一項一項教你測等保2.0安全擴充要求——物聯網安全

#頭條創作挑戰賽#

一、前言

今天我們來講等保測評2.0安全拓展要求中關于物聯網安全方面的内容，至于概念方面的内容，我們就不多說了，大家可以到網上搜尋相關内容，這裡我們直接步入正題，在等保2.0基本要求中将物聯網從結構上可分為三個邏輯層，即感覺層、網絡傳輸層和處理應用層，等保2.0也是從這三個方面進行測評的，最後又加了一項安全運維管理，下面我們就從這四個方面進行講解。

物聯網構成

二、測評項

1、安全實體環境

實體環境對應的就是上圖感覺層中的内容，突然這麼一說感覺關系不大，但是我們具體到每一個測評項就會非常清楚了。

（1）感覺節點裝置實體防護

物聯網感覺節點裝置，能對物或環境進行資訊采集和執行操作。在實體防護上，要求環境不對裝置造成破壞，環境對采集結果不造成影響，裝置有持續的電力供應。這裡主要是對物聯網終端廠商、裝置的部署安裝提出的要求，需要在實體防護上滿足等級保護要求。

a) 感覺節點裝置所處的實體環境應不對感覺節點裝置造成實體破壞，如擠壓、強振動；

感覺節點裝置就是那些對周圍物和環境進行資訊采集的裝置，在通過5G網絡傳給上一級網絡節點，在實體防護上，這些裝置所處的環境應該不對其造成實體破壞，使其無法進行資訊的收集和傳輸，當然有一些損壞是無法預期的，但是起碼在短時間内安全的。

b) 感覺節點裝置在工作狀态所處實體環境應能正确反映環境狀态（如溫濕度傳感器不能安裝在陽光直射區域）；

感覺節點裝置所收集的資訊，不應該受到周圍環境的太大影響，尤其是溫度傳感裝置，例如收集室内溫度傳感器不能安在窗戶邊上，避免陽光直射對其造成太大的影響，再比如收集空氣品質資訊的傳感器，就不可以安裝在煙筒附近等等。

c) 感覺節點裝置在工作狀态所處實體環境應不對感覺節點裝置的正常工作造成影響，如強幹擾、阻擋屏蔽等；

這一項與上一項類似，就是換成了在收集電磁一類的容易受到幹擾的資訊時，避免受到周圍環境的影響，應該避免此類感覺節點安裝在強電、強磁或者具有屏蔽作用的環境裡。

d) 關鍵感覺節點裝置應具有可供長時間工作的電力供應（關鍵網關節點裝置應具有持久穩定的電力供應能力）。

這一項檢查是否設定了雙線路供電，一般都是市電雙線路，其次檢查是否配備了UPS系統，保證在斷電的情況下可以持續供電到電力恢複。

2、安全區域邊界

（1）接入控制

物聯網的接入方式包括4G（未來的5G）、WiFi、藍牙、NB-IOT等，安全技術包括認證、授權、加密連接配接等，安全裝置有物聯網安全網關。

應保證隻有授權的感覺節點可以接入。

保證授權使用者接入一般采用的方法有IP-Mac位址綁定、白名單等，檢視物聯網系統是否采取了相關措施，或者其他類似功能的措施。

（2）入侵防範

a) 應能夠限制與感覺節點通信的目标位址，以避免對陌生位址的攻擊行為；

這一項我覺得部署下一代防火牆或者物聯網安全網關，且配置合理就可以了，或者有類似功能的裝置、元件、協定等來實作，如果對這些節點進行單獨組網或者劃分VLAN也是可以的。

b) 應能夠限制與網關節點通信的目标位址，以避免對陌生位址的攻擊行為。

這一項我覺得部署下一代防火牆或者物聯網安全網關，且配置合理就可以了，或者有類似功能的裝置、元件、協定等來實作，如果對這些節點進行單獨組網或者劃分VLAN也是可以的。

