隨著物聯(lián)網(wǎng)的快速發(fā)展，其面臨的安全形勢比傳統(tǒng)互聯(lián)網(wǎng)時代的更為嚴峻。物聯(lián)網(wǎng)終端這個新角色的加入，它們的安全風險威脅著所有接入物聯(lián)網(wǎng)的設(shè)備。尤其是在工業(yè)物聯(lián)網(wǎng)領(lǐng)域，往往需要集成已部署的傳統(tǒng)傳感器構(gòu)建工業(yè)物聯(lián)網(wǎng)底層。傳統(tǒng)傳感器本身原有的漏洞，在新的物聯(lián)網(wǎng)環(huán)境中更加危機四伏。本文淺顯的討論了工業(yè)物聯(lián)網(wǎng)終端面臨的安全威脅，介紹了中國AII組織和美國IIC分別發(fā)布的工業(yè)物聯(lián)網(wǎng)安全實施框架。

工業(yè)互聯(lián)網(wǎng)終端面臨的安全威脅

目前物聯(lián)網(wǎng)終端的安全建設(shè)尚有很多工作要完成，尤其是傳統(tǒng)的部分終端，由于歷史原因，終端廠商在設(shè)計生產(chǎn)時并沒有考慮到物聯(lián)網(wǎng)應(yīng)用場景，導致終端在集成進物聯(lián)網(wǎng)中時，成為物聯(lián)網(wǎng)系統(tǒng)不可忽視的安全漏洞。

工業(yè)物聯(lián)網(wǎng)終端是整個工業(yè)物聯(lián)網(wǎng)的基礎(chǔ)層，該層包含了功能各異的傳統(tǒng)傳感器、新型智能終端等節(jié)點。工業(yè)物聯(lián)網(wǎng)終端的主要安全隱患包含但不僅限于：

·硬件設(shè)備攻擊

終端硬件的組件和配置被篡改。如果在硬件架構(gòu)設(shè)計上未作安全考慮，在攻擊者接觸到終端硬件后，可以利用工具直接從硬件中提取數(shù)據(jù)，查找漏洞或分析破解加密系統(tǒng)。攻擊者甚至直接克隆，篡改電路，加裝惡意設(shè)備，繞過軟件上的種種安全措施，致使數(shù)據(jù)外泄。

·對操作系統(tǒng)的攻擊

系統(tǒng)啟動進程被截獲或覆蓋。攻擊者通過修改終端硬件平臺固件之間的接口，如UEFI或BIOS，從而改變終端功能。

劫持Guest操作系統(tǒng)或進程管理程序。這樣攻擊者可以控制應(yīng)用程序的硬件資源分配，進而可以改變終端系統(tǒng)的行為，最終可以繞過安全控制，獲得對硬件和軟件資源的訪問特權(quán)。

·對業(yè)務(wù)應(yīng)用的攻擊

非法更改應(yīng)用程序或公共API。攻擊者通過執(zhí)行惡意應(yīng)用程序或重寫應(yīng)用程序API達到攻擊目的。

利用部署或升級程序的漏洞。錯誤和有漏洞的部署和升級程序也可能作為滲入點，例如，錯誤或惡意的安裝腳本和被截獲破解的數(shù)據(jù)通信，都能被攻擊者利用，進而惡意更新終端上的可執(zhí)行腳本或軟件包。

·網(wǎng)絡(luò)攻擊

海量的惡意數(shù)據(jù)訪問請求，即DDoS攻擊。如果不能正確因?qū)DoS攻擊，可能會妨礙終端功能的及時準確的執(zhí)行。

開放不必要的網(wǎng)絡(luò)服務(wù)和接口，通信協(xié)議無加密或加密強度過低，預留的維修后門及通用的初始化弱口令等。

·其他類型的攻擊

開發(fā)時引入的漏洞。這些漏洞往往會在代碼的架構(gòu)、設(shè)計或編寫過程中引入。例如引入了安全程度較低的或惡意的第三方代碼庫，使用了不受信任的開發(fā)框架，都可能導致漏洞或惡意代碼出現(xiàn)在終端的運行軟件中。

工業(yè)物聯(lián)網(wǎng)安全實施框架

在工業(yè)物聯(lián)網(wǎng)建設(shè)時，集成的終端往往種類繁多，并且可能來自于多家廠商，因此為了保障工業(yè)物聯(lián)網(wǎng)系統(tǒng)的安全，需要在統(tǒng)一安全標準和安全建設(shè)實施方面做更多努力。作為工業(yè)物聯(lián)網(wǎng)的底層，終端并非獨立存在，其安全威脅的也應(yīng)放到整個工業(yè)物聯(lián)網(wǎng)系統(tǒng)的安全框架中解決。美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)發(fā)布了其制定的工業(yè)互聯(lián)網(wǎng)安全框架《Industrial Internet of Things Volume G4: Security Framework》(IISF)，我國的工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟(AII)業(yè)已起草發(fā)布了《工業(yè)互聯(lián)網(wǎng)安全框架》。

