物聯(lián)網(wǎng)安全的審計方法和步驟描述

物聯(lián)網(wǎng)通常從架構(gòu)上可分為三個邏輯層，即感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層。對大型物聯(lián)網(wǎng)來說，處理應(yīng)用層一般是云計算平臺和業(yè)務(wù)應(yīng)用終端設(shè)備。物聯(lián)網(wǎng)安全的風(fēng)險著重體現(xiàn)在感知節(jié)點(diǎn)及其所處物理環(huán)境的安全，物聯(lián)網(wǎng)及其異構(gòu)傳輸網(wǎng)絡(luò)的通信和結(jié)構(gòu)安全（如是否采取安全加密機(jī)制、網(wǎng)絡(luò)安全防護(hù)），用戶/設(shè)備鑒別信息和感知節(jié)點(diǎn)數(shù)據(jù)采集信息的安全和服務(wù)中斷等多種風(fēng)險。 本節(jié)將從物聯(lián)網(wǎng)的感知設(shè)備物理與環(huán)境安全、網(wǎng)絡(luò)與通信安全、安全區(qū)域邊界、設(shè)備和計算安全、應(yīng)用與數(shù)據(jù)安全、安全審計等方面對物聯(lián)網(wǎng)安全的審計方法和步驟進(jìn)行描述。

一、感知設(shè)備物理與環(huán)境安全審計

1.1 業(yè)務(wù)概述

是指感知層終端節(jié)點(diǎn)所處的物理環(huán)境對其安全產(chǎn)生的影響，以及所采取的相關(guān)安全防護(hù)措施是否充分。

1.2 審計目標(biāo)和內(nèi)容

1.2.1 終端感知節(jié)點(diǎn)物理與環(huán)境安全

該控制項(xiàng)旨在檢查感知層終端節(jié)點(diǎn)所處的物理環(huán)境是否對其安全產(chǎn)生影響，以及是否受到安全防護(hù)措施及其措施的有效性。

1.2.2 感知層網(wǎng)關(guān)節(jié)點(diǎn)物理與環(huán)境安全

該控制項(xiàng)旨在檢查感知層網(wǎng)關(guān)節(jié)點(diǎn)所處物理環(huán)境是否對其安全產(chǎn)生影響，以及是否受到安全防護(hù)措施并審查防護(hù)措施的有效性。

1.2.3 感知設(shè)備訪問控制

該控制項(xiàng)旨在檢查感知層網(wǎng)的節(jié)點(diǎn)、網(wǎng)關(guān)設(shè)備及其網(wǎng)絡(luò)資源采取訪問控制措施，確保上層用戶對上述資源的合法訪問與使用。

1.2.4 感知設(shè)備惡意代碼與入侵防護(hù)

該控制項(xiàng)旨在檢查組織是否對終端感知節(jié)點(diǎn)和感知網(wǎng)關(guān)節(jié)點(diǎn)部署惡意代碼防護(hù)設(shè)備與入侵檢測設(shè)備，并定期開展漏洞掃描和代碼庫的升級與更新工作，驗(yàn)證防護(hù)措施有效性。

1.3 常見問題和風(fēng)險

終端感知節(jié)點(diǎn)物理環(huán)境安全管控不嚴(yán)格，導(dǎo)致意外斷電、電磁干擾、發(fā)生火災(zāi)等情況，影響終端感知的正常運(yùn)行。

終端感知節(jié)點(diǎn)和感知網(wǎng)關(guān)節(jié)點(diǎn)未安裝惡意代碼防護(hù)設(shè)備，導(dǎo)致惡意代碼入侵系統(tǒng)或惡意代碼在網(wǎng)絡(luò)傳播，造成網(wǎng)絡(luò)中斷和感知狀態(tài)中斷。

1.4 審計的主要方法和程序

1.4.1 終端感知節(jié)點(diǎn)物理與環(huán)境安全

訪談物理安全負(fù)責(zé)人，詢問終端感知節(jié)點(diǎn)的物理安全需求及環(huán)境現(xiàn)狀（或?qū)嵉夭榭矗袛嗍欠駥ζ洚a(chǎn)生物理破壞；詢問針對感知節(jié)點(diǎn)所處的物理環(huán)境，采取哪些防范措施以確保其物理環(huán)境安全（如非法物理訪問、防雷、防電磁干擾等），并檢查是否與實(shí)際情況相一致；詢問感知節(jié)點(diǎn)是否可以準(zhǔn)確反映其所處物理環(huán)境狀態(tài)，并對其所獲取的物理數(shù)據(jù)與實(shí)際環(huán)境數(shù)據(jù)進(jìn)行驗(yàn)證，或者查閱物理環(huán)境的設(shè)計和驗(yàn)收文檔；詢問感知節(jié)點(diǎn)是否設(shè)置備用電源從而滿足其最低電力供應(yīng)需求，并驗(yàn)證電力供應(yīng)系統(tǒng)是否可在規(guī)定時間內(nèi)正常啟動和供電；詢問是否對感知節(jié)點(diǎn)進(jìn)行物理加固并設(shè)置明顯、不易去除的標(biāo)志，且確保標(biāo)識的唯一性。

