本书从项目需求、业务需求和系统设计方面阐释物联网风险。你将了解物联网（IoT）与“常规”企业安全的区别，认识到物联网更难理解且管理起来更复杂。本书将帮助企业管理者了解物联网的威胁和漏洞，包括终端、新出现的网关形式、网络连接和基于云的数据中心。根据特定物联网系统的风险和组织需求，了解哪种新兴技术对系统最为合适。此外，本书还探索了数十种针对物联网的风险管理需求，研究了物联网特有的威胁，并在最后提出了适用于各种用例的风险管理建议。

信息安全领域CTO分享关于IoT架构和新兴工具的大企业实战经验
全面介绍IoT的概念、架构、需求和风险管理，了解下一代网络设备的风险来源及解决方案

这本书我写了将近4年，比预期的时间要长。它的创作灵感源于2012年的一个想法：物联网（IoT）是否需要不同于当下传统信息技术（IT）的安全和风险管理？过去，关于物联网的文章主要跟工业控制系统和安全相关，通常几乎没有文章会专门涉及物联网，更不要说物联网安全。虽然工业控制系统和安全是一个很好的研究方向，但它只是物联网中的一部分。此外，已经出现了一些针对物联网（例如，硬盘录像）的高超攻击手段，以及控制系统攻击的鲜活案例。但是，总体上来说，物联网及其安全需求、隐患、威胁以及风险依然尚不明晰。很大程度上，它们至今还是个谜。而本书对于物联网就像广袤黑暗中的一盏明灯。
2012年至2015年，我在英特尔担任电信安全首席技术官一职。英特尔公司致力于开发计算芯片以促进物联网的发展，这为我提供了一个学习物联网的绝佳机会。同样，2015年至2016年，在飞塔公司的工作也为我提供了继续学习物联网的平台。英特尔在对物联网的切实理解方面所做的努力为规范物联网安全和风险管理提供了巨大的机会。但是说起来容易，做起来仍然具有一定的难度。
深入研究物联网安全有点像捉迷藏或猫捉老鼠的游戏。2012年的时候，关于物联网安全的信息和研究还都是尝试性的、零散的。要想进一步研究物联网安全，就必须深入到广大用户和各种实地场景中去，而不是仅仅通过互联网进行巧妙的布尔搜索。而我所搜寻的信息大多只是存在于实验室和人们的脑海中，或者不能简单获取，需要通过对话或基于相关工作经验的推断来发掘。
为了深入研究物联网安全，每当遇到一家大公司，尤其是电信公司（产品供应商和运营商）时，我都会抓住每一个机会去询问“哪些人对物联网安全感兴趣”。通常我会从那些致力于物联网安全的个人或组织那里获得一些启示，所以我会去追寻他们，希望听他们分享知识和见解。这通常会发生在有翻译需求的会议中，如西班牙语、日语、汉语、瑞典语、澳大利亚语到英文的翻译（开个玩笑，瑞典人说的是不可思议的英语）。有很多次，我需要借助在线翻译工具将其他语言写成的内部计划翻译成英语，才能抓住其关于物联网服务设计的要点。
随着我开始撰写本书，围绕物联网的国际标准（ISO/IEC, ITU-T）也已开始制定。作为标准组织的积极成员和贡献者，我有幸接触到来自许多不同专家和国家机构的想法，并且将它们翻译成英语。2014年至2016年期间，我组织了一个物联网安全国际研究小组，前往马来西亚婆罗洲、印度斋浦尔、英国伦敦以及加拿大渥太华等地区，与那里的物联网专业人员进行讨论。在关于物联网安全的讨论中，他们分享了独特的见解和丰富的经验，促进了本书的写作并推动了物联网标准的制定。
如果本书的某些部分与前文毫无关联，那是因为本书试图从不同的角度去解读物联网。希望你能看到：本书开辟了一个全新的安全和风险管理领域，这个领域在未来几年里可能会更加细化。在某些情况下，本书所讨论的内容会依赖一些处于萌芽阶段的技术，例如物联网。因此，其中的一些技术以及RIoT（Risk and the IoT）控制技术可能无法实现其预期功能，而其他有些技术则可能超出预期结果。这本书的本质是对RIoT的控制和管理进行评估。

泰森·麦考利
CISSP, CISA
2016年8月

计算机\物联网

有关婴儿监视器被黑客攻击和电力供应中断的消息表明，这个新世界的安全措施往往是不够安全的。看到Tyson出版的这本书令我备受鼓舞，我希望它的内容能被应用到我们所有人都依赖的设备当中去。
—— R. Samani，副总裁兼首席技术官，Intel安全
这本书是理解和管理物联网风险的重要资源，Tyson巧妙地描述了物联网生态系统的深度和复杂性，为未来提供了一个新的综合风险管理框架。
—— D. McMahon，首席策略师，ADGA
我相信物联网将使我们的生活更智能、连接更紧密。我希望通过Tyson这样的意见领袖的努力，物联网也能使我们的生活不再缺少安全。