從功能視角分析IISF，其包含了六個相互關(guān)聯(lián)的功能塊,并分為三層。頂層包含四個核心安全功能塊，即端點保護、通信&連接保護、安全監(jiān)測和分析以及安全配置管理。中層是數(shù)據(jù)保護層，底層是安全模型和策略。

美國IIC發(fā)布的工業(yè)物聯(lián)網(wǎng)安全實施框架

工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟(AII)起草發(fā)布的《工業(yè)互聯(lián)網(wǎng)安全框架》，從防護對象、防護措施及防護管理三個視角構(gòu)建工業(yè)互聯(lián)網(wǎng)安全框架。針對不同的防護對象部署相應(yīng)的安全防護措施,根據(jù)實時監(jiān)測結(jié)果發(fā)現(xiàn)網(wǎng)絡(luò)中存在的或即將發(fā)生的安全問題并及時做出響應(yīng)。同時加強防護管理,明確基于安全目標的可持續(xù)改進的管理方針,從而保障工業(yè)互聯(lián)網(wǎng)的安全。

中國AII發(fā)布的工業(yè)互聯(lián)網(wǎng)安全框架

元心物聯(lián)網(wǎng)終端操作系統(tǒng)解決方案

物聯(lián)網(wǎng)終端具有不同于傳統(tǒng)嵌入式的單一性，也不同于手機等資源豐富設(shè)備。物聯(lián)網(wǎng)終端需要滿足：資源受限，安全，需求多樣性，物聯(lián)網(wǎng)通信，多種傳感器，硬件碎片化等諸多需求。元心IoT操作系統(tǒng)作為專為物聯(lián)網(wǎng)終端設(shè)計的操作系統(tǒng)，架構(gòu)設(shè)計充分考慮物聯(lián)網(wǎng)的場景需求。元心IoT操作系統(tǒng)內(nèi)核正在進行CC EAL5認證，是國內(nèi)首家進行軟件EAL5測評的操作系統(tǒng)內(nèi)核。

元心IoT操作系統(tǒng)的防護機制如下：

l、應(yīng)對硬件設(shè)備攻擊：

外設(shè)訪問控制，審計外設(shè)權(quán)限。

2、應(yīng)對操作系統(tǒng)和業(yè)務(wù)應(yīng)用的攻擊：

1)劃分用戶空間和內(nèi)核空間，可以限制用戶空間對cpu敏感指令的使用。

2)內(nèi)存溢出防護，審計內(nèi)核對象和驅(qū)動權(quán)限，線程隔離，線程級內(nèi)存保護。

3)擁有高特權(quán)級別，EL2(更高優(yōu)先級)，可以捕獲(trap)EL1(內(nèi)核)的越權(quán)行為(訪問內(nèi)存、寄存器、特權(quán)指令等)。

4)內(nèi)核完整性保護，虛擬化層的動態(tài)度量，確保上層內(nèi)核的運行時安全，抵御內(nèi)核攻擊。

5)高強度的域間隔離，物理級隔離(SMMU，兩階段頁表保證域間隔離，I/O隔離;EL2機制保證內(nèi)核與虛擬機隔離)。

除此之外，為提高適用性，元心IoT操作系統(tǒng)還有以下特性：

·穩(wěn)定性好：所有服務(wù)都運行于內(nèi)核之外

·集成方便：對于通信軟件協(xié)議棧，傳感器、通信模塊外設(shè)都以模塊形式替換，升級。

·裁剪性好：最小可適配8k內(nèi)存

·功能配置便捷：Kconfig菜單式配置功能選項

·移植性強：適用arm，X86，arc，xtensa，risc-v等各種平臺。

·原生支持各種通信協(xié)議LwM2M，BSD socket BLE ，Bluetooth, BLE(Bluetooth Low Energy), Wi-Fi, IEEE 802.15.4(low-rate wireless personal area network)，6Lowpan, CoAP, IPv4, IPv6, 和 NFC等協(xié)議

·系統(tǒng)設(shè)計了系統(tǒng)范圍線程管理sensor，通過channel及 trigger的機制靈活配置sensor

結(jié)語

工業(yè)物聯(lián)網(wǎng)中的信息安全，往往影響著功能安全和物理安全。因此在工業(yè)物聯(lián)網(wǎng)中，信息安全事故的發(fā)生可能會導致嚴重的連帶效應(yīng)。工業(yè)物聯(lián)網(wǎng)的信息安全漏洞被攻擊，可能引起工業(yè)安全相關(guān)系統(tǒng)或設(shè)備的功能失效。元心IoT操作系統(tǒng)實現(xiàn)了強安全可控與現(xiàn)有生態(tài)兼容的結(jié)合，是工業(yè)物聯(lián)網(wǎng)終端操作系統(tǒng)的一個不可忽視的解決方案。