校園物聯(lián)網(wǎng)應用的安全風險與防范措施

隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，校園物聯(lián)網(wǎng)應用和終端的普及，給校園的管理和教學科研的開展不僅帶來了便利，也提升了效率。然而由于物聯(lián)網(wǎng)的應用特性，使得其終端在園區(qū)內(nèi)的分布很分散，安全管理難度大，隨之而來物聯(lián)網(wǎng)終端的安全問題也越來越突出。本文旨在探討校園物聯(lián)網(wǎng)應用的安全風險、控制和防范措施建議，從物聯(lián)網(wǎng)的體系結(jié)構(gòu)出發(fā)，明確校園物聯(lián)網(wǎng)資產(chǎn)的定義，分析物聯(lián)網(wǎng)應用面臨的安全威脅，并提出具體的應對和防范建議。

一、物聯(lián)網(wǎng)應用的體系結(jié)構(gòu)

在進行物聯(lián)網(wǎng)應用的安全管理工作前，需要先了解清楚物聯(lián)網(wǎng)應用和系統(tǒng)在整個業(yè)務(wù)實現(xiàn)過程中的體系結(jié)構(gòu)和數(shù)據(jù)傳輸關(guān)系。

物聯(lián)網(wǎng)（Internet of Things， IoT）是一個由互聯(lián)網(wǎng)、傳統(tǒng)電信網(wǎng)、傳感器網(wǎng)絡(luò)等多種網(wǎng)絡(luò)組成的網(wǎng)絡(luò)，物聯(lián)網(wǎng)應用則是基于物聯(lián)網(wǎng)和物聯(lián)終端構(gòu)建的一系列業(yè)務(wù)場景應用系統(tǒng)，它允許物體與物體、物體與人、人與人之間通過信息傳感設(shè)備進行數(shù)據(jù)通信和交換，從而實現(xiàn)業(yè)務(wù)目標。物聯(lián)網(wǎng)應用的體系結(jié)構(gòu)可以分為以下幾個層面：

（一）感知層

通過各類傳感器、探測器等物聯(lián)終端，采集現(xiàn)場的數(shù)據(jù)信息。有些感知層終端還會負責對采集數(shù)據(jù)進行預處理。

（二）網(wǎng)絡(luò)層

負責將感知層收集的數(shù)據(jù)，通過各種高效安全和低成本的手段，傳輸?shù)綌?shù)據(jù)處理分節(jié)點或數(shù)據(jù)處理中心。

（三）處理層

按實際需要對收集到的物聯(lián)數(shù)據(jù)進行解析、轉(zhuǎn)換、存儲等處理，以提供應用側(cè)使用。

（四）應用層

將處理后的數(shù)據(jù)應用于具體的業(yè)務(wù)功能，或?qū)?shù)據(jù)進行對外交換和共享消費。

二、校園物聯(lián)網(wǎng)資產(chǎn)的識別與定義

資產(chǎn)識別和定義是安全風險評估的核心環(huán)節(jié)，而物聯(lián)網(wǎng)應用是一個比較廣泛的概念，其中的物聯(lián)網(wǎng)資產(chǎn)的定義范圍比較廣。在實際的安全管理工作中，需要根據(jù)已有或規(guī)劃中的業(yè)務(wù)場景來定義物聯(lián)網(wǎng)資產(chǎn)的范圍，需要給物聯(lián)網(wǎng)資產(chǎn)重新進行范圍定義與分類分級，以便更好地對其進行后續(xù)的風險評估和安全管理工作。在校園物聯(lián)應用中，按照資產(chǎn)層次分層包括有業(yè)務(wù)層、系統(tǒng)層、通信層、數(shù)據(jù)層、終端單元。

此外，每類資產(chǎn)也需要依據(jù)其重要性、影響度、可用性等維度進行綜合等級評價，綜合等級可根據(jù)安全管理的顆粒度進行劃分，綜合等級越高的資產(chǎn)，對物聯(lián)網(wǎng)應用與業(yè)務(wù)的安全影響因子就越大，在進行安全評估和風險分析的時候重點關(guān)注和制定特定的控制措施。

三、校園物聯(lián)網(wǎng)應用面臨的安全威脅

物聯(lián)網(wǎng)應用相對于傳統(tǒng)的應用，具有終端分布分散、采集數(shù)據(jù)敏感、對接方式多樣等特性，因此其面臨的安全威脅也相對于傳統(tǒng)應用更加復雜。以上述資產(chǎn)層次的劃分對其安全威脅進行歸納有以下幾方面：

（一）終端層

物聯(lián)網(wǎng)終端數(shù)量龐大且分散，大多采集終端都部署在無人值守的環(huán)境中，使得物理攻擊成為一種常見的威脅。攻擊者可以通過拆卸設(shè)備、分析硬件或干擾通信等方式，獲取敏感信息、破解終端功能、破壞或盜竊設(shè)備。此外物聯(lián)終端的供應商問題也不容忽視，很多終端都內(nèi)置了廠家的默認配置和默認口令，不進行初始化配置會導致巨大的安全風險。

