智能化家居控制系统(以下简称智能家居)是新型电力监控系统重要的接入场景,感知层设备极其丰富,节点类型多、结构多样、标准不一,且属于社会属性资产,可根据实际需要部署环境在互联网大区。
本《手册》通过对智能家居业务场景部署状况、网络安全防护状况进行深入分析,识别相关网络安全风险、研究定制对应防护策略,针对智能家居业务场景下的网络安全防护建设工作中存在的典型问题,总结形成了经实际验证可行、具有较强落地指导作用的防护建议。
本《手册》可以为智能家居业务的整体安全标准遵循和安全防护体系构建提供参考和借鉴。
一、智能家居系统安全部署指导建议
智能化家居控制系统感知层设备极其丰富,节点类型多、结构多样、标准不一,且属于社会属性资产,可根据实际需要部署环境在互联网大区。
二、智能家居终端安全接入指导建议
智能家居边端侧设备主要包括:智能家居终端(智能空调、智能灯光系统、烟雾传感器等)、智能手执终端(通常为手持PDA设备)等。其接入方式为通过边缘物联代理接入互联网大区,与智能家居应用主站实现业务交互,其安全接入路径为:
智能家居终端通过有线/WAPI/LoRa/Zigbee等方式接入边缘物联代理,接受智能手执终端的开合控制;边缘物联代理通过无线虚拟专网/互联网/4G/5G APN通道接入互联网大区。
三、智能家居常见风险与防范策略
3.1. 智能家居终端本体受攻击风险
攻击方式1:智能家居终端本体具有蓝牙、WIFI等通信功能,可用于连接外部设备。攻击者可通过暴力破解和重发攻击等攻击方式获取智能家居终端控制权,并借助同一品牌智能设备存在脆弱性关联的隐患,横向控制其他同品牌终端导致大面积用户的财产损失、隐私泄露、人身安全受到威胁。
攻击方式2:智能家居系统为了满足便捷性需求,更加依赖于无线传输方式,WIFI、蓝牙、LoRa、ZigBee等协议的应用大大增加了物联网的攻击面。WIFI存在网络资源易被占用且认证机制简单、易被主动攻击的问题;蓝牙存在不同设备使用相同密钥、极易被伪装入侵的问题;ZigBee存在未预置共享密钥的节点、采用明文方式传输、信息极易被截获的问题。攻击者可以利用相关通信协议的漏洞,伪造一个设备传输协议的身份凭证,然后模拟出一个虚拟的终端设备,利用伪造的终端协议凭证就可以向服务器上送“正常请求”,服务器接受“正常请求”并执行相关处理,此时伪造的终端就和服务器达成共识,进行正常的信息交互。同理,攻击者也可以模拟一个服务器向智能家居终端下发指令,智能家居终端接收到伪造的指令并执行,影响业务正常开展。
攻击方式3:攻击者利用非法手段,在终端系统、固件植入病毒、木马。可在用户无感知的前提下,将所植入的病毒木马在智能家居终端、控制终端之间肆意传播,导致暴露在互联网上的大量智能家居系统被感染。攻击者甚至可以控制木马向智能家居主站发起大规模定向攻击,导致公司互联网大区网络大面积感染/受控、公司其他核心业务被横向入侵乃至瘫痪等严重后果。
防范策略(基础级):
(1)终端加固。对智能家居终端、手执终端等智能家居终端侧设备开展入网前安全检测及加固,关闭硬件调试接口以及闲置端口(如日常不使用的蓝牙、USB、WIFI等接口模块),全面排查清理数据回传端口、远程控制后门,定期开展系统、固件、应用升级;
(2)加密认证。采用国网公司统一密码服务实现智能家居终端、手执终端及主站的加密与身份认证;
(3)访问控制。通过白名单策略等接入控制,拒绝约定范围外的智能终端接入。
防范策略(增强级):
(1)安全监测。按需配备安全监测分析措施,并与智能家居主站进行协同联动,实现智能家居终端侧安全事件的告警上报和就地处置;
(2)可信验证。通过可信计算技术实现智能家居终端侧设备自身的可信验证,并将其可信状态上报智能家居主站。
3.2.智能家居通信传输风险
攻击方式:鉴于智能家居物联网普遍采用的复杂程度不高的通信,存在明文传输的潜在隐患。攻击者可以通过利用传输未加密、无重放攻击校验、身份认证漏洞等方式发起窃听、劫持、篡改等攻击行为,实现非法获取用户信息,侵犯个人隐私,实施伪装、诈骗、钓鱼攻击等目的。
防范策略(基础级):
通信加固:对智能家居终端本体与手执终端之间采用的短程无线通信方式进行通道层面的安全加固,包括通道有效加密、使用最新协议、配置安全参数等。
防范策略(增强级):
流量分析:采用协议识别范围广且精准的技术措施,对关键通信节点的网络流量信息进行深入分析,实时监测传输通道数据的安全性。
3.3.智能家居业务APP风险
智能家居业务手APP中通常会存放与云端交互的API接口、用户注册、密码修改、登录等重要信息,在身份认证与鉴别、访问控制等方面可能存在安全风险。一旦通过APP实现对家居设备乃至整个智能家居系统的非法控制和劫持,就可以从手持设备端对家居系统中各类家电实施一键启停、“网络化下令”,大面积家电启停将造成电网负荷波动,严重可导致电网运行安全事故。
攻击方式1:由于此类APP往往缺乏足够的安全防护能力,如没有进行代码混淆、加壳加固等,攻击者可以通过对其接口代码实现流程进行逆向分析得到控制流程、登录信息甚至完整源代码,通过进一步的代码审计发现并利用各种逻辑漏洞,实现对家居设备的入侵控制。
攻击方式2:即使APP代码逻辑严谨、传输加密,攻击者也可能利用插桩重打包方式破解设备,或者通过二次打包方式植入后门引诱用户下载运行进而达到入侵目的。
防范策略(基础级):
(1)安全加固:采用加密和混淆技术对源程序中的方法名、变量名等进行重命名,使用新的无任何意义的符号或标识符替换原有的符号或标识符。将源程序中重要、关键的字符串变量进行混淆,加大破解分析成本。为APP提供全方位的安全加固保护,包括组件安全加固、防界面劫持、防屏幕截屏等。
(2)加密传输:APP客户端和服务端的通信需经过通过TLS加密,并使用HTTPS协议加密传输,防止数据在传输过程中被窃取。
(3)数据安全:通过加密存储措施实现客户端数据的安全性;通过内核级文件过滤驱动和数字水印技术对服务端的静态和动态网页进行防篡改保护。
防范策略(增强级):
(1)代码审计:严格检查用户输入,确保页面数据与代码分离,尽可能去除攻击者可以利用的错误逻辑。
(2)主机防护:在APP应用层部署入侵防御、流量监测等措施,实现对流入/流出主机层的业务数据的实时防护,以及对相关攻击入侵行为的实时阻断和攻击溯源。
Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved