翻译 樊山 2019-2-10
物联网传感器网络安全
建筑物管理系统案例研究
Jeffrey Cichonski
Jeffrey Marron
Nelson Hastings
国家标准与技术研究所
Jason Ajmo
Rahmira Rufus
MITRE公司
草案
2019年2月
国家网络安全卓越中心(NCCoE)是国家标准与技术研究院(NIST)的一部分,作为一个协作中心将行业组织,政府机构和学术机构共同致力于应对企业最紧迫的网络安全挑战。通过此次合作,NCCoE开发了模块化,易于调整的示例网络安全解决方案,演示了如何使用商用技术应用标准和最佳实践。要了解有关NCCoE的更多信息,请访问http://www.nccoe.nist.gov。 要了解有关NIST的更多信息,请访问http://www.nist.gov。
本文档描述了与许多行业相关的问题。 NCCoE网络安全专家将通过与感兴趣的社区合作解决这一挑战,包括网络安全解决方案供应商。 最终的参考设计将详细说明可以跨多个领域合并的方法。
摘要
本文档探讨了传感器网络的常见组件以及传感器网络安全功能的相关要求。 对于每个组件,该文档列出了可用于帮助确保安全要求的公开接口,适用的威胁和技术。 还包括对网络安全框架的相关类别和子类别的映射。 另外,该文档考虑了将传感器网络的组件和相关安全要求应用于建筑物管理系统的各种场景。
关键词
建筑物传感器管理; 数据的完整性; 设备完整性; 物联网;物联网; 网络传感器;传感器; 传感器数据; 传感器安全
免责声明
在本文件中可以识别某些商业实体,设备,产品或材料,以便充分描述实验程序或概念。 此类标识并非旨在暗示NIST或NCCoE的推荐或认可,也不意味着暗示实体,设备,产品或材料必须是最佳可用于此目的。
所有注册商标或商标均属于其各自的组织。
关于NCCOE文件的评论
鼓励组织在公众意见征询期间审查所有出版物草稿并提供反馈。 NIST国家网络安全卓越中心的所有出版物均可在http://www.nccoe.nist.gov上获取。
有关本出版物的评论可提交至:[email protected]
公众意见征询期:2019年2月1日至2019年3月18日
1执行摘要
目的
从本质上讲,传感器网络监控环境的物理特性,并将这些物理读数转换为电脉冲。传感器网络通常测量诸如温度,污染,电气使用或患者生命体征等特征。在许多情况下,网络不仅可以感知环境,还可以根据感知的数据对物理环境进行操作。可以将逻辑编程到控制器中,以基于所感测的数据对环境进行物理改变。例如,智能建筑物管理系统可以被编程为当室外温度下降到某个温度以下时打开通风口或者当湿度达到预定阈值时停止所有空气被吸入设施。
传感器网络是许多现代工业和关键基础设施的组成部分,包括电网,医疗保健,环境保护和制造业。例如,在电网中,传感器网络可以监视和控制分布式资源的发电,例如消费者拥有的光电系统(太阳能电池)。传感器网络也越来越多地用于植入式医疗设备,该设备监控患者的适用健康状况。植入装置可以基于传感器网络报告的血液化学物质改变患者的药物剂量。传感器网络还可以监测关键供水的属性,测量矿物质或毒素的存在。在许多这些使用案例中,传感器网络报告和监控的数据的准确性,完整性和可用性对安全至关重要。
本文档探讨了传感器网络的常见组件以及传感器网络安全功能的相关要求。对于每个组件,本文档列出了可用于帮助确保安全要求的公开接口,适用的威胁和技术。还包括对网络安全框架的相关类别和子类别的映射。另外,本文档考虑了将传感器网络的组件和相关安全要求应用于建筑物管理系统的各种场景。这些传感器网络方案虽然是为建筑物管理系统编写的,但可能适用于多个行业部门,并列为未来国家网络安全卓越中心(NCCoE)用例。
这些是项目的对象和目标:
l了解楼宇管理系统传感器网络的网络安全考虑因素(包括这些风险的威胁,威胁载体,漏洞,风险和组织注意事项),特别是
l作为传感器网络,未来物联网(IoT)项目或特定传感器网络用例的建筑物模块
l建立安全架构,通过使用标准和最佳实践来保护建筑物管理系统传感器网络,包括用于将传感器数据传输到后端楼宇控制系统(主机)进行处理的通信信道/网络
l探索网络安全控制,以提高楼宇管理系统传感器网络的可靠性,完整性和可用性
l运行/测试楼宇管理系统传感器网络的网络安全控制,以验证它们是否可以缓解已识别的网络安全问题/风险,并了解将这些控制添加到楼宇管理系统传感器网络的性能影响
范围
本节详细介绍了该项目的范围:
l探索传感器网络的组件及其相关的网络安全注意事项
l与NCCoE合作伙伴协作,整合商业现货(COTS)网络安全解决方案,以减轻传感器网络风险
其他考虑因素(例如,对传感器网络组件的物理访问)的详细探索虽然重要,但不属于本项目的范围。
假设/挑战
本文档重点介绍与传感器网络及其组件相关的功能安全要求。此外,还探讨了传感器网络中出现的安全问题。
