物联网安全审计—第3205号内部审计实务指南第五章第8节

2021-01-25

内部审计 IT审计 3205号文

物联网通常从架构上可分为三个逻辑层,即感知层、网络传输层和处理应用层。对大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备。物联网安全的风险着重体现在感知节点及其所处物理环境的安全,物联网及其异构传输网络的通信和结构安全(如是否采取安全加密机制、网络安全防护),用户/设备鉴别信息和感知节点数据采集信息的安全和服务中断等多种风险。

本节将从物联网的感知设备物理与环境安全、网络与通信安全、安全区域边界、设备和计算安全、应用与数据安全、安全审计等方面对物联网安全的审计方法和步骤进行描述。

一、感知设备物理与环境安全审计

(一)业务概述

是指感知层终端节点所处的物理环境对其安全产生的影响,以及所采取的相关安全防护措施是否充分。

(二)审计目标和内容

1、终端感知节点物理与环境安全

该控制项旨在检查感知层终端节点所处的物理环境是否对其安全产生影响,以及是否受到安全防护措施及其措施的有效性。

2、感知层网关节点物理与环境安全

该控制项旨在检查感知层网关节点所处物理环境是否对其安全产生影响,以及是否受到安全防护措施并审查防护措施的有效性。

3、感知设备访问控制

该控制项旨在检查感知层网的节点、网关设备及其网络资源采取访问控制措施,确保上层用户对上述资源的合法访问与使用。

4、感知设备恶意代码与入侵防护

该控制项旨在检查组织是否对终端感知节点和感知网关节点部署恶意代码防护设备与入侵检测设备,并定期开展漏洞扫描和代码库的升级与更新工作,验证防护措施有效性。

(三)常见问题和风险

1、终端感知节点物理环境安全管控不严格,导致意外断电、电磁干扰、发生火灾等情况,影响终端感知的正常运行。

2、终端感知节点和感知网关节点未安装恶意代码防护设备,导致恶意代码入侵系统或恶意代码在网络传播,造成网络中断和感知状态中断。

(四)审计的主要方法和程序1、终端感知节点物理与环境安全访谈物理安全负责人,询问终端感知节点的物理安全需求及环境现状(或实地查看),判断是否对其产生物理破坏;询问针对感知节点所处的物理环境,采取哪些防范措施以确保其物理环境安全(如非法物理访问、防雷、防电磁干扰等),并检查是否与实际情况相一致;询问感知节点是否可以准确反映其所处物理环境状态,并对其所获取的物理数据与实际环境数据进行验证,或者查阅物理环境的设计和验收文档;询问感知节点是否设置备用电源从而满足其最低电力供应需求,并验证电力供应系统是否可在规定时间内正常启动和供电;询问是否对感知节点进行物理加固并设置明显、不易去除的标志,且确保标识的唯一性。

2、感知层网关节点物理与环境安全

(1)访谈物理安全负责人,询问感知层网关节点的物理安全需求(如防火、防静电等)及其为满足安全需求所采取的安全防护措施;询问感知层关键网关节点所在物理环境是否具有良好的信号收发能力,并检查是否对其所在物理环境部署反屏蔽设施,验证所在物理环境的信号收发能力。

(2)查看感知层网关节点的实际物理环境,验证物理防护措施的有效性。

(3)检查感知层网关节点的主要部件是否接受安全固定,防止被移动或被搬走;是否有明显的不易除去的标记;是否设置短期备用电源从而满足其最低电力供应需求,并验证电力供应系统是否可在规定时间内正常启动和供电。

3、感知设备访问控制访谈网络管理员,询问针对物联网终端及感知节点设备,是否采取必要的技术手段防止其非法下载软件应用,且对合法用户的身份及其访问控制权限进行识别,确保对感知网资源和设备的合法访问与使用,并对技术手段的有效性进行验证;(感知设备/节点的访问控制)

4、感知设备恶意代码与入侵防护

(1)访谈安全管理员,询问是否对终端感知节点和感知网关节点安装恶意代码防护设备,并定期对其进行更新且在监测出恶意代码后及时报警。

(2)检查是否定期对终端感知节点和感知网关节点进行漏洞扫描,防范被用于木马、病毒的攻击,使得终端节点被非法控制或处于不可用状态,从而获取未授权的访问实施攻击或成为网络渗透入口,并查验历史漏洞扫描记录。

