物联网信息安全 课件 第6章 物联网信息安全标准、物联网应用层安全

6.6物联网信息安全标准

学习任务国际信息技术标准化组织

中国信息安全标准

中国国家物联网标准组织Clicktoaddtitleinhere123本章主要涉及：4信息安全管理体系

56.6.1国际信息技术标准化组织

网络与信息安全标准化工作是国家信息安全保障体系建设的重要组成。网络与信息安全标准研究与制定为国家主管部门管理信息安全设备提供了有效的技术依据，这对于保证安全设备的正常运行，并在此基础上保证我国国民经济和社会管理等领域中网络信息系统的运行安全和信息安全具有非常重要的意义。6.6.1国际信息技术标准化组织

6.6.1国际信息安全标准化组织国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有以下4个：6.6.1国际信息技术标准化组织

（1）国际标准化组织(ISO)于1947年2月23日正式开始工作，信息技术标准化委员会(ISO/IECJTC1)所属安全技术分委员会(SC27)的前身是数据加密分技术委员会(SC20)，主要从事信息技术安全的一般方法和技术的标准化工作。6.6.1国际信息技术标准化组织

而ISO/TC68负责与银行业务应用范围内有关信息安全标准的制定，它主要制定行业应用标准，在组织上和标准之间与SC27有着密切的联系。ISO/IECJTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容。6.6.1国际信息技术标准化组织

（2）国际电工委员会(IEC)正式成立于1906年10月，是世界上成立最早的专门的国际标准化机构。在信息安全标准化方面，除了与ISO联合成立了JTC1属的分委员会外，它还在电信、电子系统、信息技术和电磁兼容等方面成立了技术委员会，并为信息技术设备安全(IEC60950)等制定相关国际标准。6.6.1国际信息技术标准化组织

（3）国际电信联盟(ITU)成立于1865年5月17日，所属的SG17组主要负责研究通信系统安全标准。SG17组主要研究的内容包括：通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H323网络安全、下一代网络安全等标准方面进行了研究。6.6.1国际信息技术标准化组织

（4）Internet工程任务组(IETF)创立于1986年，其主要任务是负责互联网相关技术规范的研发和制定。IETF制定标准的具体工作由各个工作组承担，工作组分成8个领域，涉及Internet路由、传输、应用领域等等，包含在RFC系列之中的IKE和IPsec，还有电子邮件，网络认证和密码标准，此外，也包括了TLS标准和其它的安全协议标准。6,6.1国际信息技术标准化组织

11.1.2国际信息安全管理体系国际上比较有影响的信息安全标准体系主要有：1.ISO/IEC的国际标准13335、17799、27001系列SO/IECJTC1SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织。6.6.1国际信息技术标准化组织

ISO和IEC是世界范围的标准化组织，它由各个国家和地区的成员组成，各国的相关标准化组织都是其成员，他们通过各技术委员会，参与相关标准的制定。为了更好的协作和共同规范信息技术领域，ISO和国际电工委员会(ITU)成立了联合技术委员会，即ISO/IECJTC1，负责信息技术领域的标准化工作。其中的子委员会27专门负责IT安全技术领域的标准化工作。6.6.1国际信息技术标准化组织

在ISO/IECJTC1SC27所发布的标准和技术报告中，目前最主要的标准是ISO/IEC13335、ISO/IEC17799等。ISO/IEC将采用27000系列号码作为编号方案，将原先所有的信息安全管理标准进行综合，并进行进一步的开发，形成一整套包括ISMS要求、风险管理、度量和测量以及实施指南等在内的信息安全管理体系。6.6.1国际信息技术标准化组织

2.英国标准协会（BSI）的7799系列信息安全管理体系（InformationSecurityManagementSystem,简称ISMS）的概念最初来源于英国标准学会制定的BS7799标准,并伴随着其作为国际标准的发布和普及而被广泛地接受。同美国NIST相对应，英国标准协会(BSI)是英国负责信息安全管理标准的机构。在信息安全管理和相关领域，BSI做了大量的工作，其成果已得到国际社会的广泛认可。

