物聯網通常從架構上可分為三個邏輯層，即感知層、網絡傳輸層和處理應用層。對大型物聯網來說，處理應用層一般是云計算平臺和業務應用終端設備。物聯網安全的風險著重體現在感知節點及其所處物理環境的安全，物聯網及其異構傳輸網絡的通信和結構安全（如是否采取安全加密機制、網絡安全防護），用戶/設備鑒別信息和感知節點數據采集信息的安全和服務中斷等多種風險。 本節將從物聯網的感知設備物理與環境安全、網絡與通信安全、安全區域邊界、設備和計算安全、應用與數據安全、安全審計等方面對物聯網安全的審計方法和步驟進行描述。

一、感知設備物理與環境安全審計

1.1 業務概述

是指感知層終端節點所處的物理環境對其安全產生的影響，以及所采取的相關安全防護措施是否充分。

1.2 審計目標和內容

1.2.1 終端感知節點物理與環境安全

該控制項旨在檢查感知層終端節點所處的物理環境是否對其安全產生影響，以及是否受到安全防護措施及其措施的有效性。

1.2.2 感知層網關節點物理與環境安全

該控制項旨在檢查感知層網關節點所處物理環境是否對其安全產生影響，以及是否受到安全防護措施并審查防護措施的有效性。

1.2.3 感知設備訪問控制

該控制項旨在檢查感知層網的節點、網關設備及其網絡資源采取訪問控制措施，確保上層用戶對上述資源的合法訪問與使用。

1.2.4 感知設備惡意代碼與入侵防護

該控制項旨在檢查組織是否對終端感知節點和感知網關節點部署惡意代碼防護設備與入侵檢測設備，并定期開展漏洞掃描和代碼庫的升級與更新工作，驗證防護措施有效性。

1.3 常見問題和風險

終端感知節點物理環境安全管控不嚴格，導致意外斷電、電磁干擾、發生火災等情況，影響終端感知的正常運行。

終端感知節點和感知網關節點未安裝惡意代碼防護設備，導致惡意代碼入侵系統或惡意代碼在網絡傳播，造成網絡中斷和感知狀態中斷。

1.4 審計的主要方法和程序

1.4.1 終端感知節點物理與環境安全

訪談物理安全負責人，詢問終端感知節點的物理安全需求及環境現狀（或實地查看），判斷是否對其產生物理破壞；詢問針對感知節點所處的物理環境，采取哪些防范措施以確保其物理環境安全（如非法物理訪問、防雷、防電磁干擾等），并檢查是否與實際情況相一致；詢問感知節點是否可以準確反映其所處物理環境狀態，并對其所獲取的物理數據與實際環境數據進行驗證，或者查閱物理環境的設計和驗收文檔；詢問感知節點是否設置備用電源從而滿足其最低電力供應需求，并驗證電力供應系統是否可在規定時間內正常啟動和供電；詢問是否對感知節點進行物理加固并設置明顯、不易去除的標志，且確保標識的唯一性。

1.4.2 感知層網關節點物理與環境安全

（ 1 ） 訪談物理安全負責人，詢問感知層網關節點的物理安全需求（如防火、防靜電等）及其為滿足安全需求所采取的安全防護措施；詢問感知層關鍵網關節點所在物理環境是否具有良好的信號收發能力，并檢查是否對其所在物理環境部署反屏蔽設施，驗證所在物理環境的信號收發能力。

（ 2 ） 查看感知層網關節點的實際物理環境，驗證物理防護措施的有效性。

（ 3 ） 檢查感知層網關節點的主要部件是否接受安全固定，防止被移動或被搬走；是否有明顯的不易除去的標記；是否設置短期備用電源從而滿足其最低電力供應需求，并驗證電力供應系統是否可在規定時間內正常啟動和供電。

