物聯(lián)網(wǎng)應(yīng)用層安全物聯(lián)網(wǎng)信息安全14檢查回顧新知學(xué)習(xí)合作探究過關(guān)測(cè)試五步教學(xué)法提綱考核點(diǎn)評(píng)1.在ZigBee網(wǎng)絡(luò)中可能存在的密鑰包括（

）。主密鑰會(huì)話密鑰網(wǎng)絡(luò)密鑰鏈路密鑰ABCD提交多選題25分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試獨(dú)立完成多選題；知識(shí)目標(biāo)1.了解物聯(lián)網(wǎng)應(yīng)用層安全問題；2.掌握物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)（重點(diǎn)、難點(diǎn)）；3.熟悉物聯(lián)網(wǎng)安全漏洞。能力目標(biāo)

提高安全與自我保護(hù)意識(shí)。思政目標(biāo)

具備分析物聯(lián)網(wǎng)應(yīng)用層安全的能力。第0章物理層

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1物聯(lián)網(wǎng)應(yīng)用層安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試物聯(lián)網(wǎng)最為顯著的3個(gè)特點(diǎn)是全面感知、可靠傳輸和智能處理。根據(jù)這3個(gè)特點(diǎn)，物聯(lián)網(wǎng)的結(jié)構(gòu)通常被劃分為4層：物理層、感知層、網(wǎng)絡(luò)層和應(yīng)用層。其中有應(yīng)用層主要負(fù)責(zé)將感知層收集到的數(shù)據(jù)進(jìn)行加工、分析和處理、并最終提交給應(yīng)用終端。從技術(shù)實(shí)現(xiàn)的角度考慮，物聯(lián)網(wǎng)應(yīng)用層的主要挑戰(zhàn)在于如何處理實(shí)時(shí)傳輸?shù)暮Ａ繑?shù)據(jù)并最終反作用于感知層；從信息安全的角度考慮，物聯(lián)網(wǎng)應(yīng)用層的主要挑戰(zhàn)在于多樣化的應(yīng)用場(chǎng)景下對(duì)硬件資源以及核心數(shù)據(jù)的保護(hù)。1物聯(lián)網(wǎng)應(yīng)用層安全問題

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試權(quán)限認(rèn)證問題物聯(lián)網(wǎng)系統(tǒng)中，收集到的信息數(shù)據(jù)都需要匯集到應(yīng)用層中，而這些信息又將根據(jù)其屬性分發(fā)給不同用戶，由此引申出對(duì)大量用戶的權(quán)限管理問題。既要保障數(shù)據(jù)可用性、有要保證機(jī)密性。1物聯(lián)網(wǎng)應(yīng)用層安全問題

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試數(shù)據(jù)保護(hù)問題數(shù)據(jù)保護(hù)問題涉及對(duì)數(shù)據(jù)隱私的保障和數(shù)據(jù)的恢復(fù)能力兩方面。從數(shù)據(jù)生命周期看，數(shù)據(jù)保護(hù)又可以分為數(shù)據(jù)產(chǎn)生、數(shù)據(jù)傳輸、數(shù)據(jù)分析、數(shù)據(jù)存儲(chǔ)4個(gè)階段。1物聯(lián)網(wǎng)應(yīng)用層安全問題

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試軟件安全問題物聯(lián)網(wǎng)的軟件安全問題，一方面討論開發(fā)人員編程過程引入的錯(cuò)誤，及漏洞的檢測(cè)與緩解；另一方面討論如何對(duì)搭載軟件進(jìn)行保護(hù)，防止關(guān)鍵算法被剽竊利用，或防止攻擊者對(duì)軟件進(jìn)行提取分析。2.（

）問題不屬于物聯(lián)網(wǎng)應(yīng)用層的共性問題。權(quán)限認(rèn)證數(shù)據(jù)保護(hù)網(wǎng)絡(luò)擁塞軟件安全ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題25分2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試權(quán)限認(rèn)證相關(guān)技術(shù)基于安全芯片認(rèn)證基于設(shè)備識(shí)別號(hào)的可信認(rèn)證基于云平臺(tái)的認(rèn)證基于可信執(zhí)行環(huán)境（TEE）的認(rèn)證

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試數(shù)據(jù)保護(hù)相關(guān)技術(shù)匿名化技術(shù)差分隱私物聯(lián)網(wǎng)通信協(xié)議加密涉及從網(wǎng)絡(luò)流量監(jiān)控安全威脅2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試軟件安全相關(guān)技術(shù)有源碼的安全測(cè)試無源碼的安全測(cè)試動(dòng)態(tài)分析方法靜態(tài)分析方法2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)是否查看程序內(nèi)部結(jié)構(gòu)是否運(yùn)行程序（彈幕回答）如何進(jìn)行軟件測(cè)試？

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試黑盒測(cè)試分為功能測(cè)試和性能測(cè)試：1)功能測(cè)試（functiontesting），是黑盒測(cè)試的一方面，它檢查實(shí)際軟件的功能是否符合用戶的需求。包括邏輯功能測(cè)試（logicfunctiontesting）界面測(cè)試（UItesting）UI=UserInterface易用性測(cè)試（usabilitytesting）：是指從軟件使用的合理性和方便性等角度對(duì)軟件系統(tǒng)進(jìn)行檢查，來發(fā)現(xiàn)軟件中不方便用戶使用的地方。兼容性測(cè)試（compatibilitytesting）：包括硬件兼容性測(cè)試和軟件兼容性測(cè)試2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2)性能測(cè)試（performancetesting）軟件的性能主要有時(shí)間性能和空間性能兩種時(shí)間性能：主要指軟件的一個(gè)具體事務(wù)的響應(yīng)時(shí)間（respondtime）。空間性能：主要指軟件運(yùn)行時(shí)所消耗的系統(tǒng)資源。軟件性能測(cè)試分為：一般性能測(cè)試：指的是讓被測(cè)系統(tǒng)在正常的軟硬件環(huán)境下運(yùn)行，不向其施加任何壓力的性能測(cè)試。穩(wěn)定性測(cè)試也叫可靠性測(cè)試（reliabilitytesting）：是指連續(xù)運(yùn)行被測(cè)系統(tǒng)檢查系統(tǒng)運(yùn)行時(shí)的穩(wěn)定程度。負(fù)載測(cè)試（loadtesting）：是指讓被測(cè)系統(tǒng)在其能忍受的壓力的極限范圍之內(nèi)連續(xù)運(yùn)行，來測(cè)試系統(tǒng)的穩(wěn)定性。壓力測(cè)試（stresstesting）：是指持續(xù)不斷的給被測(cè)系統(tǒng)增加壓力，直到將被測(cè)系統(tǒng)壓垮為止，用來測(cè)試系統(tǒng)所能承2物聯(lián)網(wǎng)應(yīng)用層安全相關(guān)技術(shù)3物聯(lián)網(wǎng)應(yīng)用層安全漏洞

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試弱口令或硬編碼口令：廠商在設(shè)備出廠時(shí)設(shè)置統(tǒng)一的初始口令，用戶為設(shè)備設(shè)置過于簡(jiǎn)單的弱口令。不安全的網(wǎng)絡(luò)服務(wù)：設(shè)備開啟了超出其正常工作需要的向外服務(wù)端口，擴(kuò)大了潛在的攻擊面。不安全的生態(tài)接口：包括HTTP（S）API接口，WEB界面等存在權(quán)限認(rèn)證缺陷、數(shù)據(jù)加密不健全、輸入輸出數(shù)據(jù)過濾缺失等問題。3物聯(lián)網(wǎng)應(yīng)用層安全漏洞

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試缺乏安全的更新機(jī)制：設(shè)備沒有在線遠(yuǎn)程更新機(jī)制，或者更新過程不健全。使用不安全或過時(shí)組件：開發(fā)過程引入了老舊版本的第三方庫(kù)，或者部署后沒有跟蹤升級(jí)第三方庫(kù)的漏洞告警。3物聯(lián)網(wǎng)應(yīng)用層安全漏洞

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試隱私保護(hù)不充分：過度收集用戶的個(gè)人信息，收集信息沒有合適保護(hù)，未經(jīng)許可收集儲(chǔ)存用戶信息。不安全的數(shù)據(jù)傳輸與存儲(chǔ)：通過明文傳輸敏感信息、沒有正確配置加密協(xié)議、對(duì)傳輸內(nèi)容沒有進(jìn)行認(rèn)證。缺乏設(shè)備管理：缺乏定期對(duì)設(shè)備巡檢維護(hù)，沒有及時(shí)更新軟件版本并對(duì)過期停用的設(shè)備進(jìn)行安全移除。3物聯(lián)網(wǎng)應(yīng)用層安全漏洞

