智能物联网安全检测方法

1智能物联网安全检测方法本标准规定了智能物联网完全检测的术语和定义、缩略语、检测体系架构、感知层检测方法、网络传输层检测方法、应用层安全检测方法和检测技术。本标准适用于智能物联网系统中感知层、网络传输层以及应用层的安全检测方法。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB∕T25000.10-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型GB∕T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则GB/T33474-2016物联网参考体系结构GB/T37044-2018信息安全技术物联网安全参考模型及通用要求3术语和定义下列术语和定义适用于本文件。3.1智能物联网ArtificialIntelligence&InternetofThingsblockchain通过感知设备，按期约定协议连接物、人、系统和信息资源，在终端设备、边缘域或云中心通过机器学习对数据进行智能化分析，包括定位、比对、预测、调度等，实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。3.2物联网感知层sensinglayerofIoT物联网感知控制域，即各类获取感知对象信息与操控控制对象的软硬件系统的实体集合。3.3感知终端sensingterminal能对物或环境进行信息采集/执行操作，并能联网进行通信的装置。3.4感知层网关sensinglayergateway支撑感知层与通信网互联，并实现感知层本地管理的实体。3.5感知层接入实体accessentityofsensinglayer处于物联网感知层中，接入通信网进行数据通信的设备。23.6数据新鲜性datafreshness对所接受的历史数据或超出时限的数据进行识别的特性。4缩略语表1缩略语适用于本文件。表1缩略语AccessControlListMediaAccessControlInternetProtocolSTransportLayerSecurityPr5检测体系架构智能物联网系统安全检测体系架构是在传统互联网信息系统安全检测体系架构的基础上，结合智能物联网系统的组成和技术特点形成的。智能物联网系统安全检测体系架构如图1所示。图1智能物联网系统安全检测体系架构智能物联网系统安全检测体系架构主要由检测依据、检测技术、检测内容和检测工具四部分组成。本标准重点对智能物联网的安全检测内容和方法进行介绍。36感知层检测方法感知层应分别从物理安全、接入安全、数据安全以及系统安全4个方面进程检测，具体检测内容如6.1物理安全a)感知终端/网关是否部署在安全场所；即部署环境是否满足防盗防破坏、防水防潮、防极端温度、防雷、防静电、防信息干扰、防屏蔽、防阻挡等要求，是否提供可靠稳定的供电；b)感知终端是满足相关国家标准的要求，如GB/T4208-2017外壳防护等级（IP代码）、GB/T17799.1-2017电磁兼容通用标准居住、商业和轻工业环境中、GB/T17799.2-2003电磁兼容通用标准工业环境中的抗扰度试验等；6.2接入安全a)网络接入认证1)感知终端是否有唯一标识；2)感知终端是否支持身份鉴别机制；如基于网络身份标识的鉴别、基于MAC地址的鉴别、基于通信协议的鉴别、基于同喜端口的鉴别、基于对称/非对称密码机制的鉴别；3)网关是否对感知终端的接入进行认证，是否支持鉴别机制；4)网关是否保证密钥存储和交换安全。b)网络访问控制1)感知终端是否禁用业务需求以外的通信端口；2)网关是否设置网络访问控制策略（如ACL等），限制对感知终端的网络访问；3)网关是否控制相同网络内部的相互访问，是否控制不同网络之间的跨网访问；4)网关是否支持黑白名单机制；5)网关是否控制感知终端访问数量。6.3数据安全a)数据存储保护1)是否对存储的数据进行保护，避免非授权访问；2)是否具有对存储的数据的完整性校验机制。