3、安全計算環境

（1）感覺節點裝置安全

物聯網感覺節點通常處于網絡邊緣，弱終端負責資料采集，強終端會涉及到一些邊緣計算，安全計算環境首先要保證裝置的安全。身份辨別和鑒别是基本要求，通過可信ID，確定資産不會被替換和僞造。

a) 應保證隻有授權的使用者可以對感覺節點裝置上的軟體應用進行配置或變更；

核查是否通過使用者名+密碼，或者更加嚴格的身份辨別和鑒别方式，甚至是IP-Mac位址綁定和白名單的方式等來保證隻有授權的使用者可以對感覺節點裝置上的軟體應用進行配置或變更。

b) 應具有對其連接配接的網關節點裝置（包括讀卡器）進行身份辨別和鑒别的能力；

核查連接配接網關節點裝置時，是否通過使用者名+密碼，甚至是數字證書、USBkey等方式進行身份辨別和鑒别。

c) 應具有對其連接配接的其他感覺節點裝置（包括路由節點）進行身份辨別和鑒别的能力。

核查連接配接其他感覺節點裝置時，是否通過使用者名+密碼，甚至是數字證書、USBkey等方式進行身份辨別和鑒别。

（2）網關節點裝置安全

物聯網網關節點主要用于和弱終端的連接配接，需要對與其連接配接的裝置合法性進行判斷。裝置的密鑰和配置參數的更新，相當于有安全基線的要求，同時需要支援授權使用者的線上更新。

a) 應具備對合法連接配接裝置（包括終端節點、路由節點、資料進行中心）進行辨別和鑒别的能力；

核查連接配接這些裝置時，是否需要進行身份認證和鑒别，最起碼也要輸入使用者名和密碼。

b) 應具備過濾非法節點和僞造節點所發送的資料的能力；

核查有沒有相關裝置或元件實作過濾資料的功能，且配置合理。

c) 授權使用者應能夠在裝置使用過程中對關鍵密鑰進行線上更新；

核查授權使用者能否在裝置使用過程中對關鍵密鑰進行線上更新，必要時可以示範一下。

d) 授權使用者應能夠在裝置使用過程中對關鍵配置參數進行線上更新。

核查授權使用者能否在裝置使用過程中對關鍵配置參數進行線上更新，必要時可以示範一下。

（3）抗資料重放

資料新鮮性是指對所接收的曆史資料或超出時限的資料能夠進行識别。物聯網資料使用有可用性、完整性、保密性的要求，以避免資料重播攻擊。

a) 應能夠鑒别資料的新鮮性，避免曆史資料的重播攻擊；

核查資訊傳輸過程中是否支援序号或者随機數，相同指令重複發送必須保證序号或随機數不同。

b) 應能夠鑒别曆史資料的非法修改，避免資料的修改重播攻擊。

核查資訊傳輸過程中是否支援序号或者随機數，相同指令重複發送必須保證序号或随機數不同。

（4）資料融合處理

對于資料融合處理有兩種方案，不同終端廠商設計時按照行業标準，使用通用協定加私有協定方式，為平台提供資料。或者平台自己能夠支援多種協定的資料融合。

應對來自傳感網的資料進行資料融合處理，使不同種類的資料可以在同一個平台被使用。

核查物聯網平台是否支援多種協定的資料融合。

4、安全運維管理

（1）感覺節點管理

a) 應指定人員定期巡視感覺節點裝置、網關節點裝置的部署環境，對可能影響感覺節點裝置、網關節點裝置正常工作的環境異常進行記錄和維護；

核查裝置巡視表、異常運作記錄表和維護記錄表。

b) 應對感覺節點裝置、網關節點裝置入庫、存儲、部署、攜帶、維修、丢失和報廢等過程作出明确規定，并進行全程管理；

核查是否有相關過程的規定檔案，并檢視相關記錄表。

c) 應加強對感覺節點裝置、網關節點裝置部署環境的保密性管理，包括負責檢查和維護的人員調離工作崗位應立即交還相關檢查工具和檢查維護記錄等。

核查是否有保密管理的相關檔案，與檢查和維護人員是否簽署保密協定，檢視檢查和維護的人員調離工作崗位時的交接記錄是否合規。

結束語

物聯網作為一種新興事物，是在不斷地發展和更新，相對的安全标準也會不斷更新，物聯網方面的安全裝置也會越來越多，測評内容也會越來越規範合理。

由于接觸到的物聯網項目不多，有些内容隻能憑借經驗和相關資料來整理，寫作過程也是相當糾結，不妥之處請大家海涵。

以上就是一項一項教你測等保2.0安全擴充要求——物聯網安全的所有内容，希望對大家有所幫助，之後會更新其餘安全擴充要求的測評項，歡迎關注@科技興了解更多科技尤其是網絡安全方面的資訊與知識。