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試不安全的默認(rèn)設(shè)置：用戶在首次激活部署設(shè)備時(shí)應(yīng)該關(guān)閉不需要的服務(wù)設(shè)置，廠商有要完善產(chǎn)品初始化流程，引導(dǎo)用戶配置設(shè)備。缺乏物理加固措施：缺乏對(duì)調(diào)試接口的適度屏蔽，可能導(dǎo)致攻擊者直接獲取設(shè)備權(quán)限，或是對(duì)核心固件的提取。Web安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試

在這種最常見的模型中，客戶端是第一層；使用動(dòng)態(tài)Web內(nèi)容技術(shù)的部分屬于中間層；數(shù)據(jù)庫(kù)是第三層。用戶通過Web瀏覽器發(fā)送請(qǐng)求(request)給中間層，由中間層將用戶的請(qǐng)求轉(zhuǎn)換為對(duì)后臺(tái)數(shù)據(jù)的查詢或是更新，并將最終的結(jié)果在瀏覽器上展示給用戶。Web架構(gòu)原理

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試

用戶使用通用的Web瀏覽器，通過接入網(wǎng)絡(luò)(網(wǎng)站的接入則是互聯(lián)網(wǎng))連接到Web服務(wù)器上。用戶發(fā)出請(qǐng)求，服務(wù)器根據(jù)請(qǐng)求的URL的地址連接，找到對(duì)應(yīng)的網(wǎng)頁文件，發(fā)送給用戶。網(wǎng)頁文件是用文本描述的，HTML/Xml格式，在用戶瀏覽器中有個(gè)解釋器，把這些文本描述的頁面恢復(fù)成圖文并茂、有聲有影的可視頁面。Web安全威脅

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試

隨著Web環(huán)境在互聯(lián)網(wǎng)應(yīng)用中越來越廣泛，物聯(lián)網(wǎng)各種應(yīng)用都架設(shè)在Web平臺(tái)上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注，接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。這也使得越來越多的用戶關(guān)注應(yīng)用層的安全問題，對(duì)Web應(yīng)用安全的關(guān)注度也逐漸升溫。分組討論

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試（投稿回答）Web系統(tǒng)入侵會(huì)造成怎樣的危害？Web系統(tǒng)入侵的危害

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試Web入侵造成的危害很大，主要包括：（1）網(wǎng)站癱瘓：網(wǎng)站癱瘓是讓服務(wù)中斷。使用DDOS攻擊都可以讓網(wǎng)站癱瘓，但對(duì)Web服務(wù)內(nèi)部沒有損害，而網(wǎng)絡(luò)入侵，可以刪除文件、停止進(jìn)程，讓W(xué)eb服務(wù)器徹底無法恢復(fù)。一般來說，這種做法是索要金錢或惡意競(jìng)爭(zhēng)的要挾，也可能是顯示他的技術(shù)高超，拿你的網(wǎng)站被攻擊作為宣傳他的工具。（2）篡改網(wǎng)頁：修改網(wǎng)站的頁面顯示，是相對(duì)比較容易的，也是公眾容易知道的攻擊效果，對(duì)于攻擊者來說，沒有什么實(shí)惠好處，主要是炫耀自己，當(dāng)然對(duì)于政府等網(wǎng)站，形象問題是很嚴(yán)重的。Web系統(tǒng)入侵的危害

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試Web入侵造成的危害很大，主要包括：（3）掛木馬：這種入侵對(duì)網(wǎng)站不產(chǎn)生直接破壞，而是對(duì)訪問網(wǎng)站的用戶進(jìn)行攻擊，掛木馬的最大實(shí)惠是收集僵尸網(wǎng)絡(luò)的“肉雞”，一個(gè)知名網(wǎng)站的首頁傳播木馬的速度是爆炸式的。掛木馬容易被網(wǎng)站管理者發(fā)覺，XSS(跨站攻擊)是新的傾向。（4）篡改數(shù)據(jù)：這是最危險(xiǎn)的攻擊者，篡改網(wǎng)站數(shù)據(jù)庫(kù)，或者是動(dòng)態(tài)頁面的控制程序，表面上沒有什么變化，很不容易發(fā)覺，是最常見的經(jīng)濟(jì)利益入侵。數(shù)據(jù)篡改的危害是難以估量的。Web安全分析

