Professional Documents
Culture Documents
2 Hwiotsecutitywhitepaper2017full Confirm
2 Hwiotsecutitywhitepaper2017full Confirm
Mục lục
08 3.1 Tầm nhìn về an ninh trong một thế giới 17 4.1 Các thực hành thiết kế thiết bị
IoT rộng mở, hợp tác và sôi động
18 4.2 Các thực hành bảo mật trong xác thực và kiểm tra
10 3.2 Các vấn đề chính cho kiến 19 4.3 Các thực hành bảo vệ riêng tư
trúc an ninh IoT
19 4.4 Các thực hành vận hành và bảo trì an toàn
11 3.3 Bản thiết kế kiến trúc an ninh 21 4.5 Chọn các trường hợp sử dụng
1
Sách trắng về An ninh IoT Huawei
Mạng lưới vạn vật kết nối (IoT) là sự hội tụ của thế giới ảo và gồm các khía cạnh về công, tư và cộng đồng. Việc thiết lập và
thế giới vật chất. Nó là mối liên kết quan trọng giữa mạng cảm bảo vệ các ranh giới an ninh này - cho mọi người dùng - là nền
biến hướng thiết bị và ứng dụng hướng dữ liệu được hỗ trợ bởi tảng của sự tin cậy trong thế giới IoT mở. Tóm lại, một biện
các công nghệ Internet. IoT tạo nên một cơ sở hạ tầng được pháp an ninh IoT toàn diện, đầy đủ và triệt để là vô cùng cần
IoT
Bình minh của kỷ nguyê
phân bổ theo địa lý và đem đến kết nối chung cho các thiết bị thiết.
cảm biến được sử dụng hàng ngày. Nhờ vậy, thông tin về
nhiều hoạt động khác nhau của con người có thể được thu và Sách trắng này là bước tiến đầu tiên trong công tác xây dựng
truyền tải tới các ứng dụng IoT. Sau đó, các ứng dụng này kiến thức tổng quát về an ninh IoT. Mục tiêu của sách là:
giúp các hoạt động của cá nhân, tập thể và xã hội đạt hiệu quả
> Cung cấp kiến thức cơ bản về các thách thức trong an ninh
tối đa, từ đó, IoT có ảnh hưởng lớn đến thế giới của chúng ta.
IoT và mô tả các công nghệ chủ chốt.
Bản chất kết hợp vật chất - ảo của IoT có thể hơi khó hiểu, và > Mô tả thách thức trong an ninh IoT và các yêu cầu chính cho
kiến trúc an ninh IoT
Những trụ cột chính trong Biện pháp an ninh Khía cạnh sinh thái trong an ninh
đem đến một thách thức lớn. Tính mở của IoT cũng vậy, IoT phương pháp xây dựng kiến trúc an ninh IoT hiệu quả.
kết hợp thông tin từ các thực thể công, tư và cộng đồng và các
> Mô tả biện pháp an ninh IoT tốt nhất trên quan điểm về thiết
hoạt động. Thông tin này được tập hợp và sử dụng trên nhiều
bị, mạng và nền tảng.
ứng dụng, tuy nhiên, không phải lúc nào chúng ta cũng biết rõ
về các mục đích và công dụng của những ứng dụng này tại > Chỉ ra vai trò của sự hợp tác trong an ninh IoT (ví dụ trong
thời điểm thu dữ liệu. các cơ quan tiêu chuẩn hóa, sáng kiến cộng đồng...).
Để có thể xuất hiện trong xã hội hiện đại, IoT phải phù hợp > Liệt kê các mối ưu tiên cho kiến trúc an ninh IoT, thiết lập
IoT
với các mối ưu tiên của người sử dụng IoT, đồng thời phải đáp trụ cột cho một kiến trúc an ninh IoT an toàn. Các trụ cột
ứng được các yêu cầu về an ninh và bảo mật của họ. Khả năng này bao gồm các ưu tiên của kiến trúc, sử dụng tiêu chuẩn
đáp ứng yêu cầu về an ninh bảo mật của IoT rất quan trọng, và các khía cạnh sinh thái quan trọng.
bởi nó xác định ranh giới an ninh của một hệ thống mở, bao
IoT
Tóm lược và Kết luận
2
Sách trắng về An ninh IoT Huawei
IoT
Bình minh của kỷ nguyê
2.1 Quan điểm 3T+1M của Huawei về vấn đề an ninh IoT
IoT
trong kiến trúc an ninh
Những trụ cột chính
Các thiết bị IoT thường có nguồn tài nguyên hạn chế và dễ bị
1. Đối với thiết bị đầu cuối: Khả năng bảo vệ thiết bị có thể
tấn công bởi các đối thủ nguy hiểm. Kẻ tấn công có thể xâm
thiết lập
phạm một thiết bị IoT và sử dụng nó làm nền tảng để bắt đầu
tấn công các thiết bị IoT khác. Do đó, một thiết bị IoT bị xâm 2. Đối với mạng: Phát hiện và cách ly thiết bị độc hại
phạm có thể dần dẫn đến việc hàng nghìn thiết bị IoT khác bị
3. Đối với nền tảng: Bảo vệ nền tảng và dữ liệu
xâm phạm, giống như bệnh truyền nhiễm vậy. Kẻ tấn công có
thể sử dụng một mạng lưới lớn các thiết bị IoT bị xâm phạm 4. Đối với quy trình: hoạt động và quản lý an toàn
IoT
Khía cạnh sinh thái trong an ninh
Khả năng bảo vệ thiết bị có Phát hiện và cách ly thiết bị Bảo vệ nền tảng
3 thể thiết lập độc hại và dữ liệu
Tóm lược và Kết luận
3
Sách trắng về An ninh IoT Huawei
Ngày 20/10/2016, nhà cung cấp dịch vụ Dyn về hệ thống tên Internet và đã tạm thời đánh sập nhiều website nổi tiếng (ví
miền (DNS), một thành phần quan trọng trong hạ tầng dụ như GitHub, Twitter, Reddit, Netflix, Airbnb...). Phần
Internet, đã bị tấn công thiết bị IoT bởi kẻ tấn công DDoS mềm độc hại Mirai cũng được sử dụng trong một vụ tấn
bằng phần mềm độc hại Mirai. Trong cuộc tấn công Dyn này, công DDoS website Krebs on Security ngày 20/09/2016, kỷ
hơn 100000 thiết bị đầu cuối, như camera IP, bộ phát wifi gia lục đạt ngưỡng 620 Gbps.
dụng và các thiết bị đầu cuối thông minh khác bị Mirai kiểm
soát.1 Chi phí tài chính cho các sự cố an ninh IoT có thể rất lớn2 và
có thể chiếm tới 13,4% doanh thu hàng năm của một số tổ
nguyên IoT
Bình minh của kỷ
các thiết bị IoT có thể có tuổi thọ từ 10 năm trở lên. Do 2.3.3 Phân bổ thực thể
thường xuyên phải lộ ở ngoài trong một thời gian dài, thiết bị
IoT rất dễ bị hư hỏng. Các yêu cầu gắn nhúng thiết bị cũng Do bản chất phân bổ, hệ thống IoT bao gồm rất nhiều mảng
làm hạn chế nguồn tài nguyên cho các hoạt động mã hóa và trải khắp các vị trí địa lý khác nhau (Hình 2).
giao thức bảo mật, do đó làm hạn chế khả năng an ninh của
Ứng dụng – Mảng này gồm các ứng dụng cần truy cập bảo
các thiết bị IoT.
mật vào dữ liệu IoT, và có thể bảo vệ quyền kiểm soát thiết bị
IoT.
