.5至 4.5 代表非常重要的威脅,而大于 4 的值則代表至關重要的威脅。雖然 3 以下的值代表了低重要性和不重要的威脅，但是應該指出，沒有任何一個威脅得到這個評級。此外，我們可以看到的是，由于威脅總影響的平均值為 3.7，因而總的來說，目前我們所面臨的威脅依然是非常嚴峻的。 電子政務發展前沿 E-Government Frontiers 23 圖 10 物聯網威脅所帶來的

51、影響量化加權平均值 表 3 簡要描述了依據上文所述的威脅分類標準中所認定的每一個威脅以及受其影響的相關設備及資產。 表 3 威脅分類表 分類分類 威脅名稱威脅名稱 描述描述 受影響的物聯網資產受影響的物聯網資產 惡意操作與濫用 惡意軟件 未經用戶同意而在系統上執行不必要的和未經授權的軟件程序， 導致設備損壞或信息被盜。 這可能會帶來較嚴重影響。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端 利用漏洞工具 為了獲得對系統的訪問而設計的利用漏洞的相關代碼。 這種威脅很難發現，在物聯網環境中，這種威脅可產生較高或嚴重影響， 具體取決于受影響的資產重要程度。 物聯網設備、 其他物聯網生態系統設備

52、、 基礎設施 針對性攻擊 針對特定目標而設計的多階段、 長時間的攻擊。 其主要目標是在隱藏狀態下盡可能多地獲得敏感數據或控制權限。雖然這種威脅的影響不大，但是檢測它們通常是非常困難的， 而且需要很長時間。 基礎設施平臺和后端信息 DDoS 攻擊 這是一種以多個系統攻擊單個目標形式的威脅， 目的是使其信道處于飽和狀態并使其崩潰。 這種威脅可以通過建立許多連接， 阻塞通信信道或反復建立相同的通信過程來完成。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端基礎設施 電子政務發展前沿 E-Government Frontiers 24 惡意設備偽造 這種威脅很難檢測出來， 偽造的設備難以與原始設備

53、輕易區分開來。 并且，這些設備通常有后門，可以用來攻擊環境中的其他 ICT 系統。 物聯網設備、 其他物聯網生態系統設備、 基礎設施 隱私方面的攻擊 這種威脅影響到了用戶的隱私， 使用戶網絡上的私人信息暴露給了未經授權的其他人員。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端信息 信息篡改 這種威脅的目標并不是破壞相關設備， 而是通過對設備控制權限和修改權限的掌握造成網絡沖突或要挾一定的金錢。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端信息 信息竊聽、攔截與劫持 “中間人”威脅 這是一種主動竊聽的攻擊方式， 攻擊者將信息從一個目標轉移到另一個受目標， 這樣能使他們相信他們正在彼此

54、直接交談 信息、通訊、物聯網設備 物聯網通訊協議劫持 這種威脅將控制網絡的兩個組件之間的現有通信會話。 入侵者能夠在此過程中探測到包括密碼在內的敏感信息。 而劫持過程則使用了例如強制斷開連接或拒絕服務等攻擊性技術。 信息、 通訊、 物聯網設備、決策制定 信息截取 在未經授權的情況下攔截甚至篡改私人通信內容，如電話，即時消息和電子郵件通信等 信息、通訊、物聯網設備 網絡偵察 這種攻擊將被動獲取有關網絡的內部信息：連接的設備，使用的協議，打開的端口，正在使用的服務等。 信息、 通訊、 物聯網設備、基礎設施 會話劫持 通過充當合法主機來竊取數據連接，以竊取，修改或刪除傳輸的數據。 信息、通訊、物聯網