6.6.1国际信息技术标准化组织

3.美国国家标准和技术委员会（NIST）的特别出版物系列2002年，美国通过了一部联邦信息安全管理法案(FISMA)。根据它，美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安全管理相关的标准规范。因此，NIST的一系列FIPS标准和NIST特别出版物800系列(NISTSP800系列)成为了指导美国信息安全管理建设的主要标准和参考资料。6.6.2中国信息安全标准6.6.2我国信息安全标准化的现状目前，我国按照国务院授权，在国家质量监督检验检疫总局管理下，由国家标准化管理委员会统一管理全国标准化工作，下设有255个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制，分工管理本行政区域内、本部门、本行业的标准化工作。6.6.2中国信息安全标准成立于1984年的全国信息技术安全标准化技术委员会(CITS)，在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IECJTC1相对应的标准化工作，目前下设24个分技术委员会和特别工作组，是目前国内最大的标准化技术委员会。它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织。6.6.2中国信息安全标准6.6.2国内安全标准组织机构国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。1.信息技术安全标准化技术委员会信息技术安全标准化技术委员会(CITS)成立于1984年，在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IECJTC1相对应的标准化工作。

6.6.2中国信息安全标准2.中国通信标准化协会中国通信标准化协会(CCSA)成立于2002年12月18日。CCSA下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究:有线网络中电话网、互联网、传输网、接入网等在内所有电信网络相关的安全标准;无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组;安全基础设施工作组中网管安全以及安全基础设施相关的标准。6.6.2中国信息安全标准6.6.2信息安全标准体系研究特点①基于信息内容的过虑和管制技术将越来越受关注；②防范和治理垃圾信息成为网络安全研究重要内容；③网络与信息安全研究重点将逐渐从设备层面向网络层面转移；④业务安全越来越成为运营商研究重点；⑤认证技术将研究和梳理，生物鉴别成为重要内容；6.6.2中国信息安全标准⑥网络建设将重视信任体系的建设；⑦互联网安全将进一步研究，其成果将适用于下一代网以及3G核心网；⑧网络上信息安全将划分责权，网络侧负责部分私密性(隔离)和完整性，机密性和不可否认性由端到端保障；⑨安全管理中的安全风险评估将成为安全研究重要内容。6.6.2中国信息安全标准6.6.2我国在信息安全管理标准方面采取的措施

我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。

6.6.3中国国家物联网标准组织物联网标准的划分应该是分层次的，如传感器的、应用的、传输的等，或者细化为芯片、电路、通信接口、路由等层次，而目前我国在做的主要是在传感器上的标准，是传感网络路由层面的专利。目前，我国物联网技术的研发水平已位于世界前列，与德国、美国、日本等国一起，成为国际标准制定的主要国家，逐步成为全球物联网产业链中重要的一环。

6.6.3中国国家物联网标准组织6.6.3电子标签国家标准工作组2005年12月2日，电子标签标准工作组在北京正式宣布成立。该工作组的任务是联合社会各方面力量，开展电子标签标准体系的研究，并以企业为主体进行标准的预先研究和制/修订工作。

6.6.3中国国家物联网标准组织电子标签标准工作组的组织结构

6.6.3中国国家物联网标准组织6.6.3传感器网络标准工作组2009年9月11日，传感器网络标准工作组成立大会暨“感知中国”高峰论坛在北京举行。传感器网络标准工作组是由国家标准化管理委员会批准筹建，全国信息技术标准化技术委员会批准成立并领导，从事传感器网络（简称传感网）标准化工作的全国性技术组织。6.6.3中国国家物联网标准组织传感器网络标准工作组的组成