2.3.2 Sự đa dạng của thiết bị
Khía cạnh sinh thái
trong an ninh IoT
Các thiết bị đầu cuối IoT rất đa dạng về mục đích, thông số Nền tảng – Mảng này chính là “mỏ neo” cho an ninh hệ thống
hình dạng, khả năng phần ứng và tính tuân thủ với các tiêu IoT. Thông thường, nó hoạt động trên một nền tảng đám mây,
chuẩn và quy định. Thiết bị đầu cuối IoT có thể hoạt động do đó, nó có thể sử dụng khả năng an ninh đám mây. Mảng
trong nhiều lĩnh vực và nhiều tình huống khác nhau - từ máy này bao gồm nền tảng IoT - một thành phần nhận dạng, xác
đo điện thông minh cho tới lĩnh vực y tế hay ô tô. Do đó, khi thực và kiểm soát chính sách.
Tóm lược và Kết luận
thiết kế hệ thống IoT cần chú trọng tới rất nhiều thiết bị và
1.Wikipedia:Mirai, https://en.wikipedia.org/wiki/Mirai_(malware)
2.Tin kinh doanh IoT, “Khảo sát: Gần một nửa số công ty Mỹ sử dụng Mạng lưới Vạn vật Kết nối bị tấn công an ninh”, https://iotbusinessnews. com/2017/06/01/65662-
survey-nearly-half-u-s-firms-using-internet-things-hit-security-breaches/
4
Sách trắng về An ninh IoT Huawei
Thiết bị đầu cuối – Mảng này là giao diện cho thế giới vật lý
IoT
Bình minh của kỷ nguyêNhững trụ cột chính trongBiện pháp an ninh IoT
thông qua cảm biến và bộ trợ động. Tùy theo khả năng giao
tiếp , thiết bị đầu cuối IoT có thể kết nối nền tảng IoT trực
tiếp, hoặc thông qua cổng IoT.
Ứng dụng
IoT
Khía cạnh sinh thái trong an ninh
Theo như Hình 2, các mảng này và phần tử mạng được chia tách bởi các ranh giới tin cậy (tức là do các thiết bị có nguy cơ bị xâm
phạm vật lý khác nhau). Việc thiết bị được phân bổ ở các vị trí và khu vực địa lý khác nhau là một thách thức đối với an ninh toàn
diện của IoT, bởi ngoài kết nối không đáng tin cậy, các quy trình quản lý (ví dụ như thu hồi khóa...) phức tạp hơn ở các ranh giới tin
cậy.
5
Sách trắng về An ninh IoT Huawei
Hơn nữa, để tiết kiệm tài nguyên, thiết bị đàu cuối IoT có thể - từ thu thập cho tới truyền tải dữ liệu qua mạng và lưu trữ dữ
có chu trình hoạt động ngắn và chuyển sang chế độ tiết kiệm liệu.
Tóm lược chính
điện khi không làm việc. Mô hình ủy quyền dựa trên vai trò
thông thường không thể phân biệt giữa thiết bị đầu cuối IoT bị 2.3.6 Tính linh hoạt - các trường hợp sử
xâm phạm với một thiết bị IoT không bị xâm phạm khi chúng dụng chưa biết trước
đang ở chế độ tiết kiệm điện. Mô hình này cần thêm thông tin
về trạng thái của thiết bị mới có thể đánh giá được tính toàn IoT có thể giúp chúng ta thực hiện các tầm nhìn về tự động
vẹn của thiết bị. Do đó, việc ủy quyền trong IoT phải thích hóa và thông minh hóa cho xã hội loài người, cho mọi thứ có
ứng phù hợp với từng tình huống sử dụng thiết bị. “ý thức” và “thông minh” hơn. Ví dụ như tầm nhìn của Giao
thông Thông minh là đem lại khả năng giao thông theo nguồn
IoT
Bình minh của kỷ nguyê
2.3.5 An toàn dữ liệu tài nguyên và cho phép thực hiện các dịch vụ giao thông đầu -
cuối hiệu quả hơn. Mỗi tầm nhìn “Thông minh” sẽ có nhiều
Biện pháp bảo mật dữ liệu cho một mục đích là chưa đủ với trường hợp sử dụng, một số trường hợp chưa được biết đến,
IoT, bởi một dữ liệu có thể được sử dụng với nhiều mục đích nhưng tất cả đều có nhận thức và trí tuệ. Mặt khác, an ninh IoT
khác nhau. Một số trường hợp sử dụng dữ liệu có thể có yêu đang xuyên các ranh giới miền và cần được đảm bảo bảo mật
cầu bảo mật khắt khe hơn, từ đó đặt ra nhiều vấn đề khác về toàn diện đầu - cuối. Ví dụ, các thiết bị gia dụng thông thường
an ninh dữ liệu (nguồn gốc dữ liệu, quy trình xử lý dữ liệu và (ví dụ như tủ lạnh, bếp, lò vi sóng...) và thiết bị điều khiển gia
IoT
trong kiến trúc an ninh
Những trụ cột chính
các địa điểm dữ liệu đã đi qua) và xuất xứ của dữ liệu. Ngoài dụng (ví dụ như máy sưởi, thông gió...) có thể cùng nhằm
ra, do khả năng khai thác dữ liệu ngày càng tiến bộ, dữ liệu trong trường hợp sử dụng của Nhà Thông minh cũng như Lưới
lớn trong IoT cần được chú trọng bảo vệ. Ví dụ, với biện pháp điện Thông minh. Tương tự, xe điện cá nhân có thể nằm trong
thông thường, các thông tin chi tiết chẩn đoán của một người trường hợp sử dụng của Đỗ xe Thông minh, Lưới điện Thông
(siêu dữ liệu) sẽ không nằm trong hồ sơ theo dõi GPS - một minh và Phương tiện Giao thông Thông minh - thậm chí là
loại thông tin được lưu trong điện thoại di động và được truy được sử dụng đồng thời (Hình 3). Để đảm bảo tính chính xác
cập từ ứng dụng IoT. Tuy nhiên, bản phân tích tương quan về của thiết kế an ninh, đối với mỗi thiết bị IoT và trường hợp sử
hoạt động di chuyển của người đó có thể cho thấy họ đã đến dụng, các yêu cầu an ninh đã xác định cần được kiểm tra kỹ
Biện pháp an ninh IoT
các địa điểm có dịch vụ y tế cụ thể, và từ đóan ra các thông tin lưỡng với các yêu cầu của tất cả các trường hợp sử dụng khác.
khác về tình trạng sức khỏe của người đó. Khả năng tập hợp Có nghĩa là an ninh IoT cần một khuôn khổ để phối hợp giữa
thông tin này đem đến một thách thức lớn cho an ninh dữ liệu các miền với nhau.
thông minh
Nhà thông
minh Đỗ xe thông
minh
TV
Tóm lược và Kết luận
Lò sưởi
Tủ lạnh
Xe điện
Hình 3. Phạm vi tương đối của trường hợp sử dụng IoT khắp các miền (minh họa trường hợp sử dụng đồng thời).
6
Sách trắng về An ninh IoT Huawei
IoT
Bình minh của kỷ nguyê
là có biện pháp bảo vệ ở nhiều lớp khác nhau. Khi có hàng lý DDoS không vượt quá 8 Tbps. Theo báo cáo, quy mô tấn
triệu thiết bị yêu cầu thao tác (ví dụ các máy đo điện thông công DDoS tối đa trung bình đang tăng lên 26% mỗi quý (tức
minh sử dùng ở nhiều thành phố), chúng ta sẽ không thể can khoảng 100% mỗi năm). Với việc các vụ tấn công DDoS trên
thiệp thủ công. Do đó, tự động hóa quy mô lớn là một yếu tố 100 Gbps tăng lên 140% hàng năm, thì việc chỉ tăng công suất
quan trọng trong an ninh IoT. xử lý DDoS dường như không phải là một biện pháp thực
tiễn3, 4 . Cần có thêm biện pháp bổ sung, đòi hỏi chúng ta
phải suy nghĩ lại và đánh giá lại các phương pháp, công cụ,
biện pháp và quy trình của chúng ta.
