物联网安全中的等级保护分析

     1 物联网概述

 

 

    1.1发展

 

 

    物联网（IOT，Internet of Things），简单的说是通过基础网络，利用射频识别装置（RFID）、传感器、二维码等作为感知元件，实现物与物、人与物的互联。物联网的概念起源由已故的Mark Weiser“普适计算之父”1991年在《科学美国人》杂志中提出。1999年麻省理工大学（MIT）成立了自动识别中心（Auto—ID Center），提出了产品电子码（EPC）概念，提出了基于RFID与传感器技术应用于日常物品中形成一个“物联网”的构想。

 

 

    2005年，在威尼斯举行的信息社会世界峰会（WISS）上，国际电联（ITU）发布了（ITU互联网报告2005：物联网》报告，指出物联网是通过射频识别技术、传感器技术和智能计算等技术实现全世界设备互连的网络。在产业界，2008年底IBM提出了“智慧地球”概念。随后，IBM大中华区首席执行官钱大群在2009 IBM论坛上公布了名为“智慧的地球”的最新策略。目前国际上多个国家已经启动了相应的物联网研究计划，如日本的U-Japan、韩国的U—kerea计划等。

 

 

    1.2关键技术

 

 

    1.2.1 RFID／EPC技术

 

 

    射频识别RFID（radio frequency identification）是一种自动识别技术，射频识别系统由标签、读写器、接口等硬件设备与软件、传输网络等组成。在RFID系统中射频标签和读写器间通过感应、无线电波或微波能量进行非接触双向通信，通过RFID系统软件、RFID中间件和后台应用程序对信号和数据进行处理，这样RFID系统能通过射频信号对物体自动识别并获取相关的数据信息闭。

 

 

    EPC是一种编码和接口标准，采用一组编号来代表制造商及其产品，用于唯一标识物品的一种代码。EPC也是唯一存储在RFID标签微型芯片中的信息，专用于RFID。EPC技术由麻省理工大学（MIT）的自动识别中心开发，2003年11月国际物品编号协会（EAN—UCC）成立的电子产品代码全球推广中心（EPCGlobal）负责进行全球应用推广。

 

   传输平台体系结构

 

    图1 传输平台体系结构

 

 

    1.2.2传感器网络技术

 

 

    所谓传感器网络是由大量在分布区域内传感器节点通过自组织方式构成的、能根据环境自主完成任务的分布式智能化网络系统，其综合了现代网络及无线通信技术、分布式信息处理技术、传感器技术、嵌入式计算机技术等。通过具有无线通信与计算能力微小的各类集成化传感器实时监测和采集网络分布区域内的各种检测对象，对信息进行处理，通过随机自组织无线通信网络将感知信息传送到用户终端。

 

 

    传感器节点是由传感器和可选的、能够枪测数据处理及联网的执行元件组成的设备。传感器节点根据组成和功能一般包括四个基本单元：处理单元、传感单元、通信单元、电源部分。另外还可加入定位系统单元和移动器等其他功能单元。

 

 

    1.2.3云计算

 

 

    云计算是一种新兴的计算模式，通俗点说是利用互联网上所有的计算机资源（计算能力、存储能力等），通过大量低成本的网上资源达到高端设备能够实现的功能，并能通过网络以按需、易扩展的方式获得的一种网络服务。

 

 

    物联网将使用数最惊人的传感器采集海量数据，这些数据需要通过无线传感网、宽带互联网向某些存储和处理设施汇聚，而云计算具有强大的处理能力、存储能力和极高的性能价格比特征，使得物联网的发展需要云计算作为支撑，对海量的数据和信息进行分析和处理，对物体实施智能化的控制。

 

 

[page]    2 信息安全等级保护

 

 

    2.1等级保护概述

 

 

    近年来，在公安部、国内有关专家、企业的共同努力下，全国信息安全标准化委员会和公安部信息系统安全标准化委员会组织制定了信息安全等级保护工作需要的一系列标准，如：《计算机信息安全保护等级划分准则》（GBl7859，以下简称《划分准则》）、《信息系统安全保护等级定级指南》（GB／T22240，以下简称《定级指南》）、《信息系统安全等级保护基本要求》（GB／T22239，以下简称《基本要求》）等技术标准和《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等文件，形成了以等级划分技术、安全保卫技术和等级测评技术为主要内容的信息安全等级保护技术体系，为开展信息安全等级保护工作提供了标准保障。

 

 

    2.2等级保护的相关标准和规范关系

 

 