55、設備 信息收集 這種威脅將被動獲取有關網絡的內部信息：連接的設備，使用的協議等 信息、通訊、物聯網設備 消息重發 這種攻擊通過惡意地反復發送或延遲發送消息，以占用有效的數據傳輸， 以控制目標設備或使目標設備癱瘓。 信息、物聯網設備、決策制定 設備無法使用 網絡故障 這種威脅指自發地或人為造成的網絡服務中斷或故障。 根據受影響的網段和恢復所需的時間， 這種威脅的重要性從高度重要到極為重要不等。 基礎設施、通訊 設備故障 指硬件設備的運行故障 物聯網設備 電子政務發展前沿 E-Government Frontiers 25 系統故障 指軟件服務或應用程序的故障 物聯網設備、平臺和后端、 其他物聯網

56、生態系統設備 支持服務缺失 信息系統正常運行所需的支持服務不可用。 所有物聯網資產 損害與缺失（IT 資產） 數據與敏感信息的泄露 敏感數據自發或人為地暴露給未經授權的人。 這種威脅的重要性主要取決于泄漏的數據類型。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端、信息 故障 軟件漏洞 由于密碼的安全性弱、 軟件錯誤和配置錯誤， 大部分的物聯網設備往往容易受到攻擊，從而對網絡構成風險。這種威脅通常具有連帶效應， 因而具有十分嚴重的影響。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端、基礎設施、 應用程序和服務 第三方故障 由于與其直接相關的其他第三方元素的錯誤配置而導致的網絡活動元素

57、上的錯誤。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端、基礎設施、 應用程序和服務 災害 自然災害 其中包括洪水，大風，大雪，山體滑坡等自然災害， 可能會對設備造成物理損壞。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端、基礎設施 設備環境災害 物聯網設備在配置環境中發生災害，并最終導致了其不可用性。 其他物聯網生態系統設備、平臺和后端、基礎設施 物理性攻擊 設備狀態篡改 篡改設備狀態。 例如利用端口的錯誤配置，使其保持打開的狀態。 通訊、物聯網設備 設備損壞 通過盜竊，炸彈襲擊，或其他破壞性的行為來損壞設備。 物聯網設備、 其他物聯網生態系統設備、 平臺和后端、基礎設施 （三）

58、物聯網網絡安全攻擊場景示例 （三）物聯網網絡安全攻擊場景示例 在第 3.2 章中所列出的威脅和風險可以被攻擊者利用，造成級聯效應，并在基礎設施的不同級別造成更進一步的損害。 根據相關專家所開展的桌面研究以及提供的相關信息， 我們對不同的攻擊場景以及每次攻擊的重要性級別已具有了一定程度上的認識。 值得注意的是，攻擊可能在整個過程中發生，并且攻擊過程中對每個特定部分的影響的所有可能性也在專家的分析中被考慮在內。 根據接受采訪的專家的意電子政務發展前沿 E-Government Frontiers 26 見， 每個樣本攻擊場景的重要性級別，可根據這些攻擊可能在真實事件中產生的負面影響相應地劃分為低、

59、中等、高和極高四個級別，如表 4 所示。 表 4 物聯網攻擊場景信息表 攻擊場景攻擊場景 重要性級別重要性級別 1、針對控制器和執行器之間的網絡連接的攻擊場景 重要極度重要 2、通過修改傳感器所讀取的值、閾值及設置的攻擊場景 重要極度重要 3、通過修改或破壞執行器的正常設置的攻擊場景 重要極度重要 4、針對物聯網管理系統的攻擊場景 重要極度重要 5、利用傳輸協議漏洞的攻擊場景 重要 6、通過向設備所在系統控制臺注入命令的攻擊場景 重要極度重要 7、墊腳石攻擊場景 中等重要重要 8、利用物聯網僵尸網絡的 DDoS 攻擊場景 極度重要 9、通過操控電源以及利用數據讀取過程中的漏洞的攻擊場景 中等重