b)数据传输保护1)是否对数据（指令控制数据、业务数据等）进行加密传输；2)是否对传输的数据进行完整性校验；3)是否具有通信延时和终端处理机制。6.4系统安全a)标识与鉴别1)系统用户的标识是否唯一；2)是否对系统用户进行身份鉴别。b)访问控制1)系统用户是否有访问权限；2)是否能控制数据的本地/远程访问；3)是否提供安全措施控制对网关进行远程配置。1)相关操作是否生成记录，记录是否包括操作时间、操作用户、操作类型、操作内容等信息；2)是否提供记录查询功能；3)是否防止记录数据被篡改。4d)失效保护1)是否对发生故障的感知终端设备进行告警；2)系统崩溃后是否能重启；3)感知终端是否具有手动和自动控制功能，且手动控制功能优先级高于自动控制功能。e)软件保护1)是否仅能安装授权软件；2)是否安装策略进行软件补丁更新和升级，是否保证更新的数据来源是合法和完整的。7网络传输层安全检测方法网络传输层的安全主要包括三个方面：感知层接入实体安全、感知信息传输网络安全、通信网接入系统安全。7.1通信网接入系统安全a)接入系统中的设备是否具有唯一标识，用于物联网系统中通信标识，如设备ID、序列号、MAC地址等；b)接入系统是否支持接入鉴别功能，且鉴别方式是否支持如下方式中的一种：1)基于感知层接入实体标识和接入口令的单向认证；2)基于预共享密钥的单向或双休认证；3)基于公钥基础设施的接入鉴别。c)接入系统是否具备接入鉴别失败的处理能力1)鉴别应答超过规定时限，接入系统是否能终止与待接入的感知层接入实体之间的当前会话；2)经过数次鉴别失败后，接入系统是否能终止由该感知层接入实体发起的会话请求，并在一段时间后才允许继续接入。d)接入系统是否支持访问控制机制和安全策略1)是否通过ACL方式控制感知层接入实体对通信网的访问；2)是否支持制定和执行访问控制策略功能；3)是否支持黑白名单制。e)数据传输安全1)完整性数据传输时是否支持信息完整性校验机制，即是否采用校验码、摘要、数字签名等以确保数据完整性；是否具有通信延时和终端处理功能。2)可用性新鲜性：是否对接收的历史数据或超出实现的数据进行识别，确保数据来源可鉴别；准确性：当数据存在可接受的误差时，是否建立容错机制，确保系统正常运行。3)保密性对传输数据是否采用加密处理，数据存储是否进行加密存储；必要时，是否采用数据脱敏等算法进行敏感信息保护；是否使用安全协议（如SSH、IPSec、TLS等）进行数据传输。f)接入系统是否具备密钥管理功能1)是否支持新增、修改、删除和存储等操作；2)密钥的存储是否具备访问控制和密码的保护；53)是否采用离线分发方式将预共享密钥和密钥材料分配至感知层接入实体；4)密钥管理是否支持多级生成和更新机制，是否支持密钥更新和注销安全策略。g)接入系统是否具备隔离防护能力，即是否支持逻辑隔离或物理隔离；h)接入系统是否具备接入防护能力1)是否支持应用指定的通信协议和数据内容格式等检查的数据表过滤；2)是否支持丢弃不符合过滤要求的数据包；3)是否支持恶意攻击和异常行为的检测，是否具备入侵报警功能；4)是否支持病毒或木马程序等的防护功能。i)接入系统是提供安全事件日志审计功能，如鉴别超时或失败，在线监测数据异常等。7.2感知信息传输网络安全a)有线传输网络，是否采用网络逻辑隔离技术或专用通道；b)无线传输网络，是否采用信道加密等信道保护技术。7.3感知层接入实体安全a)感知层接入实体是否具备唯一标识；b)感知层接入实体是否具备访问控制机制1)是否支持ACL列表实现访问控制；2)是否支持基于感知层接入实体的用户/用户组的访问控制，并部署用户访问控制策略。c)数据传输安全1)完整性数据传输时是否支持信息完整性校验机制，即是否采用校验码、摘要、数字签名等以确保数据完整性；是否具有通信延时和终端处理功能。2)可用性新鲜性：是否对接收的历史数据或超出实现的数据进行识别，确保数据来源可鉴别；准确性：当数据存在可接受的误差时，是否建立容错机制，确保系统正常运行。