    《划分准则》以安全保护能力为基础提出了各级系统应该实现的安全功能，考虑到《划分准则》比较抽象和概括，随后制定了《基本要求》标准，从技术和管理两方面提出了相应的措施。由于在《基本要求》不包含安全设计及工程实施等内容，制定了《信息系统等级保护安全设计技术要求》，并提供相应的方法和指导。在具体的系统安全建设中，可以参照《信息系统安全等级保护实施指南》、《信息系统安全工程管理要求》等进行”。

 

 

    3 等级保护与物联网技术应用的融合分析

 

 

    3.1物联网安全层次结构图

 

 

    物联网安全的层次结构、面临的安全问题和拟解决这些问题的关键安全技术。如表1所示。

 

   物联网安全层次和面临的安全问题

 

    表1 物联网安全层次和面临的安全问题

 

 

[page]    3.2等级保护的进一步发展

 

 

    目前，互联网、移动通信网等已建立了_一些行之有效的机制和方法，在系统安全建设中也能满足等级保护对信息系统安全的要求。但如表l所示，物联网的安全和隐私保护、物联网的多源异构性等使得信息系统面临新的信息安全挑战，对满足等级保护的要求提出了更高的挑战。

 

 

    3.2.1安全需求上标准和规范的完善

 

 

    目前，相关单位、部门的安全建设工作都是依据《基本要求》或行业规范，在不同阶段、针对不同技术活动参照相应的标准规范进行等级保护工作。但现有的等级保护体系中如《基本要求》及相应的行业标准规范等，还缺乏一些有关物联网安全需求问题的标准和行业规范的描述，如：

 

 

    1）在感知层，对于多源异构网络，数据传输和消息没有特定的标准，缺乏RFID标签及相应的工作频率等标准，无统一的安全保护体系；2）在传输层，现有通信网络的安全架构都是从通信的角度设计的，相应的等级保护标准和规范能提供相应的目标要求和技术指导，但对以物为主的物联网。如何建立适合于感知信息传输与应用的安全架构，目前还缺乏对应的等级保护标准规范描述；3）在支撑层，云计算、智能计算、海量信息处理等都具有不同的安全策略，缺乏统一可靠、可信系统的目标描述和安全保护能力要求的描述；4）在应用层，大规模、多平台、多业务类型的物联网的业务应用需求的多样化，还缺乏针对不同行业应用的安全策略、安全架构描述。

 

 

    因此，现有的等级保护的标准和规范方面需要进行相应的补充和完善，如：

 

 

    1）《信息系统安全等级保护基本要求的行业细则》中增列满足物联网应用需求的不同行业应用的安全策略要求的描述；

 

 

    2）《网络基础安全技术要求》中补充关于感知网络的有关基础安全技术要求；

 

 

    3）《基本要求》中制定多源异构网络下，感知层数据传输和消息的标准规范的基本要求；4）制定以云计算、智能计算、海量信息处理等构建的可靠、可信系统的目标描述和安全保护能力要求的描述，并在对应的《信息系统安全管理要求》《信息系统安全丁程管理》等文件中做对应的补充和完善。

 

 

    3.2.2系统设计上方法和途径的补充

 

 

    《信息系统等级保护安全设计要求》依据《划分准则》从“计算机环境安全、区域边界安全、通信网络安全和安全管理中心”四个方面给出了五个级别信息系统安全保护设计的技术要求，用于指导信息系统等级保护安全技术设计。针对物联网，《信息系统等级保护安全设计要求》在方法和途径上要进行相应的补充：

 

 

    1）补充多源异构网络的区域边界安全的设计要求。物联网网络的开发性架构、系统接入和互联的复杂性以及RFID设计的开放性等使得多源异构网络的区域边界安全设计要求要比现有的《信息系统等级保护安全设计要求》关于区域边界安全的设计要求更为复杂，需要在原有基础上补充和完善；

 

 

    2）完善多业务、多平台的计算机环境安全的设计要求。物联网业务应用需求的多样化，使得业务控制、业务管理、业务逻辑等中的计算机环境安全问题复杂，需要在原有基础上补充和完善；

 

 

    3）感知网络安全设计要求的制定。以物为主的物联网的感知网络安全异于目前以通信角度设计的通信网络安全体系，需要制定感知网络安全设计的要求，以及感知网络与通信网络互联的安全设计要求；

 

 

    4）无线传感网络安全的设计要求、多网融合的密钥管理的安全设计要求的制定等等。同时对《信息系统等级安全保护实施指南》等文件中进行对应的修改。