7
Sách trắng về An ninh IoT Huawei
3
kiến trúc an ninh IoT
3.1 Tầm nhìn về an ninh trong một thế giới IoT rộng mở, hợp
IoT
Bình minh của kỷ nguyê
thống nhất và cố kết cho mọi trường hợp sử dụng. Do đó, cần
xem xét đến tồng thể hệ thống và những hành động để tạo nền
tảng an ninh tốt và khả năng bảo vệ linh hoạt, tân tiến để có
thể bảo vệ tốt nhất cho hệ thống mở linh hoạt này. Có vô số An ninh
các công nghệ tân tiến có thể tăng mức độ an ninh tổng thể, ví
dụ như nền tảng chung và thành phần quan trọng cho các thiết
bị, chằng hạn như hệ điều hành an toàn và các thành phần
mạng mạnh mẽ. Các thành phần này có thể được sử dụng bởi Năng động Hợp tác
cả hệ sinh thái để có được một nền tảng an ninh tốt mà các nhà
Biện pháp an ninh IoT
cung cấp cá nhân có thể tiếp tục phát triển. Việc chúng tôi
cung cấp các thành phần chính và làm việc sát sao với các đối
tác
sẽ đem đến lợi ích cho toàn ngành và đem đến những giải pháp
đáng tin cậy và an toàn hơn cho khách hàng.
IoT
Khía cạnh sinh thái trong an ninhTóm lược và Kết luận
8
Sách trắng về An ninh IoT Huawei
IoT
Khía cạnh sinh thái trong an ninh
chúng tôi.
Thứ ba là cần lưu ý rằng nhiều tình huống IoT đặc biệt có thể
sẽ rất năng động. Các thiết bị có thể được bổ sung bất kỳ lúc
nào, sử dụng nhiều loại bộ phận, nhà cung cấp và nền tảng.
Một số trường hợp khác có thể “nhẹ nhàng hơn”, nhưng chúng Ứng phó Bảo vệ
ta phải giả định rằng một số bộ phận trong hệ sinh thái IoT có
thể bị xâm phạm trong tương lai. Do đó, chúng ta cần lưu tâm
tới môi trường năng động và khắc nghiệt này khi thiết kế biện
Tóm lược và Kết luận
pháp an ninh và kiểm soát. Việc liên tục giám sát, đánh giá,
điều chỉnh và cải thiện (nếu cần) tình hình an ninh dựa trên
các số liệu đảm bảo an ninh và tinh hình rủi ro trở nên rất cần
thiết. Việc này diễn ra qua một chiến lược bảo vệ an ninh tích Phát hiện
cực với một vòng lặp liên tục giữa biện pháp bảo vệ, khả năng
phát triển tăng cường và ứng phó sự cố, tất cả đều phải cải
thiện liên tục. Các chương sau sẽ giải thích cách Huawei hỗ
trợ cho tầm nhìn của mình về an ninh IoT. Các chương sau sẽ
đề cập đến các khía cạnh kiến trúc, công nghệ chính và giới
9
Sách trắng về An ninh IoT Huawei
Do IoT có nhiều trường hợp sử dụng khác nhau nên sẽ có nhiều thiết kế khác nhau cho kiến trúc an ninh IoT. Tuy nhiên, nên có một
phương pháp an ninh IoT nhất định dựa trên các nguyên tắc có căn cứ.
3.2.1 Phương pháp Ngoài ra, các trường hợp sử dụng IoT có thể dùng chung
thiết bị, dữ liệu và dịch vụ, do đó cần phải có phương pháp
IoT
Bình minh của kỷ nguyê
> Sử dụng tiêu chuẩn – Các tiêu chuẩn lọc kiến thức và phân tích đe dọa có quy củ (ví dụ như để giải quyết các vấn
chuyên môn về an ninh từ nhiều bên liên quan. đề ảnh hưởng).
> Biện pháp tốt nhất – An ninh IoT nên phù hợp và sử dụng > Lập mô hình các mối đe dọa – Lập mô hình các mối đe dọa
các biện pháp tiêu chuẩn trong an ninh CNTT (ví dụ như là hoạt động xác định các loại tấn công tiềm tàng và sau đó,
bảo vệ nhiều lớp, cách ly, đặc quyền tối thiểu...). Việc này với từng loại tấn công, xác định, liệt kê các trường hợp ưu
kiến trúc an ninh IoT
Những trụ cột chính trong
sẽ giúp chúng ta tiết kiệm công sức hơn và có thể tập trung tiên của mối đe dọa tiềm tàng (trên quan điểm tương ứng
vào việc giải quyết các thách thức về an ninh trong IoT. của kẻ tấn công). Mục đích của việc lập mô hình các mối đe
dọa là để thông báo cho các bên liên quan của hệ thống (ví
dụ như nhà phát triển hệ thống, nhà điều hành hệ thống...)
3.2.2 Quản trị trong các chủ đề an ninh chính như sau:
Quản trị tức là có phương pháp quản lý kiến trúc an ninh IoT • Phân tích hệ thống hồ sơ của kẻ tấn công.
theo quy củ. Phương pháp kiến trúc được quản lý chặt chẽ sẽ • Danh sách công cụ tấn công trung gian mà kẻ tấn công có
hỗ trợ các ưu tiên an ninh bằng cách sử dụng phân tích và mô thể sử dụng.
Biện pháp an ninh IoT
ninh. an ninh hoặc đang phải đối mặt với các yếu tố thị trường khiến
họ phải ưu tiên việc đưa ra các chức năng thay vì tạo ra một
thiết kế an ninh.
1
1
Sách trắng về An ninh IoT Huawei
IoT
Bình minh của kỷ nguyê
an ninh. Việc thiết lập quản lý và kiểm toán kiến trúc an ninh
IoT giúp các chủ đề về an ninh được giải quyết có kiểm soát
hơn trong suốt thời gian hoạt động của thiết bị IoT (Hình 4):
> Trong giai đoạn hoạt động (đăng ký, cập nhật...): quản lý
> Trong giai đoạn sản xuất (thiết kế, phát triển, kiểm nghiệm, tổng thể các rủi ro tiềm tàng qua cập nhật ứng dụng phần
chứng nhận...): quản lý tổng thể các nguy cơ tiềm tàng trong mềm và bản vá lỗ hổng. Các hoạt động này bao gồm phê
toàn bộ chuỗi cung ứng và sản xuất. Có thể sử dụng công cụ chuẩn biện pháp an ninh trong giai đoạn triển khai (ví dụ
Bên liên quan
từ biện pháp bảo vệ CNTT tiêu chuẩn trong giai đoạn sản như qua kiểm nghiệm tính xâm phạm) và đánh giá khả năng
> Giai đoạn hoàn thiện (ví dụ giám sát rủi ro...)
ninh IoT
Biện pháp an
Nhà cung cấp phần mềm trung gian Hiệp hội
Chính phủ Cơ quan tiêu chuẩn
Quản lý an ninh
Quản lý an ninh
trình
Quy
· Các nhóm quan tâm đặc biệt (ví dụ như bảo mật)
Quản lý đem đến khả năng giám sát an ninh IoT trong mọi quy trình, các bên liên quan và giai đoạn hoạt động của thiết bị IoT. Kiểm
soát đảm bảo tính tuân thủ và chứng nhận cho các vấn đề an ninh IoT (ví dụ quy trình, thiết bị...).
10
Sách trắng về An ninh IoT Huawei
3.3.2 Các mối đe dọa 3.3.3. Mô hình kiến trúc an ninh “3T+1M”
Tóm lược chính
Thiết kế của kiến trúc an ninh IoT phải có khả năng bảo vệ để Kẻ tấn công sẽ phá hoại khả năng cung cấp dịch vụ mạng của
giải quyết các mối đe dọa sau: một hệ thống. Kết quả là dịch vụ mạng có thể bị kém hiệu quả đi
hoặc hoàn toàn không thể sử dụng.
> Phá vỡ sự toàn vẹn của hệ thống: Nếu một số thành phần
Các mối đe dọa IoT nhắm tới các bộ phận khác nhau của hạ tầng
của hệ thống bị xâm phạm, hệ thống không thể hoạt động
IoT, từ thiết bị đến nền tảng đám mây. Chú trọng đến các bộ
theo đúng thiết kế. Phương pháp thông thường để phá vỡ sự
Bình minh của kỷ nguyên IoT
phận của hạ tầng IoT dễ bị đe dọa, Huawei cung cấp khả năng
toàn vẹn của hệ thống là đưa phần mềm độc hại vào hệ
an ninh, chẳng hạn như hệ điều hành cho thiết bị IoT. Các giải
thống, liên tục đe dọa an ninh của hệ thống.
pháp an ninh IoT của Huawei bao gồm các bộ phận sau:
> Xâm nhập hệ thống: Kẻ tấn công sẽ phá vỡ lớp bảo vệ ranh
giới và nhận diện cơ chế chứng thực để xâm nhập vào hệ 1. Miền thiết bị IoT (ví dụ máy cảm biến, bộ trợ động...) cung
thống bằng cách khai thác lỗ hổng của hệ thống hoặc sử cấp công cụ để cảm biến và kiểm soát thế giới vật chất.
dụng các phương tiện tấn công khác. Sau đó, kẻ tấn công sẽ
2. Miền mạng IoT thu thập và xử lý dữ liệu cảm biến bằng công
lạm dụng tài nguyên của hệ thống, phá vỡ dữ liệu hoặc quy
nghệ giao tiếp được sử dụng trong lĩnh vực (ví dụ NFC, IEEE
trình của hệ thống hoặc ăn cắp các dữ liệu hệ thống quan
802.15.4, ModBus...) đồng thời kết nối với lớp nền tảng IoT
kiến trúc an ninh IoT
Những trụ cột chính trong
trọng.
được mô tả dưới đây. Cổng IoT trong miền Mạng có thể hoạt
> Lạm dụng đặc quyền: Người dùng hoặc quy trình khai thác động như điểm thực thi chính sách nội bộ. Mạng nền (ví dụ
lỗ hổng của hệ thống để tấn công, chẳng hạn tấn công leo mạng di động) cung cấp dịch vụ để trao đổi dữ liệu an toàn
thang đặc quyền nhằm lấy quyền truy cập trái phép. Việc giữa các miền này và để bảo vệ khỏi các vụ tấn công.
lạm dụng đặc quyền sẽ đe dọa nghiêm trọng đến an ninh hệ
3. Miền Nền tảng IoT cung cấp dịch vụ quản lý kết nối, quản lý
thống.
dữ liệu và hỗ trợ hoạt động.
> Đe dọa an ninh dữ liệu: Có các mối đe dọa tới tính toàn
4. Bảo vệ hoạt động và quản lý - Bao gồm hoạt động an toàn và
vẹn, tính bảo mật và tính sẵn có của dữ liệu cũng như đe
hỗ trợ đánh giá an ninh IoT định kỳ, báo cáo an ninh và tự
dọa thông tin riêng tư (tiết lộ hoặc sử dụng trái phép).
động xác định các sự cố an ninh bằng cách sử dụng các chính
Biện pháp an ninhKhía cạnh sinh thái
IoT
> Can thiệp dịch vụ do các cuộc tấn công dịch vụ mạng: sách thực hành tốt nhất.
Khả năng bảo vệ thiết bị có Phát hiện và cách ly thiết bị Bảo vệ nền tảng
3 thể thiết lập độc hại và dữ liệu
Tóm lược và Kết luận
12
Sách trắng về An ninh IoT Huawei
Để giải quyết các mối đe dọa này, kiến trúc an ninh 3 T Bảo vệ nền tảng và dữ liệu – Các dịch vụ bảo vệ hạ tầng đám
(Technology)
IoT
Bình minh của kỷ nguyên trong kiến trúc an ninh
tính riêng tư của dữ liệu. Ngoài ra, hệ thống tìm hiểu và phân
bản và truyền tải mã hóa. Một số thiết bị IoT cần có khả năng bổ
tích dựa trên công nghệ Dữ liệu Lớn sẽ phân tích hành vi của
sung để bảo vệ nâng cao (ví dụ như chống xâm nhập và/hoặc
các thiết bị IoT để phát hiện và cách ly các mối đe dọa. Đây là
phát hiện xâm nhập, hỗ trợ quản lý an ninh từ xa...). LiteOS của
mức bảo vệ thứ ba để chống lại các vụ tấn công.
Huawei cung cấp các khả năng bảo vệ nâng cao. Đây là mức bảo
vệ đầu tiên để chống lại các vụ tấn công. Bảo vệ hoạt động và quản lý - Bao gồm hoạt động an toàn
và hỗ trợ đánh giá an ninh IoT định kỳ, báo cáo an ninh và
> Thiết bị IoT nên có khả năng phòng vệ. Thiết bị IoT có tài
tự động xác định các sự cố an ninh bằng cách sử dụng các
IoT
Phát hiện và cách ly thiết bị độc hại – Mạng cung cấp khả năng
giám sát hành vi giao tiếp và phát hiện và cách ly thiết bị đầu
cuối IoT độc hại. Ví dụ như trong thiết lập của thiết bị Narrow
Band IoT (NB-IoT), dịch vụ mạng cung cấp khả năng truyền dữ
liệu và bảo vệ nền tảng IoT an toàn (bao gồm cơ sở hạ tầng vật
13
Sách trắng về An ninh IoT Huawei
Tấn công vật lý là một cách phổ biến để xâm phạm một thiết > Cốt lõi của an ninh là mang đến các khả năng bảo vệ cơ bản
bị. Trong thiết lập mạng (ví dụ như IoT), lỗ hổng của thiết bị (ví dụ như bảo vệ bộ chip khởi động an toàn và chức năng
trở thành điểm yếu của toàn mạng lưới. Các vụ tấn công mạng lưu trữ dữ liệu an toàn).
trong IoT có thể gây ra hậu quả nghiêm trọng, bao gồm mất uy
> Cốt lõi của giao thức là bảo vệ giao thức giao tiếp (ví dụ
tín thương hiệu, thiệt hại tài sản (ví dụ như trường hợp kẻ tấn
chứng thực 3GPPALA và khả năng chống DoS).
công giành quyền kiểm soát phương tiện giao thông), hoặc
thậm chí là các trường hợp đe dọa đến tính mạng (ví dụ như > Cốt lõi của ứng dụng là cung cấp sự bảo vệ cho các phiên
trong các trường hợp sử dụng thiết bị chăm sóc sức khỏe đầu - cuối (ví dụ như dựa trên DTLS/PSK), đặc biệt là cho
IoT
Bình minh của kỷ nguyê kiến
thông minh). Tóm lại, Huawei cung cấp khả năng bảo vệ toàn các thiết bị IoT ở chế độ ngủ trong thời gian dài để tiết kiệm
diện cho các thiết bị IoT (Hình 6): điện.