6.6.3中国国家物联网标准组织6.6.3泛在网技术工作委员会2010年2月2日，中国通信标准化协会（CCSA）泛在网技术工作委员会（TC10）成立大会暨第一次全会在北京召开。TC10的成立，标志着CCSA今后泛在网技术与标准化的研究将更加专业化、系统化、深入化，必将进一步促进电信运营商在泛在网领域进行积极的探索和有益的实践，不断优化设备制造商的技术研发方案，推动泛在网产业健康快速发展。6.6.3中国国家物联网标准组织6.6.3中国物联网标准联合工作组2010年6月8日，在国家标准化管理委员会、工业和信息化部等相关部委的共同领导和直接指导下，由全国工业过程测量和控制标准化技术委员会、全国智能建筑及居住区数字化标准化技术委员会、全国智能运输系统标准化技术委员会等19家现有标准化组织联合倡导并发起成立物联网标准联合工作组。6.6.4信息安全管理体系6.6.4信息安全管理简介如今，遍布全球的互联网使得组织机构不仅内在依赖IT系统，还不可避免地与外部的IT系统建立了错综复杂的联系，但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生，这些给组织的经营管理、生存甚至国家安全都带来严重的影响。所以，对信息加以保护，防范信息的损坏和泄露，已成为当前组织迫切需要解决的问题。6.6.4信息安全管理体系6.6.4信息安全管理体系标准发展历史目前，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。依据ISO/IEC27001：2005建立信息安全管理体系并获得认证正成为世界潮流。标准包括11大管理要项、39个控制目标和133项控制措施，为组织提供全方位的信息安全保障。6.6.4信息安全管理体系6.6.4信息安全管理体系标准主要内容信息安全管理体系标准主要内容有：1.安全方针2.安全组织3.资产分类与管理4.人力资源安全5.物理和环境安全6.通信与操作管理7.访问控制8.系统的获取、开发和维护9.信息安全事件管理10.业务持续性管理11.符合性6.6.4信息安全管理体系信息安全管理体系标准主要内容

6.6.4信息安全管理体系6.6.4信息安全管理体系认证BS7799-2从1998年颁布后，在全世界范围内得到广泛的认可。目前已有40多个国家和地区开展信息安全管理体系的认证。根据信息安全管理体系国际使用者协会（ISMSInternationalUserGroup）的最新统计，到2005年底，全球通过信息安全管理体系BS7799-2认证的组织已经超过2000家。6.6.4信息安全管理体系对组织来说，符合ISO27001/BS7799标准并且获得信息安全管理体系认证证书，虽然不能证明组织达到了100％的安全，但通过信息安全管理体系的认证能够强有力保障组织的信息资产的保密性、完整性和可用性，并能带来如下好处：①加强公司信息资产的安全性、保障业务持续性与紧急恢复；②强化员工的信息安全意识，规范组织信息安全行为；6.6.4信息安全管理体系③减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；④维护企业的声誉、品牌和客户信任，维持竞争优势；⑤满足客户和法律法规要求。ThankYou!物联网应用层安全

物联网应用层安全物联网的概念物联网应用层安全需求Web安全中间件安全数据安全云计算安全物联网信息安全标准物联网（TheInternetofthings）在计算机互联网的基础上通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网的概念物联网应用层安全需求应用层面临的安全问题（1）超大量终端提供了海量的数据，来不及识别和处理；（2）智能设备的智能失效，导致效率严重下降；（3）自动处理失控；（4）无法实现灾难控制并从灾难中恢复；（5）非法人为干预造成故障；（6）设备从网络中逻辑丢失。Web安全一、Web结构原理1、Web简介Web是一种体系结构，是Internet提供的一种界面友好的信息服务。Web上的海量信息是有彼此关联的文档组成，这些文档称为主页或页面，它是一种超文本信息，而使其连接在一起的是超链接。通过Web可以访问遍布于Internet主机上的链接文档。Web安全2、Web的五个特点（1）Web是图形化且易于导航的。（2）Web与平台无关。如Windows平台、UNIX平台。（3）Web是分布式的。（4）Web是动态的。（5）Web是交互的。Web安全二、Web的安全威胁