60、要重要 10、利用勒索軟件所進行的攻擊場景 中等重要極度重要 針對以上十個攻擊場景，我們將在報告中進行額外地詳細說明。每個攻擊場景的說明都將包含一段簡短的描述，其隱含的潛在影響以及所帶來的威脅。 針對控制器和執行器之間的網絡連接的攻擊場景： 針對控制器和執行器之間的網絡連接的攻擊場景： 這其中所存在的威脅之一就是竊聽， 它允許攻擊者提取敏感并操作性強的信息，并在之后用于多種惡意活動，包括對物聯網系統的攻擊。在高級持續性威脅（APT，Advanced Persistent Threat）攻擊中，竊聽和信息收集是確定弱點和潛在入侵點的第一階段之一。 所造成的影響：目前所帶來的主要影響為數據的泄漏。

61、其具體的嚴重性會根據環境的不同而各有不同。此外，數據的泄漏亦有可能預示著一個正在進行中的更為嚴重的攻擊。 所帶來的威脅：竊聽以及敏感數據的泄漏。 通過修改傳感器所讀取的值、閾值及設置的攻擊場景： 通過修改傳感器所讀取的值、閾值及設置的攻擊場景： 攻擊者通過操縱傳感器的配置，從而改變傳感器上建立的閾值，使傳感器被迫接受本不應接受的超出范圍的讀取值，這將對系統和裝置造成嚴重的威脅。此外，由于大型設備通常具有多個備用傳感器，如果只有其中個別傳感器受損，讀數仍然可以通過來自其他傳感器的輸入來補償， 因此攻擊者必須同時損害多個傳感器，以使攻擊有效。 所造成的影響：允許傳感器報告并接受不正確的值會使物聯網

62、環境面臨風險，并且有故障的傳感器可能會允許電源峰值通過，從而在 電子政務發展前沿 E-Government Frontiers 27 物理層面對系統造成損壞。 所帶來的威脅：對隱私的侵犯、敏感數據的泄露以及相關信息的修改。 通過修改或破壞執行器的正常設置的攻擊場景： 通過修改或破壞執行器的正常設置的攻擊場景： 攻擊者通過操縱執行器的配置和參數，使其原有的配置，閾值和數據出錯，從而通過破壞其正常操作設置，影響其正常行為。 所造成的影響：根據受影響的執行器的不同而各有不同，整體而言會對生產過程造成影響。 所帶來的威脅：網絡中斷與惡意設備偽造 針對物聯網管理系統的攻擊場景： 針對物聯網管理系統的攻擊

63、場景： 攻擊者試圖完全控制物聯網系統或設備的管理系統， 這可能會對整個環境產生相應的危害。 它通常發生在設備使用強度較弱的密碼或默認密碼的時候。這種類型的攻擊通常較為隱蔽，并且包括不同的階段?？紤]到這個特點，在設備的整個生命周期中都需要對這類攻擊保持警惕。 所造成的影響：攻擊者對某些物聯網系統的損害，操縱或中斷可能會影響許多人的正常通信，造成相應的系統環境發生錯誤，它甚至會延伸到其他系統，影響其通信或使其癱瘓。 所帶來的威脅：通過設備強度較弱的密碼和其相應的工具包，對設備發起關于隱私的攻擊，并帶來惡意軟件和 DDoS 攻擊。 利用傳輸協議漏洞的攻擊場景： 利用傳輸協議漏洞的攻擊場景： 這種攻擊

64、方法通常被用來為其它的攻擊方法提供輔助作用， 這更像是一種達到目的的手段。通過協議的漏洞，攻擊方能夠在未經授權的情況下獲得了對系統某些特殊的高級權限，這可能導致攻擊方順利安裝惡意內容或后門程序。無論是對單個系統、 設備還是整個網絡而言，這種漏洞攻擊都是另外較大規模攻擊的一部分。另外，檢測這些漏洞很難，大多數漏洞只能在被攻擊后才能查到。 所帶來的影響：如果攻擊順利，漏洞利用會在系統中創建一個入口，在某些情況下會非法獲得相應的權限; 如果攻擊失敗，系統可能會崩潰或變得不穩定。這種攻擊總是作為一個較大的攻擊的一部分，一般服務于一些簡單的盜取數據的事件或者復雜的 APT 攻擊。 電子政務發展前沿 E-