二、网络与通信安全审计

(一)业务概述

是指物联网的感知设备的身份认证、访问控制、无线接入的安全,以及通讯网络安全管理、数据安全传输等措施的实施。

(二)审计目标和内容

1、入网感知设备安全认证

该控制项旨在检查是否对接入物联网的感知设备进行认证,以确保感知设备及其数据收集、传输的安全可靠。

2、感知设备访问控制

该控制项旨在检查是否对感知设备/节点及其传感网的接入网络采取必要的安全访问控制措施,防止对感知设备/节点及其感知网资源的非法访问与使用。

3、无线网的安全接入

该控制项旨在检查组织是否存在通过无线网络接入的感知终端,并验证是否对其采取必要的安全工作措施确保无线网络的安全性。

4、异构网的安全接入与保护

该控制项旨在检查组织是否存在异构网的物联网接入,并验证是否对其采取必要的安全工作措施确保异构网数据传输的完整性和保密性。

5、网络数据传输保护

该控制项旨在重点检查是否为确保物联网传输数据的完整性、保密性和新鲜度采取控制措施,并对接入物联网的通信设备进行可信验证,防止非法接入。

6、通信网络安全管理

该控制项旨在检查组织是否对物联网通信网络采取安全监控、应急等安全管理措施,防范因传输链路故障造成数据传输失效及服务不可用。

(三)常见问题和风险

1、入网感知设备安全认证机制不完善,导致安全认证机制被绕开或非法的物联网终端接入,对感知设备运行造成安全影响。

2、网络数据传输保护机制不严格,导致感知层感知数据在传输过程中外泄或数据传输过程中被篡改。

(四)审计的主要方法和程序

1、入网感知设备安全认证访谈网络管理员,询问是否对感知终端接入网络时采取设备认证机制以及所采取认证的具体措施;是否制定感知终端认证的策略文档,查看是否包括防止非法的物联网终端接入网络的机制描述;询问是否存在较大数量物联网终端设备接入网络的应用以及是否提供组认证的机制及其相关举措。

2、感知设备访问控制

(1)访谈网络管理员,询问是否制定访问控制策略对传感网入网采取必要的访问控制措施,并了解访问控制措施的具体内容,查看相应的控制策略文档;询问是否对感知终端设备的网络接入制定相应访问控制策略并检查传感网入网访问控制设备,验证访问控制策略的配置情况;询问是否允许远程配置物联网感知终端和节点设备上的软件应用,以及是否制定相应的远程访问安全控制机制并采取安全防护措施,了解安全机制是否覆盖对资源访问相关的主体、客体及它们之间的操作。

3、无线网的安全接入访谈网络管理员,询问组织目前是否存在无线网接入的感知终端,或通过无线网进行采集信息的传输;询问并查阅是否对制定无线网安全管理制度及安全策略;询问是否定期根据无线网络脆弱性对其进行安全风险评估和安全检查。

4、异构网的安全接入与保护访谈网络管理员,询问组织目前的联网是否存在异构网络的接入需要及其各接入网的工作职能、重要性和所涉及信息的重要程度等因素;询问是否对各异构网的接入网网关进行子网或网段的划分,了解各安全划分子网/网段的功能,并查看接入网关的安全配置;询问并查阅是否对异构网的物联网接入制定相应安全管理制度及安全策略;询问是否对异构网接入时的数据转发采取安全措施(如加密及完整性校验)确保数据完整性和保密性,了解保密性保护机制是否符合国家密码行政主管部门规定,验证安全措施的有效性并调阅测试报告;询问是否采用入侵检测等技术拒绝恶意设备的接入,保证合法设备不被恶意设备攻击而被拒绝接入,保证网络资源的可使用性。

5、网络数据传输保护访谈网络管理员,询问为确保包括感知层感知数据在内的数据传输的完整性和保密性所采取的加密算法和完整性机制,了解是否符合国家密码管理的相关规定并验证在发现完整性被破坏时进行恢复;询问为确保感知层感知数据的新鲜度所采取的控制措施;询问是否对连接到通信网络的设备进行可信检验,从而确保接入通信网络的设备真实可信,防止设备的非法接入。