1.4.2 感知層網(wǎng)關(guān)節(jié)點(diǎn)物理與環(huán)境安全

（ 1 ） 訪談物理安全負(fù)責(zé)人，詢問感知層網(wǎng)關(guān)節(jié)點(diǎn)的物理安全需求（如防火、防靜電等）及其為滿足安全需求所采取的安全防護(hù)措施；詢問感知層關(guān)鍵網(wǎng)關(guān)節(jié)點(diǎn)所在物理環(huán)境是否具有良好的信號收發(fā)能力，并檢查是否對其所在物理環(huán)境部署反屏蔽設(shè)施，驗(yàn)證所在物理環(huán)境的信號收發(fā)能力。

（ 2 ） 查看感知層網(wǎng)關(guān)節(jié)點(diǎn)的實(shí)際物理環(huán)境，驗(yàn)證物理防護(hù)措施的有效性。

（ 3 ） 檢查感知層網(wǎng)關(guān)節(jié)點(diǎn)的主要部件是否接受安全固定，防止被移動或被搬走；是否有明顯的不易除去的標(biāo)記；是否設(shè)置短期備用電源從而滿足其最低電力供應(yīng)需求，并驗(yàn)證電力供應(yīng)系統(tǒng)是否可在規(guī)定時間內(nèi)正常啟動和供電。

1.4.3 感知設(shè)備訪問控制

訪談網(wǎng)絡(luò)管理員，詢問針對物聯(lián)網(wǎng)終端及感知節(jié)點(diǎn)設(shè)備，是否采取必要的技術(shù)手段防止其非法下載軟件應(yīng)用，且對合法用戶的身份及其訪問控制權(quán)限進(jìn)行識別，確保對感知網(wǎng)資源和設(shè)備的合法訪問與使用，并對技術(shù)手段的有效性進(jìn)行驗(yàn)證；（感知設(shè)備/節(jié)點(diǎn)的訪問控制）

1.4.4 感知設(shè)備惡意代碼與入侵防護(hù)

（ 1 ） 訪談安全管理員，詢問是否對終端感知節(jié)點(diǎn)和感知網(wǎng)關(guān)節(jié)點(diǎn)安裝惡意代碼防護(hù)設(shè)備，并定期對其進(jìn)行更新且在監(jiān)測出惡意代碼后及時報警。

（ 2 ） 檢查是否定期對終端感知節(jié)點(diǎn)和感知網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行漏洞掃描，防范被用于木馬、病毒的攻擊，使得終端節(jié)點(diǎn)被非法控制或處于不可用狀態(tài)，從而獲取未授權(quán)的訪問實(shí)施攻擊或成為網(wǎng)絡(luò)滲透入口，并查驗(yàn)歷史漏洞掃描記錄。

二、網(wǎng)絡(luò)與通信安全審計

2.1 業(yè)務(wù)概述

是指物聯(lián)網(wǎng)的感知設(shè)備的身份認(rèn)證、訪問控制、無線接入的安全，以及通訊網(wǎng)絡(luò)安全管理、數(shù)據(jù)安全傳輸?shù)却胧┑膶?shí)施。

2.2 審計目標(biāo)和內(nèi)容

2.2.1 入網(wǎng)感知設(shè)備安全認(rèn)證

該控制項(xiàng)旨在檢查是否對接入物聯(lián)網(wǎng)的感知設(shè)備進(jìn)行認(rèn)證，以確保感知設(shè)備及其數(shù)據(jù)收集、傳輸?shù)陌踩煽俊?/p>

2.2.2 感知設(shè)備訪問控制

該控制項(xiàng)旨在檢查是否對感知設(shè)備/節(jié)點(diǎn)及其傳感網(wǎng)的接入網(wǎng)絡(luò)采取必要的安全訪問控制措施，防止對感知設(shè)備/節(jié)點(diǎn)及其感知網(wǎng)資源的非法訪問與使用。