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試不考慮網(wǎng)絡(luò)內(nèi)部人員的攻擊，只考慮從接入網(wǎng)(或互聯(lián)網(wǎng))來的攻擊，入侵的通道有下面幾個(gè)：1）服務(wù)器系統(tǒng)漏洞Web服務(wù)器畢竟是一個(gè)通用的服務(wù)器，無論是Windows，還是Linux/Unix，都不可少的帶有系統(tǒng)自身的漏洞，通過這些漏洞入侵，可以獲得服務(wù)器的高級(jí)權(quán)限，當(dāng)然對(duì)服務(wù)器上運(yùn)行的Web服務(wù)就可以隨意控制了。2）Web服務(wù)應(yīng)用漏洞如果說系統(tǒng)級(jí)的軟件漏洞被關(guān)注的人太多了，那么Web應(yīng)用軟件的漏洞數(shù)量上就更多了，因?yàn)閃eb服務(wù)開發(fā)簡(jiǎn)單，開發(fā)的團(tuán)隊(duì)參差不齊，并非都是專業(yè)的高手，編程不規(guī)范、安全意識(shí)不強(qiáng)、因?yàn)殚_發(fā)時(shí)間緊張而簡(jiǎn)化測(cè)試等，應(yīng)用程序的漏洞也同樣可以讓入侵者來去自如。最為常見的SQL注入，就是因?yàn)榇蠖鄳?yīng)用編程過程中產(chǎn)生的漏洞。Web安全分析

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3）密碼暴力破解

漏洞會(huì)招來攻擊容易理解，但畢竟需要高超的技術(shù)水平，破解密碼卻十分有效，而且簡(jiǎn)單易行。一般來說賬號(hào)信息容易獲得，剩下的就是猜測(cè)密碼了，由于使用復(fù)雜密碼是件麻煩而又討厭的事，設(shè)置容易記憶的密碼，是絕大多數(shù)用戶的選擇。大多Web服務(wù)是靠“帳號(hào)+密碼”的方式管理用戶賬號(hào)，一旦破解密碼，尤其是遠(yuǎn)程管理者的密碼，破壞程度難以想象，并且其攻擊難度比通過漏洞方式要簡(jiǎn)單的多，而且不容易被發(fā)覺。Web安全分析--網(wǎng)頁防篡改產(chǎn)品

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試網(wǎng)頁防篡改技術(shù)的基本原理：是對(duì)Web服務(wù)器上的頁面文件(目錄下文件)進(jìn)行監(jiān)控，發(fā)現(xiàn)有更改及時(shí)恢復(fù)。所以該產(chǎn)品實(shí)際是一個(gè)修補(bǔ)的工具，不能阻止攻擊者的篡改，就來個(gè)守株待兔，專人看守，減少損失是目標(biāo)，防篡改屬于典型的被動(dòng)防護(hù)技術(shù)。網(wǎng)頁防篡改產(chǎn)品的部署：建立一臺(tái)單獨(dú)的管理服務(wù)器(Web服務(wù)器數(shù)量少可以省略)，然后在每臺(tái)Web服務(wù)器上安裝一個(gè)Agent程序，負(fù)責(zé)該服務(wù)器的網(wǎng)頁文件防護(hù)，管理服務(wù)器是管理這些Agent防護(hù)策略的。Web安全分析--Web防火墻

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試Web防火墻，主要是對(duì)Web特有入侵方式的加強(qiáng)防護(hù)，如DDOS防護(hù)、SQL注入、XML注入、XSS等。由于是應(yīng)用層而非網(wǎng)絡(luò)層的入侵，從技術(shù)角度都應(yīng)該稱為WebIPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因?yàn)榇蠹冶容^好理解，業(yè)界流行的稱呼而已。由于重點(diǎn)是防SQL注入，也有人稱為SQL防火墻。Web防火墻產(chǎn)品部署在Web服務(wù)器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務(wù)，所以HA功能、Bypass功能都是必須的，而且還要與負(fù)載均衡、WebCache等Web服務(wù)器前的常見的產(chǎn)品協(xié)調(diào)部署。Web安全分析--Web防火墻