许多一般的网络安全实践超出了这项工作的范围,但对于楼宇管理系统传感器网络的安全性可能是必不可少的。作为参考,应根据您的独特需求审查这些网络安全实践,并可能包括以下实践:
l网络边界保护(例如,入侵防御系统(IPS),防火墙)
l网络策略违规检测(例如,入侵检测系统(IDS),嗅探器)
l记录(例如,事件活动,系统,程序,响应/恢复)和日志处理/分析
l事件记录/报告
l事件期间/之后的响应程序
l事件遏制/缓解程序
l优化方案(事件中的系统/流程改进)
l事件期间/之后的恢复过程
l优化方案执行/实施程序
一般而言,网络安全最佳实践遵循美国国家标准与技术研究院(NIST)特殊出版物(SP)的指导,应用原则和实践来保护信息技术(IT)系统。
背景
2016年无线传感器网络市场价值为5.73亿美元,预计到2023年将增至至少12亿美元,从2017年到2023年的复合年增长率为11%[1]。这个部门的增长正在推动更便宜,更小的传感器的发展;智能和可穿戴设备市场不断扩大;对实时应用程序的需求增加;以及对各种应用的物联网传感器的需求激增,例如测量,识别和解释。
物联网传感器数据用于决策,过程控制和组织内其他功能的使用增加,增加了机密性,完整性和可用性威胁的潜在影响。安全问题的示例包括确保传感器数据仅可由授权方访问,传感器网络在攻击期间可用,以及传感器数据在传输过程中不会更改。
传感器网络的性质给组件带来了独特的风险和挑战,例如物理访问的简易性,有限的处理能力以及安全监控和维护的能力有限。检测和防止这些攻击在历史上一直是个问题,主要是由于组件的处理能力非常有限。
2高级架构
图1:传感器网络架构示例
组件清单
该项目描述利用简化的来探索建筑物网络安全管理系统的考虑因素。在以下小节中,将描述传感器网络的每个组件,按以下主题区域组织:
l暴露的接口
l可能的攻击媒介
l组件的安全要求/结果,以确保传感器网络的安全运行
l可以帮助实现安全要求/结果的特定技术
l映射到网络安全框架的相关子类别结果
该项目中的传感器将由具有附加传感器(例如,热电偶)的计算设备(例如,微控制器)组成。 这些传感器将能够通过使用射频(RF)连接与基站连接。传感器的配置将通过有线连接进行管理。
l接口:
n基站的RF接口,用于传感器数据的通信,设备运行状况和无线管理
n与用于带外管理和配置的传感器的物理连接
l可能的攻击媒介:
n物理操纵传感器(例如,在运动传感器前面的镜像)
n传感器被欺骗,并传输欺诈性信息
n传感器RF通信信道被中间人攻击干扰或拦截
l安全要求/结果:
n可以验证传感器数据的完整性
n可以验证传感器固件和配置的完整性
n可以验证物理传感器的身份
l特定技术:
n利用信任根来确保传感器固件和配置的完整性
n公钥/私钥对(或预共享密钥)用于验证传感器网络组件的身份
n启用并配置RF技术的安全功能
n解决物理安全问题
l网络安全框架子类别映射:
nPR.AC-1
nPR.AC-4
nPR.AC-7
nPR.DS-6
nPR.DS-8
nPR.IP-3
nPR.PT-4
温度,湿度和运动传感器
该项目中的传感器将由具有附加传感器(例如,热电偶)的计算设备(例如,微控制器)组成。 这些传感器将能够通过使用射频(RF)连接与基站连接。这些传感器的配置将通过有线连接进行管理。
l接口:
n与基站的RF接口,用于传感器数据的通信,设备运行状况和无线管理
n与用于带外管理和配置的传感器的物理连接
l可能的攻击向量:
n传感器受到物理操作(例如,在运动传感器前面的镜像)
n传感器被欺骗,并且传输了欺诈性信息
n传感器RF通信信道被中间人攻击阻断或拦截
l安全要求/效果:
n可以验证传感器数据的完整性
n可以验证传感器固件和配置的完整性
n可以验证物理传感器的身份
l具体技术:
n利用信任根来确保传感器的完整性固件和配置
n公钥/私钥对(或预共享密钥)用于验证传感器网络组件的身份
n射频技术的安全功能是能力和配置
n解决物理安全问题
l网络安全框架子类别映射:
nPR.AC-1
nPR.AC-4
nPR.AC-7
nPR.DS-6
nPR.DS-8
nPR.IP-3
nPR.PT-4
基站/聚合器
基站是被配置为接收和聚合来自传感器的无线信号的无线电。基站将信号转发到控制器进行处理。基站可以从相似地控制器接收命令和控制信息以发送到适当的传感器。
l接口:
n用于接收传感器数据的传感器的RF接口,传感器运行状况和无线管理
n与用于管理和配置的控制器的物理连接
l可能的攻击向量:
n修改接收的传感器数据
n修改聚合器使用的算法,以组合和推导从传感器接收的数据
n通过串行连接从控制器修改基站固件和配置
n控制器将恶意指令和控制信息传输到传感器和基站/聚合器
l安全要求/效果:
n可以验证收到的传感器数据的完整性。
n可以验证基站固件和配置的完整性。
n可以验证基站的身份。
n可以验证用于聚合传感器数据的算法的完整性。
n可以强制从控制器对聚合器进行身份验证。
n可以强制执行传感器身份验证。
l特定技术:
n哈希算法用于确保传感器数据和算法的完整性。
