爱华网白皮书强调,物联网中的应用都是数据密集型的,传感设备与云平台之间、用户与云平台之间和用户与传感设备之间时刻都在进行数据交互,一旦数据丢失和损坏都将造成难以预料的后果。如果说物联网终端相当于人的手脚、眼鼻口,网络通信传输管道相当于人的四肢躯干,那么云端就等同于人的大脑,其安全重要性可见一斑。物联网云端保存着所有终端搜集上来的信息数据,以及据此分析获得的新数据信息。这些信息就犹如存放在仓库里的黄金珠宝,时刻诱惑着黑客发起攻击。云端一个小小的业务逻辑漏洞,就可能会给黑客攻击大开方便之门。因此,云平台必须采取适当的安全策略来保证物联网中数据的完整性、保密性和不可抵赖性。云平台安全包括云存储安全、云计算安全、云应用安全。
据白皮书主要撰写人、梆梆安全研究院院长卢佐华介绍,云存储安全的主要目的是保证数据存储的完整性和保密性,常采用的安全机制包括数据隔离与交换、数据备份、数据检错纠错、文件系统安全性、访问控制和身份鉴别等。云存储安全通过数据隔离与交换、冗余备份数据,将数据存放在不同的数据中心,以保证个别存储设备的故障不影响整个存储系统的可用性;通过采用检错和纠错技术使系统迅速发现错误并找寻备份数据来完成数据存取访问,保证数据的正确读写;通过文件系统加密实现存储系统安全;通过访问控制和身份鉴别技术有效地控制用户对存储资源的访问,将用户对存储系统的访问限制在一定的范围内,从而保证其他用户数据的安全性,防止越界访问。
卢佐华表示,云计算安全主要是保证云平台数据计算与运行环境的安全,特别是基于虚拟化技术的云计算安全。重点应考虑虚拟化软件和虚拟服务器安全,虚拟化软件安全是保证客户虚拟机在多租户环境下相互隔离的重要层次,必须严格限制任何未经授权的用户访问虚拟化软件层,限制对于Hypervisor 和其他形式的虚拟化层次的物理和逻辑访问控制。虚拟化层的完整性和可用性对于保证云平台的完整性和可用性是最重要,也是最关键的。一个有漏洞的虚拟化软件会暴露所有的业务域给恶意的入侵者。虚拟服务器位于虚拟化软件之上,对于物理服务器的安全原理与实践也可以被运用到虚拟服务器上,同时需要兼顾虚拟服务器的特点,包括选择具有TPM 安全模块的物理服务器、使用支持虚拟技术的CPU、安装虚拟服务器时分配独立的硬盘分区、使用VLAN和不同的IP 网段、在防火墙中为虚拟服务器做相应的安全设置等,以对它们进行保护和隔离,并与其他安全防范措施一起构成多层次防范体系。
云应用安全主要是面向用户提供一些安全手段来保证用户数据在传输、交换和使用过程中的安全性,防止用户数据被非法访问和泄露,常采用的安全机制包括存储加密、交换加密、身份认证与访问控制、接口安全和个人信息安全保护等。存储加密是在访问云入口时对数据进行加密,以保障传输和存储的安全性;交换加密是采用数字信封等技术手段,保证用户数据在交互过程中的安全性;身份认证与访问控制机制是允许授权用户在自己的权限范围内进行数据操作,从而防止非法用户对数据的访问;接口安全是根据物联网的应用需求不同而提供不同的应用接口,采用多接口模式和加密技术等通过接口安全保证应用程序对存储资源的安全访问;个人信息安全保护是采用数据自我销毁技术等建立在云服务器端对用户数据从创建到销毁全过程的隐私保护机制。
针对云平台的安全产品、安全方案很多,也在逐渐成熟,不过对于物联网云平台而言,卢佐华认为,还需要更注重移动安全这个维度的安全防御,例如需要移动威胁感知平台来完善云平台安全情报体系,通过SOC、M-SOC(Security Operation Center for Mobile)实现对物联网安全体系的整体管控,通过移动安全测评云平台实现对物联网云端应用、源码、服务器安全性的实时检验与监测。
SOC 并非一个新的概念,但在物联网时代,面对复杂的物联网安全体系,SOC 的作用在变得愈加凸显。SOC 作为安全体系的一个集中单元,会在整个组织和技术的高度处理各类安全问题。SOC能够将安全防御孤岛连接起来,从安全情报、安全产品、安全运维到安全服务,SOC 可以使之不再割裂,提高整体安全防御效率,降低安全防御成本。SOC 由于自身特点,使其所处位置只能是在云端层面:其或会依托于云计算平台,作为云平台内部的一个模块组件,或者单独以安全管理云平台的形式并列于云端之侧。物联网与业务之间的结合达到了一个前所未有的高度,那么在物联网安全体系里,SOC 将以业务为导向驱动,量化安全、展示安全、控制安全,实现安全管理技术化。通过SOC 可以对物联网云端、终端、传输端进行逻辑层、物理层等多层面的安全检测,及时解决所发现的安全隐患,力争将危机消灭于萌芽之中。而借助SOC 还能够洞悉物联网整体系统的安全态势,即时制定新安全防御策略,实施有效的安全防护动作,并实现对全网传统与新兴安全能力的整合,避免安全防护一盘散沙局面的出现。而M-SOC 则能在物联网移动维度实现全生命周期的安全防护,有力补足了物联网安全体系可能出现的安全防护遗漏。
物联网的安全触角实在太为广阔,覆盖了众多领域维度。从大的方面考虑,需要各SOC 能够实现耦合,进行安全防御联动,共享安全情报信息,整体把控物联网安全。往小的层面看,由微边界联合起来的众多物联网终端微点,要能够逐步实现矩阵化,从松散的个体成为组织化、智能自适应化的严谨统一整体。以集体的力量有效对抗有组织的恶意攻击。
白皮书指出,在物联网时代,不同行业的云平台之间势必将互相连通起来,物联网可以说就是各类云平台的整合。而在云平台整合的背后,则联动着不同行业、不同领域物联网安全管控平台的整合,物联网安全体系内部各个环节的整合,物联网微观环境里各个单元、模组的整合。只有将一切松散元素锻造成严密的统一整体,才能将物联网安全清晰地呈现在人们面前。如何度量安全?在物联网时代里,或将做到这一点。加上全生态环境安全协同,可让物联网安全变得高度可控!