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試Web防火墻的主要技術(shù)的對(duì)入侵的檢測(cè)能力，尤其是對(duì)Web服務(wù)入侵的檢測(cè)，不同的廠家技術(shù)差別很大，不能以廠家特征庫(kù)大小來衡量，主要的還是看測(cè)試效果，從廠家技術(shù)特點(diǎn)來說，有下面幾種方式：（1）代理服務(wù)；（2）特征識(shí)別；（3）算法識(shí)別；（4）模式匹配；Web防火墻最大的挑戰(zhàn)是識(shí)別率，這并不是一個(gè)容易測(cè)量的指標(biāo)，因?yàn)槁┚W(wǎng)進(jìn)去的入侵者，并非都很張揚(yáng)，比如給網(wǎng)頁掛馬，就很難察覺進(jìn)來的是那一個(gè)，不知道當(dāng)然也無法統(tǒng)計(jì)。對(duì)于已知的攻擊方式，可以談識(shí)別率；對(duì)未知的攻擊方式，用戶也只好等他自己“跳”出來才知道。Web安全分析--Web數(shù)據(jù)庫(kù)審計(jì)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試Web服務(wù)中重要數(shù)據(jù)庫(kù)操作才進(jìn)行詳細(xì)審計(jì)，審計(jì)的目的是為了運(yùn)營(yíng)狀態(tài)的可恢復(fù)。常見的Web審計(jì)數(shù)據(jù)：①賬戶操作：涉及權(quán)限的改變；②運(yùn)營(yíng)操作：涉及“財(cái)與物”的變化；③維護(hù)操作：涉及“特殊權(quán)限”人的動(dòng)作。Web數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品一般采用旁路部署，不影響數(shù)據(jù)庫(kù)的業(yè)務(wù)效率。若在業(yè)務(wù)流量不很大的情況下，可以采用Agent的軟件方式，但是不建議完全依靠數(shù)據(jù)庫(kù)自身的日志功能，因?yàn)?，入侵者破壞后一定有“抹去痕跡”的步驟，痕跡一般就是系統(tǒng)本身的日志，單獨(dú)的審計(jì)機(jī)制保障了日志的完整性。Web安全分析--Web木馬檢查工具

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試Web木馬檢查工具一般作為安全服務(wù)檢查使用，也可以單獨(dú)部署一臺(tái)服務(wù)器，定期對(duì)網(wǎng)站檢查，發(fā)現(xiàn)問題及時(shí)報(bào)警。該工具目前市場(chǎng)上的產(chǎn)品化很少，一般不銷售，網(wǎng)上有些免費(fèi)的類似軟件可以試用，隨著Web服務(wù)在企業(yè)內(nèi)的應(yīng)用增多，該工具應(yīng)該像防病毒檢查工具一樣流行。3.（

）漏洞不可能出現(xiàn)在PHP開發(fā)的物聯(lián)網(wǎng)Web應(yīng)用中。SQL注入緩沖區(qū)溢出XSSCSRFABCD提交單選題25分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試僵尸網(wǎng)絡(luò)車聯(lián)網(wǎng)安全事件2016年爆發(fā)的Mirai總計(jì)感染了超過20萬臺(tái)物聯(lián)網(wǎng)設(shè)備，攻擊者利用僵尸網(wǎng)絡(luò)對(duì)北美主要DNS域名服務(wù)提供商Dyn發(fā)動(dòng)DDOS攻擊，事件造成北美互聯(lián)網(wǎng)大范圍癱瘓。2015年兩位安全研究人員演示了遠(yuǎn)程攻擊吉普切諾基車輛的過程，他們通過車載娛樂系統(tǒng)的漏洞作為切入點(diǎn)，最終完成了對(duì)車輛行駛完全控制。4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試智能醫(yī)療安全事件2017年圣猶達(dá)醫(yī)療生產(chǎn)的一款心臟起搏器被發(fā)現(xiàn)存在未授權(quán)訪問問的漏洞，可能對(duì)患者造成致命威脅智能家居安全事件美國(guó)加州大學(xué)伯克利分校和浙江大學(xué)的研究人員分別發(fā)現(xiàn)了智能音箱在識(shí)別聲音時(shí)的漏洞，可能導(dǎo)致語音識(shí)別錯(cuò)誤導(dǎo)致執(zhí)行惡意指令。4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試APT攻擊2018年爆發(fā)物聯(lián)網(wǎng)惡意軟件VPNFilter感染了50萬臺(tái)設(shè)備，研究人員發(fā)現(xiàn)該惡意軟件有針對(duì)某國(guó)政府的攻擊代碼。該事件再次反映物聯(lián)網(wǎng)安全對(duì)于國(guó)家安全的影響。4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試Mirai僵尸網(wǎng)絡(luò)惡意軟件的傳播分為以下3個(gè)步驟：掃描。同故宮已經(jīng)被感染的設(shè)備掃描白名單外的全網(wǎng)IP地址，尋找開放的23端口。上傳匯總。將掃描到的結(jié)果上傳到加載服務(wù)器匯總，加載服務(wù)器對(duì)IP地址服務(wù)進(jìn)行窮舉爆破，記錄成功的結(jié)果。感染。獲取到登錄口令后，鏈接受害者設(shè)備并上傳安裝僵尸網(wǎng)絡(luò)服務(wù)端。4物聯(lián)網(wǎng)黑客攻擊案例