n利用信任根来确保组件固件和配置的完整性。
n公钥/私钥对(或预共享密钥)用于验证传感器网络组件的身份。
n使用认证协议来强制执行对基站的访问权限。
l网络安全框架子类别映射:
nPR.AC-1
nPR.AC-4
nPR.AC-7
nPR.DS-6
nPR.DS-8
nPR.IP-3
nPR.PT-4
控制器
控制器是安装在连接的计算机上的软件,用于接收和处理传感器数据并向传感器提供命令和控制信息。比如Raspberry Pi或BeagleBone Black都可用作控制器。
l接口:
n通过本地系统的控制器软件的图形用户界面
n与基站的物理连接,用于接收聚合数据以及将控制信号传输到传感器和基站
l可能的攻击向量:
n修改控制器软件
n修改控制器的内核和/或配置设置
n通过受损基站访问控制器软件
l安全要求/效果:
n可以验证控制器内核和配置设置的完整性。
n可以验证控制器软件的完整性。
n可以强制执行控制器的身份。
n本地系统可以对控制器软件进行身份验证。
l特定技术:
n利用信任根来确保控制器内核和配置设置的完整性。
n哈希算法用于确保控制器软件的完整性。
n公钥/私钥对(或预共享密钥)用于验证传感器网络组件的身份。
n使用认证协议来强制执行对控制器的访问权限。
l网络安全框架子类别映射:
nPR.AC-1
nPR.AC-4
nPR.AC-7
nPR.DS-6
nPR.DS-8
nPR.IP-3
nPR.PT-4
通讯信道
传感器网络中的通信信道对于通过基站将传感器数据传输到控制器至关重要。 通信信道还可以利用基站将控制信号从控制器发送到传感器。 控制器可以通过RF或物理连接连接到基站。
l接口:
n到基站的RF接口和用于传感器数据通信的传感器,设备运行状况和无线管理
n控制器和基站之间的物理接口
l可能的攻击向量:
n在传输过程中拦截或丢弃RF数据
n在无线通信信道上修改传输中的RF数据或拒绝服务(DoS)
l安全要求/效果:
n可以验证传输的传感器数据的完整性
n可以验证从基站到传感器的控制信号的完整性
n可以验证通信信道的完整性
n确保通信信道的可用性
l特定技术:
n利用哈希算法确保传感器数据和控制信号的完整性。
n可以利用公钥/私钥对和/或证书锁定来验证通信信道的完整性。
n可以利用冗余来确保通信信道的可用性。
nRF技术:
uWi-Fi
uZigBee
u蓝牙/蓝牙低功耗(BLE)
n以太网
n消息队列遥测传输(MQTT)/消息协议
l网络安全框架子类别映射:
nPR.AC-5
nPR.DS-2
nPR.DS-6
nPR.PT-4
安全要求
根据前面各节中提到的网络组件的安全要求/效果,所有组件(通信通道除外)都需要以下网络安全框架子类别的核心保护功能:
lPR.AC-1:为授权设备,用户和进程颁发,管理,验证,撤销和审核身份和凭证。
lPR.AC-4:管理访问权限和授权,包含最小权限和职责分离原则。
lPR.AC-7:用户,设备和其他资产经过认证(例如,单因素,多因素),与合约风险相对应(例如,个人的安全和隐私风险以及其他组织风险)。
lPR.DS-6:完整性检查机制用于验证软件,固件和信息完整性。
lPR.DS-8:完整性检查机制用于验证硬件完整性。
lPR.IP-3:配置变更控制流程已实施。
lPR.PT-4:通信和控制网络受到保护。
许多传感器网络组件具有相同的安全要求。表1将组件的各种安全要求合并到一个列表中。左列中的标识符(ID)将在第5节中的安全控制映射中引用。
表1:安全要求
ID |
安全要求 |
1 |
可以验证传感器网络数据的完整性。 |
2 |
可以验证传感器网络组件的软件和配置的完整性。 |
3 |
可以验证传感器网络组件的身份。 |
4 |
可以验证用于聚合传感器数据的算法的完整性。 |
5 |
可以强制对传感器网络组件进行身份验证。 |
6 |
可以验证从基站到传感器的控制信号的完整性。 |
7 |
可以验证通信信道的完整性。 |
8 |
确保通信渠道的可用性。 |
3场景
本节中包含的特定方案探索与建筑物管理相关的传感器网络系统。这些系统可以包括环境传感器,例如温度,湿度,运动检测和一氧化碳(CO)。
下面描述的示例场景说明了该项目可能解决的一些挑战。下面的每个小节都列出了相关的网络安全框架功能和类别,可用于缓解整个攻击过程中的事件。 特定的网络安全框架子类别列在每个彩色文本框的括号中。
场景1:传感器数据的完整性
传感器数据的完整性对传感器网络至关重要。来自传感器的不正确或操纵数据会对网络的逻辑决策产生负面影响,并可能影响后续驱动。在建筑物管理系统中,驱动可以响应检测到的移动而激活警报。该场景可以探索传感器网络中的数据完整性考虑因素,其中数据由大量或甚至少量的传感器提供。
在这种情况下,恶意行动者已经修改了来自运动检测传感器的数据,使其看起来好像在建筑物的受限访问区域中没有身体活动。但是,恶意行为者能够渗透到受限访问区域以获取专有信息。