来自网络上的安全威胁与攻击多种多样，依照Web访问的结构，可将其分为对Web服务器的安全威胁、对Web客户机的安全威胁和对通信信道的安全威胁三类。Web安全1、对Web服务器的安全威胁Web服务器上的漏洞可以从以下几方面考虑（1）在Web服务器上的机密文件或重要数据放置在不安全区域，被入侵后很容易得到。（2）在Web数据库中，保存的有价值信息，如果数据库安全配置不当，很容易泄密。（3）Web服务器本身存在一些漏洞，能被黑客利用侵入到系统，破坏一些重要的数据甚至造成系统瘫痪。（4）程序员的有意或无意在系统中遗漏Bug给非法黑客创造条件。Web安全2、对Web客户机的安全威胁现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序。当用户使用浏览器查看带有活动内容的网页时，这些应用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，则可以窃取、改变或删除客户机上的信息。针对Web客户机的安全威胁，主要用到JavaApplet和ActiveX技术。Web安全3、对通信信道的安全威胁Internet是连接Web客户机和服务器通信的信道，是不安全的。像Sniffer这样的嗅探程序，可对信道进行侦听，窃取机密信息，存在着对保密性的安全威胁。未经授权的用户可以改变信道中的信息流传输内容，造成对信息完整性的安全威胁。Web安全三、Web安全防护1、Web的安全防护技术（1）Web客户端的安全防护（2）通信信道的安全防护（3）Web服务器端的安全防护2、Web服务器安全防护策略的应用（1）系统安装的安全策略；（2）系统安全策略的配置；（3）IIS安全策略的应用；（4）审核日志策略的配置。中间件安全一、中间件1、中间件基本概念中间件即软件中间件是一类连接软件组件和应用的计算机软件，它包括一组服务，以便于运行在一台或多台机器上的多个软件通过网络进行交互。中间件在操作系统、网络和数据库之上，应用软件的下层，总的作用是为自己上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。中间件不仅仅实现互联，还要实现应用之间的互操作；中间件是基于分布式处理的软件，最突出的特点是其网络通信功能。中间件安全2、中间件的特点及分类（1）优点：满足大量应用的需要；运行于多种硬件和OS平台上；支持分布式计算，提供跨网络、硬件和OS平台的透明性的应用或服务的交互功能；支持标准的协议；支持标准的接口。（2）缺点：中间件所应遵循的一些原则离实际还有很大距离；有些中间件服务只提供一些平台的实现，从而限制了应用在异构系统之间的移植等。（3）分类：中间件大致可分为：终端仿真/屏幕转换中间件、数据访问中间件、远程过程调用中间件、消息中间件、交易中间件、对象中间件。二、物联网中间件物联网中的中间件处于物联网的集成服务器端和感知层、传输层的嵌入式设备中。服务器端中间件称为物联网业务基础中间件，一般是基于传统的中间件来构建的。嵌入式中间件是支持不同通信协议的模块和运行环境。中间件的特点是它固化了很多通用功能，但在具体应用中多半需要二次开发来实现个性化的业务需求，因此所有物联网中间件都需要提供快速发展工具。中间件安全在RFID中物联网中间件具有以下特点：（1）应用架构独立。物联网中间件介于RFID读写器与后端应用程序之间有独立于它们之外。（2）分布数据存储。RFID最主要的目的在于将实体对象转换为信息环境下的虚幻对象，因此，数据存储与处理是RFID最重要的功能。（3）数据加工处理。物联网中间件通常采用程序逻辑及存储转发的功能来提供顺序的信息，具有数据设计和管理的能力。