开发者学习笔记【阿里云物联网助理工程师认证(ACA):信息安全组件功能介绍(四)】
课程地址:https://edu.aliyun.com/course/3112060/lesson/18986
信息安全组件功能介绍(四)
六、IoT 安全运营中心介绍
物联网安全运营中心 -Link SOC(Security Operations Center) ,帮助管理员识别和消除 IoT 系统潜在的安全风险,保障 IoT 系统运行过程中的安全性。
IoT 安全中心通过“安全检测、安全合规、安全防护、安全分析”帮助物联网系统的建设者/运营者对多品类、低功耗、广泛分布的设备/网关构建端到端的数据安全可信体系,实现物联网系统“可信设备、可信环境、可信数据、可信业务”的目标,提升安全运营管理效率。
图为 IoT 安全运营中心的一个界面图,从图里面可以看到威胁的统计,还有未处理的威胁警告,未处理的安全事件,未修复的安全漏洞等等,还有安全状态,高安全、多安全、低安全的有多少,还有资产统计,未保护的有多少,网关、设备、容器等有多少,预警数据有哪些,安全漏洞、安全状态、安全运营等相关信息都可以在安全运营中心里看到。
1.IoT 安全运营中心安全检测
(1)威胁检测
可以通过威胁概览了解 IoT 安全中心支持的威胁检测项、已产生的威胁告警总量、已经处理的威胁数量、未处理的威胁数量。
可以通过告警等级分布图查看一段时间内每天产生的告警数量、告警等级的分布,通过详细的告警列表查看告警的具体信息
只有通过安全分析自定义添加的威胁检测任务可以制除,系统自带的威胁检测任务无法删除。基础安全检测任务,无法停用或删除。
基础安全检测任务包括:设备连接未加密、低版本 TLS 协议、设备身份信息泄漏和冲突、设备身份信息泄露(一型一密)、设备身份暴力破解、设备身份验证失败、设备异地连接检测
(2)Linux 基础检测
仅对操作系统为 Linux 的设备有效。操作说明如下。
登录 IoT 安全中心控制台。
单击安全检测-> Linux 基础检测->立即检测,对所有设备启动 Linux基础检测。
检测完成后生成最新的检测结果(会覆盖历史检测结果)。
单击详情查看不满足检测项要求的设备列表,获取修复建议。
2.IoT安全运营中心安全合规
(1)适用范围
等保合规的检测项基于《等保2.0》通用、物联网扩展中对物联网感知节点/网关节点的安全要求进行检测,覆盖20个控制面中的49个控制点。
(2)等保合规自检
登录 IoT 安全中心控制台。
单击安全合规->等保合规->立即检测,对所有设备启动等保合规自检
检测完成后生成最新的检测结果(会覆盖历史检测结果)
检测项不符合要求时,可以参照修复建议进行修复。
单击检测项对应的“查看设备”获取不符合检测项的设备列表以及不符合的原因。
3.IoT 安全运营中心安全防护
(1)物联网身份
IoT 设备身份认证 ID² :管理,分配,统计
安全 RFID 标签是烧录了可信数据的物理标签,利用数据可信技术帮助识别伪造的、篡改的标签,设备或应用可以通过读取)扫描获取标签的信息,并调用安全RFID标签服务验证标签数据是否完整、可信。
(2)漏洞检测和修复
漏洞展示所有产品检测到的漏洞信息,包括:漏洞数量、修复率、修复状态,您可以执行“修复“动作将补丁更新到指定的产品中。
首次漏洞修复建议执行灰度部署并进行验证,验证通过后再次执行”修复“。
灰度部署是原有的程序平滑过渡到新的更新程序的一种发布方式,原来的程序继续运行,漏洞修复程序继续运行,如果漏洞修复程序没有什么问题则扩大漏洞修复程序的执行范围,如果在灰度部署期间发现问题,可以及时进行调整,避免原有应用程序产生影响。
第三个修修复指令只有在线的设备可以接收,不在线的设备在下次在线后会接收到”修复“指令。
(3)固件加固
固件加固是通过对 ELF 二进制文件进行多个维度的加固处理,提升物联网设备固件的安全水位,以对抗逆向工程与漏洞利用。