此方案解决以下网络安全框架类别和子类别: l恶意行为者在本地修改来自运动检测传感器的数据: n保护:完整性检查机制用于验证软件,固件和信息完整性(PR.DS-6)。 n保护:完整性检查机制用于验证硬件完整性(PR.DS-8)。 |
此方案未涉及以下网络安全框架类别和子类别: l恶意行为者物理访问传感器: n保护:管理和保护对资产的物理访问(PR.AC-2)。 n检测:监控物理环境以检测潜在的网络安全事件(DE.CM-2)。 |
场景2:未经授权的传感器
在传感器网络中,可以引入恶意传感器以提供错误数据并影响逻辑决策和随后的驱动。 此方案可以探索用于传感器认证的传感器网络注意事项-如何检测未经授权的传感器
在这种情况下,恶意行为者在数据中心中向建筑物管理系统添加了未经授权的温度测量传感器。 该传感器为聚合器提供预编程的低温读数。由于这些错误数据,加热,通风和空调系统将数据中心的温度调高到危险水平,导致计算机过热。
此方案解决了以下网络安全框架类别和子类别: l恶意行为者将未经授权的传感器添加到传感器网络: n保护:为授权设备,用户和进程发布,管理,验证,撤消和审核身份和凭证(PR.AC-1)。 n保护:用户,设备和其他资产经过身份验证(例如,单因素,多因素),与合约风险相称(例如,个人的安全和隐私风险以及其他组织风险)(PR.AC-7)。 n检测:执行对未经授权的人员,连接,设备和软件的监控(DE.CM-7)。 |
此方案未涉及以下网络安全框架类别和子类别: l恶意行为者向传感器网络添加未经授权的传感器: n识别:组织内的物理设备和系统已清点(ID.AM-1)。 n检测:监控物理环境以检测潜在的网络安全事件(DE.CM-2)。 n检测:建立和管理用户和系统的网络操作和预期数据流的基线(DE.AE-1)。 |
场景3:无线传感器通信通道安全
许多传感器网络通过无线协议传输数据,例如蓝牙,Wi-Fi或Zigbee。 这些无线通信协议提供许多安全功能,以保护传输中的传感器数据。 此方案可以探索这些无线通信信道的可信度以及这些协议的安全功能可能对传感器的可靠性和弹性产生的影响。
在这种情况下,恶意行动者拦截了湿度传感器和基站之间的无线通信。 位于传感器和基站之间的恶意行为者在将湿度传感器数据发送到基站之前修改湿度传感器数据。修改后的数据会导致湿度增加,从而导致计算设备内部出现冷凝和腐蚀。或者,恶意行动者可以停止数据传输,使传感器看起来失败。
此方案解决了以下网络安全框架类别和子类别: l恶意行动者拦截传感器网络中的无线通信: n保护:网络完整性受到保护(例如,网络隔离,网络分段)(PR.AC-5)。 n保护:传输中的数据受到保护(PR.DS-2)。 n保护:完整性检查机制用于验证软件,固件和信息完整性(PR.DS-6)。 n保护:通信和控制网络受到保护(PR.PT-4)。 |
此方案未涉及以下网络安全框架类别和子类别: l恶意行为者截获传感器网络中的无线通信之前: n识别:组织通信和数据流已映射(ID.AM-3)。 |
场景4:传感器网络中的延迟注意事项
许多传感器网络依赖于传感器数据及时传输到聚合器或其他控制器。传感器数据的任何延迟 - 特别是在CO警报等时间关键应用中 - 由于延迟可能会产生严重后果,或者可能导致传感器数据无用。应用于传感器网络的安全解决方案(例如,设备认证,加密)可能引入等待时间。此方案可以探索这些安全解决方案由于延迟而对传感器网络产生的任何负面影响。
在这种情况下,制造组织已在其建筑物管理系统中实施传感器功能,以便在接受传感器数据之前对聚合器进行身份验证。该组织还采用了机制来确保从传感器传输到聚合器的数据的完整性。这些功能无意中在传感器网络中引入了明显的延迟。不幸的是,CO传感器数据被延迟以通知警报系统工厂中的CO达到临界水平。
此方案解决了以下网络安全框架类别和子类别: l及时将传感器数据传输到聚合器或其他逻辑控制器: n检测:及时检测到异常活动,并了解事件的潜在影响(DE.AE)。 n响应:响应计划在事故期间或之后执行(RS.RP-1)。 |
场景5:传感器网络聚合器的安全注意事项
在许多传感器网络中,传感器将数据传输到聚合器,聚合器将多个副本和传感器数据源集成到一个副本中以进行处理或致动。聚合器可以利用算法来权衡来自传感器的数据的重要性,组合来自多个传感器的数据,或忽略来自传感器的数据。聚合器可以采用更传统的计算设备或软件实现的形式,并且不一定具有与传感器本身相同的处理约束。此方案可以探索聚合器的安全问题,尤其是聚合器操作系统,软件实现和算法如何受到攻击和操纵以影响传感器网络数据的完整性或不正确地权衡来自传感器的数据。
在这种情况下,恶意行为者已经感染了控制建筑物管理系统中聚合器所使用的逻辑操作系统。该恶意软件使攻击者能够为引入传感器网络的恶意传感器分配更多价值。