—— S. Hunt，首席技术官，Intel
第一代互联网天生就充满了不安全感。Tyson的书有助于为未来几代物联网创建更安全的蓝图，是物联网风险管理者的必读书籍。
—— F. Khan，首席安全分析师，TwelveDot
大多数人理解机场安检的必要性，但在网络空间的无形世界中，我们评估的资产是不可见的，威胁也是看不见的。互联网上数十亿不受信任或不安全的设备将加剧我们今天已经面临的重大挑战，本书将帮助我们理解这一挑战，并学习如何最大限度地降低风险。
—— M. Burgess，首席信息安全官，澳洲电信
物联网表现出生态系统般的巨大扩张，这种挑战已经使得安全团队不堪重负。Tyson的大部分职业生涯都致力于物联网安全问题，本书为物联网世界的构建者和运营商提供了一个令人耳目一新且切实可行的框架。
—— J. Nguyen-Duy，前首席技术官，Verizon

随着5G技术的商用推广以及智能硬件技术的兴起，物联网已经进入实质性推进和规模化发展的新阶段，并呈现出指数级增长态势。据Gartner预测，到2020年，物联网设备的数量将高达260亿件。物联网的概念正在迅速遍及整个社会，将会给人类的生活带来巨大的变革。
随着物联网技术相关理论和应用的不断推广，针对用户隐私、物联网设备的各种网络攻击也在不断增多，相关安全事件的频发使得物联网安全成为全球研究的热点。其中，风险管理和隐私保护作为物联网发展中的关键问题，仍然面临着许多巨大的挑战。因此，分析物联网的安全需求及其面临的风险，对提升物联网整体安全水平、促进物联网大规模应用具有重要意义。
本书的作者Tyson Macaulay是信息安全领域的资深人士，拥有25年的相关经验，曾担任过首席技术官（英特尔电信安全CTO等）、首席安全策略师（Fortinet）、安全联络官（Bell Canada）。他拥有四部专著、多篇学术论文、多项安全标准提案和安全相关专利，在安全体系结构、安全标准、物联网安全等方面积累了丰富的经验。
本书全面介绍了物联网及其安全需求、隐患、威胁与风险，试图为读者提供一本关于物联网及其风险管理的基础书籍。本书的显著特点是语言通俗易懂，善于运用案例和比喻。书中内容面向不同背景的读者，以使各类读者都能有所收获。此外，在每章的末尾都给出了总结，为读者快速了解每章内容提供了有用的参考。书中内容涵盖理论基础和工程实现技术，可以作为物联网安全学习的基础读物，也可以作为工程设计的参考手册。
本书由刘景伟统稿和审校，参加本书翻译和校对的有刘景伟、唐会芳、胡琴。另外，感谢孙蓉、张锐、任爱莲、钟倩对翻译本书所提供的支持。由于译者的专业知识、理解能力和写作功底有限，译稿中难免存在错误之处，敬请读者见谅。

译者于西安电子科技大学
2020年4月

译者序
前言
评阅人的评论
第1章　物联网简介1
1.1　开启好习惯越早越好2
1.2　物联网风险是什么3
1.3　目标读者3
1.4　这本书是如何安排的3
1.5　物联网是什么4
1.5.1　不是信息的传播样式5
1.5.2　不是信息共享5
1.5.3　不是无线网络5
1.5.4　物联网（通常）不涉及隐私5
1.6　“传统”互联网的数据、语音和视频7
1.7　互联网++7
1.7.1　M2M通信8
1.7.2　互联设备8
1.7.3　万物智能8
1.7.4　普适计算9
1.8　谁是物联网的主要参与者9
1.8.1　利益相关者9
1.8.2　物联网利益相关者简图：按资产类别分组10
1.8.3　终端设备作为资产类别11
1.8.4　网关作为资产类别12
1.8.5　网络作为资产类别13
1.8.6　数据中心和云作为资产类别15
1.9　他们为什么在意？不同视角的利益相关者17
1.9.1　谁能访问物联网数据17
1.9.2　物联网中有什么数据18
1.9.3　物联网中的数据在哪里19
1.9.4　物联网中的网络决定论20
1.9.5　物联网数据如何管理的问题21
1.9.6　基于风险的物联网安全保障方法22
1.9.7　最后的话—是谁/是什么/在哪里/怎么做22
1.10　总结23
第2章　深入剖析物联网24
2.1　物联网什么时候真正到来24
2.2　IPv4无助于物联网24
2.3　IPv6开启了物联网25
2.3.1　什么是IPv625
2.3.2　IPv6对物联网通常意味着什么25
2.4　物联网的体系结构：终端、网关、网络和数据中心/云26
2.4.1　进入愿景层27
2.4.2　在系统层理解物联网27
2.5　物联网的终端资产类别28
2.5.1　终端的相互依赖性28
2.5.2　传感与处理29