3 1
DTLS/PSK
Bảo vệ tính toàn vẹn của mã 3GPP NAS/AS
hóa dữ liệu Bảo vệ tính toàn vẹn của mã hóa Lưu trữ an toàn
dữ liệu
Hệ điều hành
Phần cứng
Cốt lõi an ninh, cốt lõi giao thức và cốt lõi ứng dụng phải chặn các truy cập trái phép (ví dụ như bằng mã độc hại).
được cách ly với nhau. Do đó, khả năng bảo vệ quan trọng của > Nhân hệ điều hành an ninh - Cung cấp nền tảng để nâng cấp
hệ điều hành là cách ly các ứng dụng và nhân hệ điều hành. firmware an toàn (ví dụ như khi tải và cập nhật firmware
Một hệ điều hành an toàn sẽ cách ly bộ nhớ của nhân hệ điều qua mạng), lưu trữ an toàn, quản lý khóa, chức năng mã hóa
hành với bộ nhớ của ứng dụng. Thông qua cơ chế syscall, các và giải mã, và nhận diện thiết bị.
đặc quyền trong nhân hệ điều hành và chế độ người dùng được
lưu trữ riêng biệt và máy ảo được sử dụng để bảo vệ các đặc
Tóm lược và Kết luận
quyền của các ứng dụng khác nhau. Từ đó, các ứng dụng có
giao diện bảo vệ bộ nhớ có thể thiết lập dựa trên đơn vị bảo vệ
bộ nhớ hoặc đơn vị quản lý bộ nhớ. Các biện pháp bảo vệ an
ninh (như Hình 7) bao gồm bố trí bộ nhớ phù hợp, bảo vệ bộ
nhớ, phân biệt chế độ nhân hệ điều hành
và chế độ người dùng, và cách ly quy trình của các ứng dụng.
Cơ chế cách ly của hệ điều hành an toàn có các tính năng
chính sau:
OS/AP
Hộp cát
System call
Ngăn xếp
Chế độ nhân
IoT
Bình minh của kỷ nguyê
nhân hệ hộp Nhân hệ
cát
Các mối đe dọa an ninh chính mà tầng mạng phải đối mặt bao 2. Mã hóa nhẹ - Sử dụng thư viện thuật toán nhẹ trong các
gồm: thiết bị IoT và cổng IoT để giảm mức tiêu thụ bộ nhớ và bộ
lưu trữ.
> Trong IoT, nếu dữ liệu truyền tải không được mã hóa hoặc
nếu chưa chứng thực tính toàn vẹn của dữ liệu, dữ liệu giao
tiếp có thể dễ dàng bị xem trộm hoặc xâm phạm.
> Một số giao thức IoT có thể có lỗ hổng trong phương pháp
chứng thực, từ đó tạo điều kiện cho người dùng độc hại truy
cập vào.
> Mã hóa và chứng thực giao tiếp giữa các thiết bị và hệ thống
từ xa.
> Kiểm soát luồng dữ liệu bằng chính sách danh sách trắng
15
Sách trắng về An ninh IoT Huawei
giao tiếp.
4. Kiểm tra lưu lượng - Nhận dạng và phân tích giao thức IoT
và xử lý lưu lượng tấn công. Ngoài ra, thông qua phân tích
lưu lượng bất thượng, sẽ kiểm tra và dò tìm tấn công.
5. Phát hiện bất thường - Giao thức được phân tích để dò tìm
các hành vi bất thường. Ngoài ra, mẫu hành vi và tính liên
IoT
Bình minh của kỷ nguyê
quan & bố trí của dữ liệu cũng được phân tích để dò tìm
hành vi xâm nhập.
nhận xác thực được cài đặt sẵn trong quá trình sản xuất. Giấy chứng nền tảng đám mây IoT có thể sẽ được áp dụng các quy định về
nhận xác thực có thể dựa trên khóa chung, giấy chứng nhận kỹ thuật tính riêng tư (chẳng hạn quy định EU GDPR). Một số trường
số hoặc các giải pháp kỹ thuật khác. Các dữ liệu này phải được bảo vệ hợp sử dụng và nguyên tắc ủy quyền tối thiểu sẽ yêu cầu dữ
để không bị xâm phạm (ví dụ như sao chép khóa riêng trái phép) để liệu cá nhân, tuyên bố bảo mật và ủy quyền người dùng phải
đảm bảo mọi thiết bị IoT đều được nhận diện chính xác. Đối với tính rõ ràng minh bạch. Chủ sở hữu dữ liệu có quyền hủy ủy quyền
bảo mật và tính toàn vẹn của dữ liệu được truyền giữa thiết bị IoT và bất cứ lúc nào.
nền tảng đám mây IoT, các giao thức tiêu chuẩn để truyền dữ liệu an
toàn (ví dụ TLS, DTLS) nên được sử dụng. Tuy nhiên, trong một số Dữ liệu nhạy cảm phải được mã hóa và lưu trữ, chủ sở hữu dữ
liệu phải xác định thời gian lưu trữ dữ liệu. Sau khi hết thời
Biện pháp an ninh IoT
trường hợp sử dụng, việc thiết bị IoT có nguồn tài nguyên hạn chế có
thể khiến thiết bị không thể sử dụng các giao thức bảo mật tiêu chuẩn. gian lưu trữ dữ liệu, dữ liệu có thể được xóa kịp thời.
IoT
Khía cạnh sinh thái trong an ninh Tóm lược và Kết luận
16
Sách trắng về An ninh IoT Huawei
IoT
Khía cạnh sinh thái trong an ninh
Thiết bị mạnh/ Cổng – Cần phù hợp với mức bảo mật nâng
cao cùng với các yêu cầu bảo mật cơ bản. Có thể cho các khả
năng bảo mật nâng cao như là khởi động an toàn, tăng cường
hệ thống, TPM/ TEE, bảo vệ virút, cải thiện cổng,...Loại thiết
bị đầu cuối này có khả năng xử lý lớn hơn, thường được tích
hợp một hệ điều hành và thường đóng vai trò quan trọng trong
mạng IoT trong việc bảo vệ khỏi các tấn công mạng. Các loại
hình điển hình bao gồm thiết bị đầu cuối mạng xe hơi, cổng
Tóm tắt và Kết luận
IoT chủ, cổng điều khiển công nghiệp, camera, thiết bị đầu
cuối tương tác,...
18
Sách trắng về An ninh IoT Huawei
> Bảo vệ bản ghi - Thực hiện ghi chép bản ghi thiết bị IoT, Trong khi việc tuân thủ các tiêu chuẩn bảo mật có ý nghĩa
bảo vệ kiểm tra bản ghi, bao gồm bảo vệ bản ghi, cảnh báo các quan trọng đối với bảo mật cấp thiết bị, sự hợp tác với các đối
Tóm lược chính
sự kiện bảo mật, bản ghi cập nhật thông tin nhạy cảm, bản ghi tác trong các sáng kiến chung là thực hành tốt nhất trong xác
kiểm tra,... thực và kiểm tra đối với IoT. Theo các tiêu chuẩn bảo mật,
Huawei đã áp dụng các thông số kỹ thuật bảo mật 3GPP và
> Bảo mật ứng dụng - Bao gồm xác thực ứng dụng, xác thực
GSMA sau đây. Với tư cách là một hãng tiên phong về các
truy cập dữ liệu nhạy cảm, quản lý quyền tương tác, kiểm soát
giải pháp ngành, Huawei cũng làm việc với các đối tác trong
quyền truy cập,...