此方案解决了以下网络安全框架类别和子类别: l传感器将数据传输到聚合器,以将多个副本和多个传感器数据源集成到一个副本中进行处理或启动: n检测:事件数据汇总并从多个源和传感器关联(DE.AE-3)。 l可以利用聚合器来破坏传感器网络数据的完整性: n保护:通过配置系统仅提供基本功能(PR.PT-3)来结合最少功能的原则。 n保护:通信和控制网络受到保护(PR.PT-4)。 |
场景6:传感器组件的可靠性 - 微控制器和固件
在传感器网络中,传感器的可靠性及其提供的数据至关重要。逻辑决策和启动基于从传感器接收的数据。物理世界的可靠感测以及将信息转换为电信号在很大程度上取决于物理传感器的完整性-尤其是微控制器和常驻固件。 此方案可以探索传感器节点固件更改如何影响传感器数据的可靠性。
在这种情况下,恶意行为者已获得对传感器的物理访问,并已加载重新编译的内核和/或内核模块,以影响传感器在楼宇管理系统内正确处理和传输数据的能力。
此方案解决了以下网络安全框架类别和子类别: l恶意行为者已修改传感器内核: n保护:为授权设备,用户和进程发布,管理,验证,撤消和审核身份和凭证(PR.AC-1)。 n保护:管理访问权限和授权,包含最低权限和职责分离原则(PR.AC-4)。 n保护:完整性检查机制用于验证软件,固件和信息完整性(PR.DS-6)。 n保护:完整性检查机制用于验证硬件完整性(PR-DS-8)。 |
此方案未涉及以下网络安全框架类别和子类别: l恶意行为者已获得对传感器的物理访问权限: n保护:管理和保护对资产的物理访问(PR.AC-2)。 |
场景7:传感器网络数据泄漏
已知一些传感器在用户不知情的情况下将数据传输到原始设备制造商(OEM)或其他第三方。该数据可以包括关于感测环境的信息或由传感器生成的其他元数据。此场景可以探索传感器网络中“数据泄漏”的考虑因素以及相关的隐私考虑因素。
在这种情况下,组织正在使用传感器来测量设施关键区域的湿度和温度。 组织没有发现传感器正在向OEM发送此感测数据-以及元数据,例如精确的传感器位置和电源使用情况。 OEM使用此数据向组织销售其他加热和冷却产品和服务。 OEM还将此数据出售给组织地理区域的其他方。
此方案解决了以下网络安全框架类别和子类别: l在不了解用户的情况下将数据传输给OEM或其他第三方: n保护:传输中的数据受到保护(PR.DS-2)。 n保护:实施防止数据泄露的保护措施(PR.DS-5)。 |
场景8:安全更新设备
传感器及其支持设备通常需要执行简单的重复性任务。部署在这些设备上以支持这些简单操作的代码通常是在不期望被更改的情况下编写的。此方案将探讨成功更新在这些设备上运行的代码所需采取的适当措施。
在这种情况下,组织正在使用传感器网络来测量和控制设施周围区域的湿度和温度。引起组织注意的是,所安装的设备易受攻击,导致整个系统出现故障。所有这些已安装的设备都需要通过互联网下载提供的OEM软件更新。该方案将探索安全更新传感器及其相应组件的可能方法。更新将考虑通信通道的安全性,更新包的完整性以及设备的完整性。
此方案解决了以下网络安全框架类别和子类别: l需要更新传感器网络组件的OEM软件: n保护:管理远程访问(PR.AC-3)。 l传感器网络组件的软件已更新: n保护:完整性检查机制用于验证软件,固件和信息完整性(PR.DS-6)。 n检测:不断改进检测过程(DE.DP-5)。 |
4相关标准和指南
lNIST网络安全框架
https://www.nist.gov/programs-projects/cybersecurity-framework
NIST网络安全框架概述了最佳网络安全实践,以最大限度地降低关键基础设施的风险。
lNIST网络物理系统框架(CPS)
https://s3.amazonaws.com/nistsgcps/cpspwg/files/pwgglobal/CPS_PWG_Framework_for_Cyber_Physical_Systems_Rel ease_1_0Final.pdf
NIST CPS框架旨在为CPS设计,构建和验证提供指导。它还可以作为分析复杂CPS的工具。
l国家标准与技术研究院内部/机构间报告(NISTIR)8114:轻量级密码学报告
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8114.pdf
此NISTIR提供有关轻量级的信息NIST的加密项目。它还描述了轻量级加密算法标准化的计划。
lNIST SP 500-325:雾计算概念模型
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.500-325.pdf
本出版物描述雾和雾云计算模型。这些模型更适合需要最小网络延迟的大量异构数据。(译者注:本标准已翻译,可在鹰眼翻译社区平台获取中文版)
lNIST SP 800-53修订版5:信息系统和组织的安全和隐私控制
https://csrc.nist.gov/csrc/media/publications/sp/800-53/rev-5/draft/documents/sp80053r5- draft.pdf