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試被感染的機(jī)器還會(huì)進(jìn)行以下操作：維持權(quán)限。對(duì)自身進(jìn)行持久化操作；清楚客戶端中其他僵尸網(wǎng)絡(luò)軟件。傳播惡意軟件案件。掃描網(wǎng)段中其他高危設(shè)備，同時(shí)等待C2服務(wù)器的攻擊指令。發(fā)起攻擊。接收到攻擊指令后，對(duì)目標(biāo)服務(wù)器發(fā)送大量垃圾數(shù)據(jù)包進(jìn)行分布式拒絕服務(wù)攻擊，導(dǎo)致正常用戶無法訪問目標(biāo)服務(wù)器提供的服務(wù)。4.Mirai僵尸網(wǎng)絡(luò)客戶端為了對(duì)抗安全研究人員的分析，加入了許多反調(diào)試和混淆機(jī)制，包括（

）。偽造SIGTRAR信號(hào)防止gdb調(diào)試將字符串變量通過異或方式簡(jiǎn)單加密程序入口混淆采用虛擬機(jī)殼加密軟件ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試用隨機(jī)字符串設(shè)置進(jìn)程名字E使用花指令技術(shù)防止逆向分析F多選題25分5如何完成一個(gè)安全的物聯(lián)網(wǎng)應(yīng)用

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試安全需求總結(jié)：設(shè)計(jì)合適的用戶賬戶管理功能。提供安全可靠的用戶賬號(hào)管理功能。根據(jù)“最小權(quán)存限原則”來劃分用戶賬戶的權(quán)限。采取穩(wěn)健的密碼保存策略?？紤]加入雙因子認(rèn)證機(jī)制?？紤]將物聯(lián)網(wǎng)應(yīng)用整合到統(tǒng)一賬號(hào)管理系統(tǒng)中考慮對(duì)敏感數(shù)據(jù)進(jìn)行加密。設(shè)計(jì)軟件升級(jí)功能時(shí)要考慮操作的合法性認(rèn)證。設(shè)計(jì)安全事件告警功能。邀請(qǐng)安全專家來對(duì)應(yīng)用進(jìn)行全面審計(jì)。6.考慮將物聯(lián)網(wǎng)應(yīng)用整合到統(tǒng)一賬號(hào)管理系統(tǒng)中7.考慮對(duì)敏感數(shù)據(jù)進(jìn)行加密。8.設(shè)計(jì)軟件升級(jí)功能時(shí)要考慮操作的合法性認(rèn)證。9.設(shè)計(jì)安全事件告警功能。10.邀請(qǐng)安全專家來對(duì)應(yīng)用進(jìn)行全面審計(jì)。5如何完成一個(gè)安全的物聯(lián)網(wǎng)應(yīng)用

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試隱私保護(hù)評(píng)估：記錄并檢視應(yīng)用需要使用到的所有用戶數(shù)據(jù)制定用戶數(shù)據(jù)的收集策略，只收集必需的用戶數(shù)據(jù)考慮使用匿名化的措施處理用戶數(shù)據(jù)考慮在存儲(chǔ)過程和數(shù)據(jù)傳輸過程中使用現(xiàn)有的加密方案對(duì)所有用戶數(shù)據(jù)進(jìn)行加密確保用戶知會(huì)應(yīng)用中關(guān)于個(gè)人隱私數(shù)據(jù)的處理策略，在服務(wù)條款中明確列舉額應(yīng)用中對(duì)于用戶隱私數(shù)據(jù)的用途，并獲得用戶的授權(quán)同意。5如何完成一個(gè)安全的物聯(lián)網(wǎng)應(yīng)用

五步教學(xué)法檢查回顧新知學(xué)