2.6　物联网的网关资产类别30
2.6.1　不仅仅是网络的一部分30
2.6.2　网关作为信息处理器30
2.6.3　网关作为本地入侵防护代理31
2.7　物联网的网络资产类别32
2.7.1　OSI参考模型32
2.7.2　不同网络的多个层次33
2.7.3　媒介很多，但可选的未必很多33
2.7.4　IP和低能耗的IP34
2.7.5　低能耗未必更好35
2.7.6　IP层之上35
2.7.7　在应用层35
2.7.8　网络是拨号音36
2.7.9　你知道的网络和你不知道的网络36
2.7.10　网络是一种公共资源36
2.7.11　网络成本也是一种商业风险37
2.7.12　网络潮流正在改变38
2.7.13　网络正趋向于白盒和开源39
2.8　云和数据中心作为资产类别40
2.8.1　大数据和物联网40
2.8.2　定义这个时代的云：新的挑战41
2.8.3　私有和专用：在云之前41
2.8.4　云42
2.8.5　看似简单，其实不然43
2.8.6　云的架构和商业模型45
2.8.7　技术分布式云45
2.8.8　商业分布式数据中心和云代理商45
2.8.9　集成代理商和物联网46
2.8.10　套利代理商46
2.8.11　在物联网中关于云和数据中心还有一件重要的事情47
2.9　总结47
第3章　需求和风险管理49
3.1　需求和风险管理的含义49
3.2　引言51
3.3　目标读者51
3.4　制定讨论框架51
3.5　什么是安全需求52
3.6　请用更为简单的语言描述组织和业务流程需求53
3.6.1　业务/组织需求53
3.6.2　业务流程/操作需求54
3.6.3　需求矩阵54
3.7　谁想要了解所有这些需求的资料55
3.8　风险、需求和交付56
3.9　技术需求：这是我们强调的部分57
3.10　组成物联网的应用和服务58
3.10.1　运营效率（阴）58
3.10.2　用户满意度（阳）58
3.11　行业用例、效率和满意度59
3.11.1　交通运输业59
3.11.2　健康医疗业60
3.11.3　政府部门61
3.11.4　公共安全和军事61
3.11.5　零售业和酒店业62
3.11.6　食品业和农业基础设施63
3.11.7　制造业和重工业63
3.11.8　娱乐行业和体育行业64
3.11.9　能源行业：公共事业和智能电网66
3.11.10　金融业和银行业66
3.11.11　教育业67
3.11.12　信息和通信技术68
3.12　总结69
第4章　业务和组织需求70
4.1　业务和组织需求的含义70
4.2　引言72
4.3　目标读者72
4.4　物联网的业务和组织需求72
4.5　监管和法律需求73
4.5.1　现在支付还是过后支付：合规性不是一个可选项73
4.5.2　混合监管：物联网监管下的法律和行业标准74
4.5.3　物联网监管案例和混合监管74
4.5.4　证明合规性：64 000美元的问题75
4.6　财务需求76
4.7　竞争需求77
4.7.1　面向商品化的分化77
4.7.2　从垂直市场转向生态系统78
4.8　内部政策需求79
4.9　物联网的审计和标准81
4.9.1　标准的类型81
4.9.2　定义物联网的审计范围82
4.9.3　短期痛苦，长期获益：第三方审计与自我评估82
4.9.4　关于标准和审计范围的艺术83
4.9.5　标准机构对物联网的影响84
4.9.6　由政府设立的标准机构84
4.9.7　由行业团体和协会成立的标准机构85
4.9.8　2016年的物联网标准85
4.9.9　对物联网安全标准的期望87
4.9.10　物联网安全标准的术语87
4.9.11　参考模型、参考体系架构和物联网88
4.9.12　物联网用例89
4.9.13　小结：标准有助于物联网中的风险管理89
4.10　总结89
第5章　操作和流程需求91
5.1　操作和流程需求的含义91
5.2　引言92
5.3　目标读者93
5.3.1　设备追踪者93
5.3.2　数据洞察（探索者）94
5.3.3　设备保管者—长寿专家94
5.3.4　实时数据分析者94
5.3.5　安全狂热者94
5.4　物联网的操作和流程需求95
5.5　本书其余章节概览96
第6章　物联网的安全需求97
6.1　安全不完全等同于安全防护98
6.2　性能98
6.3　可靠性和一致性99
6.4　无毒性和生物相容性100
6.5　可处置性100
6.6　物联网的安全与变更管理101
6.7　安全和服务交付更新的可分性与长期性101