本出版物为联邦信息系统和组织提供安全和隐私控制目录。该目录旨在保护运营和资产,个人,其他组织和国家免受各种威胁。
lNIST SP 800-82修订版2:工业控制系统(ICS)安全指南
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
本出版物提供有关如何保护ICS的指导。
lNIST SP 800-98:确保射频识别(RFID)系统安全的准则
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-98.pdf
本出版物详细介绍了如何降低安全和隐私风险RFID系统通过管理,操作和技术控制。
lNIST SP 800-121修订版2:蓝牙安全指南
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-121r2.pdf
本出版物概述了蓝牙和BLE的安全功能。它还提供有关如何在企业环境中保护这些协议的信息。(译者注:本标准已翻译,可在鹰眼翻译社区平台获取中文版)
lNIST SP 800-183:“事物”网络
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-183.pdf
本出版物提供了用于描述和建筑物物联网网络的重要定义。
lNIST SP 800-193:平台固件弹性指南
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-193.pdf
本出版物提供了有关确保针对潜在破坏性攻击的固件和数据弹性的指南和建议。
l美国国家标准协会(ANSI)/美国采暖,制冷和空调工程师协会(ASHRAE)标准135-2016:BACNet A楼宇自动化和控制网络数据通信协议
该标准定义了BACNet,一种适用于希望交换任意类型数据的计算机化系统。
lANSI /消费电子协会标准709.1-B:LonWorks
该标准定义了LonWorks,一种用于局域建筑自动化系统(BAS)网络的流行通信协议。
lANSI /国际自动化协会标准62443-2-1:工业自动化和控制系统的安全性:建立工业自动化和控制系统安全计划
该标准是解决工业自动化和控制安全问题的多部分系列的一部分系统。
lASHRAE指南13-2015:指定楼宇自动化系统本指南提供有关BAS的指南。
lMODBUS应用协议规范V1.1b3
http://www.modbus.org/docs/Modbus_Application_Protocol_V1_1b3.pdf
本文档描述了MODBUS,一种用于在不同类型的总线或网络上连接的设备之间的客户端/服务器通信的协议。
lZigBee规范053474r20
http://www.zigbee.org/wp-content/uploads/2014/11/docs-05-3474-20-0csg-zigbeespecification.pdf
本文档提供了ZigBee通信协议的规范。
l电气和电子工程师协会(IEEE)标准802.15.4-2015:IEEE低速无线网络标准
https://ieeexplore.ieee.org/document/7460875/
本文档提供低数据速率的标准,无线个人区域网络中的低功耗,低复杂度短距离RF传输。
l国际标准化组织(ISO)/国际电工委员会(IEC)标准14908-1:2012:LonTalk- 网络控制协议
本文档描述了LonTalk,一种用于局域网(LAN)的控制协议。 LonTalk通常用作BASes中的控制协议。
lISO / IEC标准14908-2:2012:控制网络协议 - 第2部分:双绞线通信
本标准规定了LAN中网络控制系统的控制网络协议(CNP)自由拓扑双绞线信道。它与ISO / IEC 14908-1:2012结合使用。
lISO / IEC标准14908-4:控制网络协议 - 第4部分:IP通信
本标准描述了如何在Internet协议(IP)数据包中封装商用LAN的CNP数据包以及如何通过IP隧道传输它们。
lISO标准16484-5:2017:楼宇自动化和控制系统 - 第5部分:数据通信协议
l该标准定义了BASes中使用的数据通信和协议。
lISO / IEC标准19637:2016:信息技术 - 传感器网络测试框架
本文档提供了测试传感器网络的框架。
lRequest for Comments(RFC)1157:简单网络管理协议(SNMP)
https://www.ietf.org/rfc/rfc1157.txt
RFC描述了SNMP,可以实现SNMP以支持传统的“cyberlightweight”系统和设备。
lKonnex是商业和家庭楼宇自动化的开放标准。它从三个早期标准发展而来,支持许多不同类型的链接和拓扑。
l消息队列遥测传输
