1联通张院长－万物互联安全前行-物联网生态大会-最终版

中国联通网络技术研究院2017年8月万物互联

安全前行机遇挑战123思考机遇物联网开启新时代物联网作为战略性新兴产业的重要组成部分，在加快经济发展、促进产业转型升级、服务社会民生方面发挥着越来越重要的作用，是支撑整个产业和科技革命的重要基础设施。19992005泛在网络(万物的连接)2009信息共享2015智慧应用提出物联网概念(MITAuto-IDCenter)把所有物品通过RFID等信息传感设备与互联网连接起来，实现智能化识别和管理定义物联网

ITU互联网报告2005：物联网任何时间、任何地点的人与人之间的沟通连接，扩展到人与物、物与物之间的沟通连接政府物联网行动美国：智慧地球；中国：感知中国；欧盟：欧洲物联网行动计划无限可能IoT(InternetofThings)IoE(InternetofEverything)“先进制造业伙伴计划”“工业4.0”“中国制造2025”物的连接超过了人的连接产业升级：工业/制造业转型机遇-人类将要进入万物互联时代不到20年的时间里，物联网已经从理论概念变成全球部署热点，各个国家纷纷提出国家级物联网战略规划机遇-产业发展全球运营商IoT业务情况全球运营商都在积极布局物联网产业生态，聚焦管道连接，深耕垂直行业数据服务终端应用平台网络面向终端合作伙伴开放合作数据共享与开放基于能力开放平台，提供应用开发能力基础平台蜂窝（GSM、WCDMA、LTE）、LPWA（NB-IOT、eMTC、LORA）、Zigbee、Wifi、Fiber应用平台全球物联网连接数预测物联网连接发展迅猛各类机构预测：2020年物联

网具有百亿连接目前中国联通蜂窝物联网连接数突破5000万300亿物联网产业规模增长挑战

安全是最大挑战互联网技术革命，把人类带入了虚拟世界，物联网革命，将虚拟世界加载到现实社会中，虚拟和现实边界更加模糊，泛在互联的应用场景将催生出无所不在的安全问题。没有安全，万物互联将不是桃花源，而是一个混乱的牢笼。物联网发展五大影响因素（GSMA）挑战-安全攻击范围和频度都不断增加操作系统Ransomware勒索病毒利用WINDOWS系统0day漏洞实施攻击30万台机器，包括PC机、医疗设备、ATM等全球共150个国家受到影响网络摄像头Mirai病毒感染物联网设备，对域名服务器进行DDoS攻击250万台设备遭到入侵超过17万台设备成为肉鸡参与攻击全球共164个国家受到影响2014.102015.72016.102017.5智能汽车克莱斯勒Uconnect车载系统发现远程攻击漏洞，黑客可远程控制车的行驶速度，关闭引擎，使刹车失灵，并操纵空调、雨刮器、电台等设备。美国克莱斯勒召回140万辆轿车和卡车智能电表西班牙上百万台智能电表存在漏洞，可以使黑客关闭整个电路网，造成大面积停电。智能设备暴露在攻击中无人机

美国黑客利用SkyJack技术，用一架基本款民用无人机定位并控制飞在附近的其他无人机。控制无人机，组成僵尸无人机战队2013智能家居POS机2016年央视的315晚会曝光智能家居安全问题，智能摄像头、智能POS机等产品上榜。用户家中的摄像头被启动用来偷拍，黑客破解POS机盗刷银行卡2016.3挑战-安全管控难点分析建模难全程监测难部分物联网终端因为性能、功耗、成本等原因无法安装防护软件，也无难以实时上报运行状态，难以做到端到端全程监测物联网涉及行业和场景多，用户行为多种多样，威胁建模、分析挖掘难数据保护难在共享经济下，物联网数据需要更多的共享和交互场景，为数据的隐私保护和安全传输带来挑战物联网终端分布范围广、大量终端无人值守，自运行的模式导致易受外部攻击且难以及时发现安全管理难物理保障难全面防护难物联网终端数量多，类型千差万别，数据总量大，而且正以每两年翻一番的速度增长，难以进行全面监测和防护物联网终端往往都是小型设备，之前并没有在线应用案例，用户缺乏安全防护意识和制度保障，容易被不法分子利用思考网络使能安全，加强产业合作以中国联通网络安全大战略为基础，构建物联网安全体系，保障物联网业务端到端安全物理网安全防护是一项端到端的全周期任务，需要产业上下游合作实施三个实现全覆盖，一体化的安全体系，构建稳固长效的管理机制集约化、智能化的安全运维，提升响应处置的联动效率灵活性、开放性的安全服务，打造合作共赢的产业生态思考-中国联通网络安全总体战略目标不断夯实端到端的技术保障基础，提升智能化的运营和管理支撑能力，完善组织架构和机制体制，最终实现三大目标10技术+管理支撑体系技术基础机制体制安全策略安全组织安全三同步技术管理安全法律安全考核安全联动安全标准规范体系安全目标体系组织机构人才培养安全责任第三方安全同步规划同步建设同步运行研发创新技术支持政策研究法律支撑合规评价稽核审计综合协调安全生态圈网络安全内容安全应用安全终端安全访问控制流量攻击防护可用性保护地址管理不良信息治理信息防泄漏信息欺诈管控数字版权管理逻辑安全组件安全代码安全接口安全终端软件安全终端身份访问控制移动数据安全智能卡安全安全基础环境物理环境安全网络结构安全认证加密补丁与配置安全身份与访问控制安全日志与审计感知平台态势感知综合预警风险提示服务平台伙伴管理能力开放管理平台统一门户联动调度系统管理告警管理思考-中国联通网络安全能力建设围绕总体目标，经过多年积累，中国联通已经建立了从物理安全到内容监管的全面防护体系，初步具备了智能化、自动化的安全运维能力，能够为用户提供各种监测告警、防护处置、评估咨询服务，相关能力可以有效移植扩展到物联网安全保障体系中思考-中国联通网络安全能力建设中国联通异常流量清洗系统是最能体现运营商管道连接优势的安全产品，能够为联通网内互联网用户、第三方合作平台的用户、物联网用户提供全网攻击检测，网内流量清洗，全网封堵服务功能亮点：近源、互联网化线上服务：订购、变更、自服务接口标准：清洗设备与平台解耦开放API：第三方平台对接GSMA发布了物联网安全指南系列报告，为物联网生态系统中的所有参与者提供物联网安全业务发展参考依据。GSMA倡导运营商从自身管道优势出发，加强基于网络的安全防护解决方案研究。ITU-T将物联网身份标识作为重要研究项目。标识认证和身份管理服务旨在打通设备、数据与人之间的协作关联，促进物联网设备的通信安全和业务安全思考-标准指导ITUSG17&20推进物联网与智慧城市相关标准化工作M2M通信系统安全OneM2MWG3物联网产业链各环节的安全GSMAIoTsecurity移动通信网络支撑M2M通信的安全需求和技术3GPPSA3发布一系列物联网安全标准和研究课题CCSA物联网安全研究是各大标准化组织的研究重点之一，各大标准组织在终端、网络、应用层面都启动了相关研究3GPP开展了物联网应用行业的安全需求及对应解决方案的研究。包括智能交通、智能读表、智能售货机和财产/货物跟踪等多个业务场景。思考-运营商物联网安全实施策略联合产业上下游，协同打造物联网终端、网络、平台、应用等全方位安全能力，为客户提供端到端安全解决方案配套部署相关安全系统，实现入侵检测与防护、漏洞扫描、流量清洗等安全防护能力，保障平台可用性，保护用户隐私数据实现平台的异地容灾、冗余备份平台安全部署网络安全监控平台，利用特征分析，识别恶意代码、流量攻击和恶意行为，并进行告警和拦截处置增强网络对于终端的识别认证和接入管理能力定期对网络安全软件、防火墙进行升级，漏洞扫描和弱口令检查，及时升级软硬件版本网络安全加快开展终端设备硬件级安全认证和检测，只有通过认证的终端方可上线入网推动终端加密芯片的研发，普及国产加密算法聚焦重点行业，基于安全网络能力和平台能力，为重点行业终端制订安全方案终端安全开展对应用服务的安全评估与审计，应用通过验证后方可上线运营推广应用层加密，普及国产加密算法针对特定行业进行应用形成重点行业安全解决方案应用安全产业合作运营商为主芯片模组系统信息安全平台安全网络安全终端设备SIM安全应用安全物联网终端由于自身性能限制，通常不具备较强的安全防护能力，运营商利用管道优势，在网络侧提供实时监控服务，对用户来说是运营复杂度最低、建设成本最低，对业务影响最小的防护方案借助多网运营经验，运营商不仅基于物联网流量特征，还可以结合互联网、移动网的数据，进行联合分析，形成更为全面的恶意软件特征库和行为模型库结合联通人工智能和大数据挖掘研究成果，可以提供更好的态势感知和威胁预警能力思考-运营商主导网络侧安全监控解决方案物联网网络安全监控平台分析多维度、图形化呈现物联网全网终端安全态势状态建模恶意软件特征库异常行为判别模型敏感信息库处置通知用户冻结增值服务触发固件更新（物联网平台联动）数据监测分析智能数据库数据流关联性分析防护实施引擎核心网RadioGSM/3G/LTE/NBGGSNSMSC物联网网络安全监控平台集成了僵木蠕、移动恶意程序、异常流量监测和处置等大网安全能力，除了为联通运维人员提供全网安全态势感知和安全事件管理，保护整网安全可靠性，还可以根据用户需求进行定制化服务，为重点终端提供细粒度安全风险监测业务，实时发现异常，进行告警和处置面对海量的物联网终端，运营商可以基于网络接入管理，部署密钥管理和认证平台，提供统一的防篡改、防伪造、可验证的终端和应用标识该平台可以根据物联网终端能力和需求，对入网的物联网终端分配芯片级硬密钥或应用级软密钥密钥可以用于终端间、终端与平台间的标示签名和加密通信。提高物联网业务的完整性、保密性、可追踪性，防止非法终端入网、终端和应用被替换、数据伪造和泄露等风险该平台还可以进一步扩展，为金融支付、