6.8　启动和关闭效率（最小化复杂性）102
6.9　失效安全103
6.10　从服务交付中隔离安全和控制103
6.11　安全监控与管理和服务交付104
6.12　在边缘恢复和配置104
6.13　误用和无意识应用105
6.14　总结105
第7章　物联网的机密性、完整性和隐私需求107
7.1　数据机密性和完整性107
7.1.1　密码稳定性108
7.1.2　超期：被时间持续考验的机密性108
7.1.3　未被篡改的数据—证明数据的完整性和真实性109
7.1.4　证明删除和关闭109
7.1.5　信任链109
7.1.6　能力和功能的证明110
7.1.7　数据的可信路由110
7.1.8　删除编码和数据重力111
7.1.9　冷存储协议111
7.1.10　综合报告：终端、网关、网络、云和数据中心112
7.1.11　从配置中了解与学习112
7.1.12　水平日志：贯穿整个生命周期113
7.1.13　设备反馈：“该设备是开还是关？”114
7.2　隐私和个人数据监管115
7.2.1　监管和法定隐私116
7.2.2　非固有隐私116
7.2.3　举例说明：隐私和智能家居自动化116
7.3　结论和总结118
第8章　物联网的可用性和可靠性需求120
8.1　可用性和可靠性120
8.2　简单性和复杂性121
8.3　网络性能和服务等级协议121
8.4　访问物联网设计和文档122
8.4.1　应用和系统设计文档122
8.4.2　用户界面设计文档122
8.4.3　报告和系统文档123
8.5　自愈和自组织123
8.6　远程诊断和管理124
8.7　资源消耗和能量管理125
8.8　故障代码126
8.9　流量分类和QoS127
8.9.1　网络中的流量控制和QoS128
8.9.2　终端和网关中的流量控制与QoS128
8.10　互换性和厂商中立标准129
8.11　寿命、升级、修补和处置129
8.12　心跳、统计和库存130
8.13　文件编制和培训130
8.14　发现-利用窗口和网络-情报131
8.15　总结132
第9章　物联网的身份和访问控制需求133
9.1　I&A控制的互操作性134
9.2　物联网中的多方认证和密码技术134
9.2.1　弱或昂贵：旧的密码系统和技术不能扩展到物联网135
9.2.2　多方认证和数据保护136
9.3　批量认证和授权138
9.4　自治（自我配置，智能适应）139
9.5　设备和对象命名139
9.6　物联网中的发现与搜索140
9.7　认证和证书需求141
9.7.1　物联网设备的匿名性和认证141
9.7.2　基于硬件的防篡改认证142
9.8　物联网的授权需求142
9.9　基于属性的访问控制143
9.10　物联网中的读写操作145
9.11　并发权限在物联网世界中不常见145
9.12　唯一可寻址性146
9.13　引导标识146
9.14　互操作性和标识查找的新形式147
9.15　所有权转移147
9.16　总结148
第10章　物联网的使用场景和环境需求150
10.1　引言151
10.2　威胁情报151
10.2.1　威胁情报的来源152
10.2.2　消费威胁情报152
10.2.3　威胁情报用于物联网何处153
10.2.4　如何使用威胁情报153
10.3　获取和了解日期与时间154
10.3.1　时效性155
10.3.2　时间戳155
10.4　以人（生物）作为场景155
10.5　以设备类型作为场景156
10.6　物联网应用的场景与状态157
10.7　位置，位置，位置158
10.7.1　场景作为位置输入的组合158
10.7.2　定位和电子追踪策略需求159
10.8　将物联网服务需求映射到定位和追踪技术161
10.9　位置发现161
10.9.1　接收信号强度161
10.9.2　邻近性162
10.9.3　到达时间162
10.9.4　到达时间差162
10.9.5　泛在无线信号162
10.9.6　声传感器163
10.9.7　成像163
10.10　运动追踪163
10.11　自动化可访问性和使用条件164
10.12　总结166
第11章　物联网的互操作性、灵活性和工业设计需求167
11.1　组件的互操作性167
11.2　有关工业设计168
11.3　自定义组件和体系结构168
11.4　设备适应性169
11.5　“物”的包容性170
11.6　可扩展性171
11.7　下一代无线网络需求172
11.8　标准化接口173