http://docs.oasis-open.org/mqtt/mqtt/v3.1.1/mqtt-v3.1.1.pdf
该标准描述了MQTT,一种轻量级协议,用于从许多设备收集数据并进行传输回到IT基础设施。
lPROFINET(过程现场网络)
该标准描述了工业以太网标准,用于从工业系统中收集数据和控制设备。
5安全控制图
表2将NCCoE可能应用于此网络安全挑战的商业技术的特征映射到“改进关键基础设施网络安全框架”(网络安全框架)中描述的适用标准和最佳实践,以及方案,组件和安全结果/前几节的要求。本示例旨在证明标准和最佳实践的实际适用性,但并不意味着具有这些特征的产品将满足您的行业对监管部门批准或认证的要求。
表2:安全控制图
网络安全框架 v1.1 |
适用场景 |
适用组件 |
安全成效 |
适用技术 |
||
功能 |
类别 |
子类别 |
||||
保护(PR) |
身份管理,身份验证和访问控制(PR.AC) |
PR.AC-1为授权设备,用户和流程颁发,管理,验证,撤销和审核身份和凭证 |
场景2 场景6 |
传感器 基站/聚合器控制器 |
3 5 |
身份访问管理(IdAM)解决方案: l轻量级目录访问协议(LDAP) l多因素身份验证 |
PR.AC-3管理远程访问 |
场景8 |
不适用(N / A) |
N/A |
远程访问技术: l安全外壳(SSH) l远程桌面 IdAM解决方案: lLDAP l多因素身份验证 |
||
PR.AC-4管理访问权限和授权,包含最小权限和职责分离的原则 |
场景6 |
传感器 基站/聚合器控制器 |
5 |
N/A |
||
PR.AC-5网络完整性受到保护(例如,网络隔离,网络分段) |
场景3 |
通信信道 |
3 7 8 |
加密技术: l安全套接字层(SSL)/传输层安全(TLS) 安全控制: l防火墙 l网络访问控制 l防病毒 |
||
PR.AC-7用户,设备和其他资产经过身份验证(例如,单因素,多因素),与合约风险相称(例如,个人的安全和隐私风险以及其他组织风险) |
场景2 |
传感器 基站/聚合器控制器 |
3 5 |
身份验证解决方案: l用户证书 l设备证书 l用户名和密码 l个人识别码(PIN) l多因素身份验证 |
||
数据安全(PR.DS) |
PR.DS-2传输中的数据受到保护 |
场景3 场景7 |
通信信道 |
1 6 7 |
加密技术: lSSL / TLS 安全控制: l防火墙 l网络访问控制 l网络入侵检测系统(NIDS) |
|
PR.DS-5实施了防止数据泄露的保护措施 |
场景7 |
传感器 |
N/A |
数据丢失防护(DLP)解决方案: l防火墙 lNIDS l基于主机的入侵检测系统(HIDS) |
||
PR.DS-6完整性检查机制用于验证软件,固件和信息完整性 |
场景1 场景3 场景6 场景8 |
传感器 基站/聚合器控制器 通信信道 |
1 2 4 6 7 |
软件完整性解决方案: l统一可扩展固件接口(UEFI) l安全启动 l文件完整性监控 l校验和验证 l防病毒 |
||
PR.DS-8完整性检查机制用于验证硬件完整性 |
场景1 场景6 |
传感器 基站/聚合器控制器 |
3 |
硬件完整性解决方案: l控制流完整性 l联邦信息处理标准(FIPS)140-2认证硬件 |
||
信息保护流程和程序(PR.IP) |
PR.IP-3配置变更控制流程已到位 |
N/A |
传感器 基站/聚合器控制器 |
2 |
配置管理解决方案 |
|
防护技术(PR.PT) |
PR.PT-3通过配置系统以仅提供基本功能来结合最小功能的原则 |
场景5 |
N/A |
N/A |
配置管理解决方案 |
|
PR.PT-4通信和控制网络受到保护 |
场景3 场景5 |
传感器 基站/聚合器控制器 通信信道 |
6 7 8 |
安全控制: l防火墙 lNIDS lHIDS l网络访问控制 l防病毒 加密技术: lSSL / TLS |
||
检测(DE) |
异常和事件(DE.AE) |
N/A |
场景4 |
传感器 基站/聚合器控制器 通信信道 |
N/A |
N/A |
DE.AE-3收集事件数据并从多个源和传感器进行关联 |
场景5 |
基站/聚合器 |
4 |
N/A |
||
安全连续监测(DE.CM) |
DE.CM-7对未经授权的人员,连接,设备和软件进行监控 |
情景2 |
N/A |
3 5 |
持续监控解决方案: lNIDS lHIDS |
|
检测过程(DE.DP) |
DE.DP-5检测过程不断改进 |
情景8 |
N/A |
N/A |
N/A |
|
响应(RS) |
响应计划(RS.RP) |
RS.RP-1响应计划在事件期间或之后执行 |
场景4 |
N/A |
N/A |
N/A |
附录A参考文献
