基于等級保護2.0的物聯(lián)網(wǎng)安全防護研究

摘要：利用網(wǎng)絡(luò)將感知節(jié)點設(shè)備連接起來所構(gòu)成的應(yīng)用系統(tǒng)就是物聯(lián)網(wǎng)，它將物理世界實體與信息系統(tǒng)相融合，將現(xiàn)實世界與虛擬世界結(jié)合在一起。為了讓物聯(lián)網(wǎng)技術(shù)得到更好的應(yīng)用，就需要有效地保障來為其提供保護，網(wǎng)絡(luò)安全等級保護從1.0時代邁進2.0時代的重要標(biāo)志就是正式發(fā)布網(wǎng)絡(luò)安全等級保護系列標(biāo)準(zhǔn)，當(dāng)中對物聯(lián)網(wǎng)安全要求予以明確。所以，將等級保護2.0框架下的互聯(lián)網(wǎng)安全保護體系構(gòu)建起來，對于物聯(lián)網(wǎng)防御體系與物聯(lián)網(wǎng)安全保護制度的建立與完善是必不可少的途徑。

關(guān)鍵詞：物聯(lián)網(wǎng);安全防護;等級保護2.0

一、引言

國際上將物聯(lián)網(wǎng)也稱為“傳感網(wǎng)”，是指通過某一方式將設(shè)備和互聯(lián)網(wǎng)相連接，從而可以達到定位、識別或者是監(jiān)控等目的的一種網(wǎng)絡(luò)。通常情況下物聯(lián)網(wǎng)設(shè)備都是默認聯(lián)網(wǎng)的，而且代碼多為開源軟件，所以一些黑客很容易就入侵進去。最近幾年，屢屢出現(xiàn)的分布式拒絕服務(wù)攻擊涉及數(shù)量龐大的IP攝像頭與數(shù)字錄像機，物聯(lián)網(wǎng)安全威脅再次凸顯。網(wǎng)絡(luò)安全的防御與攻破之間在不斷地較量，導(dǎo)致等保1.0的基本要求已經(jīng)不能夠和信息安全需求相滿足，暴露出越來越多的安全問題，急需要對新的等保標(biāo)準(zhǔn)進行開發(fā)。除過物聯(lián)網(wǎng)之外，一些新興技術(shù)的發(fā)展也日益成熟，例如區(qū)塊鏈人工智能以及邊緣計算等等，這對于等級保護而言要求更高。為了能夠和當(dāng)前的形勢需要相適應(yīng)，信息安全等級保護制度逐步演變成了網(wǎng)絡(luò)安全等級保護制度，即等保2.0。在等保1.0的基礎(chǔ)上，這一系列標(biāo)準(zhǔn)對原要求進行了合并形成了通用基本要求，且擴展了新技術(shù)的安全需求，新增5個擴展標(biāo)準(zhǔn)。

二、等級保護2.0的物聯(lián)網(wǎng)概述

等級保護1.0對于國家信息安全等級保護制度的推進和落實具有重要的指導(dǎo)作用，十余年間，對于各行各業(yè)信息系統(tǒng)安全等級保護的完善做出了重要性指導(dǎo)。在大數(shù)據(jù)、云計算、移動應(yīng)用等各項新技術(shù)的促進之下，《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）（以下簡稱GB/T 22239-2008）將普適性、易用性以及可操作性進一步完善，以此更好地與新環(huán)境、新技術(shù)以及新時代需求相適應(yīng)。網(wǎng)絡(luò)安全等級保護2.0于2019年12月1日起正式實施，也是《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）（以下簡稱GB/T 22239-2019）實施的正式標(biāo)志。和等級保護1.0時代相比而言，網(wǎng)絡(luò)安全等級保護2.0的優(yōu)勢主要表現(xiàn)在四個方面：

（一）與《網(wǎng)絡(luò)安全法》一致

GB/T 22239-2008當(dāng)中對信息系統(tǒng)安全等級保護進行了強調(diào)，在GB/T 22239-2019當(dāng)中對網(wǎng)絡(luò)安全等級保護進行了強調(diào)，提出從信息系統(tǒng)安全等級保護到網(wǎng)絡(luò)安全等級保護是《網(wǎng)絡(luò)安全法》落實過程中一項核心的網(wǎng)絡(luò)安全等級保護措施，對于新時代網(wǎng)絡(luò)安全工作法治化的完善非常有效。

（二）安全通用與安全擴展要求概念模型

GB/T 22239-2008里面對每一級別的安全要求都進行了強調(diào); GB/T 22239-2019當(dāng)中對安全擴展與安全通用要求進行了強調(diào)，安全通用要求普適性非常強，安全擴展要求的可擴展性則比較強，比如移動互聯(lián)、云計算、工業(yè)控制等。

（三）不再限定等級保護對象

GB/T 22239-2008當(dāng)中對信息系統(tǒng)按去哪等級保護對象是單個的信息系統(tǒng)加以強調(diào);GB/T 22239-2019當(dāng)中對網(wǎng)絡(luò)安全等級保護的對象是信息系統(tǒng)、物聯(lián)網(wǎng)、基礎(chǔ)信息網(wǎng)絡(luò)等做出了強調(diào)。

（四）完善基本要求控制層面

GB/T 22239-2008中對技術(shù)層面及管理層面做出了強調(diào)，比如技術(shù)方面的網(wǎng)絡(luò)安全、物理安全、應(yīng)用安全以及主機安全等，管理方面的安全管理、系統(tǒng)運維管理以及人員安全管理等等; GB/T 22239-2019中對于技術(shù)層面與管理層面所強調(diào)的分別為安全通信網(wǎng)絡(luò)、安全物理環(huán)境、安全計算環(huán)境和安全管理機構(gòu)、安全管理制度、安全運維管理等等。

三、物聯(lián)網(wǎng)應(yīng)用與安全要求

（一）物聯(lián)網(wǎng)應(yīng)用場景

就技術(shù)架構(gòu)方面而言，物聯(lián)網(wǎng)系統(tǒng)一般是由三個層面構(gòu)成的，即網(wǎng)絡(luò)層、感知層以及應(yīng)用層。在一些大型物聯(lián)網(wǎng)當(dāng)中，通常是由云計算平臺和業(yè)務(wù)應(yīng)用終端設(shè)備構(gòu)成應(yīng)用層。感知層的作用是對物體進行識別并將信息采集下來，就像人的五官，為物聯(lián)網(wǎng)核心內(nèi)容，所以在等級保護測評中屬于重點。在測評過程當(dāng)中，重點對感知層的感知節(jié)點設(shè)備與網(wǎng)關(guān)節(jié)點設(shè)備安全加以關(guān)注。如圖1當(dāng)中所顯示的，針對物理環(huán)境的安全，一般講等級保護的重點放在傳感節(jié)點物理安全方面;在網(wǎng)絡(luò)通信安全方面，一般則是將網(wǎng)絡(luò)通信加密與網(wǎng)絡(luò)協(xié)議安全作為等級保護重點;而在區(qū)域邊界安全當(dāng)中，感知層節(jié)點接入控制及其入侵防范則為等級保護重點。而關(guān)于計算環(huán)境安全，感知節(jié)點和網(wǎng)關(guān)節(jié)點的計算安全為等級保護重點，例如身份授權(quán)、應(yīng)用授權(quán)以及標(biāo)識鑒別等等。

（二）等保2.0下的物聯(lián)網(wǎng)安全新要求

在國家網(wǎng)絡(luò)安全領(lǐng)域當(dāng)中，網(wǎng)絡(luò)安全等級保護制度為一項基本國策，也是基本方法與基本制度。自出臺《中華人民共和國網(wǎng)絡(luò)安全法》以后，等級保護制度便上升到了法律層面，以1.0作為基礎(chǔ)，等保2.0對全方位主動防御、整體防控、動態(tài)防御以及精準(zhǔn)防護方面更為注重，不但有通用基本要求，而且對移動互聯(lián)、云計算、工業(yè)控制等都有覆蓋。發(fā)布等保2.0標(biāo)準(zhǔn)，在很大程度上促使我國的網(wǎng)絡(luò)安全工作有了更大保障，網(wǎng)絡(luò)安全保護能力一并提升。通過物聯(lián)網(wǎng)的結(jié)構(gòu)可以發(fā)現(xiàn)，安全防護涉及每一層結(jié)構(gòu)，其中的處理應(yīng)用層和網(wǎng)絡(luò)傳輸層一般是由計算機設(shè)備所構(gòu)成的，所以依照安全通用要求對這兩部分來保護，等保2.0當(dāng)中提出對于感知層應(yīng)當(dāng)有特殊安全要求，和安全通用要求共同構(gòu)成完整的安全要求。物聯(lián)網(wǎng)擴展要求如圖2所示。

對物聯(lián)網(wǎng)擴展要求進行分析可以發(fā)現(xiàn)，對于感知層，可以從三個方面包括網(wǎng)關(guān)節(jié)點設(shè)備、感知節(jié)點設(shè)備以及數(shù)據(jù)新鮮性來對安全防護要求進行開展，可見在物聯(lián)網(wǎng)系統(tǒng)安全當(dāng)中，這三個方面已然成為其中的重要因素。

四、當(dāng)前物聯(lián)網(wǎng)面臨的安全風(fēng)險

從下到上可以將物聯(lián)網(wǎng)的運行體系分成感知層、傳輸層以及應(yīng)用層，每一部分和信息通信安全之間都有很大關(guān)系，所以需要對每一層面所存在的安全問題加以探討，從而能夠?qū)Π踩[患有更好地把握，據(jù)此采取有效解決對策。

