基于等级保护2.0的物联网安全防护研究

摘要：利用网络将感知节点设备连接起来所构成的应用系统就是物联网，它将物理世界实体与信息系统相融合，将现实世界与虚拟世界结合在一起。为了让物联网技术得到更好的应用，就需要有效地保障来为其提供保护，网络安全等级保护从1.0时代迈进2.0时代的重要标志就是正式发布网络安全等级保护系列标准，当中对物联网安全要求予以明确。所以，将等级保护2.0框架下的互联网安全保护体系构建起来，对于物联网防御体系与物联网安全保护制度的建立与完善是必不可少的途径。

关键词：物联网;安全防护;等级保护2.0

一、引言

国际上将物联网也称为“传感网”，是指通过某一方式将设备和互联网相连接，从而可以达到定位、识别或者是监控等目的的一种网络。通常情况下物联网设备都是默认联网的，而且代码多为开源软件，所以一些黑客很容易就入侵进去。最近几年，屡屡出现的分布式拒绝服务攻击涉及数量庞大的IP摄像头与数字录像机，物联网安全威胁再次凸显。网络安全的防御与攻破之间在不断地较量，导致等保1.0的基本要求已经不能够和信息安全需求相满足，暴露出越来越多的安全问题，急需要對新的等保标准进行开发。除过物联网之外，一些新兴技术的发展也日益成熟，例如区块链人工智能以及边缘计算等等，这对于等级保护而言要求更高。为了能够和当前的形势需要相适应，信息安全等级保护制度逐步演变成了网络安全等级保护制度，即等保2.0。在等保1.0的基础上，这一系列标准对原要求进行了合并形成了通用基本要求，且扩展了新技术的安全需求，新增5个扩展标准。

二、等级保护2.0的物联网概述

等级保护1.0对于国家信息安全等级保护制度的推进和落实具有重要的指导作用，十余年间，对于各行各业信息系统安全等级保护的完善做出了重要性指导。在大数据、云计算、移动应用等各项新技术的促进之下，《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）（以下简称GB/T 22239-2008）将普适性、易用性以及可操作性进一步完善，以此更好地与新环境、新技术以及新时代需求相适应。网络安全等级保护2.0于2019年12月1日起正式实施，也是《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）（以下简称GB/T 22239-2019）实施的正式标志。和等级保护1.0时代相比而言，网络安全等级保护2.0的优势主要表现在四个方面：

（一）与《网络安全法》一致

GB/T 22239-2008当中对信息系统安全等级保护进行了强调，在GB/T 22239-2019当中对网络安全等级保护进行了强调，提出从信息系统安全等级保护到网络安全等级保护是《网络安全法》落实过程中一项核心的网络安全等级保护措施，对于新时代网络安全工作法治化的完善非常有效。

（二）安全通用与安全扩展要求概念模型

GB/T 22239-2008里面对每一级别的安全要求都进行了强调; GB/T 22239-2019当中对安全扩展与安全通用要求进行了强调，安全通用要求普适性非常强，安全扩展要求的可扩展性则比较强，比如移动互联、云计算、工业控制等。

（三）不再限定等级保护对象

GB/T 22239-2008当中对信息系统按去哪等级保护对象是单个的信息系统加以强调;GB/T 22239-2019当中对网络安全等级保护的对象是信息系统、物联网、基础信息网络等做出了强调。

（四）完善基本要求控制层面

GB/T 22239-2008中对技术层面及管理层面做出了强调，比如技术方面的网络安全、物理安全、应用安全以及主机安全等，管理方面的安全管理、系统运维管理以及人员安全管理等等; GB/T 22239-2019中对于技术层面与管理层面所强调的分别为安全通信网络、安全物理环境、安全计算环境和安全管理机构、安全管理制度、安全运维管理等等。