中间件安全三、RFID中间件安全1、RFID中间件安全存在的问题（1）数据传输：RFID数据在经过网络层传播时，非法入侵者很容易对标签信息进行篡改、截获和破解、重放攻击、数据演绎，以及DoS攻击。（2）身份认证：当大量伪造的标签数据发往阅读器时，阅读器消耗大量的能量，处理的却是虚假的数据，而真实的数据被隐藏不被处理，严重的可能会引起拒绝服务式攻击。（3）授权管理：不同的用户只能访问已被授权的资源，当用户试图访问未授权的受保护的RFID中间件服务时，必须对其进行安全访问控制，限制其行为在合法的范围之内。中间件安全中间件安全RFID读写器RFID读写器RFID读写器RFID中间件企业应用系统ONS基础服务RFID基础服务RFID中间件的物理连接结构图数据安全一、数据安全概述1、机密性：机密性是指信息不泄露给非授权的用户、实体、过程或供其利用的特性。2、完整性：数据完整性是指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的用户篡改或在篡改后能够被迅速发现。3、可用性：可用性是指被授权实体访问并按需求的特性，即当需要时能否存取和访问所需的信息，用户访问数据的期望使用能力。数据安全二、数据安全保护（1）预防，又称阻止，它试图通过阻止所有未经授权的改写数据的企图来预防入侵的出现，从而保证数据安全外泄不会发生。访问控制技术是服务器以及数据库中最主要的预防措施之一。访问控制一般有自主访问控制、基于角色的访问控制和强制访问控制三种类型。（2）检测可以保证信息系统活动有足够的历史活动记录。当数据泄露事件发生时可以通过它进行检测和取证。检测机制并不阻止数据保密性和完整性的破坏，它仅仅告知数据的完整性不再可信。检测机制试图通过对系统事件的分析来检测出问题，或者通过数据本身的分析来查看信息系统要求的约束条件是否依然满足。数据安全三、数据库安全1、数据库安全的定义：物理数据库的完整性；逻辑数据库的完整性；元素安全性；可审计性；访问控制；身份验证；可用性。2、数据库安全常用技术：用户认证技术；安全管理技术；数据库加密技术。3、数据库安全通常通过存取管理、安全管理和数据库加密来实现。存取管理就是一套防止未授权用户使用和访问数据库的方法、机制和过程。安全管理指采取何种安全管理机制实现数据库管理权限分配，一般分为集中控制和分散控制两种方式。数据库加密包括：库内加密、库外加密和硬件加密三个方面。数据安全四、虚拟化数据安全1、虚拟化特点：封闭，隔离，分区。2、数据中心安全风险分析：高资源利用率带来的风险集中；网络架构改变带来的安全风险；虚拟机脱离物理安全监管的风险。3、虚拟环境的安全风险：黑客攻击；虚拟机溢出；虚拟机跳跃；补丁安全风险。4、虚拟化数据中心的安全设计：数据中心网络架构高可用设计；网络安全的部署设计。云计算安全一、云计算概述

1、云计算简介云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。美国NIST对云计算的定义是：云计算是一种按使用计费模型，提供对可安装且可靠的计算资源共享池进行方便按需的网络访问服务，如网络、服务器、存储、应用、服务等。这些资源能够快速地供给和发布，仅需要最少的用户管理和服务供应商间交互。云计算安全2、云计算的体系结构云计算的体系结构包括三个部分：应用层、平台层、基础设施层。（1）基础设施层提供对计算、存储、带宽的管理，是虚拟化技术、负载均衡、文件系统管理、高可靠性存储等云计算关键技术的集中体现层，是平台服务和应用服务的基础。（2）平台层为应用层的开发提供接口API调用和软件运行环境。（3）应用层服务提供具体应用，是一种通过Internet提供软件的模式。云计算的技术体系结构云计算安全3、云计算的优势（1）协同工作方便（2）无时无处不在的享受服务（3）系统可扩展性，伸缩性较高（4）系统可用性，可靠性高（5）中小企业节约IT成本云计算安全二、云