3)保密性对传输数据是否采用加密处理，数据存储是否进行加密存储；必要时，是否采用数据脱敏等算法进行敏感信息保护；是否使用安全协议（如SSH、IPSec、TLS等）进行数据传输。d)感知层接入实体是否支持密钥管理1)是否支持新增、修改、删除和存储密钥；2)是否支持存储和更新预共享密钥和其相关材料的功能，是否是指密钥离线接收；3)是否支持米亚动态生成和更新机制，是否支持密钥更新和注销安全策略；4)是否采用访问控制技术保护密钥的存储。e)感知层接入实体是否具备入侵防护功能1)是否仅开放应用相关的通信端口；2)是否拒绝和丢弃不可鉴别的通信网通信数据；3)是否支持应用指定的通信协议和数据内容格式检测的数据包过滤；4)是否支持感知层既融入实体的恶意攻击、病毒/木马入侵的检测、是否具备报警功能；5)是否支持物理拆卸的网络报警功能。f)感知层接入实体是否提供安全事件进行日志审计1)感知层接入实体的接入鉴别失败；2)感知层接入实体的访问用户登录失败；63)感知层接入实体的入侵、拆卸灯等报警信息。8应用层安全检测方法25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》中信息安全性要求，分别从业务软件系统的保密性、完整性、抗抵赖性、可核查性、真实性以及依从性进行安全检测。a)保密性检测内容1)验证软件产品是否具有对系统正常访问的控制能力，依据安全策略和用户角色设置访问控制矩阵，用户权限应遵循“最小权限原则”，例如管理员不应具备业务操作权限，不同账号之间形成相互制约关系，例如系统审计人员不应具有系统管理权限，保证得到授权的人或系统能正常访问相关的信息和数据。2)测试系统是否进行用户身份鉴别，并在每次用户登录系统时进行鉴别。3)测试软件鉴别信息是否为不可见，且具有相应的抗攻击能力，并在存储或传输时用加密方法/具有相同安全强度的其他方法进行安全保护4)验证数据在传输过程中不被窃听，对整个通信过程中的整个报文或会话过程进行加密，如采用3DES（三重数据加密算法）、AES（高级加密标准）和IDEA（国际数据加密算法）等加密处理。5)明确区分系统中不同用户权限，系统不会因用户的权限的改变造成混乱。6)合适的身份认证方式，用户登陆密码是否是可见、可复制，密码的存储和传输安全，密码策略保证密码安全7)测试系统是否对不成功的鉴别尝试的值（包括尝试次数和时间的阀值）进行预先定义，并明确规定达到该值时是否采取了具有规范性和安全性的措施来实现鉴别失败的处理。8)软件应能防止对程序和数据的未授权访问（不管是无意的还是故意的）。b)完整性检测内容1)验证对软件产品是否具有对未授权用户非法访问的控制能力。2)采用专业测试工具，开展“渗透测试”、“漏洞扫描”等手段，在模拟非法入侵攻击事件的条件下，验证软件产品是否有控制和处理能力。3)验证软件产品对非授权人创建、删除或修改信息是否有控制处理能力。4)软件应能识别出对结构数据库或文件完整性产生损害的事件，且能阻止该事件，并通报给授权。5)系统数据的完整性、可管理性可备份和恢复能力，数据传输、数据使用、数据存储的完整c)抗抵赖性检测内容1)测试软件是否具有在请求的情况下为数据原发者提供数据原发证据的功能；2)测试软件是否具有在请求的情况下为数据接收者提供数据接收证据的功能；3)测试软件是否使用数字证书等方式保证用户的身份认证，在收到请求的情况下为数据原发者或接受者提供数据原发和接收的证据。4)测试软件是否具备完整且无法篡改的审计记录，确保用户操作可经过审计及追踪。系统操作日志/审计、异常日志、告警日志，审计/日志的完整性、保密性。5)验证审计日志的管理，日志不能被任何人修改和删除，能够形成完整的证据链。d)可核查性检测内容71)测试系统是否将用户进程与所有者用户相关联，使用户进程行为可以追溯到进程所有者用户。2)测试系统是否将将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服务要求者用户。3)测试系统或软件的审计模块，检查模块是否具有完善的安全审计功能。