1.4.3 感知設備訪問控制

訪談網絡管理員，詢問針對物聯網終端及感知節點設備，是否采取必要的技術手段防止其非法下載軟件應用，且對合法用戶的身份及其訪問控制權限進行識別，確保對感知網資源和設備的合法訪問與使用，并對技術手段的有效性進行驗證；（感知設備/節點的訪問控制）

1.4.4 感知設備惡意代碼與入侵防護

（ 1 ） 訪談安全管理員，詢問是否對終端感知節點和感知網關節點安裝惡意代碼防護設備，并定期對其進行更新且在監測出惡意代碼后及時報警。

（ 2 ） 檢查是否定期對終端感知節點和感知網關節點進行漏洞掃描，防范被用于木馬、病毒的攻擊，使得終端節點被非法控制或處于不可用狀態，從而獲取未授權的訪問實施攻擊或成為網絡滲透入口，并查驗歷史漏洞掃描記錄。

二、網絡與通信安全審計

2.1 業務概述

是指物聯網的感知設備的身份認證、訪問控制、無線接入的安全，以及通訊網絡安全管理、數據安全傳輸等措施的實施。

2.2 審計目標和內容

2.2.1 入網感知設備安全認證

該控制項旨在檢查是否對接入物聯網的感知設備進行認證，以確保感知設備及其數據收集、傳輸的安全可靠。

2.2.2 感知設備訪問控制

該控制項旨在檢查是否對感知設備/節點及其傳感網的接入網絡采取必要的安全訪問控制措施，防止對感知設備/節點及其感知網資源的非法訪問與使用。

2.2.3 無線網的安全接入

該控制項旨在檢查組織是否存在通過無線網絡接入的感知終端，并驗證是否對其采取必要的安全工作措施確保無線網絡的安全性。

2.2.4 異構網的安全接入與保護

該控制項旨在檢查組織是否存在異構網的物聯網接入，并驗證是否對其采取必要的安全工作措施確保異構網數據傳輸的完整性和保密性。

2.2.5 網絡數據傳輸保護

該控制項旨在重點檢查是否為確保物聯網傳輸數據的完整性、保密性和新鮮度采取控制措施，并對接入物聯網的通信設備進行可信驗證，防止非法接入。

2.2.6 通信網絡安全管理

該控制項旨在檢查組織是否對物聯網通信網絡采取安全監控、應急等安全管理措施，防范因傳輸鏈路故障造成數據傳輸失效及服務不可用。

2.3 常見問題和風險

入網感知設備安全認證機制不完善，導致安全認證機制被繞開或非法的物聯網終端接入，對感知設備運行造成安全影響。

網絡數據傳輸保護機制不嚴格，導致感知層感知數據在傳輸過程中外泄或數據傳輸過程中被篡改。

2.4 審計的主要方法和程序

2.4.1 入網感知設備安全認證

訪談網絡管理員，詢問是否對感知終端接入網絡時采取設備認證機制以及所采取認證的具體措施；是否制定感知終端認證的策略文檔，查看是否包括防止非法的物聯網終端接入網絡的機制描述；詢問是否存在較大數量物聯網終端設備接入網絡的應用以及是否提供組認證的機制及其相關舉措。

2.4.2 感知設備訪問控制

（ 1 ） 訪談網絡管理員，詢問是否制定訪問控制策略對傳感網入網采取必要的訪問控制措施，并了解訪問控制措施的具體內容，查看相應的控制策略文檔；詢問是否對感知終端設備的網絡接入制定相應訪問控制策略并檢查傳感網入網訪問控制設備，驗證訪問控制策略的配置情況；詢問是否允許遠程配置物聯網感知終端和節點設備上的軟件應用，以及是否制定相應的遠程訪問安全控制機制并采取安全防護措施，了解安全機制是否覆蓋對資源訪問相關的主體、客體及它們之間的操作。

2.4.3 無線網的安全接入

訪談網絡管理員，詢問組織目前是否存在無線網接入的感知終端，或通過無線網進行采集信息的傳輸；詢問并查閱是否對制定無線網安全管理制度及安全策略；詢問是否定期根據無線網絡脆弱性對其進行安全風險評估和安全檢查。