三、物联网应用与安全要求

（一）物联网应用场景

就技术架构方面而言，物联网系统一般是由三个层面构成的，即网络层、感知层以及应用层。在一些大型物联网当中，通常是由云计算平台和业务应用终端设备构成应用层。感知层的作用是对物体进行识别并将信息采集下来，就像人的五官，为物联网核心内容，所以在等级保护测评中属于重点。在测评过程当中，重点对感知层的感知节点设备与网关节点设备安全加以关注。如图1当中所显示的，针对物理环境的安全，一般讲等级保护的重点放在传感节点物理安全方面;在网络通信安全方面，一般则是将网络通信加密与网络协议安全作为等级保护重点;而在区域边界安全当中，感知层节点接入控制及其入侵防范则为等级保护重点。而关于计算环境安全，感知节点和网关节点的计算安全为等级保护重点，例如身份授权、应用授权以及标识鉴别等等。

（二）等保2.0下的物联网安全新要求

在国家网络安全领域当中，网络安全等级保护制度为一项基本国策，也是基本方法与基本制度。自出台《中华人民共和国网络安全法》以后，等级保护制度便上升到了法律层面，以1.0作为基础，等保2.0对全方位主动防御、整体防控、动态防御以及精准防护方面更为注重，不但有通用基本要求，而且对移动互联、云计算、工业控制等都有覆盖。发布等保2.0标准，在很大程度上促使我国的网络安全工作有了更大保障，网络安全保护能力一并提升。通过物联网的结构可以发现，安全防护涉及每一层结构，其中的处理应用层和网络传输层一般是由计算机设备所构成的，所以依照安全通用要求对这两部分来保护，等保2.0当中提出对于感知层应当有特殊安全要求，和安全通用要求共同构成完整的安全要求。物联网扩展要求如图2所示。

对物联网扩展要求进行分析可以发现，对于感知层，可以从三个方面包括网关节点设备、感知节点设备以及数据新鲜性来对安全防护要求进行开展，可见在物联网系统安全当中，这三个方面已然成为其中的重要因素。

四、当前物联网面临的安全风险

从下到上可以将物联网的运行体系分成感知层、传输层以及应用层，每一部分和信息通信安全之间都有很大关系，所以需要对每一层面所存在的安全问题加以探讨，从而能够对安全隐患有更好地把握，据此采取有效解决对策。

（一）感知层安全风险

感知层设备为了可以对所需要的信息更好地收集，一般会在公共场所当中安置，物理防护措施缺乏，并且很难安排人员去管理，比如扫描设备、网络定位设备以及环境监测设备等等，所以会遇见的问题如干扰信号、设备损坏或者是数据丢失等，这些问题为智能终端所要面临的威胁，外界的直接攻击，会使用户密码、信息以及隐私等泄漏和被盗;此外，还包括RFID 安全威胁，攻击者会通过各种方式，对目标进行攻击，比如阅读器、标签等，会使用户不能够与通信连接，导致信息被篡改从而上当受骗;不仅如此，由于无线传感器自身原因也会造成安全隐患的出现，传感器设备也需要有网络的依托，因此会在设备当中显示出网络弊端，致使传感器更容易被攻击，黑客入侵之后使得通信中断。

（二）传输层安全风险

物联网传输层一般是经过互联网、移动通信网或专网等来传输数據，当前事物之间的互联程度过深，信息过载的情况随处可见，所以数据只有得到及时的传输与处理，才可以被得到有效的应用。但是实际上，在物联网当中的许多传感器从始至终都处在在线状态当中，大量信息在经过设备传输的时候会很容易受到攻击，无线传输方式很难将黑客的专业攻击规避。在当前的互联网当中，只是对本身的运行机制和体系的发展更为专注，更重的要是对信息的传输和应用进行攻克，而在自身防控效能的建设方面则还不是很充分，并且由于结构较为复杂等各方面的因素，要想实现实时监控并安全预警还是有很大难度的，所以导致黑客的行为更加猖狂，威胁到了物理网的安全性。

（三）应用层安全风险

应用层当中对大量用户信息进行了收集，所以重点工作就是对个人隐私实现保护，相比于其他层来说这也是应用层所具有的特殊需求。只有将应用层的安全防护做到位，才能为物联网具体业务的开展奠定基础保障。

