1+X網絡安全項目在物聯網專業的運用

鄧坤

（云南能源職業技術學院 云南省曲靖市 655001）

1 引言

物聯網（IoT）創造了一種新的范例，其中能夠相互通信和設備網絡推動企業中的新流程創新[1]。對物聯網系統的普遍且不斷增加的網絡安全攻擊已導致個人和組織在聲譽、財務和業務運營方面遇到各種各樣的問題。網絡攻擊的快速增長部分是由于IoT 設備在智能電網、環境監控、智能制造和物流等領域的迅猛增長。由于設備之間連接的動態和瞬態性質，能夠在IoT 系統中進行交互的多樣性和資源限制，因此IoT 的安全性管理具有挑戰性[2]。由于物聯網設備上的網絡攻擊數量不斷增加，物聯網安全法規不斷提高以及對安全性的關注日益增加，預計從2018年到2023年，全球物聯網安全市場將以33.7%的年增長率增長[4]。物聯網設備都存在安全限制，并且組織需要積極地進行投資以投資于物聯網網絡安全。

盡管安全措施薄弱，但是現有的風險評估方法不適用于諸如物聯網等動態系統[5]。例如，現有的風險評估方法不能充分設計用于醫療物聯網系統的1+X 網絡安全風險評估，而醫療物聯網系統的復雜性會使攻擊者面臨廣泛的攻擊點。圍繞標準平臺開發物聯網系統可以幫助組織制定物聯網安全措施，而不會無意中增加網絡風險[6]。物聯網1+X 網絡安全的目的是通過保護物聯網資產和用戶的網絡安全風險[7]。以前的大多數研究都集中在物聯網網絡安全的技術方面。但是，缺乏全面的風險管理框架來解決物聯網系統中復雜的1+X 網絡安全問題。在物聯網網絡安全風險管理差距的背景下，本文回顧了物聯網網絡安全技術和網絡風險管理框架。新的1+X 網絡安全技術不斷涌現，并為物聯網1+X 網絡安全管理提供了機遇和挑戰。

2 1+X網絡安全項目在物聯網系統的獨特性

鑒于網絡威脅和物聯網系統漏洞的獨特性，開發新的物聯網網絡風險管理框架需要了解物聯網1+X 網絡安全技術和現有的網絡風險管理框架。這項研究填補了物聯網1+X 網絡安全風險管理中的空白，并旨在引起對物聯網1+X 網絡安全風險管理感興趣的任何人的進一步興趣。例如，現有框架沒有向管理者提供任何資源分配方法。由于沒有資源分配方法，因此任何網絡投資決策都是缺乏直覺根據，擬議的物聯網網絡風險管理框架解決了這一缺陷。例如，隨著5G 的發展以及相關的支持5G 的IoT 開發的發展，網絡攻擊也將在支持5G 的IoT 服務中變得更加普遍，例如無人駕駛汽車，增強現實和虛擬現實以及智能患者監控[8]。隨著物聯網應用程序的迅速采用，管理人員需要了解網絡風險管理流程，以更好地為不斷發展的攻擊者做好準備。這項研究通過介紹可用于開發和部署安全的IoT 系統的風險管理框架在物聯網專業的運用。

3 物聯網架構中的1+X網絡安全

由于物聯網架構的每一層都有獨特的安全性問題并與其它層進行交互，因此應針對整個架構考慮安全措施。通過物聯網架構的視角對1+X 網絡安全技術進行的文獻綜述，有助于我們對物聯網1+X 網絡安全有一個系統的認識。以下內容基于物聯網專業的五層體系結構，并著重于層級1+X 網絡安全問題和解決方案。

3.1 感知層的1+X網絡安全

物聯網設備被設計為低能耗、輕量級的，但它們通常會實時從環境中收集大量數據，因此應用了各種節能方法。諸如機器學習之類的技術通常用于從生成的數據中做出可靠的推斷。但是，由于設備的資源有限，將計算密集型安全性和隱私措施嵌入輕量級的IoT設備已成為一項挑戰。感知層的主要安全問題之一是克隆用于網絡攻擊的設備芯片。例如，克隆可用于發起分布式拒絕服務（DDoS）攻擊，物理不可克隆功能（PUF）已用于芯片的身份驗證和識別以及加密密鑰生成[9]。PUFs 芯片通過防篡改、設備識別、認證和防止克隆設備來增強安全性。由于物聯網設備的組件通常是在資源受限的組件上實現的，因此需要輕量級的PUF 設計。雖然PUF 不可克隆，但是一旦提取PUF 密鑰，就可以克隆它。因此，提出了許多基于PUF 的身份驗證協議。物聯網1+X 網絡安全的增強需要手動執行任務，并與制造商和第三方一起解決風險。物聯網1+X 網絡安全需要考慮設備安全、數據安全和個人隱私。認證IoT 設備的安全級別對于實現IoT 設備的接受至關重要，但是IoT 設備的動態性和異構性使得從技術和法律角度來看，1+X 網絡安全認證框架的開發都很復雜。