các ngành dọc để phát triển hàng loạt các thông số kỹ thuật
nguyên IoT
Bình minh của kỷ
> Bảo vệ quyền riêng tư - Bảo vệ dữ liệu cá nhân hoặc dữ liệu nhằm đảm bảo bảo mật trên toàn bộ hệ sinh thái IoT và thực
nhạy cảm IoT để phù hợp với các yêu cầu tuân thủ riêng tư hiện kiểm tra và xác thực bảo mật các giải pháp IoT cho các
của các quốc gia và áp dụng cơ chế phá hủy dữ liệu và lưu trữ đối tác thông qua OpenLab. OpenLab là một phòng thí nghiệm
mã hóa những thiết bị IoT này. mở do Huawei cung cấp để hỗ trợ tích hợp và kiểm tra hệ
Bên cạnh việc đảm bảo Thông số kỹ thuật Thiết kế Bảo mật thống IoT đầu-cuối cho các đối tác. Để kiểm tra xem các tiêu
Đầu cuối IoT của Huawei, Huawei cũng sẽ hỗ trợ đối tác IoT chuẩn bảo mật và các thông số kỹ thuật liên quan đã được áp
của chúng tôi xây dựng năng lực bảo vệ thiết bị IoT dựa trên dụng một cách chính xác vào trong các giai đoạn thiết kế và
kiến trúc an ninh IoT
Những trụ cột chính trong
bảo mật bộ vi mạch xử lý IoT và dựa trên các thư viện hệ điều R&D (Nghiên cứu & Phát triển), Huawei thử nghiệm khả năng
hành LiteOSS. Chẳng hạn, bộ vi mạch xử lý Boudica NB-IoT của các sản phẩm IoT cụ thể trong OpenLab. OpenLab của
của Huawei có thể cho các khả năng bảo mật cơ sở của Huawei có thể mô phỏng một môi trường IoT thực tế một cách
DTLS/+, FOTA, xác thực hai chiều,... đầy đủ chi tiết. Nó đã được sử dụng chung với các đối tác để
kiểm tra kỹ thuật các trường hợp sử dụng IoT (chẳng hạn: Đo
lường thông minh, Đo nước thông minh,....). Nó cũng hỗ trợ
thử nghiệm và xác thực bảo mật IoT bằng cách mô phỏng các
kiểu tấn công phổ biến trong IoT (chẳng hạn: tấn công vật lý,
4.2 Thực hành bảo mật
IoT
Các thực hành bảo mật
tấn công DDoS,...). Để giúp các đối tác xây dựng năng lực bảo
trong xác thực và kiểm vệ thích hợp các thiết bị đầu cuối IoT và xây dựng một hệ sinh
thái bảo mật IoT lành mạnh, OpenLab của Huawei cũng sẽ
tra cung cấp cho các đối tác những dịch vụ kiểm tra và xác thực
hộp đen IoT đối với các thiết bị đầu cuối.
Sau khi một thiết bị IoT được xây dựng và thực hành bảo mật
thích hợp đã được triển khai, vòng đời bảo mật sẽ chuyển sang
kiểm tra và xác thực để giải quyết:
> Đánh giá và thử nghiệm phần cứng đối với thao tác
của bảo mật IoT
Các khía cạnh hệ sinh thái
> Bảo trì và kiểm tra đầu vào để chống các tấn công DoS và Fuzzing
> Kiểm tra các quy trình sao lưu và phục hồi trong
Tóm tắt và Kết luận
19
Sách trắng về An ninh IoT Huawei
Bảo vệ dữ liệu và riêng tư có quy mô lớn của IoT tập trung vào nền tảng IoT. Các ứng dụng IoT khác nhau sẽ có các yêu cầu riêng tư
khác nhau. Nền tảng IoT của Huawei hỗ trợ tùy biến chính sách riêng tư đối với các ứng dụng theo các kịch bản ứng dụng. Chẳng
hạn: các yêu cầu riêng tư của một ứng dụng Nhà thông minh sẽ khác với những yêu cầu của một ứng dụng Đo lường thông minh và
phải có các biện pháp kiểm soát riêng tư.
mật IoT
Các thực hành bảo
4.4 Các thực hành vận hành và bảo trì an toàn
Để giải quyết toàn bộ các vấn đề bảo mật trong O&M và đáp ứng các yêu cầu liên quan, Huawei đã phát triển giải pháp O&M an
toàn E2E để đảm bảo sự bảo mật toàn diện trong O&M. Giải pháp này tập trung vào xây dựng khả năng bảo mật trong O&M thủ
công, O&M cơ bản và O&M thông minh dựa trên đám mây (Hình 8).
4FDVSJUZ
Nhận thức trạng Tự động phát hiện SOP cho các ngành
thái các sự kiện bảo mật dọc
Tóm tắt và Kết luận
Hình 8 Khuôn khổ bảo mật của Huawei đối với O&M.
18
Sách trắng về An ninh IoT Huawei
Các thực hành đảm bảo O&M an toàn chủ yếu được thể hiện 2. Các tải xuống phần mềm được cấp phép
trong ba khía cạnh sau đây.
Tóm lược chính
hành và nhiều ngành dọc (chẳng hạn: xe hơi được kết nối, đo
quản lý cấp phép miền.
lường, hậu cần, sản xuất,...). Mỗi ngành cần tùy biến SOP để
phù hợp với các nhu cầu của mình. SOP này bao gồm nhiều • Đăng nhập chỉ một lần (SSO) để xác thực thống nhất.
quy trình cuối-cuối, bao gồm xác thực thiết bị, lắp đặt và bàn
• Trung tâm xác thực đa CA.
giao mạng, O&M tại chỗ, hỗ trợ hậu bị, phát triển ứng dụng
tùy biến và bảo đảm bảo mật trong tình huống khẩn cấp. • Xác thực chứng chỉ dựa trên vai trò.
1. Bảo mật cấu hình từ xa • Chính sách truy cập tùy biến đối với các khóa bảo mật
riêng.
• Hoạt động xác thực an toàn hai chiều tại các cổng truy
cập. • Phân tích luồng dữ liệu, bảng thông tin dịch vụ nhất quán
và tuổi thọ hữu ích còn lại ước tính.
• Mã bảo mật tích hợp duy nhất hoặc chứng chỉ tích hợp và
mật IoT
Các thực hành bảo
các khóa riêng để xác thực với trung tâm O&M IoT. • Các thiết bị được đăng ký bằng cách cung cấp thông tin
về cách thức các thiết bị chạy trên toàn bộ mạng để quản
• Đăng ký hoạt động dựa trên cổng và các truy vấn thụ
lý vòng đời.
động đối với phạm vi nhận thức được kiểm soát.
• Nhận thức bảo mật hỗ trợ giám sát theo thời gian thực
• TLS độc lập hoặc TLS ủy nhiệm cổng để bảo mật đường
trên toàn bộ mạng và phân tích cơ sở hạ tầng để nhận biết
hầm của các kết nối mạng.
các vấn đề bất thường.
của bảo mật IoT
Các khía cạnh hệ sinh thái
• Các cập nhật Over-the-Air (OTA) cung cấp cập nhật theo
• Đánh giá bản ghi bằng đánh giá định kỳ các bản ghi thiết
thời gian thực mọi thứ/cổng tại bất kỳ vị trí và tự động
bị để nhận biết các vấn đề bất thường.
hủy néu cập nhật thất bại.
• Công cụ tìm kiếm dựa trên quy tắc hỗ trợ các nhiệm vụ
phức tạp và linh hoạt bằng việc kiểm soát tốt theo thời
gian, vị trí và sự kiện.
• Khởi động an toàn, tính toán tin cậy và xác thực từ xa.
• Các bản ghi có thể được gửi tới đám mây để đánh giá.
Hình 9 Khuôn khổ bảo mật E2E NB-IoT của Huawei đối với đo lường
thông minh.