[1] C. Poddar and B. Supradip, “Industrial Wireless Sensor Network Market by Sensor (Pressure Sensor, Temperature Sensor, Level Sensor, Flow Sensor, Biosensor, and Others), Technology (Zigbee, Bluetooth, Wi-Fi, and Others), and Industry Vertical (Oil & Gas, Automotive, Manufacturing, Healthcare, and Others), Global Opportunity Analysis and Industry Forecast, 2017–2023,” Allied Market Research, Portland, OR, Feb. 2018. Available: https://www.alliedmarketresearch.com/industrial-wirelesssensor-network-market.
R. Faludi, Building Wireless Sensor Networks. Sebastapol, Ca: O'Reilly Media, Inc., 2011.
M. Frei, J. Hofer, A. Schlüter, and Z. Nagy, “An easily-deployable wireless sensor network for building energy performance assessment,” Energy Procedia, vol. 122, pp. 523-528, Sept. 2017.
L. Zhu, Z. Zhang, and C. Xu, “Secure Data Aggregation in Wireless Sensor Networks,” in Secure and Privacy-Preserving Data Communication in Internet of Things. Singapore: Springer, 2017, pp. 3-31.
S. Nikhade, “Wireless sensor network system using Raspberry Pi and zigbee for environmental monitoring applications,” in 2015 International Conference on Smart Technologies and Management for Computing, Communication, Controls, Energy and Materials (ICSTM), Avadi, Chennai, India, 2015.
S. M. Ferdoush, “A Low-Cost Wireless Sensor Network System Using Raspberry PI and Arduino for Environmental Monitoring Applications,” M.S. thesis, Dept. Elect. Eng., Univ. North Texas, Denton, Tex., May 2014. Available: https://digital.library.unt.edu/ark:/67531/metadc500182/m2/1/high_res_ d/thesis.pdf.
附录B缩略语和缩略语
ANSI美国国家标准协会
ASHRAE美国采暖,制冷和空调工程师协会
BAS楼宇自动化系统
BLE蓝牙低功耗
CNP控制网络协议
CO一氧化碳
COTS商业现货
CPS网络物理系统
DLP数据丢失预防
DoS拒绝服务
FIPS联邦信息处理标准
HIDS主机入侵检测系统
ICS工业控制系统
ID标识符
IDS入侵检测系统
IdAM身份和访问管理
IEC国际电工委员会
IEEE电气和电子工程师学会
IoT物联网
IP互联网协议
IPS入侵防御系统
ISO国际标准化组织
IT信息技术
LAN局域网
LDAP轻量级目录访问协议
MQTT消息队列遥测传输
N/A不适用
NCCoE国家网络安全卓越中心
NIDS网络入侵检测系统
NIST国家标准与技术研究所
NISTIR国家标准与技术研究所内部/机构间报告
OEM原始设备制造商
PACS物理访问控制系统
PIN个人识别码
PROFINET 过程现场网
RF无线电频率
RFC请求注释
RFID射频识别
SNMP简单网络管理协议
SP特刊
SSH安全套接字
SSL安全套接层
TLS传输层安全性
UEFI统一可扩展固件接口
原文始发于微信公众号(河南等级保护测评):物联网传感器网络安全 V1.1
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论