2.2.3 無線網(wǎng)的安全接入

該控制項(xiàng)旨在檢查組織是否存在通過無線網(wǎng)絡(luò)接入的感知終端，并驗(yàn)證是否對其采取必要的安全工作措施確保無線網(wǎng)絡(luò)的安全性。

2.2.4 異構(gòu)網(wǎng)的安全接入與保護(hù)

該控制項(xiàng)旨在檢查組織是否存在異構(gòu)網(wǎng)的物聯(lián)網(wǎng)接入，并驗(yàn)證是否對其采取必要的安全工作措施確保異構(gòu)網(wǎng)數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?/p>

2.2.5 網(wǎng)絡(luò)數(shù)據(jù)傳輸保護(hù)

該控制項(xiàng)旨在重點(diǎn)檢查是否為確保物聯(lián)網(wǎng)傳輸數(shù)據(jù)的完整性、保密性和新鮮度采取控制措施，并對接入物聯(lián)網(wǎng)的通信設(shè)備進(jìn)行可信驗(yàn)證，防止非法接入。

2.2.6 通信網(wǎng)絡(luò)安全管理

該控制項(xiàng)旨在檢查組織是否對物聯(lián)網(wǎng)通信網(wǎng)絡(luò)采取安全監(jiān)控、應(yīng)急等安全管理措施，防范因傳輸鏈路故障造成數(shù)據(jù)傳輸失效及服務(wù)不可用。

2.3 常見問題和風(fēng)險

入網(wǎng)感知設(shè)備安全認(rèn)證機(jī)制不完善，導(dǎo)致安全認(rèn)證機(jī)制被繞開或非法的物聯(lián)網(wǎng)終端接入，對感知設(shè)備運(yùn)行造成安全影響。

網(wǎng)絡(luò)數(shù)據(jù)傳輸保護(hù)機(jī)制不嚴(yán)格，導(dǎo)致感知層感知數(shù)據(jù)在傳輸過程中外泄或數(shù)據(jù)傳輸過程中被篡改。

2.4 審計的主要方法和程序

2.4.1 入網(wǎng)感知設(shè)備安全認(rèn)證

訪談網(wǎng)絡(luò)管理員，詢問是否對感知終端接入網(wǎng)絡(luò)時采取設(shè)備認(rèn)證機(jī)制以及所采取認(rèn)證的具體措施；是否制定感知終端認(rèn)證的策略文檔，查看是否包括防止非法的物聯(lián)網(wǎng)終端接入網(wǎng)絡(luò)的機(jī)制描述；詢問是否存在較大數(shù)量物聯(lián)網(wǎng)終端設(shè)備接入網(wǎng)絡(luò)的應(yīng)用以及是否提供組認(rèn)證的機(jī)制及其相關(guān)舉措。

2.4.2 感知設(shè)備訪問控制

（ 1 ） 訪談網(wǎng)絡(luò)管理員，詢問是否制定訪問控制策略對傳感網(wǎng)入網(wǎng)采取必要的訪問控制措施，并了解訪問控制措施的具體內(nèi)容，查看相應(yīng)的控制策略文檔；詢問是否對感知終端設(shè)備的網(wǎng)絡(luò)接入制定相應(yīng)訪問控制策略并檢查傳感網(wǎng)入網(wǎng)訪問控制設(shè)備，驗(yàn)證訪問控制策略的配置情況；詢問是否允許遠(yuǎn)程配置物聯(lián)網(wǎng)感知終端和節(jié)點(diǎn)設(shè)備上的軟件應(yīng)用，以及是否制定相應(yīng)的遠(yuǎn)程訪問安全控制機(jī)制并采取安全防護(hù)措施，了解安全機(jī)制是否覆蓋對資源訪問相關(guān)的主體、客體及它們之間的操作。

2.4.3 無線網(wǎng)的安全接入

訪談網(wǎng)絡(luò)管理員，詢問組織目前是否存在無線網(wǎng)接入的感知終端，或通過無線網(wǎng)進(jìn)行采集信息的傳輸；詢問并查閱是否對制定無線網(wǎng)安全管理制度及安全策略；詢問是否定期根據(jù)無線網(wǎng)絡(luò)脆弱性對其進(jìn)行安全風(fēng)險評估和安全檢查。

2.4.4 異構(gòu)網(wǎng)的安全接入與保護(hù)