65、Government Frontiers 28 與之相關的威脅：系統漏洞，惡意軟件和 APT 攻擊。 通過向設備所在系統控制臺注入命令的攻擊場景： 通過向設備所在系統控制臺注入命令的攻擊場景： 這種類型的攻擊通常發生在攻擊者通過其控制臺注入并執行具有系統權限的命令的時候。 影響：如果攻擊者能夠向設備注入命令，他或她可以設法在環境中破壞其他機器。 這將在系統上產生級聯效應，攻擊者將能夠將所有這些設備用于惡意目的。 相關威脅：利用工具包，DDoS 和網絡中斷。 墊腳石攻擊場景： 墊腳石攻擊場景： 這種類型的攻擊是攻擊方發起匿名攻擊的常見方式。 這類方法經常被網絡入侵者用來隱藏自己的身份，因為它們并

66、非直接在自己的客戶端發起攻擊，而是利用之前被攻破的中間主機發起攻擊。 所造成的影響：如果攻擊者發動墊腳石攻擊，他們便可以輕松地操控一堆主機，把它們作為攻擊命令的中繼站。 與之相關的威脅：APT 攻擊，DDoS 攻擊，惡意設備偽造。 利用物聯網僵尸網絡的 DDoS 攻擊場景： 利用物聯網僵尸網絡的 DDoS 攻擊場景： 這種類型的攻擊不是針對物聯網設備本身， 而是利用物聯網設備來攻擊其他設備。首先，惡意軟件會自動檢測易受攻擊的物聯網設備，然后攻擊感染這些設備并將其加入僵尸網絡以用于安裝 DDoS 攻擊， 最后以 DDoS 攻擊的方式利用惡意流量淹沒目標服務器，達到攻擊其他設備的目的。 所造成的影

67、響：目標設備或相關服務將被惡意流量所淹沒，使其癱瘓。 與之相關的威脅：利用工具包，DDoS 攻擊和惡意設備偽造。 通過操控電源以及利用數據讀取過程中的漏洞的攻擊場景： 通過操控電源以及利用數據讀取過程中的漏洞的攻擊場景： 這些攻擊主要通過對電源進行操控并利用漏洞來修改電源數據庫。 攻擊者可利用電源本身或相關的惡意軟件， 通過讀取來自電源的信息的方式來物理地篡改設備的電池或電源輸入設備，使設備對電池電量的預估值高于或低于實際水平。某些類型的智能設備可能需要電池來維持其正常運行， 這個特性看似比普通設備更有優勢，但實際上，它也引入了安全性方面的相關問題。 電子政務發展前沿 E-Government

68、 Frontiers 29 所造成的影響：從物理層面修改電池參數可能會損壞電池，從而導致設備無法操作。而改變設備所讀取的電池電量可能導致設備錯估電池的實際電量，當設備的預估電量高于實際電量時，會導致設備電池耗盡并關機，當設備的預估電量低于實際電量時，會導致設備進入省電模式，從而影響設備的性能。 與之相關的威脅：惡意軟件，物理攻擊 利用勒索軟件所進行的攻擊場景： 利用勒索軟件所進行的攻擊場景： 這類攻擊場景是由通過一些惡意軟件執行的， 這些惡意軟件會完全阻止目標用戶訪問其數據除非用戶為其支付一定的費用。 由于這些攻擊是基于惡意軟件來執行的， 因此可以通過對漏洞設備進行相應的更新或打上相應的補丁來

69、規避這些攻擊。這些操作也可以在物聯網生態系統之外完成，比如在 2017 年 5 月發生的 WannaCry 攻擊，其相應的補丁早在攻擊幾個月前就發布了。針對這種攻擊方式， 在物聯網方面的一大問題是難以保證許多不同的設備都進行更新其中一些設備甚至無法更新或打上相應的補丁。 所造成的影響：物聯網內部的勒索軟件有很多可能的攻擊目標：舉個例子，攻擊者可以在冬季控制一個智能恒溫器，并要求目標用戶支付一定的費用以打開熱量開關；攻擊者也可以通過挾持電網系統或醫院系統以索取相應的贖金，置人們的安危于不顧。 與之相關的威脅：利用工具包，DDoS，惡意軟件，弱密碼。 （四）重大網絡攻擊場景 （四）重大網絡攻擊場景