例如，在智慧城市建设过程当中，当前一些城市中已经开始建立智慧城市系统，大大方便了人们的衣食住行等各个方面。与此同时，智慧城市平台中收集到的用户信息量也非常庞大，一旦受到不法分子的攻击，那么所造成的用户利益损失后果不堪设想。

五、等级保护2.0下的互联网安全防护

物联网等级保护要求是将以往的信息安全等级保护扩充之后所建立起来的，和物联网当中的各个特点结合之后，就可以将不同层面中的安全防护措施提出来。

（一）构建安全的物理环境

在这一层面，应用安全防护措施应当对感知节点设备的运行环境管理进一步加强。应当保证可以让感知节点设备在合理的环境当中实现运行。是否合理与设备本身的材质及制作工艺之间有直接关系，与此同时应当尽可能地降低由于环境因素所造成的损坏和干扰问题。因此，在部署感知节点设备的时候，有关厂商应当将详细的推荐环境参数给出来，方便设备在部署安装过程中可以通过所提供的参数来作为依据进行。

（二）加强安全区域边界建设

相比于传统网络来说，物联网所面临的网络安全问题尤为复杂。在这一层面，应当对感知节点设备与网关节点设备的可信问题加以重点关注，也就是说在接入网络与访问数据的时候只有可以被信赖的设备才被允许。因此，可以采取的措施是将以可信计算技术为基础的硬件安全模块植入到设备当中，从而使整体安全水平得到提升。在此基础上，为了将无身份认证可直接联网使用的“便捷”设定得到有效规避，可以从基础网络方面着手，同时将身份认证和联网准入开启。

（三）提供安全的计算环境

在“等保1.0时代”，计算环境可以泛指每一类主机，但是在“等保2.0时代”当中，物联网主机感念和以往的服务器及设备之间是有区别的。实际上无论是哪一个包含信息源的感知节点设备和网关节点设备，以及有关处理模块都可以变成主机。要对这一层面的安全扩展要求予以实现，也是可以将其解决思路加以归结的。

（四）强化安全运维管理

感知层设备“特殊照顾”是对物联网的安全运维管理方面扩展要求的重要体现。具体要求为：对于所有的网关节点设备和感知节点设备都需要开展全生命周期安全监控，无论是设备的安装、部署、维修，还是设备的报废等，都需要有专门的执行依据来作为准则。与此同时，还需要对运行维护人员的个人修养及专业素质加以培训，从而达到未雨绸缪的目的。

六、结束语

等级保护从“1.0”迈进“2.0”时代，移动通信网络由2G提升到了5G，这相当于为物联网的发展提供了两只有力的翅膀。当前网络世界的发展已经势不可挡，物联网已经渗透在了人们生活的各个方面，每一个人都是这一网络拓扑中一个重要节点，物联网安全与个人安全紧密相关。当前我国所面临的物联网安全问题仍然很严峻，存在着一系列的薄弱环节。在智能化风口之下，数量庞大的传统设备被卷入到网络当中，从而出现商家为了获取利益而不注重安全设计的问题。因此，各个开发商、系统使用单位都应当正确认识物联网的利弊，在享受其带来的便利的同时，时刻关注其存在的风险，将信息安全等级保护制度严格落实到位，从而将物联网的风险得以规避，将益处发挥到最大。

参  考  文  献

[1]陈旭壮.网络安全等级保护2.0安全体系构建[J].中国新通信，2019（22）：76-77.

[2]傅钰.网络安全等级保护2.0下的安全体系建设[J].网络安全技术与应用，2018（8）：13，16.

[3]孙长江.试论物联网感知层的信息安全防护策略[J].通讯世界，2019（2）：1-2.

[4邓敏茜，丁瑜.电力物联网信息安全防护技术研究[J].通信电源技术，2020（10）.

[5]吕江鹏.基于等保2.0的物联网安全防护思路分析[J].数字化用户，2019（36）：63-64.

作者单位：胡剑杰    浙江安远检测技术有限公司

胡剑杰（1991.02-），男，汉族， 浙江金华，本科，研究方向：网络安全技术服务。