固件加固主要用于由 C、C++ 等高级语言编译出的 Linux 平台下的ELF 程序,如静态库、动态库、可执行文件(.o,.so,bin 等)。
固件加固不依赖于开发环境和源代码,在黑盒场景下,以“无 agent、无 SDK、无引入、零成本”的方式,以少量性能损失及代码膨胀为代价,为核心代码和敏感数据提供保护。
(4)适用范围
支持文件格式:ELF 文件(包含可执行文件、静态库文件、动态库文件)。
支持的平台: Linux,RTOS (部分场景支持)。
支持的指令集: ARM、ARM64、Thumb、Thumb2
(5)设备行为锁定
开启设备行为锁定后,IoT 安全中心基于设备的历史行为自动拒绝可疑的、不安全的行为,在保证设备/网关可用性的同时阻止恶意代码/指令的运行。
执行设备行为锁定前,您可以通过“详情”了解哪些行为将被允许执行。除了这些行为之外,其他行为都会被 IoT 安全中心阳断并且上报为“异常事件”。
可以随时关闭“设备行为锁定”,关闭后所有行为都不会被阻断,但是“详情”之外的行为依然被上报为“异常事件”。
4.IoT 安全运营中心安全分析
IoT 安全中心基于设备的行为分析筛选出存在异常的行为,这些行为可能是攻击者发起攻击的前奏,也可能是潜伏恶意程序开始动作的表现。IoT 安全中心从系统对象、进程行为、网络进出三个维度识别出异常事件。可以通过异常事件掌握每一个异常行为的详细信息并设置处理策略。IoT 安全中心基于处理策略自动响应后续的异常事件。
完整的处理策略包括匹配规则(事件)、对应的处理动作、策略应用范围。可以根据实际业务场景设置处理策略。
(1)触发条件
普通模式:只针对特定的事件进行匹配;
高级模式:您可以通过通配符设置匹配规则,事件筛选支持的通配符操作。
匹配对象 |
支持的通配符 |
示例 |
文件路径或进程 |
单个字符用?表示; 同一个路径内的任一字符用*表示; 任意层路径用**表示。 |
/system/dps/etc/*
|
IP地址 |
支持子网掩码; 多个IP/IP段用逗号,分隔; 一组连续的 IP用短横线-连接 |
192.168.1.0/24,192.168.2.1-192.168.2.100 |
(2)处理动作
处理动作是异常事件命中安全策略时的响应动作,包括告警、阻止、允许
告警:本次不处理,后续再发生仍然会上报为异常事件。异常事件默认处理策略为:告警。
阻止: 后续同样的事件发生时,SOC 会进行阻断操作。
允许:后续同样的事件发生时,SOC 不做阻断处理且不再上报为异常事件。
只有在线的设备能够接收处理策略,离线设备要等到下次在线时才能接收处理策略。
(3)系统管理
操作日志,操作日志记录了所有管理员(子账号)在 IoT 安全中心的操作事件,详细记录了操作的对象和动作。
图中记录操作的时间、操作的类型、操作者、操作具体内容
任务管理,可以通过任务管理跟踪提交到 IoT 安全中心的持续性、周期性的任务。例如,固件安全检测任务。通过任务管理了解后台任务的状态并获取任务产出/任务结果。
通知设置,可以根据实际要需求选择邮件通知条目。异常风险通知: 每隔一小时向邮件列表中的邮箱发送一封异常风险汇总邮件。邮件中汇总的风险为近1小时产生的新风险。漏洞库更新通知:当检测到可修复的漏洞时,会向邮件列表中的邮箱发送通知邮件。邮件中汇总的漏洞为近1小时产生的新漏洞。
5.IoT 安全运营中心应用场景
安全开发流程中的安全自查,物联网设备/网关的开发者完成设备固件开发、应用开发后,可以提交固件进行安全自查,也可以通过集成安全 SDK 对实际的物联网设备/网关在实际业务中进行安全自查,通过安全自查识别潜在的安全威胁,获取修复建议完成安全防护。
等保合规安全自检和整改,物联网系统作为等保的测评对象,为满足等保(物联网扩展要求)需要对物联网感知层设备、网关节点采取相应的安全防护措施。通过 IoT 安全中心进行等保合规自检,根据自检结果集成 IoT 安全中心对应的安全能力完成整改。