（一）感知層安全風(fēng)險

感知層設(shè)備為了可以對所需要的信息更好地收集，一般會在公共場所當(dāng)中安置，物理防護措施缺乏，并且很難安排人員去管理，比如掃描設(shè)備、網(wǎng)絡(luò)定位設(shè)備以及環(huán)境監(jiān)測設(shè)備等等，所以會遇見的問題如干擾信號、設(shè)備損壞或者是數(shù)據(jù)丟失等，這些問題為智能終端所要面臨的威脅，外界的直接攻擊，會使用戶密碼、信息以及隱私等泄漏和被盜;此外，還包括RFID 安全威脅，攻擊者會通過各種方式，對目標(biāo)進行攻擊，比如閱讀器、標(biāo)簽等，會使用戶不能夠與通信連接，導(dǎo)致信息被篡改從而上當(dāng)受騙;不僅如此，由于無線傳感器自身原因也會造成安全隱患的出現(xiàn)，傳感器設(shè)備也需要有網(wǎng)絡(luò)的依托，因此會在設(shè)備當(dāng)中顯示出網(wǎng)絡(luò)弊端，致使傳感器更容易被攻擊，黑客入侵之后使得通信中斷。

（二）傳輸層安全風(fēng)險

物聯(lián)網(wǎng)傳輸層一般是經(jīng)過互聯(lián)網(wǎng)、移動通信網(wǎng)或?qū)＞W(wǎng)等來傳輸數(shù)據(jù)，當(dāng)前事物之間的互聯(lián)程度過深，信息過載的情況隨處可見，所以數(shù)據(jù)只有得到及時的傳輸與處理，才可以被得到有效的應(yīng)用。但是實際上，在物聯(lián)網(wǎng)當(dāng)中的許多傳感器從始至終都處在在線狀態(tài)當(dāng)中，大量信息在經(jīng)過設(shè)備傳輸?shù)臅r候會很容易受到攻擊，無線傳輸方式很難將黑客的專業(yè)攻擊規(guī)避。在當(dāng)前的互聯(lián)網(wǎng)當(dāng)中，只是對本身的運行機制和體系的發(fā)展更為專注，更重的要是對信息的傳輸和應(yīng)用進行攻克，而在自身防控效能的建設(shè)方面則還不是很充分，并且由于結(jié)構(gòu)較為復(fù)雜等各方面的因素，要想實現(xiàn)實時監(jiān)控并安全預(yù)警還是有很大難度的，所以導(dǎo)致黑客的行為更加猖狂，威脅到了物理網(wǎng)的安全性。

（三）應(yīng)用層安全風(fēng)險

應(yīng)用層當(dāng)中對大量用戶信息進行了收集，所以重點工作就是對個人隱私實現(xiàn)保護，相比于其他層來說這也是應(yīng)用層所具有的特殊需求。只有將應(yīng)用層的安全防護做到位，才能為物聯(lián)網(wǎng)具體業(yè)務(wù)的開展奠定基礎(chǔ)保障。

例如，在智慧城市建設(shè)過程當(dāng)中，當(dāng)前一些城市中已經(jīng)開始建立智慧城市系統(tǒng)，大大方便了人們的衣食住行等各個方面。與此同時，智慧城市平臺中收集到的用戶信息量也非常龐大，一旦受到不法分子的攻擊，那么所造成的用戶利益損失后果不堪設(shè)想。

五、等級保護2.0下的互聯(lián)網(wǎng)安全防護

物聯(lián)網(wǎng)等級保護要求是將以往的信息安全等級保護擴充之后所建立起來的，和物聯(lián)網(wǎng)當(dāng)中的各個特點結(jié)合之后，就可以將不同層面中的安全防護措施提出來。

（一）構(gòu)建安全的物理環(huán)境

在這一層面，應(yīng)用安全防護措施應(yīng)當(dāng)對感知節(jié)點設(shè)備的運行環(huán)境管理進一步加強。應(yīng)當(dāng)保證可以讓感知節(jié)點設(shè)備在合理的環(huán)境當(dāng)中實現(xiàn)運行。是否合理與設(shè)備本身的材質(zhì)及制作工藝之間有直接關(guān)系，與此同時應(yīng)當(dāng)盡可能地降低由于環(huán)境因素所造成的損壞和干擾問題。因此，在部署感知節(jié)點設(shè)備的時候，有關(guān)廠商應(yīng)當(dāng)將詳細的推薦環(huán)境參數(shù)給出來，方便設(shè)備在部署安裝過程中可以通過所提供的參數(shù)來作為依據(jù)進行。

（二）加強安全區(qū)域邊界建設(shè)