11.9　限制或最小化黑盒组件173
11.10　遗留设备支持174
11.11　了解什么时候足够好了175
11.12　网络流量逆转和数据量176
11.13　新的网络需求是什么，有什么变化177
11.14　物联网的网络安全边界：外部很牢固178
11.15　控制“网内网”：网络分段179
11.16　用户偏好180
11.17　虚拟化：网络和应用180
11.17.1　网络功能虚拟化和白盒180
11.17.2　为何用NFV181
11.17.3　软件定义网络和网络功能虚拟化182
11.17.4　NFV和SDN如何有助于物联网的安全保障182
11.17.5　NFV和SDN的另一面183
11.18　订阅和服务的可移植性：支持有竞争力的服务183
11.19　应用接口的多样性和实用性184
11.20　总结185
第12章　物联网面临的威胁和影响187
12.1　物联网面临的威胁187
12.1.1　了解物联网中的威胁187
12.1.2　物联网中的威胁技能188
12.1.3　威胁动机188
12.1.4　威胁资源189
12.1.5　访问189
12.2　威胁者190
12.3　物联网中新的威胁者193
12.3.1　混乱的行动者和自卫者193
12.3.2　监管机构195
12.4　业务（组织）威胁196
12.4.1　监管和法律威胁196
12.4.2　金融200
12.4.3　竞争204
12.4.4　内部策略208
12.5　物联网的操作和流程威胁210
12.5.1　物理安全威胁210
12.5.2　机密性和完整性威胁214
12.5.3　可用性和弹性威胁219
12.5.4　身份和访问威胁222
12.5.5　使用环境和场景威胁227
12.5.6　互操作性和灵活性威胁230
12.6　总结234
第13章　RIoT控制236
13.1　管理物联网中的业务和组织风险237
13.1.1　物联网设计流程237
13.1.2　监管隐患及风险240
13.1.3　健康与安全监管风险247
13.1.4　重新识别隐患和风险管理247
13.1.5　物联网的合法访问248
13.1.6　物联网中的标签和合理警告248
13.2　金融隐患和风险250
13.2.1　物联网储值风险250
13.2.2　责任和保险风险252
13.3　竞争与市场风险253
13.3.1　用户可接受度253
13.3.2　向下竞争254
13.3.3　供应链风险254
13.3.4　隐私套利：维持隐私合规的不同成本254
13.3.5　技能不足255
13.3.6　增加用户支持成本257
13.4　内部政策258
13.5　物联网的操作和处理风险259
13.5.1　物理安全259
13.5.2　应急按钮261
13.5.3　网络分段和安全性262
13.6　机密性和完整性265
13.6.1　是否加密265
13.6.2　功能授权：检测与预防265
13.6.3　物联网中的多方认证和密码技术266
13.6.4　弱或昂贵：旧的密码系统和技术不能扩展到物联网267
13.6.5　多方认证和数据保护268
13.6.6　多方水平认证和数据保护269
13.6.7　多方级联认证和数据保护269
13.6.8　基于硬件和基于软件的处理269
13.6.9　微分段271
13.6.10　白色网络272
13.6.11　网络功能虚拟化和信任根274
13.6.12　物联网中预防假冒商品279
13.6.13　数据质量风险281
13.7　可用性和可靠性281
13.7.1　物联网公共云服务282
13.7.2　物联网中的语音通信隐患和风险282
13.7.3　物联网的智慧网关283
13.8　身份和访问控制285
13.8.1　重新识别及其风险285
13.8.2　基于属性的访问控制和加密288
13.8.3　细粒度身份识别和认证及其风险增减289
13.8.4　数据溯源290
13.9　使用场景和操作环境291
13.9.1　位置，位置，位置291
13.9.2　信誉，信誉，信誉（威胁情报）292
13.10　互操作性和灵活性295
13.10.1　5G，复杂性，传统IT295
13.10.2　脆弱且不易修补的系统297
13.10.3　分形安全298
13.10.4　无法管理的相互依赖性风险300
13.10.5　风险建模304
13.10.6　超期：经得起时间考验的安全性304
13.10.7　软件定义网络和网络功能虚拟化305
13.11　技术和物联网风险管理306
13.12　总结311