（二）通信層

物聯(lián)網(wǎng)終端與邊緣處理節(jié)點和物聯(lián)中臺之間，因異構(gòu)和多樣性的特點，導致其可能同時存在多種通信協(xié)議和通信方式。可能存在的威脅包括有如通信協(xié)議的漏洞或缺陷、傳輸沒有加密、API缺乏有效鑒權(quán)、弱口令等。攻擊者會利用這些風險通過暴力破解、字典攻擊、偽造合法身份、監(jiān)聽、篡改或阻斷通信等方式獲得設(shè)備控制權(quán)，竊取或破壞數(shù)據(jù)。

（三）系統(tǒng)層

物聯(lián)網(wǎng)應用的系統(tǒng)層包括承載服務(wù)應用和數(shù)據(jù)的基礎(chǔ)設(shè)施，其與傳統(tǒng)應用系統(tǒng)面臨的安全威脅相近，包括計算機硬件、應用軟件、底層操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件、代碼等方面。此外物聯(lián)網(wǎng)的特點是采集、傳輸和消費數(shù)據(jù)，整個數(shù)據(jù)流轉(zhuǎn)過程都離不開API服務(wù)接口，尤其是存在開放式API接口的情況下，對例如API的鑒權(quán)、身份認證、邏輯漏洞、API生命周期等方面的安全問題需要多加監(jiān)控與防范。

（四）數(shù)據(jù)層

物聯(lián)網(wǎng)應用視具體場景而定，可以采集到大量的個人隱私數(shù)據(jù)、環(huán)境數(shù)據(jù)、地理位置數(shù)據(jù)、重要資產(chǎn)運行數(shù)據(jù)等。這些數(shù)據(jù)在未經(jīng)充分保護的情況下，容易被濫用或泄露。

（五）人員與材料

在安全管理上，人的因素不可忽視。圍繞整個物聯(lián)網(wǎng)業(yè)務(wù)的參與者（包括組織和人），都應該納入安全管理體系中，最常見人的風險有：高權(quán)限業(yè)務(wù)人員對數(shù)據(jù)的不合理使用、維護人員的誤操作、維護人員為方便預留的遠程口、外包人員泄密、業(yè)務(wù)或維護終端的安全問題等。另外在系統(tǒng)的采購和實施環(huán)節(jié)會產(chǎn)生大量的項目文檔，這些文檔里面可能會存在未脫敏的信息，例如系統(tǒng)部署文檔中賬號密碼、服務(wù)報告中的敏感IP等。

四、校園物聯(lián)應用的安全防范措施

圍繞上述的物聯(lián)網(wǎng)應用安全威脅，有如下安全防范措施：

（一）物聯(lián)安全資產(chǎn)識別與梳理

在安全體系的建立和維系階段，需要持續(xù)地對安全資產(chǎn)進行識別與梳理，可以利用自動化工具和一定的人力保障整個安全資產(chǎn)的生命周期的運轉(zhuǎn)，對不同等級的安全資產(chǎn)采取不同的技術(shù)手段和管理措施進行保護。

（二）加強物聯(lián)終端的安全治理

確保每個接入物聯(lián)系統(tǒng)的終端都具備有效的安全防護能力，包括：

1. 終端物理安全

處于無人監(jiān)管或管轄范圍外的終端，需要做好防盜、防破壞等物理措施。

2. 終端配置安全

終端在安裝部署前，需要對默認出廠配置進行修改和優(yōu)化，做好初始化配置、安全配置、白名單訪問策略、固件升級、惡意代碼技術(shù)防范等。

3. 終端的監(jiān)測與告警

利用自動化監(jiān)測工具對終端的連通性和可用性進行持續(xù)的有效指標監(jiān)測，確保在終端離線、終端狀態(tài)異常、流量異常、日志異常等情況下能及時告警通知管理員進行處理。

（三）保障通信層的安全傳輸

確保終端與處理節(jié)點和系統(tǒng)中臺的安全有效通信，包括：

1. 數(shù)據(jù)傳輸保護

通信層的傳輸協(xié)議必須采用安全的加密通信協(xié)議和標準，必要時可采用VPN隧道進行加密通信。

2. 專網(wǎng)保障

涉及到重要業(yè)務(wù)和數(shù)據(jù)的，需要采用物理專網(wǎng)或虛擬專網(wǎng)的方式進行系統(tǒng)部署，確保重要節(jié)點和數(shù)據(jù)流與其他系統(tǒng)的有效隔離。

3. 邊界安全

在系統(tǒng)與網(wǎng)絡(luò)的邊界部署防火墻和入侵檢測工具，以監(jiān)控和阻止?jié)撛诘墓粜袨椤?/p>

（四）加強API接口的管理

1. API生命周期管理

梳理清楚各物聯(lián)系統(tǒng)與物聯(lián)終端、處理節(jié)點、組件調(diào)用、第三方應用等的API接口，對API接口信息進行責任制管理，對API的識別、安全檢測、上線、維護和報廢等進行流程化管理。