訪談網(wǎng)絡(luò)管理員，詢問組織目前的聯(lián)網(wǎng)是否存在異構(gòu)網(wǎng)絡(luò)的接入需要及其各接入網(wǎng)的工作職能、重要性和所涉及信息的重要程度等因素；詢問是否對各異構(gòu)網(wǎng)的接入網(wǎng)網(wǎng)關(guān)進(jìn)行子網(wǎng)或網(wǎng)段的劃分，了解各安全劃分子網(wǎng)/網(wǎng)段的功能，并查看接入網(wǎng)關(guān)的安全配置；詢問并查閱是否對異構(gòu)網(wǎng)的物聯(lián)網(wǎng)接入制定相應(yīng)安全管理制度及安全策略；詢問是否對異構(gòu)網(wǎng)接入時的數(shù)據(jù)轉(zhuǎn)發(fā)采取安全措施（如加密及完整性校驗(yàn)）確保數(shù)據(jù)完整性和保密性，了解保密性保護(hù)機(jī)制是否符合國家密碼行政主管部門規(guī)定，驗(yàn)證安全措施的有效性并調(diào)閱測試報告；詢問是否采用入侵檢測等技術(shù)拒絕惡意設(shè)備的接入，保證合法設(shè)備不被惡意設(shè)備攻擊而被拒絕接入，保證網(wǎng)絡(luò)資源的可使用性。

2.4.5 網(wǎng)絡(luò)數(shù)據(jù)傳輸保護(hù)

訪談網(wǎng)絡(luò)管理員，詢問為確保包括感知層感知數(shù)據(jù)在內(nèi)的數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄运扇〉募用?a target="_blank">算法和完整性機(jī)制，了解是否符合國家密碼管理的相關(guān)規(guī)定并驗(yàn)證在發(fā)現(xiàn)完整性被破壞時進(jìn)行恢復(fù)；詢問為確保感知層感知數(shù)據(jù)的新鮮度所采取的控制措施；詢問是否對連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，從而確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。

2.4.6 通信網(wǎng)絡(luò)安全管理

（ 1 ） 訪談網(wǎng)絡(luò)管理員，詢問終端感知設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)現(xiàn)狀，如服務(wù)商數(shù)量（若存在外部網(wǎng)絡(luò)運(yùn)營服務(wù)商）、傳輸鏈路數(shù)量，從而判斷是否存在單點(diǎn)故障；詢問是否對感知終端的數(shù)據(jù)傳輸網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并制定流量應(yīng)急管控方案，防范傳輸流量過大造成的網(wǎng)絡(luò)擁塞；詢問是否對連接感知終端與服務(wù)端的通信網(wǎng)絡(luò)增加流量分析、態(tài)勢感知等安全策略。

（ 2 ） 訪談物聯(lián)網(wǎng)管理負(fù)責(zé)人，詢問是否制定通信網(wǎng)絡(luò)的專項(xiàng)應(yīng)急預(yù)案，并進(jìn)行定期應(yīng)急演練，查看歷史記錄并檢查是否將外部網(wǎng)絡(luò)運(yùn)營商納入到應(yīng)急演練參與者當(dāng)中。

三、安全區(qū)域邊界審計

3.1 業(yè)務(wù)概述

是指為物聯(lián)網(wǎng)建立安全區(qū)域邊界，對安全區(qū)域邊界進(jìn)行訪問控制，對進(jìn)出邊界的數(shù)據(jù)進(jìn)行安全過濾，對進(jìn)入物聯(lián)網(wǎng)的設(shè)備采用準(zhǔn)入控制等安全措施。

3.2 審計目標(biāo)和內(nèi)容

3.2.1 安全區(qū)域邊界訪問控制

該控制項(xiàng)旨在檢查組織是否對物聯(lián)網(wǎng)進(jìn)行安全區(qū)域的劃分，并對其制定相應(yīng)的訪問控制策略及開展安全訪問控制。

3.2.2 區(qū)域邊界過濾與控制

該控制項(xiàng)旨在檢查組織是否基于已制定的訪問控制策略，對進(jìn)出區(qū)域邊界的數(shù)據(jù)包和報文實(shí)施過濾機(jī)制。

3.2.3 區(qū)域邊界完整性保護(hù)和準(zhǔn)入控制

該控制項(xiàng)旨在檢查是否采取安全控制措施以確保區(qū)域邊界的完整性并對其實(shí)施準(zhǔn)入的控制措施。

3.3 常見問題和風(fēng)險

物聯(lián)網(wǎng)安全區(qū)域邊界訪問控制不嚴(yán)格，遭受非法入侵或網(wǎng)絡(luò)攻擊，引起網(wǎng)絡(luò)異常或中斷。