考察启用安全审计功能后，覆盖用户的多少和安全事件的程度，覆盖到每个用户活动，日志记录内容至少应包括事件日期、事件、发起者信息、类型、描述和结果等，审计跟踪设置是否定义了审计跟踪极限的阀值，当存储空间被耗尽时，能否采取必要的保护措施。4)账户管理，包括账户唯一性、登录机制、密码管理策略。5)会话管理，设计登录成功使用新的会话；设计会话数据的存储安全；设计会话数据的传输安全；设计会话的安全终止；设计合理的会话存活时间；设计避免跨站请求伪造。e)真实性检测内容1)验证软件是否具有当前使用系统的用户列表和配置表。2)验证软件在系统的访问历史数据库中记录的访问登录记录是否完整3)检查软件是否具有用户使用系统的历史日志及日志管理功能。4)在模拟攻击事件的入侵的情况下,验证软件的日志内容是否有相关记录。5)检查软件中的"用户访问系统和数据"的记录内是否包括防止病毒的"病毒检测记录"。f)依从性检测内容1)产品或系统遵循与信息安全性相关的标准、约定或法规以及类似规定的程度。2)检查软件产品的信息安全性是否遵循了所实施法规、标准和约定。9检测技术根据被测产品的特点，采用功能验证、漏洞扫描、模拟攻击等方法，采用安全渗透测试（如SQL注入漏洞，跨站脚本漏洞，文件上传漏洞，越权漏洞，敏感信息泄漏漏洞，失效的身份认证和会话管理漏洞，安全配置错误漏洞，未验证的重定向和转发漏洞等），验证身份认证、传输安全、安全审计、资源控制、数据安全等，是否存在潜在的安全性缺陷。从保密性、完整性、抗抵赖性、可核查性、真实性、信息安全性的依从性等方面对产品的信息安全性进行测试，并将信息安全性测试结果与将信息安全性要求比较，评价产品的信息安全性的符合性。根据智能物联网安全指标不同测试技术也不同，主要包括如下：a)感知层安全测试技术采用频谱分析仪对感知层中的无线通信系统、信号发生器、电磁干扰等进行信号侦测和分析。使用频谱分析仪对信号失真度、调制度、普纯度、频率稳定度、交调失真等信号参数进行测量，从而对物联网系统中的干扰、信号传输性能、抗干扰能力等项目进行检测。b)网络层安全测试技术1)测试采取的防护措施是否正确装配好，有关系统的补丁是否打上；2)模拟非授权攻击，看防护系统是否坚固；3)采用成熟的网络漏洞检查工具检查系统相关漏洞（即用专业的黑客攻击工具攻击试一下，现在最常用的是NBSI系列和IPhackerIP4)采用各种木马检查工具检查系统木马情况；5)采用各种防外挂工具检查系统各组程序的外挂漏洞；6)通过对协议数据帧进行抓取，采用专用文件格式描述和解析协议数据包结构，经过对协议文件的预处理、协议内容解析，从而分析出协议中是否包含加密功能、是否具有序列标志8位、是否具有完整性校验位等与安全有关的协议信息。协议分析通常由检测工程师使用协议分析工具并对结果进行人工分析完成。c)业务应用层安全测试技术（用户认证安全测试）1)明确区分系统中不同用户权限；2)系统中会不会出现用户冲突；3)系统会不会因用户的权限的改变造成混乱；4)用户登陆密码是否是可见、可复制；5)是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）；6)用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系d)数据安全测试1)系统数据是否机密；2)系统数据的完整性；3)系统数据可管理性；4)系统数据的独立性；5)系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）。e)web应用安全测试1)使用测试工具明鉴Web应用弱点扫描器，对web应用进行弱点扫描。使用明鉴网站恶意代码检查工具对源文件进行扫描。2)安全渗透测试，采用安全扫描器对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击，目的是侵入系统并获取系统信息，并将入侵的过程和细节总结编写成测试报告，由此确定存在的安全威胁，并能及时提醒安全管理员完善安全策略，降低安全风险。主要针对以下漏洞开展测试：系统层漏洞，如口令破解、嗅探、远程溢出以及已知木马后门探测和利用