编辑推荐
本书由教育部高等学校信息安全专业教学指导委员会、中国计算机学会教育专业委员会共同指导,符合《高等学校信息安全专业指导性专业规范》。
本书结合公安部*研究所“物联网一体化安全检测专业化服务”项目的研究成果和作者的实践经验,系统阐述了物联网工程及产品安全检测的相关技术和方法。全书共10章。第1章介绍物联网体系结构、关键技术以及国内外物联网市场环境。第2、3章介绍我国物联网面临的安全威胁、安全需求以及国内外安全检测技术发展的*新动态。第4章从研究角度介绍物联网安全模型,包括物联网单层安全模型、物联网整体安全模型、物联网专项安全模型和云安全模型等。第5章介绍物联网安全保障体系架构,从法律法规、政策、标准、技术实施、检测与评估等方面进行阐述。第6~9章分别从物联网安全检测标准与指标,物理产品检测、物联网工程/系统检测与检查,物联网风险评估等技术能力建设和实践进行了介绍。第10章根据已建成的检测平台,在智能感知类产品安全检测、接入传输类产品安全检测、业务应用类产品安全检测、系统安全检测/检查和风险评估等方面给出丰富的检测实例。
本书适合作为高等院校相关专业“物联网安全”课程的教材,同时可供从事物联网工程和产品研发及产品安全检测等工作的专业人员参考。
内容简介
本书结合公安部*研究所“物联网一体化安全检测专业化服务”项目的研究成果和作者的实践经验,系统阐述了物联网工程及产品安全检测的相关技术和方法。全书共10章。第1章介绍物联网体系结构、关键技术以及国内外物联网市场环境。第2、3章介绍我国物联网面临的安全威胁、安全需求以及国内外安全检测技术发展的*新动态。第4章从研究角度介绍物联网安全模型,包括物联网单层安全模型、物联网整体安全模型、物联网专项安全模型和云安全模型等。第5章介绍物联网安全保障体系架构,从法律法规、政策、标准、技术实施、检测与评估等方面进行阐述。第6~9章分别从物联网安全检测标准与指标、物联网产品检测、物联网工程/系统检测与检查、物联网风险评估等技术能力建设和实践进行了介绍。第10章根据已建成的检测平台,在智能感知类产品安全检测、接入传输类产品安全检测、业务应用类产品安全检测、系统安全检测/检查和风险评估等方面给出检测实例。
本书适合作为高等院校相关专业“物联网安全”课程的教材,同时可供从事物联网工程和产品研发及产品安全检测等工作的专业人员参考。
作者简介
仇保利,公安部*研究所所长。
目录
第1章物联网概述1
1.1什么是物联网1
1.2物联网体系结构2
1.3物联网关键技术11
1.3.1信息感知与处理技术11
1.3.2通信技术18
1.3.3组网接入技术33
1.3.4数据融合与挖掘技术36
1.3.5安全技术37
1.4物联网市场环境41
1.4.1全球物联网市场41
1.4.2中国物联网市场46
第2章物联网安全现状50
2.1物联网安全特征与面临挑战53
2.1.1物联网特征53
2.1.2信息安全特征56
2.1.3物联网安全特征57
2.1.4物联网安全面临的挑战60
2.2物联网安全威胁63
2.2.1感知层安全威胁63
2.2.2传输接入层安全威胁64
2.2.3应用层安全威胁66
2.2.4隐私威胁69
2.2.5几种典型的安全威胁71
2.3物联网安全需求76
2.3.1社会公共安全行业的物联网安全需求77
2.3.2交通行业的物联网安全需求78
2.3.3电力行业的物联网安全需求81
2.3.4医疗行业的物联网安全需求82物联网安全保障技术实现与应用目录2.4物联网安全应对措施84
2.4.1国家政策84
2.4.2安全技术发展87
2.4.3安全检测90
第3章物联网安全检测发展现状96
3.1国外安全检测技术发展97
3.1.1SenSec物联网信息安全测试系统97
3.1.2BANAID系统100
3.1.3TAP�睸NS系统104
3.1.4ASF攻击测试框架105
3.1.5医用传感网通信协议的安全可用性测试平台114
3.1.6测试中心与测试产品/服务116
3.2中国安全检测技术发展128
3.2.1物联网系统安全与可靠性测试系统128
3.2.2基于零打扰测试背板的无线传感器网络测试平台133
3.2.3无线Mesh网链路层攻击检测系统134
3.2.4嵌入式安全关键软件仿真测试平台138
3.2.5测试中心与测试产品及服务141
3.3物联网检测工具152
第4章物联网安全框架与模型162
4.1物联网单层安全模型167
4.1.1面向感知层安全模型167
4.1.2面向传输层安全模型169
4.1.3面向中间件的安全实现170
4.2物联网整体安全模型171
4.2.1基于P2DR2的物联网安全模型171
4.2.2基于等级划分的物联网安全模型173
4.2.3基于3层架构的安全模型175
4.3物联网“专项”安全模型176
4.3.1面向物联网的通用控制系统安全模型176
4.3.2物联网空间LBS隐私安全保护模型178
4.3.3基于PKI的物联网安全模型179
4.4云安全模型181
4.4.1CSA云安全控制模型182
4.4.2Jericho云立方体模型184
4.4.3云计算安全技术框架186
4.4.4企业提出的云安全架构188
第5章物联网安全保障框架194
5.1信息安全法律法规195
5.2物联网发展与安全保障政策197
5.3物联网标准198
5.4物联网安全技术保障198
5.5物联网安全检测与评估200
5.6政府、信息安全组织机构、企事业单位与人才201
5.7物联网一体化安全检测体系202
5.7.1产品安全检测服务平台203
5.7.2开放式场景检测支撑平台205
5.7.3物联网系统安全检测服务平台210
5.7.4物联网系统风险评估服务平台212
5.7.5集成化安全管理检查服务平台213
5.7.6标准库及指标库214
5.7.7物联网漏洞与补丁库214
5.7.8物联网一体化安全检测管理中心215
第6章物联网安全检测标准与检测指标217
6.1国内外物联网安全标准情况217
6.1.1国外物联网安全标准进展218
6.1.2国内物联网安全标准进展231
6.2物联网安全检测标准与检测指标体系241
6.2.1物联网一体化安全检测标准体系241
6.2.2物联网一体化安全检测指标体系246
6.3物联网安全检测标准与指标平台249
第7章物联网产品检测254
7.1开放式场景检测支撑平台256
7.1.1智能感知检测环境258
7.1.2接入传输检测环境275
7.1.3业务应用检测环境285
7.2产品安全检测服务平台295
7.2.1智能感知类产品安全检测能力295
7.2.2接入传输类产品安全检测能力305
7.2.3业务应用类产品安全检测能力310
7.2.4产品安全检测知识库317
7.3专项安全检测服务平台321
7.3.1网络安全检测平台321
7.3.2非侵入式安全性检测平台324
第8章物联网工程/系统检测与检查332
8.1物联网系统安全检测服务平台332
8.1.1物联网系统安全检测332
8.1.2服务平台架构334
8.1.3智能感知层系统检测335
8.1.4接入传输层系统检测338
8.1.5业务应用层系统检测340
8.1.6安全检测知识库342
8.1.7检测工具集344
8.1.8系统整体安全性345
8.1.9配套工程设计346
8.2物联网集成化安全管理检查服务平台346
8.2.1物联网集成化安全管理检查346
8.2.2服务平台架构366
8.2.3服务平台功能367
8.2.4配套工程设计372
第9章物联网系统风险评估373
9.1物联网风险评估过程375
9.1.1风险评估准备376
9.1.2保护对象分析376
9.1.3威胁分析377
9.1.4脆弱性分析380
9.1.5现有控制措施分析381
9.1.6风险分析382
9.1.7风险处置385
9.1.8审核批准386
9.2物联网系统风险评估服务平台框架387
9.2.1服务平台框架387
9.2.2风险评估知识库387
9.2.3风险评估工具集389
第10章物联网系统检测应用案例396
10.1智能感知类产品安全检测396
10.1.1可信网络摄像机396
10.1.2检测规则397
10.1.3检测环境400
10.1.4检测实施405
10.2接入传输类产品安全检测409
10.2.1单向隔离网闸410
10.2.2检测规则412
10.2.3检测环境414
10.2.4检测实施415
10.3业务应用类产品安全检测420
10.3.1云计算服务器420
10.3.2检测规则422
10.3.3检测环境426
10.3.4检测实施427
10.4系统安全检测/检查430
10.4.1警用装备智能管理系统431
10.4.2检测规则432
10.4.3检测环境434
10.4.4检测实施434
10.5系统风险评估439
10.5.1物联网安全支撑系统——PKI系统439
10.5.2检测规则440
10.5.3检测环境442
10.5.4检测实施442
参考文献455
精彩书摘
5章物联网安全保障框架
在感知层,物联网感知节点易遭受物理破坏、冒充或越权、重放攻击、篡改、泄露标识数据等多种威胁;在传输接入层,物联网存在多种拒绝服务攻击、违规外联、非法接入等威胁;在业务层,物联网存在各种漏洞、数据多源异构、大数据安全等威胁。因此,面对国内日益发展的物联网市场,急需构建物联网安全保障体系,保障物联网健康顺利发展,物联网在大规模投入实际使用前,需要对其风险漏洞进行评估检测,防止网络系统中的安全漏洞给物联网的使用带来巨大损失。
从国家一系列关于物联网的政策文件中可以清晰地发现,物联网发展需要安全保障体系的支撑。例如:
《国务院关于推进物联网有序健康发展的指导意见》提出: 到2015年,建立物联网安全保障体系,完善安全等级保护制度,建立健全物联网安全测评、风险评估、安全防范、应急处置等机制,增强物联网基础设施、重大系统、重要信息等的安全保障能力,形成系统安全可用、数据安全可信的物联网应用系统。
《物联网发展专项行动》指出: 建立健全物联网系统生命周期的安全保障体系,建立健全物联网信息安全等级保护制度,开展物联网系统安全等级测评与检查、评估工作。在物联网系统设计研发阶段,对设计方案进行安全验证与风险评估;在物联网项目竣工验收阶段,对系统的安全防护能力进行测试和评估;在物联网系统运营阶段,适时开展安全检查工作,查找突出问题和薄弱环节,评估安全防护水平。同时,建立相关信息采集交换平台与信息共享分析机制,在物联网工程的生命周期提供安全监测和预警服务。
《工业和信息化部2014年物联网工作要点》明确指出: 要建立健全物联网安全保障体系,推进物联网关键安全技术研发与产业化。加强物联网安全标准制定与实施工作。完成物联网信息安全技术研究并进行物联网信息安全技术检测评估平台建设方案论证,支持2~3家国家级科研机构以产学研用联合的方式开展平台建设。建立健全物联网信息安全相关制度、标准、规范,完成预警与态势通报机制、信息共享与分析机制建立与基础环境建设。
我国物联网安全保障体系要在借鉴国内外成功经验的基础上健全完善信息安全法律体系和监管制度体系,积极推进我国信息安全政策法规和体制机制建设,做好信息安全顶层设计,强化信息安全基础设施建设,构建物联网安全技术保障措施,并以物联网安全检测评估手段夯实物联网安全建设,加强信息安全人才培养与管理。
物联网安全保障体系架构如图5��1所示。建立健全物联网安全保障体系需要政府、物联网安全保障技术实现与应用第5章物联网安全保障框架企业乃至整个社会共同努力,法律法规、政策、标准在支撑物联网应用与工程建设的同时,需要引导物联网安全技术发展,物联网安全检测与评估按照法律法规、政策、标准的要求,在物联网应用与工程生命周期内开展安全检测与评估工作,确保物联网工程合规性以及安全防护措施的有效性,保障物联网安全。
图5��1物联网安全保障体系
5.15.1信息安全法律法规随着物联网网络延伸和应用拓展,为避免人为恶意破坏、擅自利用处理结果等行为对个人隐私、行业安全、国家安全等方面造成严重威胁,需将物联网安全可控问题上升到法律层面考虑。
当前,我国关于信息安全的法律大多分散在《中华人民共和国宪法》《中华人民共和国民法通则》《中华人民共和国刑法》《中华人民共和国侵权责任法》《中华人民共和国消费者权益保护法》等法律和司法解释文件的条款中。专门针对信息安全的法律主要有《中华人民共和国电子签名法》《关于加强网络信息保护的决定》《互联网信息管理办法》《关于维护互联网安全的决定》《非经营性互联网信息服务备案管理办法》《互联网安全保护技术措施规定》《信息安全等级保护管理办法》《通信网络安全防护管理办法》《互联网IP地址备案管理办法》和《电话用户真实身份信息登记规定》等,专门针对物联网安全保护的法律几乎没有。因此,需要进一步完善我国现有的法律体系,加大法律法规制定的力度,促进物联网安全保障体系建设。我国物联网安全法律体系建设可以从3方面开展工作。
1. 修订与完善现有法律法规
在新形势下,以前制定的法律法规有可能出现针对性不强、界定模糊等情况,但其法律定位未发生变化,仍具有现实指导意义,可以通过修订进行完善。
针对物联网应用的特点和技术高速发展的现实状况,应在梳理分析现有法律法规、规章、规范性文件与物联网相关的条款的基础上,继续修订、不断完善《刑法》《信息安全等级保护管理办法》《民事诉讼法》《电子签名法》《侵权责任法》《互联网安全保护技术措施规定》《通信网络安全防护管理办法》等相关法律法规中对于物联网安全防护和管理相关的条款,明确物品联网范围,避免物品随意互联对国家安全等方面造成的隐患,界定破坏物联网基础设施需要承担的法律责任,以及物联网工程实施方应部署安全防护手段和定期开展安全检测与评估的义务。
2. 起草与物联网安全保护相关的法律
我国在立法方面,要在物联网发展初期就着手考虑起草与物联网安全保护相关的法律,并不断完善细化相关法律规定,使立法上尽量覆盖到关键细节,做到有法可依。其中不仅要控制人的行为,还要限制物品联网范围,避免物品随意互联对国家安全等方面造成的隐患;不仅要确立安全防护实施满足的目标,还要规定违法犯罪行为应承担的法律后果,加大惩罚力度,形成威慑力,遏制物联网违法犯罪行为。在执法方面,可通过计算机取证等技术研究确保出现安全问题时能提供依据、保障可审查性,一经查处严厉处置,维护物联网安全制度和法律的权威与严肃性。
审慎制定政府信息安全管理、企事业单位信息安全管理、社会组织信息安全管理以及个人信息保护等条例和办法。具体包括:
研究制定物联网环境下个人信息保护规则,强调对感知、传输和处理相关设备应用过程中,个人享有知情权、选择权等基本权利,明确信息收集、传输、处理环节中主体的责任和义务,提出泄露和非法利用个人隐私应承担的法律责任。
研究物联网数据安全保护法,规范数据收集、传输、处理和分析过程中利益相关方的权利和义务,保障大数据安全,重点保护涉及国家公共安全的物联网应用领域,加强对关键基础设施的保护。
研究制定物联网相关资源保护法律法规,将与物联网发展相关的频率、标识、号码等资源纳入立法,规范物联网资源的规划、分配、使用和保护。
研究制定物联网可信体系法律法规,将物联网涉及的实体、资源以及行为统一纳入网络空间可信体系中,建立开放、公平和安全的物联网生态环境。
……
前言/序言
“网络空间安全重点规划丛书”编审委员会物联网被看作是继计算机、互联网与移动通信网之后的又一次信息产业变革。我国已将物联网作为战略性新兴产业重点推进,特别是在2009年提出“感知中国”以来,物联网在我国快速发展,一大批物联网产业园和物联网产业集聚基地已经逐步发展和完善起来,正在显现出资源集聚效应和规模增值效应。
可以说物联网已将经济社会活动、战略性基础设施资源和人们生活全面架构在全球互联互通的网络上,所有活动和设施理论上都透明化了。一旦遭受攻击,安全和隐私将面临巨大威胁,极有可能在现实世界造成电力中断、金融瘫痪、社会混乱等严重危害公共安全的事件,甚至将危及国家安全,因此,保障物联网安全已变得越来越重要。
在近年的工作实践中,我们深刻认识到,面对国内日益发展的物联网市场,一方面急需出台物联网建设和产品研发的标准和规范,另一方面急需一批专业化检测服务队伍对各地物联网工程及产品进行安全性检测,为物联网发展保驾护航。为此,公安部第一研究所成功申请了国家发展与改革委员会信息安全专项“物联网一体化安全检测专业化服务”项目。笔者对项目研究成果和实践经验加以整理总结,编写了本书。全书共分为10章,主要内容如下。
第1章对物联网体系结构、关键技术以及国内外物联网市场环境进行梳理。
第2、3章分别介绍我国物联网面临的安全威胁、安全需求以及国内外安全检测技术发展的最新动态。
第4章从研究的角度介绍物联网安全模型,包括物联网单层安全模型、物联网整体安全模型、物联网专项安全模型以及云安全模型等。
第5章介绍物联网安全保障体系架构,从法律法规、政策、标准、技术实施、检测与评估等方面进行阐述。
第6~9章分别从物联网安全检测标准与指标、物联网产品检测、物联网工程/系统检测与检查、物联网风险评估等技术能力建设和实践的角度进行介绍。
第10章根据已建设的检测平台,在智能感知类产品安全检测、接入传输类产品安全检测、业务应用类产品安全检测、系统安全检测/检查、风险评估等方面给出了实际检测示例。物联网安全保障技术实现与应用出版说明本书由仇保利主编并负责全书的统稿工作。各章编写分工如下:仇保利编写了第1章和第5章,胡志昂编写了第2章、第10章,范红编写了第7~9章,邵华编写了第3章、第4章、第6章。
本书的编写得到公安部第一研究所“物联网一体化安全检测专业化服务”项目团队、清华大学公共安全研究院、上海交通大学的大力支持,作者在此一并表示感谢。
本书广泛收集了国内外的相关材料和数据,翻译了大量国外文献,凝聚了作者从事物联网安全保护的实践经验以及研究思考的成果。由于时间仓促,错误和纰漏之处在所难免,诚望广大读者批评指正。
作者
2017年6月
物联网安全保障技术实现与应用/网络空间安全重点规划丛书 电子书 下载 mobi epub pdf txt