物聯(lián)網(wǎng)區(qū)域邊界完整性保護(hù)不足，容易導(dǎo)致非法外聯(lián)和入侵行為，影響感知設(shè)備的正常使用。

3.4 審計的主要方法和程序

3.4.1 安全區(qū)域邊界訪問控制

訪談網(wǎng)絡(luò)管理員，詢問是否對信息系統(tǒng)進(jìn)行安全區(qū)域的劃分，了解各區(qū)域的訪問控制方式及是否制定相應(yīng)的訪問控制策略，從而對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，防止非授權(quán)訪問；詢問是否對物聯(lián)網(wǎng)區(qū)域?qū)嵤┻吔缭L問控制，制定針對數(shù)據(jù)、協(xié)議、流量和最大連接數(shù)等內(nèi)容的訪問控制策略。

3.4.2 區(qū)域邊界過濾與控制

訪談網(wǎng)絡(luò)管理員，詢問是否根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界；詢問是否在安全區(qū)域邊界設(shè)置協(xié)議過濾，從而對物聯(lián)網(wǎng)通信內(nèi)容進(jìn)行過濾，并對通信報文進(jìn)行合規(guī)檢查，以及根據(jù)協(xié)議特性，設(shè)置相對應(yīng)控制機(jī)制。（區(qū)域邊界協(xié)議過濾與控制）

3.4.3 區(qū)域邊界完整性保護(hù)和準(zhǔn)入控制

訪談網(wǎng)絡(luò)安全管理員，詢問是否制定物聯(lián)網(wǎng)邊界區(qū)域完整性保護(hù)的策略及相關(guān)安全措施；詢問是否制定安全區(qū)域邊界的準(zhǔn)入控制機(jī)制對接入設(shè)備進(jìn)行有效標(biāo)識、識別，從而保證合法設(shè)備接入，拒絕惡意設(shè)備或非法接入；詢問是否在區(qū)域邊界設(shè)置探測器或探測軟件，探測非法外聯(lián)和入侵行為并及時報告，同時驗(yàn)證非法接入識別的有效性；詢問是否在區(qū)域邊界設(shè)置輕量級的雙向認(rèn)證機(jī)制，能夠保證防止數(shù)據(jù)的違規(guī)傳輸；詢問是否可對感知設(shè)備的健康數(shù)據(jù)進(jìn)行收集（如固件版本、標(biāo)識、配置信息校驗(yàn)值等），從而對接入的感知設(shè)備進(jìn)行健康性檢查，拒絕非健康設(shè)備的接入。

四、設(shè)備和計算安全審計

4.1 業(yè)務(wù)概述

是指對物聯(lián)網(wǎng)系統(tǒng)設(shè)備身份進(jìn)行鑒別與訪問控制，對設(shè)備數(shù)據(jù)進(jìn)行安全管理，以及對其進(jìn)行安全監(jiān)測及惡意代碼和漏洞防護(hù)。

4.2 審計目標(biāo)和內(nèi)容

4.2.1 設(shè)備身份鑒別與訪問控制

該控制項(xiàng)旨在檢查是否分別對物聯(lián)網(wǎng)系統(tǒng)的設(shè)備身份進(jìn)行有效標(biāo)識和鑒別，并確保其唯一性和鑒別信息的保密性與完整性；同時，檢查是否制定相應(yīng)的訪問控制策略和訪問操作權(quán)限。

4.2.2 設(shè)備數(shù)據(jù)信息安全管理

該控制項(xiàng)旨在檢查組織對物聯(lián)網(wǎng)系統(tǒng)的設(shè)備信息及其收集、處理和存儲的重要數(shù)據(jù)信息采取安全控制措施，確保數(shù)據(jù)安全，同時審核所采取的安全技術(shù)手段是否符合國家的安全規(guī)定。

4.2.3 安全監(jiān)測及惡意代碼和漏洞防護(hù)

該控制項(xiàng)旨在檢查組織是否采取安全控制手段，對應(yīng)用端服務(wù)器進(jìn)行安全監(jiān)測，部署惡意代碼防護(hù)工具，同時開展漏洞掃描和滲透測試。

4.3 常見問題和風(fēng)險

終端感知節(jié)點(diǎn)（包括 RFID 標(biāo)簽）和感知層網(wǎng)關(guān)節(jié)點(diǎn)（包括 RFID 讀寫器）未建立統(tǒng)一的身份標(biāo)識和鑒別機(jī)制，造成身份認(rèn)證混亂或身份認(rèn)證機(jī)制被破解，影響設(shè)備的正常運(yùn)行。

物理網(wǎng)設(shè)備對于生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)的保護(hù)力度不足，造成數(shù)據(jù)傳輸過程中被非法訪問或泄露。