6、通信网络安全管理

(1)访谈网络管理员,询问终端感知设备进行数据传输的网络现状,如服务商数量(若存在外部网络运营服务商)、传输链路数量,从而判断是否存在单点故障;询问是否对感知终端的数据传输网络流量进行监控并制定流量应急管控方案,防范传输流量过大造成的网络拥塞;询问是否对连接感知终端与服务端的通信网络增加流量分析、态势感知等安全策略。

(2)访谈物联网管理负责人,询问是否制定通信网络的专项应急预案,并进行定期应急演练,查看历史记录并检查是否将外部网络运营商纳入到应急演练参与者当中。

三、安全区域边界审计

(一)业务概述

是指为物联网建立安全区域边界,对安全区域边界进行访问控制,对进出边界的数据进行安全过滤,对进入物联网的设备采用准入控制等安全措施。

(二)审计目标和内容

1、安全区域边界访问控制

该控制项旨在检查组织是否对物联网进行安全区域的划分,并对其制定相应的访问控制策略及开展安全访问控制。

2、区域边界过滤与控制

该控制项旨在检查组织是否基于已制定的访问控制策略,对进出区域边界的数据包和报文实施过滤机制。

3、区域边界完整性保护和准入控制

该控制项旨在检查是否采取安全控制措施以确保区域边界的完整性并对其实施准入的控制措施。

(三)常见问题和风险

1、物联网安全区域边界访问控制不严格,遭受非法入侵或网络攻击,引起网络异常或中断。

2、物联网区域边界完整性保护不足,容易导致非法外联和入侵行为,影响感知设备的正常使用。

(四)审计的主要方法和程序

1、安全区域边界访问控制访谈网络管理员,询问是否对信息系统进行安全区域的划分,了解各区域的访问控制方式及是否制定相应的访问控制策略,从而对进出安全区域边界的数据信息进行控制,防止非授权访问;询问是否对物联网区域实施边界访问控制,制定针对数据、协议、流量和最大连接数等内容的访问控制策略。

2、区域边界过滤与控制访谈网络管理员,询问是否根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出该区域边界;询问是否在安全区域边界设置协议过滤,从而对物联网通信内容进行过滤,并对通信报文进行合规检查,以及根据协议特性,设置相对应控制机制。(区域边界协议过滤与控制)

3、区域边界完整性保护和准入控制访谈网络安全管理员,询问是否制定物联网边界区域完整性保护的策略及相关安全措施;询问是否制定安全区域边界的准入控制机制对接入设备进行有效标识、识别,从而保证合法设备接入,拒绝恶意设备或非法接入;询问是否在区域边界设置探测器或探测软件,探测非法外联和入侵行为并及时报告,同时验证非法接入识别的有效性;询问是否在区域边界设置轻量级的双向认证机制,能够保证防止数据的违规传输;询问是否可对感知设备的健康数据进行收集(如固件版本、标识、配置信息校验值等),从而对接入的感知设备进行健康性检查,拒绝非健康设备的接入。

四、设备和计算安全审计

(一)业务概述

是指对物联网系统设备身份进行鉴别与访问控制,对设备数据进行安全管理,以及对其进行安全监测及恶意代码和漏洞防护。

(二)审计目标和内容

1、设备身份鉴别与访问控制

该控制项旨在检查是否分别对物联网系统的设备身份进行有效标识和鉴别,并确保其唯一性和鉴别信息的保密性与完整性;同时,检查是否制定相应的访问控制策略和访问操作权限。

2、设备数据信息安全管理

该控制项旨在检查组织对物联网系统的设备信息及其收集、处理和存储的重要数据信息采取安全控制措施,确保数据安全,同时审核所采取的安全技术手段是否符合国家的安全规定。

3、安全监测及恶意代码和漏洞防护

该控制项旨在检查组织是否采取安全控制手段,对应用端服务器进行安全监测,部署恶意代码防护工具,同时开展漏洞扫描和渗透测试。

(三)常见问题和风险

1、终端感知节点(包括RFID标签)和感知层网关节点(包括RFID读写器)未建立统一的身份标识和鉴别机制,造成身份认证混乱或身份认证机制被破解,影响设备的正常运行。