3.2 感知層的1+X網絡安全

在物聯網系統中，網絡層對于整體物聯網安全性能起著至關重要的作用，因為通過網絡進行安全的數據傳輸對于設備，處理站和整個物聯網系統的功能至關重要。入侵檢測系統（IDS）用于檢測攻擊，采取糾正措施并監視數據包。IDS 部署了各種入侵檢測技術：用于異常檢測的統計分析；行為和嘗試的入侵對入侵進行分類的進化算法；協議驗證，對可疑行為進行分類；數據挖掘技術，例如隨機森林法；深度學習來對網絡違規模式進行分類。深度學習模型顯示出以97.16%的最高準確率檢測DDoS 攻擊的有希望的結果。據估計，1+X 網絡安全市場的1+X 網絡安全部分將在2018年至2023年期間構成1+X 網絡安全的最高組成部分，而物聯網應用程序的日益普及是增長的關鍵因素[10]。

3.3 處理層的1+X網絡安全

5G、無服務器和霧計算物聯網系統等新技術的發展應該能夠針對各種安全網絡攻擊提供更好的保護。機器學習和人工智能還將顯示出巨大的潛力，可以為IoT 系統提供比傳統方法更高的實時預防、檢測和恢復措施。物聯網安全平臺需要提供端解決方案，以提供安全的物聯網系統，以統一多個供應商的異構設備和應用程序。云計算和霧計算已成為處理層的標準技術，用于同時存儲和處理從大量IoT 設備生成的大型數據流。霧計算使用網絡設備對收集到的數據進行延遲感知處理。在霧計算中，可以在霧節點上使用IDS 來檢測入侵。在霧計算中使用IDS，虛擬蜜罐設備（VHD）和Markov 模型的混合方法在識別惡意設備以及降低誤報率方面顯示出令人鼓舞的結果[11]。處理層可以通過將數據發布和存儲為系統中每個用戶利用區塊鏈。

3.4 應用層的1+X網絡安全

監控和控制、大數據和業務分析以及信息共享和協作是廣泛使用的企業物聯網應用程序。智能家居、智能交通、智能健康和智能電網等不同的應用領域需要不同的安全管理方法。例如，智能健康處理高度個性化的數據，并需要高級別的安全性和隱私保護。由于物聯網應用程序可能歸第三方服務提供商所有，因此這些應用程序上的網絡攻擊可能會影響其他相互關聯的應用程序的安全性。通過各種解決方案解決，例如密鑰管理、訪問控制、異構網絡身份驗證、私有信息保護和數據安全保護。

3.5 服務管理層的1+X網絡安全

與其它層的技術風險不同，服務管理層的網絡安全側重于1+X網絡安全的人員和組織方面。信任和隱私問題與物聯網服務管理有關，因為這些問題影響物聯網服務和應用程序的使用。安全和隱私威脅在云服務的使用中變得普遍，必須通過保護設備和數據來保護受個人身份信息（PII）處理影響的個人隱私。在物聯網開發的早期階段納入隱私保護措施對于建立信任和促進物聯網系統的采用至關重要。但是，由于大多數物聯網設備能耗低、重量輕，因此保護安全性和隱私性的任務頗具挑戰性。一旦確定了網絡解決方案并在IoT 網絡評估層做出資源分配決定，就開始進行IoT 網絡績效活動。盡管該層對于整個風險管理很重要，但是討論將是簡短的，因為該活動主要是遵循在風險評估層做出的決定。物聯網網絡性能層的三項主要活動是實施、監視和控制以及持續改進。