21
Sách trắng về An ninh IoT Huawei
Xây dựng khả năng nhận thức trạng thái bảo mật thông minh
và phân tích mối đe dọa trên đám mây
Với sự phát triển của các công nghệ đo lường nước thông minh IoT và ứng dụng NB-IoT, ngành hệ thống nước đang chuyển từ đọc
công tơ thủ công sang đọc công tơ thông minh từ xa. Thông qua việc đọc công tơ tự động, các công ty nước sẽ quản lý nước một
cách thông minh hơn. Công tơ nước thông minh được đặc trưng bởi khả năng tính toán hạn chế (thường lắp đặt máy tính chíp đơn),
giảm chi phí điện năng (pin phải có khả năng cấp điện được hơn sáu năm) và dữ liệu đo lường dễ bị tấn công. Do đó, để đảm bảo bảo
mật IoT, chúng tôi cần bảo đảm bảo mật truyền dữ liệu trong mạng, ưu tiên các giao thức bảo mật và thuật toán hạng nhẹ và tính toán
mật IoT
Các thực hành bảo
tác động đến tiêu thụ công suất của thiết bị.
Nền
mạng
20
Sách trắng về An ninh IoT Huawei
Huawei đã đề xuất một giải pháp Đo nước thông minh được > Xây dựng một kênh bảo mật dữ liệu tại tầng truyền dữ liệu
hỗ trợ bởi NB-IoT đối với ngành đo lường nước thông minh. giữa công tơ nước và nền tảng IoT dựa trên DTLS/DTLS+.
Tóm lược chính
Đối với bảo mật lớp mạng, toàn bộ dữ liệu người dùng được
> Thiết lập một kênh truyền tải an toàn giữa nền tảng IoT và
gửi qua một tầng không truy nhập (NAS) và bảo vệ mã
ứng dụng công tơ nước bằng cách sử dụng giao thức
hóa/tính toàn vẹn được bảo đảm đối với các thiết bị IoT và
HTTPS.
mạng lõi dựa trên 3GPP. Đối với bảo mật lớp ứng dụng, bảo
vệ mã hóa/tính toàn vẹn đối với dữ liệu giữa các thiết bị IoT
và nền tảng/máy chủ ứng dụng IoT được đảm bảo thông qua 4.5.2 Thành phố an toàn
Bảo mật Tầng truyền Gói dữ liệu (DTLS)> Để đáp ứng các
Một thành phố an toàn là thành phố ứng dụng CNTT và IoT
nhu cầu đặc biệt của ngành đo lường nước, Huawei đã đơn
nguyên IoT
Bình minh của kỷ
bằng các năng lực của thành phố để bảo mật chung đối với các
giản hóa giao thức DTLS liên quan đến tiêu thụ công suất và
mối đe dọa truyền thống hoặc mối đe dọa số hóa. An ninh
giao thức xử lý để đáp ứng tốt hơn các năng lực và yêu cầu
mạng là một trong những khía cạnh trọng tâm hàng đầu của
của ngành. Thông tin chi tiết về thực hiện giải pháp như sau:
phát triển thành phố an toàn. Hàng ngàn bộ cảm biến các loại -
> Áp dụng giao thức Xác thực 3GPP và Thỏa thuận khóa như là camera thông minh, báo động và thiết bị di động - được
(AKA) đối với thiết bị để truy cập Lõi gói cải tiến (EPC) để triển khai tại một thành phố an toàn. Cần chú trọng đến sự an
đảm bảo mạng hợp pháp truy cập thiết bị. toàn của những bộ cảm biến này ngoài bảo mật của các mạng
truyền thống tại một thành phố an toàn. Các camera IP được
kiến trúc an ninh IoT
Những trụCác
> Xây dựng các kênh an toàn như là NAS và Tầng truy cập triển khai trong các điều kiện phức tạp khác nhau. Trong quá
(AS) giữa thiết bị và mạng lõi dựa trên 3GPP. khứ, hầu hết các tiết lộ bảo mật trong miền bảo mật công cộng
là do lỗi của con người thuộc nhân sự nội bộ của các tổ chức
mật IoT
> Xây dựng một kênh an toàn giữa Mạng truy cập vô tuyến
cột chính
(RAN) và EPC dựa trên Bảo mật giao thức internet (IPsec). liên quan.
thực hành
Do đó, những thách thức mới liên quan đến an ninh mạng
trongbảo
trong việc xây dựng một thành phố an toàn như sau:
của bảo mật IoT
Các khía cạnh hệ sinh thái
Tóm tắt và Kết luận
22
Sách trắng về An ninh IoT Huawei
> Các camera IP và các thiết bị IoT chủ yếu khác có thể dễ dàng giả mạo và tấn công. Do đó, các video và dữ liệu có thể bị đánh cắp
hoặc bị giả mạo, dẫn đến rò rỉ thông tin riêng tư của người dùng và hủy hoại thông tin giá trị (chẳng hạn: dữ liệu bằng chứng đối
> Các hacker có thể sử dụng một camera IP hoặc thiết bị IoT khác như một công cụ để tấn công mạng và phá hủy, lấy cắp hoặc giả
mạo dữ liệu mà công cụ sử dụng để thực hiện các ứng dụng của nó.
> Các camera IP và thiết bị IoT rất dễ bị tấn công. Khó khôi phục chúng về trạng thái hoạt động bình thường sau khi chúng đã bị
khai thác và sử dụng để thực hiện các tấn công DDoS.
> Tuân thủ các tiêu chuẩn hoạt động bảo mật quốc tế (chẳng hạn: NG911, ISO27001).
mật IoT
Các thực hành bảo
Máy chủ Lưu trữ Trung tâm dữ liệu Phục hồi thảm họa
1. Truy
cập giả mạo, 2. Khai thác và
trái phép tấn công
Tóm tắt và Kết luận
Hình 10 Các mối đe dọa trong môi trường một thành phố an toàn.
23
Sách trắng về An ninh IoT Huawei
Để giải quyết những thách thức bảo mật của một thành phố an toàn, chúng tôi cần các giải pháp bảo mật hỗ trợ các bộ phận trong mạng cùng hợp
tác ứng phó các mối đe dọa trong các lĩnh vực sau đây:
Tóm lược chính
> Truy cập mạng an toàn: xác thực và mã hóa bảo mật đối với các camera và thiết bị di động.
> Phát hiện xâm nhập và C&C: Hệ thống ngăn ngừa xâm nhập (IPS) có thể được sử dụng để phát hiện các lỗ hổng trong
mạng của hệ thống video. Nó cũng có thể ngăn ngừa các cuộc tấn công mạng và hỗ trợ phát hiện lưu lượng mạng và C&C.
> Phân tích vi phạm nội bộ: Nhận biết các vi phạm nội bộ dựa trên thông tin bản ghi từ dịch vụ Quản lý Nhận dạng và Truy cập
(IAM) hoặc thông qua các máy chủ pháo đài.
nguyên IoT
Bình minh của kỷ
> Quản lý tập trung và phân tích toàn bộ các bản ghi của toàn bộ mạng: Các bản ghi của các hệ thống bảo mật (FW, IPS/IDS, DDoS,
camera, IAM, UMA và WAF) được thu thập tại một vị trí trung tâm. Phân tích bản ghi có thể nhận diện các cuộc tấn công giả mạo
màn hình và tập trung vào các cuộc tấn công có hiệu lực.
> Trình bày và liên kết: Trình bày tất cả các kiểu mối đe dọa trong toàn bộ mạng, camera và thiết bị cầm tay mà thường xuyên bị tấn
công, các cuộc tấn công TDoS và các mối đe dọa được ngăn chặn và cách ly.
mật
dữ liệu lớn
Bộ điều khiển
Trung tâm giám sát/điều Trạng thái bảo mật và
Máy chủ xác Máy chủ Trung tâm Công cụ truy vấn và Ma trận
phương tiện luồng phân tích video số
thực ứng dụng
mật IoT
Các thực hành bảo
Máy chủ Lưu trữ Trung tâm dữ liệu Phục hồi thảm họa
của bảo mật IoT
Các khía cạnh hệ sinh thái
Plugin bảo
Bảo mật truy cập
mật thiết bị đầu cuối
Tóm tắt và Kết luận
Hình 11 Các thành phần của bảo mật IoT trong môi trường một thành phố an toàn.