關(guān)注設(shè)備數(shù)據(jù)信息安全風(fēng)險，安全技術(shù)手段不符合國家安全規(guī)定的風(fēng)險。

4.4 審計的主要方法和程序

4.4.1 設(shè)備身份鑒別與訪問控制

訪談系統(tǒng)管理員，詢問是否對終端感知節(jié)點(diǎn)（包括 RFID 標(biāo)簽）和感知層網(wǎng)關(guān)節(jié)點(diǎn)（包括 RFID 讀寫器）進(jìn)行統(tǒng)一身份標(biāo)識和鑒別管理，并確保在系統(tǒng)整個生存周期設(shè)備標(biāo)識的唯一性；詢問是否對設(shè)備的身份鑒別信息在傳輸與存儲過程中采取必要的安全措施，確保其機(jī)密性和完整性，并對感知設(shè)備發(fā)送的數(shù)據(jù)進(jìn)行鑒別，確保防范虛假信息的惡意注入，并核查加密算法是否符合國家規(guī)范；詢問身份鑒別管理系統(tǒng)是否可對合法的連接設(shè)備（包括終端節(jié)點(diǎn)、路由節(jié)點(diǎn)、數(shù)據(jù)處理中心）進(jìn)行有效鑒別，并可識別非法節(jié)點(diǎn)和偽造節(jié)點(diǎn)，過濾其發(fā)送的數(shù)據(jù)和重放合法節(jié)點(diǎn)的歷史數(shù)據(jù)；詢問是否針對感知設(shè)備和其他設(shè)備（感知層網(wǎng)關(guān)、其他感知設(shè)備）間的通信，制定訪問控制策略，確保權(quán)限檢查通過后才允許設(shè)備間開始通信或?qū)τ脩暨M(jìn)行權(quán)限檢查，只有經(jīng)過授權(quán)的合法用戶才能通過外部接口對感知設(shè)備進(jìn)行更新配置、下載軟件等。

4.4.2 設(shè)備數(shù)據(jù)信息安全管理

（ 1 ） 訪談系統(tǒng)管理員，是否對物理網(wǎng)設(shè)備的生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中采用密碼等技術(shù)進(jìn)行完整性校驗(yàn)，確保校驗(yàn)信息在其受到破壞時能夠進(jìn)行恢復(fù)、重傳，以及使用符合國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等；詢問是否對物理網(wǎng)設(shè)備的生存信息、鑒別信息、隱私性數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中采用密碼等技術(shù)進(jìn)行加密，并檢查加密算法是否符合國家規(guī)定。

（ 2 ） 訪談數(shù)據(jù)庫安全管理員，詢問感知終端數(shù)據(jù)的存儲模式，以及是否對網(wǎng)絡(luò)服務(wù)端的數(shù)據(jù)管理系統(tǒng)做到系統(tǒng)加固、漏洞檢測與修復(fù)、防黑客、抗 DDoS 攻擊、安全審計、行為檢測等服務(wù)器安全防護(hù)，以防發(fā)生由于主機(jī)被攻破導(dǎo)致的數(shù)據(jù)泄漏、數(shù)據(jù)篡改等安全問題。

4.4.3 安全監(jiān)測及惡意代碼和漏洞防護(hù)

（ 1 ） 訪談主機(jī)和工控系統(tǒng)安全管理員，詢問并檢查是否對工業(yè)主機(jī)服務(wù)器和工控系統(tǒng)：部署入侵檢測系統(tǒng)并查驗(yàn)歷史記錄，判斷系統(tǒng)是否可對監(jiān)測出的入侵行為或異常業(yè)務(wù)操作進(jìn)行異常分析和報警；部署并進(jìn)行防惡意代碼庫和補(bǔ)丁漏洞的升級與修補(bǔ)，并在此之前進(jìn)行安全測試及制定回退計劃，并查閱相關(guān)歷史記錄。

（ 2 ） 訪談系統(tǒng)管理員，詢問是否對應(yīng)用端的服務(wù)器采?。涸O(shè)置安全基線，制定防篡改、防掛馬安全規(guī)范，提出監(jiān)測、防護(hù)與處置機(jī)制和要求；對應(yīng)用服務(wù)器部署自動檢測工具并定期開展漏洞掃描、滲透測試等檢查工作；安裝防病毒、通訊監(jiān)視等軟件。

五、應(yīng)用與數(shù)據(jù)安全審計

5.1 業(yè)務(wù)概述

是指物聯(lián)相關(guān)應(yīng)用在身份鑒別與訪問控制等方面的安全管理，相關(guān)數(shù)據(jù)在完整性、機(jī)密性、可用性等方面的安全管理。

5.2 審計目標(biāo)和內(nèi)容

5.2.1 用戶身份鑒別與訪問控制

該控制項(xiàng)旨在檢查組織是否采取有效的控制措施，對物聯(lián)網(wǎng)系統(tǒng)的用戶身份進(jìn)行鑒別并確保鑒別信息的安全，同時檢查是否根據(jù)用戶身份制定訪問控制策略確保操作合規(guī)可控。

5.2.2 用戶及業(yè)務(wù)數(shù)據(jù)信息安全管理

該控制項(xiàng)旨在檢查組織是否對物聯(lián)網(wǎng)系統(tǒng)用戶數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)制定數(shù)據(jù)安全管理策略并采取安全控制措施，確保數(shù)據(jù)的保密性與可用性。

5.2.3 抗數(shù)據(jù)重放

該控制項(xiàng)旨在檢查組織是否采取安全控制手段，在確保數(shù)據(jù)新鮮性的同時，監(jiān)測并防范歷史數(shù)據(jù)被重放。

5.3 常見問題和風(fēng)險

物聯(lián)網(wǎng)系統(tǒng)訪問控制機(jī)制不嚴(yán)格，導(dǎo)致重要或敏感數(shù)據(jù)被非授權(quán)訪問，造成重要或敏感數(shù)據(jù)的破壞或泄露。

感知節(jié)點(diǎn)數(shù)據(jù)新鮮性保護(hù)措施不足，導(dǎo)致系統(tǒng)遭到重放攻擊，認(rèn)證憑據(jù)被非法篡改。

5.4 審計的主要方法和程序

5.4.1 用戶身份鑒別與訪問控制

訪談系統(tǒng)管理員，詢問是否對物聯(lián)網(wǎng)系統(tǒng)的用戶進(jìn)行標(biāo)識和鑒別，確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性以及采用統(tǒng)一、集中且不少于兩種組合機(jī)制進(jìn)行身份鑒別，同時，可對假冒用戶使用未授權(quán)的業(yè)務(wù)應(yīng)用或者合法用戶使用未定制的業(yè)務(wù)應(yīng)用進(jìn)行鑒別；詢問是否對用戶身份鑒別信息、口令、密鑰在傳輸與存儲過程中采取必要的安全措施，確保其機(jī)密性和完整性；詢問是否針對物聯(lián)網(wǎng)用戶和管理員制定訪問控制策略，明確訪問控制規(guī)則、訪問控制的顆粒度及操作權(quán)限；詢問是否提供對遠(yuǎn)程登錄用戶的認(rèn)證功能，以及認(rèn)證的方式有哪些，并驗(yàn)證遠(yuǎn)程登錄用戶的認(rèn)證功能。

5.4.2 用戶及業(yè)務(wù)數(shù)據(jù)信息安全管理

（ 1 ） 訪談系統(tǒng)管理員，是否對存儲和處理的用戶數(shù)據(jù)及重要數(shù)據(jù)（指令控制數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)）采用密碼等技術(shù)進(jìn)行完整性校驗(yàn)機(jī)制和保密機(jī)制，發(fā)現(xiàn)完整性受破壞的數(shù)據(jù)并對重要數(shù)據(jù)進(jìn)行恢復(fù)，同時確保數(shù)據(jù)的保密性。

（ 2 ） 訪談網(wǎng)絡(luò)管理員，詢問是否對感知層重要業(yè)務(wù)數(shù)據(jù)進(jìn)行本地備份，以及是否制定備份策略和數(shù)據(jù)重傳策略，并檢查感知層重要業(yè)務(wù)數(shù)據(jù)的本地備份和重傳功能，其配置是否正確，查看其備份結(jié)果是否與備份策略一致，重傳策略是否生效。（數(shù)據(jù)可用性）

5.4.3 抗數(shù)據(jù)重放

（ 1 ） 訪談安全管理員，詢問針對感知節(jié)點(diǎn)數(shù)據(jù)新鮮性的保護(hù)措施有哪些。

（ 2 ） 檢查感知節(jié)點(diǎn)鑒別數(shù)據(jù)新鮮性的措施，并嘗試將感知節(jié)點(diǎn)設(shè)備歷史數(shù)據(jù)進(jìn)行重放，驗(yàn)證其保護(hù)措施是否生效。

（ 3 ） 訪談安全管理員，詢問針對防范歷史數(shù)據(jù)被非法修改的防護(hù)和檢測措施有哪些。

（ 4 ） 檢查感知層是否配備檢測感知節(jié)點(diǎn)歷史數(shù)據(jù)被非法篡改的措施，并驗(yàn)證檢測措施的有效性是否能夠避免數(shù)據(jù)的修改重放攻擊，以及在檢測到被修改時是否能采取必要的恢復(fù)措施。