设备接入时验证身份,物联网系统只允许合法授权的设备接入,拒绝非授权、非法的设备接入。IoT 安全中心提供产线安全分发、唯一身份标识、身份认证能力,帮助您识别伪造的/不受信的设备。推荐您使用 ID² 安全芯片/模组,提供硬件芯片级的可信身份。
敏感数据、危险控制指令的防篡改和防重放,物联网设备接收云端的控制指令并执行相应的动作,利用设备唯一身份对应的 rootkey 可以实现端到端的数据传输加密有效防止数据算改/重放攻击。
对物联网设备/网关进行安全巡检,通过 IoT 安全中心可以持续性的为物联网设备/网关提供安全防护,基于设备行为分析实时预警设备/网关中潜在的安全威胁和攻击行为,帮助您随时掌控物联网设备/网关的安全状态、快速响应安全事件。
安全检测
通过设备固件程序检测潜在的安全威胁
适用场景
对智能设备进行安全评估。
对接固件检测挨口,触发安全威胁检测。
直连设备
通过阿里云 IoT 安全中心对设备进行统一安全管理
适用场景
设备可以连接公共云,通过 IoT 安全中心完成安全检测&防护。
等保 2.0 安全合规整改(公共云)。
安全管理一体机
通过 IoT 安全管理网关对混合云设备进行统一安全管理
适用场景
智能设备不能访问公共云,需要在网页中部署阿里云 IoT 安全管理网关完成安全检测&防护。
对等保 20 安全合规整改 (混合云)。
第一个是固件检测,第二个是直连设备,通过 IoT 安全中心对设备进行统一安全管理,第三个是安全管理一体机,通过 IoT 安全管理网关对混合与设备进行统一安全管理。
接入类型 |
使用方式概述 |
适用场景 |
(固件)安全检测 |
对设备无侵入的安全威胁检测,您只需要将固件提交到 IoT 安全中心即可完成安全威胁检测。 |
对智能设备固件进行安全评估。对接固件检测接口,触发安全威胁检测。 |
直连设备 |
备通过广域网连接方式访问 IoT 安全中心的安全服务。设备端需要集成安全 SDK 用于身份认证、数据加密、安全威胁检测和防护。 |
设备可以连接公共云,通过 IoT 安全中心完成安全检测&防护。设等保2.0安全合规整改 (公共云) |
安全管理网关 |
设备无法直接访问 IoT 安全中心,需要采购 loT 安全管理网关部署到您的网络环境中,通过安全管理网关对网络中的设备进行身份认证、数据加密安全威胁检测和防护。 |
智能设备不能访问公共云,需要在网络中部署阿里云 IoT 安全管理网关完成安全检测&防护。对等保2.0安全合规整改 (混合云)。
|
6.IoT 安全解决方案
为物联网系统提供全链路数据安全、可信解决方案。
IoT 区块链可信应用系统
面向 IoT 高价值教据的区块链分布式应用服务,为企业级可信应用场景提供可信,一站式,多层级的 IoT 数据上链以及链上流转服务。
IoT 安全等保2.0方案
阿里云 IoT 安全提供的产品和服务,满足等保2.0二级、三级的物联网扩展部分要求的安全措施。
IoT 安全 网关安全方案
为物联网系统的边缘节点、智能网关提供安全防护方案。
(1)IoT 区块链可信应用系统
阿里云 IoT 区块链可信应用系统 LTL(Link Trusted Ledger),是面向 IoT 高价值数据的区块链分布式应用服务。为企业级可信应用场景提供可信、一站式、多层级的 IoT 数据上链以及链上流转服务,在云-边-端协同构建全链路可信数据安全解决方案,为企业级 IoT 分布式应用安全护航。
IoT 区块链核心应用系统的架构图主要包含了四个方面,最上面一部分是 IoT 区块链应用场景,可应用于农业生产溯源、工业品运维、园区安防巡检、环保监控、物流仓储等。下面是设备用户业务系统 IoT 区块链可信应用系统的一个关系图体, IoT 区块链可信应用系统包括了三部分,第一部分是区块链应用 API,向应用提供 API 接口来调用基础功能,第二部分是基础功能,包含了访问控制、数据隐私等等,第三部分是区块链基础平台,这三部分组成了 IoT 区块链可信应用系统。用户业务系统通过 LTL 提供的开放接口来调用区块链可信用系统的服务或者用户业务系统 IoT 设备间通过设备内置的 LTL安全 SDK 与设备进行安全数据交互,IoT 设备也可以通过区块链可信用系统的 LTL 开放接口使用区块链可信应用系统的服务。