4 1+X網絡安全風險管理在物聯網專業的應用

在學術界和行業中，有關物聯網1+X 網絡安全風險管理在物聯網專業的應用的研究較少。因此，這篇文獻綜述不僅限于物聯網中的1+X 網絡安全風險管理。研究大致分為網絡安全風險管理的定性和定量方法。研究物聯網1+X網絡生態系統由利益相關者組成，他們通過協作和競爭方式與物聯網系統進行交互。物聯網網絡生態系統的利益相關者包括物聯網網絡安全技術開發人員、外部用戶和標準化組織。物聯網網絡生態系統的變化需要網絡安全管理人員迅速關注，以制定適當的安全響應措施來保護物聯網系統。

此層的網絡安全技術是指內部網絡技術資產。物聯網網絡生態系統中的物聯網網絡安全技術開發人員具有高度相關性，可以幫助組織找到并建立強大的物聯網網絡安全技術。內部網絡安全技術應支持組織的總體網絡安全目標以及IoT 網絡安全目標。常見的物聯網網絡安全技術包括入侵檢測系統或入侵防御系統。網絡安全技術分為三大類：確保信息機密性的技術；檢測和應對在線威脅和漏洞的技術；以及檢測和應對網絡犯罪的技術。網絡安全技術伴隨著身份驗證，身份驗證涉及證書和憑據的管理。

4.1 1+X網絡安全風險管理的定性方法在物聯網專業的應用

有多個相互競爭和相互補充的風險管理框架。美國國家標準技術研究院（NIST）的網絡安全框架是最受歡迎的網絡安全框架之一。框架由框架核心，實現層和框架配置文件組成。框架核心描述了1+X 網絡安全計劃的五個功能在物聯網專業的運用。實施層描述了組織的網絡安全管理實踐，展示這些層中定義的網絡安全特定功能的程度。組織可以使用框架配置文件通過將當前配置文件與目標配置文件進行比較來確定改善其網絡安全狀態的機會。盡管NIST 網絡安全框架明確認識到與管理網絡安全風險相關的活動是針對特定組織的，但風險管理問題仍得到了一些解決。ISO/IEC 27005 是由國際標準化組織（ISO）和國際電工委員會（IEC）制定的一組標準，它為管理人員提供了實施和管理信息安全風險的指南和技術。雖然ISO/IEC 27005 提供了一系列結構化的活動序列，但并未直接采用任何特定的風險管理方法，并且組織應根據信息安全管理系統的類型，風險管理的狀態和特定于行業的安全問題。

4.2 1+X網絡安全風險管理的定量方法

本節回顧了一些專注于1+X 網絡安全風險管理定量方法的研究。定量方法傾向于將研究范圍縮小到網絡風險評估。貝葉斯決策網絡（BDN）被應用于1+X 網絡安全風險管理框架在物聯網專業的運用。該框架由幾個基本過程組成：風險評估、風險緩解以及風險驗證和監視，應該準確地完成這些過程以提高網絡的安全級別。BDN 對管理安全風險所需的信息進行建模，例如有關漏洞的信息、降低風險的對策以及在漏洞上實施這些措施的效果。在風險緩解過程中，使用改進的貝葉斯推理算法對風險緩解進行成本效益分析。他們的實驗表明，由于準確的風險評估和適當的風險緩解，他們的框架極大地幫助改善了網絡安全性。該框架的實施遵循一系列活動：啟動風險評估，識別和評估資產，識別網絡安全威脅，評估漏洞資產（維度）元組的破壞程度，測量風險并執行對策。但是，該研究沒有提供支出決策的操作細節，也沒有解釋如何在多個網絡安全項目之間分配財務資源。

5 結論

IoT 一直是智慧城市、智慧電網、智慧制造、智慧健康、無人駕駛汽車和無人機的基礎組件。隨著越來越多的連接設備被引入物聯網網絡，潛在的安全風險呈指數增長。物聯網系統缺乏安全性，為入侵者和黑客提供了訪問關鍵基礎架構和敏感數據的機會。但是，由于缺少物聯網1+X 網絡安全風險管理框架，組織很難對物聯網網絡風險管理和投資做出有效的決策。本文回顧了物聯網1+X 網絡安全技術和網絡風險管理框架。然后，本文提出了物聯網網絡風險管理框架在物聯網專業的運用：物聯網網絡生態系統層、物聯網網絡基礎設施層、物聯網網絡風險評估層和物聯網網絡性能層。具體來說，物聯網網絡風險評估層可識別，量化并確定物聯網網絡風險的優先級。