第5課

物聯(lián)網(wǎng)安全技術(shù)年級：九年級學(xué)科：初中信息科技（浙教版）物聯(lián)網(wǎng)（IoT)【感知】物聯(lián)網(wǎng)安全事件黑客利用掃地機器人變成“電子眼”

智能攝像頭被別人“上線”

智能電視正在“監(jiān)視”你

思考一很多同學(xué)家中都有掃地機器人、智能音箱等物聯(lián)網(wǎng)設(shè)備，這些設(shè)備都有身份標識嗎？

思考二若家中的物聯(lián)網(wǎng)設(shè)備被病毒感染或遭受攻擊，你該如何應(yīng)對？斷開物聯(lián)網(wǎng)的聯(lián)網(wǎng)停用感染的物聯(lián)網(wǎng)設(shè)備修改密碼……

物聯(lián)網(wǎng)安全隱患思維導(dǎo)圖設(shè)備/領(lǐng)域安全隱患安全防護策略傳感器1.被偷盜，位置移動、人為破壞；2.存在軟件漏洞，固件不能更新。感知終端/網(wǎng)關(guān)1.缺乏成熟的授權(quán)或認證機制；2.惡意軟件感染。通信傳輸1.部分或全部明文傳輸，缺乏加密的通信機制；2.無線網(wǎng)絡(luò)通信固有的脆弱性（干擾、竊聽）。服務(wù)器1.非授權(quán)接入和訪問網(wǎng)絡(luò)；2.遭受外部攻擊或內(nèi)部泄密（設(shè)備與設(shè)備之間存在數(shù)據(jù)泄露渠道）；3.惡意軟件感染。1.設(shè)備物理防護，及時巡視2.帶安全模塊的安全芯片1.加強數(shù)據(jù)過濾，認證等加密操作；2.進行設(shè)備指紋、時間戳、身份驗證、消息完整性等多維度校驗。1.部署防火墻、殺毒軟件；2.實施軟件定義邊界架構(gòu)。引入用戶、設(shè)備身份認證機制學(xué)習(xí)任務(wù)一請根據(jù)物聯(lián)網(wǎng)設(shè)備中存在的安全隱患，思考并完成下表。【建構(gòu)】物聯(lián)網(wǎng)安全防范物聯(lián)網(wǎng)安全├──用戶認證——用戶標識└──物聯(lián)網(wǎng)設(shè)備認證——設(shè)備身份標識學(xué)習(xí)任務(wù)二在Thonny環(huán)境中運行“模擬氣壓發(fā)布.py”程序，完成下列記錄單。1.從物聯(lián)網(wǎng)安全角度思考，為MQTT連接設(shè)計合適的用戶名和密碼？2.嘗試用新設(shè)計的用戶身份訪問MQTT中介，若提示“未經(jīng)授權(quán)”，思考氣壓數(shù)據(jù)能不能成功發(fā)送到MQTT中介？實踐驗證

實驗驗證用戶名

密碼

學(xué)習(xí)任務(wù)三小組合作，完成程序驗證任務(wù)。（1）新建用戶第一次發(fā)布主題的結(jié)果：

。（2）新建用戶授權(quán)后，第二次發(fā)布主題的結(jié)果：

。（3）“動態(tài)賬戶管理”與氣壓主題發(fā)布之間有什么關(guān)系？

。

實踐驗證實踐驗證創(chuàng)建賬戶禁用賬戶啟用賬戶修改密碼刪除賬戶查詢賬戶所有賬戶返回上級創(chuàng)建角色刪除角色授權(quán)用戶取消授權(quán)所有角色返回上級物聯(lián)網(wǎng)設(shè)備身份標識生命周期命

名

約

定&唯

一性

定

義安

全

引

導(dǎo)

（注

冊&登

記）認證信息和屬性，分發(fā)可用的認證信息賬

戶

監(jiān)

視

和

控

制賬

戶

更

新賬

戶

停

用賬

戶

刪

除常見的用于認證的信息口令證書生物特征設(shè)備授權(quán)軟件定義邊界（SDP）什么是軟件定義邊界呢？軟件定義邊界（SoftwareDefinedPerimeter,簡稱SDP)是基于“零信任安全理念”的新一代網(wǎng)絡(luò)安全技術(shù)架構(gòu)。軟件定義邊界（SDP）

自學(xué)教材P25第二段“軟件定義邊界(SDP)”的相關(guān)內(nèi)容，結(jié)合以下內(nèi)容，談?wù)剛鹘y(tǒng)IT網(wǎng)絡(luò)安全和零信任網(wǎng)絡(luò)安全的區(qū)別。

傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)外的任何人都無法訪問內(nèi)部數(shù)據(jù)，但網(wǎng)絡(luò)內(nèi)的每個人都可以。若將網(wǎng)絡(luò)想象成城堡，將網(wǎng)絡(luò)邊界想象成護城河。一旦吊橋被降低且有人穿過它，他們就可以在城堡場地內(nèi)自由行動。同樣在傳統(tǒng)網(wǎng)絡(luò)中，一旦用戶連接到網(wǎng)絡(luò)內(nèi)部，他們就能夠訪問該網(wǎng)絡(luò)中的所有應(yīng)用程序和數(shù)據(jù)。使用這種模式的網(wǎng)絡(luò)組織會投入大量資源來保衛(wèi)他們的網(wǎng)絡(luò)邊界，就像一座城堡可能會在吊橋附近放置最多的警衛(wèi)一樣。他們部署了防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)和其他可阻止大多數(shù)外部攻擊的安全產(chǎn)品，但在阻止內(nèi)部攻擊、內(nèi)部威脅和數(shù)據(jù)泄露方面并不那么有效。零信任安全假設(shè)網(wǎng)絡(luò)內(nèi)外都存在安全風(fēng)險。默認情況下，網(wǎng)絡(luò)內(nèi)部的任何內(nèi)容都不受信任——因此得名“零信任”。軟件定義邊界（SDP）傳統(tǒng)企業(yè)安全模型基于防火墻的物理邊界防御過去：企業(yè)的服務(wù)器和辦公設(shè)備都在內(nèi)網(wǎng)，一切的安全都是圍繞著內(nèi)網(wǎng)的“墻”來建設(shè)云時代的企業(yè)安全模型基于用戶身份的軟件定義邊界（SDP）未來：不再區(qū)分內(nèi)網(wǎng)外網(wǎng)，無論應(yīng)用服務(wù)器在哪里、無論用戶在什么時間、什么地點、使用什么設(shè)備，都能安全訪問其權(quán)限內(nèi)的數(shù)據(jù)課堂小結(jié)物聯(lián)網(wǎng)安全技術(shù)├──物聯(lián)網(wǎng)設(shè)備的