2、物理网设备对于生存信息、鉴别信息、隐私性数据和重要业务数据的保护力度不足,造成数据传输过程中被非法访问或泄露。

3、关注设备数据信息安全风险,安全技术手段不符合国家安全规定的风险。

(四)审计的主要方法和程序

1、设备身份鉴别与访问控制访谈系统管理员,询问是否对终端感知节点(包括RFID标签)和感知层网关节点(包括RFID读写器)进行统一身份标识和鉴别管理,并确保在系统整个生存周期设备标识的唯一性;询问是否对设备的身份鉴别信息在传输与存储过程中采取必要的安全措施,确保其机密性和完整性,并对感知设备发送的数据进行鉴别,确保防范虚假信息的恶意注入,并核查加密算法是否符合国家规范;询问身份鉴别管理系统是否可对合法的连接设备(包括终端节点、路由节点、数据处理中心)进行有效鉴别,并可识别非法节点和伪造节点,过滤其发送的数据和重放合法节点的历史数据;询问是否针对感知设备和其他设备(感知层网关、其他感知设备)间的通信,制定访问控制策略,确保权限检查通过后才允许设备间开始通信或对用户进行权限检查,只有经过授权的合法用户才能通过外部接口对感知设备进行更新配置、下载软件等。

2、设备数据信息安全管理

(1)访谈系统管理员,是否对物理网设备的生存信息、鉴别信息、隐私性数据和重要业务数据在存储过程中采用密码等技术进行完整性校验,确保校验信息在其受到破坏时能够进行恢复、重传,以及使用符合国家密码行政主管部门规定的数字摘要算法、签名算法等;询问是否对物理网设备的生存信息、鉴别信息、隐私性数据和重要业务数据在存储过程中采用密码等技术进行加密,并检查加密算法是否符合国家规定。

(2)访谈数据库安全管理员,询问感知终端数据的存储模式,以及是否对网络服务端的数据管理系统做到系统加固、漏洞检测与修复、防黑客、抗DDoS攻击、安全审计、行为检测等服务器安全防护,以防发生由于主机被攻破导致的数据泄漏、数据篡改等安全问题。

3、安全监测及恶意代码和漏洞防护

(1)访谈主机和工控系统安全管理员,询问并检查是否对工业主机服务器和工控系统:部署入侵检测系统并查验历史记录,判断系统是否可对监测出的入侵行为或异常业务操作进行异常分析和报警;部署并进行防恶意代码库和补丁漏洞的升级与修补,并在此之前进行安全测试及制定回退计划,并查阅相关历史记录。

(2)访谈系统管理员,询问是否对应用端的服务器采取:设置安全基线,制定防篡改、防挂马安全规范,提出监测、防护与处置机制和要求;对应用服务器部署自动检测工具并定期开展漏洞扫描、渗透测试等检查工作;安装防病毒、通讯监视等软件。

五、应用与数据安全审计

(一)业务概述

是指物联相关应用在身份鉴别与访问控制等方面的安全管理,相关数据在完整性、机密性、可用性等方面的安全管理。

(二)审计目标和内容

1、用户身份鉴别与访问控制

该控制项旨在检查组织是否采取有效的控制措施,对物联网系统的用户身份进行鉴别并确保鉴别信息的安全,同时检查是否根据用户身份制定访问控制策略确保操作合规可控。

2、用户及业务数据信息安全管理

该控制项旨在检查组织是否对物联网系统用户数据和重要业务数据制定数据安全管理策略并采取安全控制措施,确保数据的保密性与可用性。

3、抗数据重放

该控制项旨在检查组织是否采取安全控制手段,在确保数据新鲜性的同时,监测并防范历史数据被重放。

(三)常见问题和风险

1、物联网系统访问控制机制不严格,导致重要或敏感数据被非授权访问,造成重要或敏感数据的破坏或泄露。

2、感知节点数据新鲜性保护措施不足,导致系统遭到重放攻击,认证凭据被非法篡改。

(四)审计的主要方法和程序

1、用户身份鉴别与访问控制访谈系统管理员,询问是否对物联网系统的用户进行标识和鉴别,确保在系统整个生存周期用户标识的唯一性以及采用统一、集中且不少于两种组合机制进行身份鉴别,同时,可对假冒用户使用未授权的业务应用或者合法用户使用未定制的业务应用进行鉴别;询问是否对用户身份鉴别信息、口令、密钥在传输与存储过程中采取必要的安全措施,确保其机密性和完整性;询问是否针对物联网用户和管理员制定访问控制策略,明确访问控制规则、访问控制的颗粒度及操作权限;询问是否提供对远程登录用户的认证功能,以及认证的方式有哪些,并验证远程登录用户的认证功能。