相比于傳統(tǒng)網(wǎng)絡(luò)來說，物聯(lián)網(wǎng)所面臨的網(wǎng)絡(luò)安全問題尤為復(fù)雜。在這一層面，應(yīng)當(dāng)對感知節(jié)點設(shè)備與網(wǎng)關(guān)節(jié)點設(shè)備的可信問題加以重點關(guān)注，也就是說在接入網(wǎng)絡(luò)與訪問數(shù)據(jù)的時候只有可以被信賴的設(shè)備才被允許。因此，可以采取的措施是將以可信計算技術(shù)為基礎(chǔ)的硬件安全模塊植入到設(shè)備當(dāng)中，從而使整體安全水平得到提升。在此基礎(chǔ)上，為了將無身份認證可直接聯(lián)網(wǎng)使用的“便捷”設(shè)定得到有效規(guī)避，可以從基礎(chǔ)網(wǎng)絡(luò)方面著手，同時將身份認證和聯(lián)網(wǎng)準(zhǔn)入開啟。

（三）提供安全的計算環(huán)境

在“等保1.0時代”，計算環(huán)境可以泛指每一類主機，但是在“等保2.0時代”當(dāng)中，物聯(lián)網(wǎng)主機感念和以往的服務(wù)器及設(shè)備之間是有區(qū)別的。實際上無論是哪一個包含信息源的感知節(jié)點設(shè)備和網(wǎng)關(guān)節(jié)點設(shè)備，以及有關(guān)處理模塊都可以變成主機。要對這一層面的安全擴展要求予以實現(xiàn)，也是可以將其解決思路加以歸結(jié)的。

（四）強化安全運維管理

感知層設(shè)備“特殊照顧”是對物聯(lián)網(wǎng)的安全運維管理方面擴展要求的重要體現(xiàn)。具體要求為：對于所有的網(wǎng)關(guān)節(jié)點設(shè)備和感知節(jié)點設(shè)備都需要開展全生命周期安全監(jiān)控，無論是設(shè)備的安裝、部署、維修，還是設(shè)備的報廢等，都需要有專門的執(zhí)行依據(jù)來作為準(zhǔn)則。與此同時，還需要對運行維護人員的個人修養(yǎng)及專業(yè)素質(zhì)加以培訓(xùn)，從而達到未雨綢繆的目的。

六、結(jié)束語

等級保護從“1.0”邁進“2.0”時代，移動通信網(wǎng)絡(luò)由2G提升到了5G，這相當(dāng)于為物聯(lián)網(wǎng)的發(fā)展提供了兩只有力的翅膀。當(dāng)前網(wǎng)絡(luò)世界的發(fā)展已經(jīng)勢不可擋，物聯(lián)網(wǎng)已經(jīng)滲透在了人們生活的各個方面，每一個人都是這一網(wǎng)絡(luò)拓撲中一個重要節(jié)點，物聯(lián)網(wǎng)安全與個人安全緊密相關(guān)。當(dāng)前我國所面臨的物聯(lián)網(wǎng)安全問題仍然很嚴峻，存在著一系列的薄弱環(huán)節(jié)。在智能化風(fēng)口之下，數(shù)量龐大的傳統(tǒng)設(shè)備被卷入到網(wǎng)絡(luò)當(dāng)中，從而出現(xiàn)商家為了獲取利益而不注重安全設(shè)計的問題。因此，各個開發(fā)商、系統(tǒng)使用單位都應(yīng)當(dāng)正確認識物聯(lián)網(wǎng)的利弊，在享受其帶來的便利的同時，時刻關(guān)注其存在的風(fēng)險，將信息安全等級保護制度嚴格落實到位，從而將物聯(lián)網(wǎng)的風(fēng)險得以規(guī)避，將益處發(fā)揮到最大。

參? 考? 文? 獻

[1]陳旭壯.網(wǎng)絡(luò)安全等級保護2.0安全體系構(gòu)建[J].中國新通信，2019（22）：76-77.

[2]傅鈺.網(wǎng)絡(luò)安全等級保護2.0下的安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（8）：13，16.

[3]孫長江.試論物聯(lián)網(wǎng)感知層的信息安全防護策略[J].通訊世界，2019（2）：1-2.

[4鄧敏茜，丁瑜.電力物聯(lián)網(wǎng)信息安全防護技術(shù)研究[J].通信電源技術(shù)，2020（10）.

[5]呂江鵬.基于等保2.0的物聯(lián)網(wǎng)安全防護思路分析[J].數(shù)字化用戶，2019（36）：63-64.

作者單位：胡劍杰? ? 浙江安遠檢測技術(shù)有限公司

胡劍杰（1991.02-），男，漢族， 浙江金華，本科，研究方向：網(wǎng)絡(luò)安全技術(shù)服務(wù)。