六、安全審計

6.1 業(yè)務(wù)概述

是指制定物聯(lián)網(wǎng)相關(guān)安全審計規(guī)范和安全審計策略，部署安全審計平臺和工具，開展安全審計工作。

6.2 審計目標(biāo)和內(nèi)容

6.2.1 安全審計的管理

該控制項(xiàng)旨在檢查組織是否就物聯(lián)網(wǎng)安全制定專項(xiàng)的安全審計規(guī)范和安全審計策略并據(jù)此部署和開展安全審計工作。

6.2.2 安全審計的實(shí)施

該控制項(xiàng)旨在檢查組織是否根據(jù)既定的安全審計規(guī)范與策略開展安全審計，并檢查安全審計的內(nèi)容是否涵蓋物聯(lián)網(wǎng)通信安全、邊界安全及系統(tǒng)安全，同時驗(yàn)證集中式安全管理中心是否對已定義的安全事件及時發(fā)現(xiàn)并報警。

6.3 常見問題和風(fēng)險

未制定物聯(lián)網(wǎng)安全專項(xiàng)審計規(guī)范和策略，無法有效落實(shí)物聯(lián)網(wǎng)安全審計要求，不利于物聯(lián)網(wǎng)管控措施的持續(xù)改進(jìn)。

未針對分布在物聯(lián)網(wǎng)上的系統(tǒng)部署安全審計工具，無法有效監(jiān)控各系統(tǒng)的狀態(tài)和異常，無法及時發(fā)現(xiàn)系統(tǒng)的攻擊行為和非授權(quán)訪問和破壞。

6.4 審計的主要方法和程序

6.4.1 安全審計的管理

（ 1 ） 檢查組織是否制定物聯(lián)網(wǎng)安全專項(xiàng)審計規(guī)范和審計策略，并部署安全審計工具或平臺。

（ 2 ） 查看物聯(lián)網(wǎng)安全審計規(guī)范，檢查其內(nèi)容是否對審計日志的內(nèi)容、格式、訪問、存儲和安全報警事件進(jìn)行明確要求，并對審計日志進(jìn)行抽樣檢查，檢查其日志管理要求是否符合制度規(guī)范要求；檢查其內(nèi)容是否對物聯(lián)網(wǎng)安全事件進(jìn)行定義、分類，明確安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容；檢查其內(nèi)容是否對審計記錄的存儲、管理和查詢進(jìn)行明確要求，防止非授權(quán)訪問和破壞，并驗(yàn)證保存時間是否符合規(guī)范要求。

（ 3 ） 訪談信息安全審計負(fù)責(zé)人，詢問是否對分布在物聯(lián)網(wǎng)系統(tǒng)的各個重要組件部署安全審計工具并實(shí)現(xiàn)集中管理，且具有：為集中安全管理工具或平臺提供接口；可按時間段開啟和關(guān)閉相應(yīng)類型的安全審計功能；對審計記錄的查詢、分類、分析和存儲保護(hù)的功能，并根據(jù)分析結(jié)果進(jìn)行處理；對安全審計員進(jìn)行身份鑒別，且只允許其通過特定的命令或操作界面進(jìn)行安全審計操作的功能。

6.4.2 安全審計的實(shí)施

（ 1 ） 查看物聯(lián)網(wǎng)安全審計規(guī)范，審查其內(nèi)容是否對物聯(lián)網(wǎng)通信網(wǎng)絡(luò)提出審計要求，查閱審計記錄，判斷并驗(yàn)證是否對通信網(wǎng)絡(luò)設(shè)置審計機(jī)制，并由安全管理中心集中管理，且對確認(rèn)的違規(guī)行為進(jìn)行報警。

（ 2 ） 審查其內(nèi)容是否對物聯(lián)網(wǎng)區(qū)域邊界安全提出審計要求，查閱審計記錄，判斷并驗(yàn)證是否對安全區(qū)域邊界設(shè)置審計機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為及時報警。

（ 3 ） 審查其內(nèi)容是否對系統(tǒng)安全審計提出審計要求，查看系統(tǒng)安全審計工具，檢查其是否具備對不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接口，并驗(yàn)證其是否可由安全管理中心集中管理，且對確認(rèn)的違規(guī)行為及時報警。

原文標(biāo)題：物聯(lián)網(wǎng)安全審計

文章出處：【微信公眾號：物聯(lián)網(wǎng)技術(shù)】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

責(zé)任編輯：haq