2. API的有效鑒權(quán)

確保API在調(diào)取或操作數(shù)據(jù)時的身份驗證和授權(quán)的合法性和不可抵賴性，所有API的操作日志必須有效留存，以確保數(shù)據(jù)泄露事件發(fā)生后的問題分析和責任定位。

3. API密鑰管理

API密鑰要進行安全存儲，避免泄露和被惡意枚舉。

4. API傳輸加密

API接口傳輸過程必須采用有效的加密技術(shù)。

5. API訪問白名單

部分場景可以通過白名單有效杜絕大部分的非法訪問和威脅。

6. API監(jiān)控

對重要業(yè)務(wù)API實施自動化監(jiān)測策略，記錄關(guān)鍵事件，一旦發(fā)生異常行為或可用性問題，可以立即告警和處理。

7. 自動熔斷機制

部分涉及到需要計費使用的API，例如語音呼叫、短信＼郵件網(wǎng)關(guān)、直播流量接口等，必須進行有效的監(jiān)控和設(shè)置消費上限金額，確保能在無人監(jiān)管的情況下自動封頂停止消費。

（五）物聯(lián)應用的業(yè)務(wù)系統(tǒng)安全

與傳統(tǒng)應用系統(tǒng)的安全防范措施差不多，包括計算機硬件的物理安全和用電安全、底層操作系統(tǒng)的漏洞治理、應用軟件的安全檢測與上線評估，以及定期的安全檢查等。

（六）物聯(lián)數(shù)據(jù)的安全

數(shù)據(jù)治理在物聯(lián)應用中非常重要，需要涵蓋物聯(lián)應用的數(shù)據(jù)全生命周期管理各個階段，其措施包括：

1. 數(shù)據(jù)采集合法性

對隱私和敏感數(shù)據(jù)的采集，必須在數(shù)據(jù)所有人知情和同意的基礎(chǔ)上合法進行采集。

2. 數(shù)據(jù)脫敏與加密

敏感數(shù)據(jù)的采集、傳輸、保存和使用過程中，根據(jù)業(yè)務(wù)邏輯的需求，進行脫敏和加密，避免敏感數(shù)據(jù)的泄露，必要時可增加數(shù)據(jù)水印和追蹤技術(shù)。

3. 數(shù)據(jù)共享與消費

制定數(shù)據(jù)共享、消費和銷毀的流程，如涉及大量的數(shù)據(jù)出境行為，需要向國家網(wǎng)信部門申報和評估。

4. 數(shù)據(jù)備份與恢復

對重要業(yè)務(wù)數(shù)據(jù)進行備份，制定與執(zhí)行備份策略，并定期驗證備份的有效性。

5. 數(shù)據(jù)審計

整個數(shù)據(jù)流轉(zhuǎn)全生命周期的各環(huán)節(jié)，都需要做數(shù)據(jù)的增刪改查的審計記錄，并按管理要求進行審計日志留存。

（七）管理方面

1. 增補物聯(lián)應用的安全制度

在已有的安全管理體系框架上，補充制定物聯(lián)安全管理制度、流程與落地細則，并對制定的執(zhí)行進行持續(xù)跟蹤和評估。

2. 提升安全意識與安全責任

定期對業(yè)務(wù)人員、維護人員、外包人員等進行安全意識與責任義務(wù)的培訓，幫助他們識別和應對各類安全威脅，尤其是釣魚攻擊的防范、敏感數(shù)據(jù)的管理和分發(fā)、遠程維護、賬號管理、維護終端安全等問題。

3.杜絕共用賬號

對能操作重大業(yè)務(wù)或敏感數(shù)據(jù)的系統(tǒng)賬號，必須杜絕共用賬號，并按照業(yè)務(wù)角色制定好各賬號的最小限度權(quán)限，例如教務(wù)系統(tǒng)、招生系統(tǒng)、財務(wù)系統(tǒng)、科研成果數(shù)據(jù)系統(tǒng)等，避免發(fā)生大批量異常操作后的無法定責問題，以及后續(xù)的大量溝通成本。

4. 定期舉辦安全應急演練

保持管理層和安全技術(shù)團隊應對各類突發(fā)安全事件的處理效率和能力。

5. 定期開展系統(tǒng)安全檢查

定期對物聯(lián)系統(tǒng)的資產(chǎn)開展漏掃、滲透、加固等安全工作，并對不符合安全檢查的系統(tǒng)進行整改，對不再使用的系統(tǒng)和接口進行下線操作。

五、總結(jié)

隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，保障其安全性變得至關(guān)重要。通過采取一系列有效的防范措施，可以降低物聯(lián)網(wǎng)應用面臨的安全威脅，確保其正常運行和數(shù)據(jù)安全。在未來發(fā)展中，我們應繼續(xù)關(guān)注物聯(lián)網(wǎng)安全問題，不斷完善相關(guān)技術(shù)和防護措施。