(2)IoT 区块链可信应用系统应用场景
工业表计产品可信评测与质量检测:打通标准测评机构、工业表计生产商、运营商、质量检测机构之间的质量数据,实现全生产链路的质量数据、合规数据的追踪(所有数据都是可追踪的,互相之间可以进行监督检查,避免数据造假的问题。)
农业生产溯源:结合 IoT 设备在农产品的“产、供、销”各环节,将物理信息转化为数字信息,通过 IoT 设备的身份认证、传输防篡改等安全防护手段,将数据对接到区块链,形成农产品流转过程中全链路的数据可信与数据追溯。(追溯产品从生产到销售的所有数据进行收集,并且能够对产品的来源及去向进行追查。)
(3)产品优势
IoT 设备直采,支持 IoT 设备直接采集物理设备的数据,通过全链路的 IoT 安全能力,保障数据可信上链。(采集到的数据来源于安全认证的设备,并且设备在传输过程中它不会被篡改)
可信存证,支持对 IoT 数据源的环境指纹,数据指纹和设备指纹等关键取证参数的采集,并通过安全的数据上链路径保障数据存证的可信。(保证参数不是伪造而来的。)
优势协同。
可信算力协同,区块链上的可信算力与链下 IoT 终端节点或网关节点基于安全芯片、Link TEE 以及安全模组的可信算力协同保障核心数字资产安全。
分布式应用协同,区块链上的智能合约与 IoT 终端设备的区块链应用 SDK,协同支撑端到端的应用层数据可信流转。
(4)IoT 区块链可信应用系统,业务管理方通用操作
成员管理
业务管理方可添加成员共同管理业务区块链,被添加成员也具有在该业务链上进行数据存证的权限。业务管理方有添加成员和维护成员的权限。
成员被锁定后,将无法再访问该业务链,解锁成员后,成员可重新访问该业务链。
IoT 数据源组管理
用户业务系统在进行数据存证过程中,需要先把 IoT 设备对应的 IoT 数据源组在 LTL 平台注册,注册授权成功后,可以将相关 IoT 设备采集的数据向区块链上发送。
添加 IoT 数据源组后,IoT 数据源组的设备则可上传数据到该业务链。
成员可以添加 IoT 数据源组到该业务链,业务管理方可以管理成员添加的 IoT 数据源组和 IoT 设备。
设备授权管理
添加 IoT 数据源组后,业务管理方可以在数据源管理页面,管理该IoT 数据源组下已上传数据的设备,对 IoT 设备进行授权和取消授权操作。
设备默认是已授权状态,IoT 设备授权状态可进行数据上链存证,设备在取消授权状态,不允许进行上链存证操作。
查看授权信息
获取 LTL 平台权限后,可以在授权信息页面查看已开通的套餐及资源使用情况。业务管理方添加的成员也可以查看授权信息。
(5)业务使用方通用操作
添加 IoT 数据源组。用户业务系统在进行数据存证过程中,需要先把 IoT 设备对应的 IoT 数据源组在 LTL 平台注册,注册成功之后,然后才能上链 IoT 设备采集的数据。
添加 IoT 数据源组后,该 IoT 数据源组的设备可上传数据到该业务链。
IoT 数据源组添加成功之后,默认是已授权状态,IoT 设备可以进行数据上链存证。业务使用方无状态修改权限,由业务管理方管理授权状态。
查看设备列表。如果该设备所属 IoT 数据源组之前已成功注册,业务使用方的 IoT 设备在上传数据后,可在此查看 IoT 数据源组下已上传数据的设备列表。设备默认是已授权状态,业务使用方无状态修改权限,由业务管理方管理授权状态
查看授权信息。查看业务管理方开通的套餐及资源使用情况,包括资源总额度,已使用情况,自身使用情况和未使用情况