24
Sách trắng về An ninh IoT Huawei
an ninh IoT
Những trụ cột chính trong kiến trúc
không một bên nào có thể một mình giải quyết thành công các từ chương trình OpenLab, chẳng hạn: thử nghiệm nhanh hơn
vấn đề bảo mật IoT. Thay vào đó, tất cả các bên liên quan các thành phần IoT6. Các khía cạnh bảo mật IoT của OpenLab
trong hệ sinh thái phải cùng hợp tác và hỗ trợ nhau thông qua bao gồm các thành phần hỗ trợ (chẳng hạn: thử nghiệm hộp
các sáng kiến chung nhằm giải quyết các vấn đề bảo mật IoT. đen, thử nghiệm xâm nhập,...), hỗ trợ tích hợp và đánh giá
năng lực đối tác (chẳng hạn: về tính tương thích sản phẩm,
Thông qua chương trình Open Lab, Huawei đang hỗ trợ phát kiểm định sản phẩm và cấp phép sản phẩm).
triển hệ sinh thái bảo mật IoT. Được phân phối khắp trên toàn
cầu nhưng sử dụng chuyên gia tại nơi sở tại, OpenLab đang hỗ Huawei hành động để hỗ trợ các bên liên quan ngành, các
cộng đồng nhà phát triển, tổ chức học thuật và các tổ chức tiêu
mật IoT
Các khía cạnh hệ sinh thái của bảo
Tóm tắt và Kết luận
25
Sách trắng về An ninh IoT Huawei
Các sáng kiến chung là một thành phần quan trọng khác của hệ sinh thái về khía cạnh bảo mật IoT. Thông qua sự hợp tác, các sáng
kiến chung tăng cường chia sẻ hiểu biết về bảo mật IoT và thúc đẩy sự hài hòa lợi ích của các bên liên quan. Điều này sẽ tạo được và
lan rộng sự nhận thức về các vấn đề bảo mật và xây dựng sự tin tưởng lẫn nhau giữa các bên liên quan. Một cuộc đối thoại cởi mở về
bảo mật IoT thúc đẩy sự hiệp lực trong việc giải quyết những thách thức bảo mật IoT thông qua phát triển các dự án chung nâng cao
năng lực chung về bảo mật IoT.
Bình minh của kỷ nguyên IoT
liên quan để cải thiện an ninh mạng của các thiết bị được kết
năng lượng, xử lý sẵn có và trao đổi dữ liệu thông tin. Các
nối và các môi trường mà chúng được triển khai.
triển khai IoT khác nhau sẽ khác nhau về các yêu cầu bảo mật
> Cơ quan An ninh Thông tin và Mạng lưới Châu Âu tùy thuộc vào các miền dọc và các trường hợp sử dụng liên
(ENISA), cung cấp tư vấn và khuyến cáo về thực hành tốt an quan. Vì vậy, không có một giải pháp kỹ thuật duy nhất cho
toàn thông tin trong phạm vi Liên minh Châu Âu. tất cả đối với bảo mật IoT. Do đó, các tiêu chuẩn liên quan đến
> Liên minh Viễn thông Quốc tế (ITU), xác định các khả năng bảo mật IoT sẽ được xem như một menu mà từ đó các nhà
mật IoT
Các thực hành bảo
bảo mật chung và khả năng bảo mật cụ thể. Các khả năng bảo triển khai có thể chọn các tùy chọn phù hợp nhất cho sản phẩm
mật chung mà không phụ thuộc vào các ứng dụng là cấp phép, hoặc dịch vụ của họ. Huawei chủ động hỗ trợ việc chuẩn hóa
xác thực, bảo mật dữ liệu và bảo vệ tính toàn vẹn. bảo mật IoT. Huawei đang chủ trì các nhóm hoạt động 3GPP,
lãnh đạo công việc NB-IoT và thúc đẩy chuẩn hóa LTE-V2X
> Lực lượng đặc nhiệm kỹ thuật Internet (IETF), phát triển các và thiết bị đeo. Huawei cũng xúc tiến chuẩn hóa nền tảng dịch
giao thức để sử dụng trong các môi trường giới hạn mà tại đó
của bảo mật IoT
Các khía cạnh hệ sinh tháiTóm tắt và Kết luận
vụ trong oneM2M và đóng góp vào các tiêu chuẩn internet kết
các nút mạng bị giới hạn về CPU, bộ nhớ và công suất. nối vạn vật OCF, Thread và OSGi.
> One M2M (Các tiêu chuẩn đối với M2M và Internet kết nối
vạn vật), bao gồm các yêu cầu, kiến trúc, thông số kỹ thuật
API, giải pháp bảo mật và khả năng tương tác đối với các công
nghệ Máy-Máy và IoT.
> Tập đoàn nghiên cứu bảo mật máy tính Trusted Computing
Group (TCG), phát triển, xác định và xúc tiến các tiêu chuẩn
ngành mở, trung lập, toàn cầu, tạo dựng nguồn gốc của sự tin
tưởng dựa trên phần cứng cho các nền tảng máy tính tin cậy
tương tác.
> Hiệp hội GSM (GSMA), cung cấp một tập hợp các hướng
dẫn bảo mật nhằm phục vụ lợi ích của các nhà cung cấp dịch
vụ đang nỗ lực phát triển các dịch vụ IoT mới.
26
Sách trắng Bảo mật IoT của Huawei
năm 2017
nguyên IoT
Bình minh của kỷ
như mắt xích yếu nhất của nó. Sự hợp tác giữa các đối tác sẽ đóng một vai trò quan trọng trong việc hoàn thiện bức tranh về bảo mật
IoT.
Trong một vài năm qua, các đối tác ngành đã chủ động hợp tác với các cơ quan chuẩn hóa để giải quyết những thách thức bảo mật
của IoT. Đồng thời, các cơ quan bảo mật đã nâng cao nhận thức về các vấn đề bảo mật IoT cả trong và giữa các ngành. Những nỗ lực
này đã tạo ra những cải thiện về công nghệ bảo mật và áp dụng các giải pháp bảo mật mới. Huawei tiếp tục xúc tiến và hỗ trợ sự hợp
tác giữa các bên liên quan để tăng cường bảo mật đầu-cuối trong IoT.
mật IoT
Các thực hành bảo
còn quan sát được dấu hiệu tốt trở lại của tầng ôzôn 7.
Sự hợp tác là quan điểm cốt lõi của Huawei về bảo mật IoT. Bất chấp thách thức bảo mật trong IoT, Huawei tin rằng khả năng cộng
tác của chúng ta có thể giải quyết thành công thách thức này. Bằng việc cùng hợp tác, các nhà cung cấp thiết bị, nhà cung cấp dịch
vụ, nhà phát triển ứng dụng và khách hàng có có thể giải quyết tốt hơn nhiều so với khả năng mà mỗi bên đơn phương có thể làm.
7. National Geographic, “Remember the ozone layer? Now there’s proof it’s healing”, http://news.nationalgeographic.
27
Sách trắng về An ninh IoT Huawei
Bản quyền © Huawei Technologies Co., Ltd 2017. Toàn bộ bản quyền được bảo lưu.
Không được sao chép hoặc phân phát một phần của tài liệu này dưới bất kỳ hình thức nào hoặc bằng bất kỳ phương tiện nào khi chưa được sự đồng ý
bằng văn bản của Huawei Technologies Co., Ltd.
28