2.4.4 異構網的安全接入與保護

訪談網絡管理員，詢問組織目前的聯網是否存在異構網絡的接入需要及其各接入網的工作職能、重要性和所涉及信息的重要程度等因素；詢問是否對各異構網的接入網網關進行子網或網段的劃分，了解各安全劃分子網/網段的功能，并查看接入網關的安全配置；詢問并查閱是否對異構網的物聯網接入制定相應安全管理制度及安全策略；詢問是否對異構網接入時的數據轉發采取安全措施（如加密及完整性校驗）確保數據完整性和保密性，了解保密性保護機制是否符合國家密碼行政主管部門規定，驗證安全措施的有效性并調閱測試報告；詢問是否采用入侵檢測等技術拒絕惡意設備的接入，保證合法設備不被惡意設備攻擊而被拒絕接入，保證網絡資源的可使用性。

2.4.5 網絡數據傳輸保護

訪談網絡管理員，詢問為確保包括感知層感知數據在內的數據傳輸的完整性和保密性所采取的加密算法和完整性機制，了解是否符合國家密碼管理的相關規定并驗證在發現完整性被破壞時進行恢復；詢問為確保感知層感知數據的新鮮度所采取的控制措施；詢問是否對連接到通信網絡的設備進行可信檢驗，從而確保接入通信網絡的設備真實可信，防止設備的非法接入。

2.4.6 通信網絡安全管理

（ 1 ） 訪談網絡管理員，詢問終端感知設備進行數據傳輸的網絡現狀，如服務商數量（若存在外部網絡運營服務商）、傳輸鏈路數量，從而判斷是否存在單點故障；詢問是否對感知終端的數據傳輸網絡流量進行監控并制定流量應急管控方案，防范傳輸流量過大造成的網絡擁塞；詢問是否對連接感知終端與服務端的通信網絡增加流量分析、態勢感知等安全策略。

（ 2 ） 訪談物聯網管理負責人，詢問是否制定通信網絡的專項應急預案，并進行定期應急演練，查看歷史記錄并檢查是否將外部網絡運營商納入到應急演練參與者當中。

三、安全區域邊界審計

3.1 業務概述

是指為物聯網建立安全區域邊界，對安全區域邊界進行訪問控制，對進出邊界的數據進行安全過濾，對進入物聯網的設備采用準入控制等安全措施。

3.2 審計目標和內容

3.2.1 安全區域邊界訪問控制

該控制項旨在檢查組織是否對物聯網進行安全區域的劃分，并對其制定相應的訪問控制策略及開展安全訪問控制。

3.2.2 區域邊界過濾與控制

該控制項旨在檢查組織是否基于已制定的訪問控制策略，對進出區域邊界的數據包和報文實施過濾機制。

3.2.3 區域邊界完整性保護和準入控制

該控制項旨在檢查是否采取安全控制措施以確保區域邊界的完整性并對其實施準入的控制措施。

3.3 常見問題和風險

物聯網安全區域邊界訪問控制不嚴格，遭受非法入侵或網絡攻擊，引起網絡異常或中斷。

物聯網區域邊界完整性保護不足，容易導致非法外聯和入侵行為，影響感知設備的正常使用。

3.4 審計的主要方法和程序

3.4.1 安全區域邊界訪問控制

訪談網絡管理員，詢問是否對信息系統進行安全區域的劃分，了解各區域的訪問控制方式及是否制定相應的訪問控制策略，從而對進出安全區域邊界的數據信息進行控制，防止非授權訪問；詢問是否對物聯網區域實施邊界訪問控制，制定針對數據、協議、流量和最大連接數等內容的訪問控制策略。

3.4.2 區域邊界過濾與控制

訪談網絡管理員，詢問是否根據區域邊界安全控制策略，通過檢查數據包的源地址、目的地址、傳輸層協議、請求的服務等，確定是否允許該數據包進出該區域邊界；詢問是否在安全區域邊界設置協議過濾，從而對物聯網通信內容進行過濾，并對通信報文進行合規檢查，以及根據協議特性，設置相對應控制機制。（區域邊界協議過濾與控制）

3.4.3 區域邊界完整性保護和準入控制

訪談網絡安全管理員，詢問是否制定物聯網邊界區域完整性保護的策略及相關安全措施；詢問是否制定安全區域邊界的準入控制機制對接入設備進行有效標識、識別，從而保證合法設備接入，拒絕惡意設備或非法接入；詢問是否在區域邊界設置探測器或探測軟件，探測非法外聯和入侵行為并及時報告，同時驗證非法接入識別的有效性；詢問是否在區域邊界設置輕量級的雙向認證機制，能夠保證防止數據的違規傳輸；詢問是否可對感知設備的健康數據進行收集（如固件版本、標識、配置信息校驗值等），從而對接入的感知設備進行健康性檢查，拒絕非健康設備的接入。

四、設備和計算安全審計

4.1 業務概述

是指對物聯網系統設備身份進行鑒別與訪問控制，對設備數據進行安全管理，以及對其進行安全監測及惡意代碼和漏洞防護。

4.2 審計目標和內容

4.2.1 設備身份鑒別與訪問控制

該控制項旨在檢查是否分別對物聯網系統的設備身份進行有效標識和鑒別，并確保其唯一性和鑒別信息的保密性與完整性；同時，檢查是否制定相應的訪問控制策略和訪問操作權限。

4.2.2 設備數據信息安全管理

該控制項旨在檢查組織對物聯網系統的設備信息及其收集、處理和存儲的重要數據信息采取安全控制措施，確保數據安全，同時審核所采取的安全技術手段是否符合國家的安全規定。

4.2.3 安全監測及惡意代碼和漏洞防護

該控制項旨在檢查組織是否采取安全控制手段，對應用端服務器進行安全監測，部署惡意代碼防護工具，同時開展漏洞掃描和滲透測試。

4.3 常見問題和風險

終端感知節點（包括 RFID 標簽）和感知層網關節點（包括 RFID 讀寫器）未建立統一的身份標識和鑒別機制，造成身份認證混亂或身份認證機制被破解，影響設備的正常運行。

物理網設備對于生存信息、鑒別信息、隱私性數據和重要業務數據的保護力度不足，造成數據傳輸過程中被非法訪問或泄露。

關注設備數據信息安全風險，安全技術手段不符合國家安全規定的風險。

4.4 審計的主要方法和程序

4.4.1 設備身份鑒別與訪問控制

訪談系統管理員，詢問是否對終端感知節點（包括 RFID 標簽）和感知層網關節點（包括 RFID 讀寫器）進行統一身份標識和鑒別管理，并確保在系統整個生存周期設備標識的唯一性；詢問是否對設備的身份鑒別信息在傳輸與存儲過程中采取必要的安全措施，確保其機密性和完整性，并對感知設備發送的數據進行鑒別，確保防范虛假信息的惡意注入，并核查加密算法是否符合國家規范；詢問身份鑒別管理系統是否可對合法的連接設備（包括終端節點、路由節點、數據處理中心）進行有效鑒別，并可識別非法節點和偽造節點，過濾其發送的數據和重放合法節點的歷史數據；詢問是否針對感知設備和其他設備（感知層網關、其他感知設備）間的通信，制定訪問控制策略，確保權限檢查通過后才允許設備間開始通信或對用戶進行權限檢查，只有經過授權的合法用戶才能通過外部接口對感知設備進行更新配置、下載軟件等。

4.4.2 設備數據信息安全管理

（ 1 ） 訪談系統管理員，是否對物理網設備的生存信息、鑒別信息、隱私性數據和重要業務數據在存儲過程中采用密碼等技術進行完整性校驗，確保校驗信息在其受到破壞時能夠進行恢復、重傳，以及使用符合國家密碼行政主管部門規定的數字摘要算法、簽名算法等；詢問是否對物理網設備的生存信息、鑒別信息、隱私性數據和重要業務數據在存儲過程中采用密碼等技術進行加密，并檢查加密算法是否符合國家規定。