2、用户及业务数据信息安全管理

(1)访谈系统管理员,是否对存储和处理的用户数据及重要数据(指令控制数据、业务数据)采用密码等技术进行完整性校验机制和保密机制,发现完整性受破坏的数据并对重要数据进行恢复,同时确保数据的保密性。

(2)访谈网络管理员,询问是否对感知层重要业务数据进行本地备份,以及是否制定备份策略和数据重传策略,并检查感知层重要业务数据的本地备份和重传功能,其配置是否正确,查看其备份结果是否与备份策略一致,重传策略是否生效。(数据可用性)

3、抗数据重放

(1)访谈安全管理员,询问针对感知节点数据新鲜性的保护措施有哪些。

(2)检查感知节点鉴别数据新鲜性的措施,并尝试将感知节点设备历史数据进行重放,验证其保护措施是否生效。

(3)访谈安全管理员,询问针对防范历史数据被非法修改的防护和检测措施有哪些。

(4)检查感知层是否配备检测感知节点历史数据被非法篡改的措施,并验证检测措施的有效性是否能够避免数据的修改重放攻击,以及在检测到被修改时是否能采取必要的恢复措施。

六、安全审计

(一)业务概述

是指制定物联网相关安全审计规范和安全审计策略,部署安全审计平台和工具,开展安全审计工作。

(二)审计目标和内容

1、安全审计的管理

该控制项旨在检查组织是否就物联网安全制定专项的安全审计规范和安全审计策略并据此部署和开展安全审计工作。

2、安全审计的实施

该控制项旨在检查组织是否根据既定的安全审计规范与策略开展安全审计,并检查安全审计的内容是否涵盖物联网通信安全、边界安全及系统安全,同时验证集中式安全管理中心是否对已定义的安全事件及时发现并报警。

(三)常见问题和风险

1、未制定物联网安全专项审计规范和策略,无法有效落实物联网安全审计要求,不利于物联网管控措施的持续改进。

2、未针对分布在物联网上的系统部署安全审计工具,无法有效监控各系统的状态和异常,无法及时发现系统的攻击行为和非授权访问和破坏。

(四)审计的主要方法和程序

1、安全审计的管理

(1)检查组织是否制定物联网安全专项审计规范和审计策略,并部署安全审计工具或平台。

(2)查看物联网安全审计规范,检查其内容是否对审计日志的内容、格式、访问、存储和安全报警事件进行明确要求,并对审计日志进行抽样检查,检查其日志管理要求是否符合制度规范要求;检查其内容是否对物联网安全事件进行定义、分类,明确安全事件的主体、客体、时间、类型和结果等内容;检查其内容是否对审计记录的存储、管理和查询进行明确要求,防止非授权访问和破坏,并验证保存时间是否符合规范要求。

(3)访谈信息安全审计负责人,询问是否对分布在物联网系统的各个重要组件部署安全审计工具并实现集中管理,且具有:为集中安全管理工具或平台提供接口;可按时间段开启和关闭相应类型的安全审计功能;对审计记录的查询、分类、分析和存储保护的功能,并根据分析结果进行处理;对安全审计员进行身份鉴别,且只允许其通过特定的命令或操作界面进行安全审计操作的功能。

2、安全审计的实施

(1)查看物联网安全审计规范,审查其内容是否对物联网通信网络提出审计要求,查阅审计记录,判断并验证是否对通信网络设置审计机制,并由安全管理中心集中管理,且对确认的违规行为进行报警。

(2)审查其内容是否对物联网区域边界安全提出审计要求,查阅审计记录,判断并验证是否对安全区域边界设置审计机制,由安全管理中心集中管理,并对确认的违规行为及时报警。

(3)审查其内容是否对系统安全审计提出审计要求,查看系统安全审计工具,检查其是否具备对不能由系统独立处理的安全事件,提供由授权主体调用的接口,并验证其是否可由安全管理中心集中管理,且对确认的违规行为及时报警。