70、 上述 10 個針對物聯網環境的攻擊場景，在與專家以及利益相關者的訪問中得到了極為詳細地描述。專家們被要求對 10 種攻擊場景的嚴重程度進行排序，而除了上述 10 個場景之外，而接下來要討論的的 3 個攻擊場景也是專家比較擔心的。 圖 11 描述了基于專家訪談所收集的各個攻擊場景的平均危險程度。同樣，目前的挑戰在于，當攻擊場景在一個橫向水平內進行對比時，如何量化其對物聯網環境的危險程度。 電子政務發展前沿 E-Government Frontiers 30 圖 11 攻擊場景危險程度示意圖 專家所額外擔心的三個攻擊場景為： 攻擊場景 1：物聯網管理系統被攻破 攻擊場景 2：物聯網設備中的參數被

71、篡改 攻擊場景 3：僵尸網絡攻擊與命令行攻擊 以下部分詳細介紹了這三個攻擊場景，內容包括其影響、涉眾、級聯效應所帶來的風險、當前的技術瓶頸及其對策以及其他技術細節。 攻擊場景 1：物聯網管理系統被攻破 攻擊場景 1：物聯網管理系統被攻破 這種攻擊場景以一種近似于病毒感染的方式傳播， 其特點是控制物聯網環境中的一個或多個物聯網設備，以便操縱設備或使其崩潰，并在過程中能夠修改其中的參數，更改其功能、行為或拒絕對它們的訪問。這種攻擊方式是基于企業網關的一種攻擊方式。 如圖 12 所示，這種攻擊方式的第一步是收集網絡中關于企業中使用的不同物聯網設備的信息。一旦識別到相應的物聯網設備并鎖定之后，攻擊方便

72、開始收集有關其漏洞的特定信息。第二步是利用該設備中發現的不同漏洞，并攻破其網絡防線。 在攻破防線之后，攻擊方主要通過配置相應的后門來保證對系統的訪問的持久性。此時，攻擊者只需要更新系統（例如使用可修改固件）以使設備永久處于攻破狀態。通過這種方式，攻擊者可以完全掌握設備的控制權他們能夠 電子政務發展前沿 E-Government Frontiers 31 看到設備之前收集的所有數據和信息，并且可以通過后門隨時進行遠程訪問。 圖 12 攻擊場景 1：物聯網管理系統被攻破攻擊步驟示意圖 表 5 攻擊場景 1：物聯網管理系統被攻破 影響影響 極其嚴重：當物聯網管理系統被攻破時，攻擊者能夠訪問屬于該管理

73、系統控制下的所有資產（設備，網絡等）。也就是說，攻擊者進行攻擊時，能夠在這些資產中執行管理員層級的命令，例如從中提取機密信息，使其發生故障并直接影響物聯網環境的行為等等。由于受損的管理系統導致多個資產被攻破，并且具有較強的隱蔽性，因而這種攻擊的影響是極其嚴重的。 易檢測程度易檢測程度 級聯效應的風險級聯效應的風險 中等： 通過正確的監控方式和正常的日志記錄系統， 可以檢測物聯網管理系統的變化。 高：需要承擔的風險是，一旦特定物聯網內的核心設備受到威脅，其余的就很容易被連帶攻破。 受影響的物聯網資產受影響的物聯網資產 所涉及的利益相關者所涉及的利益相關者 面向接口的設備 面向管理的設備 智能手機

74、/平板電腦 網關 軟件 敏感信息 物聯網專家，軟件開發人員和制造商 信息安全專家 IT 安全解決方案架構師 首席信息安全官（CISO） 攻擊步驟（基于實例攻擊情景的示例）攻擊步驟（基于實例攻擊情景的示例） 電子政務發展前沿 E-Government Frontiers 32 1、收集有關企業中所有物聯網設備的信息 2、識別系統中的組件 3、攻擊者收集進一步的信息來識別具有漏洞的目標系統 4、確定具有漏洞的目標系統 5、利用漏洞首先攻破系統然后攻破其網絡防線 6、攻破系統后，安裝后門以保持對該系統的訪問不受阻礙 7、攻擊者會采用立即下載和更新相應固件或修改更新文件存儲庫的方式， 確保物聯網系統最

75、終通過修改后的固件進行更新。這是為了使攻擊者獨占訪問權限并限制其他遠程訪問的進行 8、最終，攻擊者將獲得整個物聯網環境的控制權 恢復運行所需要的時間和投入的精力恢復運行所需要的時間和投入的精力 當前的技術差距當前的技術差距與挑戰與挑戰 中等：這主要取決于受損物聯網設備資產的規模以及受感染設備資產的數量。如果受到威脅的是其核心系統，恢復時間可能會在幾小時到幾天不等。 設計缺乏安全性 開發過程中缺乏適當的產品生命周期管理 對策對策 GP-TM-04：加密地為代碼簽名，確保設備被標記為安全之后不會被篡改，并在運行時執行保護和安全監控，確保惡意攻擊加載后不會覆蓋代碼。 GP-TM-05：控制操作系統上

76、的軟件安裝，防止未經認證的軟件和文件加載到其上。 GP-TM-06：在發生安全漏洞或升級失敗后，使系統返回到已知安全的狀態。 對于較為核心的設備資產則采取以下對策： GP-PS-11：使用縱深防御方法識別重大風險。 GP-TM-22：確保默認密碼與默認用戶名在初始設置期間已被更改過，并且不允許使用弱密碼或空白密碼。 GP-TM-27：通過實施細粒度授權機制并使用最小權限原則（POLP，Principle of least privilege）限制給定系統允許的操作權限：應用程序必須在最低特權級別運行。 GP-TM-23： 認證機制必須使用強密碼或個人識別碼 （PIN） ， 并且應考慮使用智能手

77、機，生物識別等雙因素認證（2FA）或多因素認證（MFA）。 GP-TM-38：保證在網絡上傳輸或存儲在物聯網應用程序或云中的信息在保密性、完整性、可用性和真實性四個不同方面均得到了相應的保障。 GP-TM-55：在系統內實現日志功能，對用戶認證、賬戶管理和訪問權限，修改安全規則或系統的功能等事件進行實時記錄。 GP-TM-56：實施定期監測以驗證設備行為，檢測惡意軟件并在發現錯誤時及時處理。 攻擊場景 2：物聯網設備中的參數被篡改 攻擊場景 2：物聯網設備中的參數被篡改 這種攻擊方式的核心是對系統中傳感器建立的校準參數進行控制， 使傳感器不得不接受本不應接受的的超限值， 這將對物聯網設備中的關

78、鍵系統構成嚴重的威脅。 這種攻擊方式主要針對的目標為工業 4.0 環境中的工業機器人的控制系統的傳感器處理和知識模型。 圖 13 對這種攻擊方式進行了詳細描述，這種攻擊一般發生在系統配置更改或連接到控制器之后，在機器人傳感設備的校準開始時進行。最初存儲在傳感設 電子政務發展前沿 E-Government Frontiers 33 備中的校準數據在系統啟動期間被傳送到控制器。 由于機器人在其運行過程中使用的是其校準數據的離線本地化副本，因而攻擊者可以通過修改校準參數，導致機器人的運轉發生異常（這是由于在決策過程中，錯誤的輸入值往往會導致錯誤決策的發生） 。 圖 13 攻擊場景 2：物聯網設備中的

79、參數被篡改攻擊步驟示意圖 表 6 攻擊場景 2：物聯網設備中的參數被篡改 影響影響 嚴重極其嚴重：通過欺騙傳感器接受相應的錯誤參數會使物聯網環境處于危險之中發生故障的工業機器人可能會對正在使用的任何物體造成嚴重的物理損壞，而在最壞的情況下，發生故障的工業機器人可能會對操作員帶來生命危險。 易檢測程度易檢測程度 級聯效應的風險級聯效應的風險 簡單中等：由于操作員可以直觀地得到反饋，從而檢查機器人的行為是否正確，所以其易檢測程度在簡單和中等之間。 中等：其級聯效應風險為中等，但可能會視機器人受損的傳感器數量以及故障所波及的機器人的數量而相互之間略有差異。 受影響的物聯網資產受影響的物聯網資產 所涉

80、及的利益相關者所涉及的利益相關者 傳感器 執行器 決策系統 敏感信息 物聯網專家，軟件開發人員和制造商 IT 安全解決方案架構師 攻擊攻擊步驟（基于實例攻擊情景的示例）步驟（基于實例攻擊情景的示例） 電子政務發展前沿 E-Government Frontiers 34 1.機器人程序員將代碼上傳到服務器。 2.機器人連接的控制器或配置發生相應更改。 3.傳感設備進行相應地校準。 4.初始存儲在傳感設備中的校準數據在系統啟動時被傳送到控制器。 5.控制器創建本地校準數據副本并使用。 6.攻擊者遠程或本地篡改校準參數。 7.機器人原封不動地執行原代碼。 8.因為校準參數被修改，機器人行動發生異常，

81、因而控制器無法準確判斷其故障的真正原因。 恢復運行所需要的時間和投入的精力恢復運行所需要的時間和投入的精力 當前的技術差距當前的技術差距與挑戰與挑戰 中大：這主要取決于傳感器的數量和所涉及的機器人，恢復時間可能在幾天到幾周之間。 設計缺乏安全性 缺乏一定的警惕性和知識儲備 對策對策 GP-PS-10：建立并維護關鍵網絡和信息系統的資產管理程序和配置控制。 GP-PS-11：采用縱深防御的方法確定重大風險。 GP-TM-15：設計時注意系統和操作中斷，防止系統造成不可接受的傷害或物理傷害。 GP-TM-31：防篡改和檢測措施。對硬件篡改的檢測和反應不應該依賴于網絡連接。 GP-TM-54：數據輸

82、入驗證（確保數據在使用前是安全的）和輸出過濾。 GP-TM-56：實施定期監控，驗證設備行為，檢測惡意軟件并發現完整性錯誤。 GP-OP-09：確保員工的行為能夠促進隱私和安全 - 培訓員工掌握良好的隱私保護和安全防護措施。 攻擊場景 3：僵尸網絡攻擊與命令行攻擊 攻擊場景 3：僵尸網絡攻擊與命令行攻擊 這種攻擊需要利用設備內部的一些漏洞來注入命令并獲得管理員權限， 目的是創建一個由易受攻擊的物聯網設備組成的僵尸網絡。 僵尸網絡是一個集中了多個自動化設備所組成的網絡，它們相互作用來完成一些分布式攻擊任務。由于物聯網設備的特性互聯及其不良配置，進行這種攻擊很簡單。這種攻擊方式是基于Mirai 僵

83、尸網絡來完成的，該僵尸網絡近幾年來進行了幾次最強大的 DDoS 攻擊，其攻擊范圍十分廣泛，小到 KrebsOnSecurity 網站，大到全國電信基礎設施，均是其攻擊的目標。因此，對于其潛在目標之內的重要的能源設施部分，未來襲擊的影響可能達到非常嚴重的水平。 圖 14 說明了執行此類攻擊的步驟。 第一個步驟是掃描可通過 Internet 訪問的物聯網設備中的開放端口，這些設備通常缺乏用戶名和密碼保護，因為用戶從未更改過其用戶名和密碼。一旦攻擊方侵入訪問設備，他們會將命令輸入至設備的控制臺，以獲得管理員權限。如果攻擊者成功獲得這些權限，則他們將使設備 電子政務發展前沿 E-Government

84、Frontiers 35 連接到他們控制下的命令行和控制臺（CC） ，以下載和執行惡意腳本。腳本將被執行之后刪除，并在內存中繼續運行。然后，它將開始蔓延，以同樣的方式攻擊其他易受攻擊的設備， 以便組建其相應的物聯網設備網絡并將其綁定到僵尸網絡中，攻擊者可以從 CC 中心控制該網絡，以發動由僵尸網絡所進行的分布式攻擊。 圖 14 攻擊場景 3：僵尸網絡攻擊與命令行攻擊攻擊步驟示意圖 表 7 攻擊場景 3：僵尸網絡攻擊與命令行攻擊 影響影響 重要極度重要:僵尸網絡攻擊影響的等級，具體取決于分布式攻擊的數量，因為這與受僵尸網絡侵蝕的目標數量及目標的關鍵程度直接相關。 易檢測程度易檢測程度 級聯效應的

85、風險級聯效應的風險 困難：由于對這些設備的自身特點和配置環境缺乏認識，這些攻擊往往很難被發現并識別出來，這使得它們能夠長時間潛伏，而且研究和恢復工作也很復雜。 大：這種攻擊具有巨大的級聯效應。 一旦設備受到感染， 其下一個作戰目標便是識別其他易受攻擊的設備來擴展其僵尸網絡的規模。 受影響的物聯網資產受影響的物聯網資產 所涉及的利益相關者所涉及的利益相關者 物聯網接口設備 物聯網管理設備 設備與網絡管理 通信系統 軟件 物聯網專家， 軟件開發商和制造商信息安全專家 IT 安全解決方案架構師 首席信息安全官（CISO） 攻擊步驟（基于實例攻擊情景的示例）攻擊步驟（基于實例攻擊情景的示例） 電子政務

86、發展前沿 E-Government Frontiers 36 1、攻擊者掃描物聯網設備的開放端口。 2、如果有任何開放端口，攻擊者試圖通過使用強度較弱的密碼或利用調試模式來訪問該設備。 3、一旦攻擊者進入內部，他們將輸入命令以獲得管理員權限。 4、通過這些權限，攻擊者會嘗試將設備連接到僵尸網絡的總控制中心。 5、攻擊者將下載并執行一個惡意腳本。 6、腳本運行后將會自動刪除，并隱藏在內存中繼續運行。 7、然后，它將開始傳播，以同樣的方式攻擊其他脆弱的設備，以集結物聯網內的設備，并將它們整合到一個僵尸網絡中。 8、最后，攻擊者可以從總控制中心(C&C)控制僵尸網絡，發起分布式攻擊。 恢復運行所需要

87、的時間和投入的精恢復運行所需要的時間和投入的精力力 當前的技術差距當前的技術差距與挑戰與挑戰 多:時間主要花費在搜查被攻擊的系統的過程中，這可能需要幾天到幾周的時間，甚至在極端情況下幾個月也有可能 設計缺乏安全性 開發過程中缺乏適當的產品生命周期管理 對策對策 GP-TM-04：加密地為代碼簽名，確保設備被標記為安全之后不會被篡改，并在運行時執行保護和安全監控，確保惡意攻擊加載后不會覆蓋代碼。 GP-TM-05： 控制操作系統上軟件的安裝， 防止未經認證的軟件和文件加載到其上。 GP-TM-06：恢復安全狀態 - 在發生安全漏洞或升級失敗后，使系統恢復到已知安全的狀態。 GP-TM-08：默認啟用安全保護模式。任何適用的安全功能都應默認啟用，并且默認情況下應禁用任何未使用或不安全的功能。 GP-TM-09：為設備設置一個難以破解的默認密碼。 GP-TM-22：確保默認密碼，甚至默認用戶名在初始設置過程中被更改，并且不允許使用弱密碼或空白密碼。 GP-TM-50：確保只有必要的端口暴露并可用。 GP-TM-56： 實施定期監控， 驗證設備行為， 檢測惡意軟件， 發現錯誤后及時處理。