（ 2 ） 訪談數據庫安全管理員，詢問感知終端數據的存儲模式，以及是否對網絡服務端的數據管理系統做到系統加固、漏洞檢測與修復、防黑客、抗 DDoS 攻擊、安全審計、行為檢測等服務器安全防護，以防發生由于主機被攻破導致的數據泄漏、數據篡改等安全問題。

4.4.3 安全監測及惡意代碼和漏洞防護

（ 1 ） 訪談主機和工控系統安全管理員，詢問并檢查是否對工業主機服務器和工控系統：部署入侵檢測系統并查驗歷史記錄，判斷系統是否可對監測出的入侵行為或異常業務操作進行異常分析和報警；部署并進行防惡意代碼庫和補丁漏洞的升級與修補，并在此之前進行安全測試及制定回退計劃，并查閱相關歷史記錄。

（ 2 ） 訪談系統管理員，詢問是否對應用端的服務器采取：設置安全基線，制定防篡改、防掛馬安全規范，提出監測、防護與處置機制和要求；對應用服務器部署自動檢測工具并定期開展漏洞掃描、滲透測試等檢查工作；安裝防病毒、通訊監視等軟件。

五、應用與數據安全審計

5.1 業務概述

是指物聯相關應用在身份鑒別與訪問控制等方面的安全管理，相關數據在完整性、機密性、可用性等方面的安全管理。

5.2 審計目標和內容

5.2.1 用戶身份鑒別與訪問控制

該控制項旨在檢查組織是否采取有效的控制措施，對物聯網系統的用戶身份進行鑒別并確保鑒別信息的安全，同時檢查是否根據用戶身份制定訪問控制策略確保操作合規可控。

5.2.2 用戶及業務數據信息安全管理

該控制項旨在檢查組織是否對物聯網系統用戶數據和重要業務數據制定數據安全管理策略并采取安全控制措施，確保數據的保密性與可用性。

5.2.3 抗數據重放

該控制項旨在檢查組織是否采取安全控制手段，在確保數據新鮮性的同時，監測并防范歷史數據被重放。

5.3 常見問題和風險

物聯網系統訪問控制機制不嚴格，導致重要或敏感數據被非授權訪問，造成重要或敏感數據的破壞或泄露。

感知節點數據新鮮性保護措施不足，導致系統遭到重放攻擊，認證憑據被非法篡改。

5.4 審計的主要方法和程序

5.4.1 用戶身份鑒別與訪問控制

訪談系統管理員，詢問是否對物聯網系統的用戶進行標識和鑒別，確保在系統整個生存周期用戶標識的唯一性以及采用統一、集中且不少于兩種組合機制進行身份鑒別，同時，可對假冒用戶使用未授權的業務應用或者合法用戶使用未定制的業務應用進行鑒別；詢問是否對用戶身份鑒別信息、口令、密鑰在傳輸與存儲過程中采取必要的安全措施，確保其機密性和完整性；詢問是否針對物聯網用戶和管理員制定訪問控制策略，明確訪問控制規則、訪問控制的顆粒度及操作權限；詢問是否提供對遠程登錄用戶的認證功能，以及認證的方式有哪些，并驗證遠程登錄用戶的認證功能。

5.4.2 用戶及業務數據信息安全管理

（ 1 ） 訪談系統管理員，是否對存儲和處理的用戶數據及重要數據（指令控制數據、業務數據）采用密碼等技術進行完整性校驗機制和保密機制，發現完整性受破壞的數據并對重要數據進行恢復，同時確保數據的保密性。

（ 2 ） 訪談網絡管理員，詢問是否對感知層重要業務數據進行本地備份，以及是否制定備份策略和數據重傳策略，并檢查感知層重要業務數據的本地備份和重傳功能，其配置是否正確，查看其備份結果是否與備份策略一致，重傳策略是否生效。（數據可用性）

5.4.3 抗數據重放

（ 1 ） 訪談安全管理員，詢問針對感知節點數據新鮮性的保護措施有哪些。

（ 2 ） 檢查感知節點鑒別數據新鮮性的措施，并嘗試將感知節點設備歷史數據進行重放，驗證其保護措施是否生效。

（ 3 ） 訪談安全管理員，詢問針對防范歷史數據被非法修改的防護和檢測措施有哪些。

（ 4 ） 檢查感知層是否配備檢測感知節點歷史數據被非法篡改的措施，并驗證檢測措施的有效性是否能夠避免數據的修改重放攻擊，以及在檢測到被修改時是否能采取必要的恢復措施。

六、安全審計

6.1 業務概述

是指制定物聯網相關安全審計規范和安全審計策略，部署安全審計平臺和工具，開展安全審計工作。

6.2 審計目標和內容

6.2.1 安全審計的管理

該控制項旨在檢查組織是否就物聯網安全制定專項的安全審計規范和安全審計策略并據此部署和開展安全審計工作。

6.2.2 安全審計的實施

該控制項旨在檢查組織是否根據既定的安全審計規范與策略開展安全審計，并檢查安全審計的內容是否涵蓋物聯網通信安全、邊界安全及系統安全，同時驗證集中式安全管理中心是否對已定義的安全事件及時發現并報警。

6.3 常見問題和風險

未制定物聯網安全專項審計規范和策略，無法有效落實物聯網安全審計要求，不利于物聯網管控措施的持續改進。

未針對分布在物聯網上的系統部署安全審計工具，無法有效監控各系統的狀態和異常，無法及時發現系統的攻擊行為和非授權訪問和破壞。

6.4 審計的主要方法和程序

6.4.1 安全審計的管理

（ 1 ） 檢查組織是否制定物聯網安全專項審計規范和審計策略，并部署安全審計工具或平臺。

（ 2 ） 查看物聯網安全審計規范，檢查其內容是否對審計日志的內容、格式、訪問、存儲和安全報警事件進行明確要求，并對審計日志進行抽樣檢查，檢查其日志管理要求是否符合制度規范要求；檢查其內容是否對物聯網安全事件進行定義、分類，明確安全事件的主體、客體、時間、類型和結果等內容；檢查其內容是否對審計記錄的存儲、管理和查詢進行明確要求，防止非授權訪問和破壞，并驗證保存時間是否符合規范要求。

（ 3 ） 訪談信息安全審計負責人，詢問是否對分布在物聯網系統的各個重要組件部署安全審計工具并實現集中管理，且具有：為集中安全管理工具或平臺提供接口；可按時間段開啟和關閉相應類型的安全審計功能；對審計記錄的查詢、分類、分析和存儲保護的功能，并根據分析結果進行處理；對安全審計員進行身份鑒別，且只允許其通過特定的命令或操作界面進行安全審計操作的功能。

6.4.2 安全審計的實施

（ 1 ） 查看物聯網安全審計規范，審查其內容是否對物聯網通信網絡提出審計要求，查閱審計記錄，判斷并驗證是否對通信網絡設置審計機制，并由安全管理中心集中管理，且對確認的違規行為進行報警。

（ 2 ） 審查其內容是否對物聯網區域邊界安全提出審計要求，查閱審計記錄，判斷并驗證是否對安全區域邊界設置審計機制，由安全管理中心集中管理，并對確認的違規行為及時報警。

（ 3 ） 審查其內容是否對系統安全審計提出審計要求，查看系統安全審計工具，檢查其是否具備對不能由系統獨立處理的安全事件，提供由授權主體調用的接口，并驗證其是否可由安全管理中心集中管理，且對確認的違規行為及時報警。

原文標題：物聯網安全審計

文章出處：【微信公眾號：物聯網技術】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq