一、物聯(lián)網(wǎng)準入防護技術(shù)

??????? 大量的物聯(lián)網(wǎng)設(shè)備接入到物聯(lián)網(wǎng)絡(luò)，物聯(lián)網(wǎng)設(shè)備包括非智能終端（也稱“啞終端”，一般沒有數(shù)據(jù)處理的能力，只能通過網(wǎng)絡(luò)上報傳感數(shù)據(jù)，或接受操控數(shù)據(jù)。例如打印機、視頻攝像頭、ETC等，該類終端功能單一，從硬件到軟件都已經(jīng)固化，無法進行改造和擴充，智能程度微弱）和智能終端設(shè)備（該類終端功能強大，有專用的操作系統(tǒng)，可以調(diào)整內(nèi)部的軟件、應(yīng)用參數(shù)設(shè)置，或者重新改造來滿足不同的應(yīng)用需求。例如業(yè)務(wù)一體機、智能平板等），這些改變引發(fā)了網(wǎng)絡(luò)安全新的重大挑戰(zhàn)，安全風險存在并不局限于：

（1）物聯(lián)網(wǎng)終端眾多，資產(chǎn)情況難以掌握，存在違規(guī)接入的風險，同時缺失運維手段、事件監(jiān)測通報以及應(yīng)急處理機制；

（2）物聯(lián)網(wǎng)終端在戶外、分散安裝、易被接觸到而又沒有納入管理，導(dǎo)致物理攻擊、篡改和仿冒；

（3）物聯(lián)網(wǎng)終端普遍存在弱口令、維護后門、漏洞和大量開放端口等安全風險，容易被惡意代碼感染形成僵尸主機，進而構(gòu)成僵尸網(wǎng)絡(luò)。

??????? 物聯(lián)網(wǎng)準入防護系統(tǒng)專門為解決現(xiàn)存于物聯(lián)網(wǎng)終端安全問題設(shè)計的產(chǎn)品，可識別傳統(tǒng)PC，啞終端、智能設(shè)備等多類型終端指紋，實現(xiàn)終端特征、行為準入控制。

??????? 該類產(chǎn)品介于物聯(lián)網(wǎng)感知層和網(wǎng)絡(luò)層之間，具備終端識別、終端認證、準入控制，行為基線建立、行為控制、集中管理等安全能力，能夠解決冒用接入、入侵控制、行為異常、海量IP管理等安全問題，全方位協(xié)助用戶構(gòu)建安全可控的物聯(lián)網(wǎng)絡(luò)終端環(huán)境，解決安防終端接入安全問題。

??????? 物聯(lián)網(wǎng)準入防護產(chǎn)品可以在不進行任何終端改造的前提下，解決3大終端安全問題：

1、終端的梳理和發(fā)現(xiàn)，全網(wǎng)發(fā)現(xiàn)終端為用戶提供真實終端部署現(xiàn)狀；

2、終端安全接入管控，解決冒用終端的接入或被操控終端執(zhí)行非法行為問題；

3、終端安全運營呈現(xiàn)，提供終端狀態(tài)整體化、逐層化呈現(xiàn)，安全狀態(tài)一目了然。

????????最好在解決用戶三大終端安全問題的同時，還能夠額外提供非法入侵檢查、鏈路加密傳輸、深度數(shù)據(jù)檢測等安全能力，全方位協(xié)助用戶構(gòu)建安全可控的物聯(lián)網(wǎng)絡(luò)終端環(huán)境。

?二、技術(shù)方案

?????? 2.1 系統(tǒng)組成

????????物聯(lián)網(wǎng)準入防護系統(tǒng)一般由前端準入防護裝置和后臺處理系統(tǒng)組成，前端物聯(lián)網(wǎng)準入防護裝置部署在各二級網(wǎng)絡(luò)節(jié)點，支持串行、旁路兩種部署模式：

????????旁路部署，純旁路（物理、邏輯均非串行）方式部署，對終端進行指紋學習同時實現(xiàn)終端的準入控制。

?串行部署，串行方式部署，提供行為基線學習、非法行為控制、終端指紋學習、接入控制。

???????? 系統(tǒng)主要包含兩大部分，前端設(shè)備是否準許接入及安全接入，以及已接入設(shè)備安全管理：

2.2 物聯(lián)安全準入

????????1）資產(chǎn)監(jiān)管：

??????? 物聯(lián)準入防護裝置主動探測識別，設(shè)備無需終端改造即可精準識別啞終端，包括打卡機、打印機、掃描儀、門禁、攝像頭、車管終端等，通過無代理技術(shù)實現(xiàn)面向泛終端的精準準入及監(jiān)管。同時可遠程識別主流網(wǎng)絡(luò)設(shè)備、打印設(shè)備、安全運維設(shè)備以及視頻監(jiān)控設(shè)備，并通過掃描方式或流量分析方式識別各種操作系統(tǒng)、流量、IP、協(xié)議等IT資產(chǎn)信息。客戶可自定義設(shè)備特征以及手動探測資產(chǎn)、自行配置等從多維度實現(xiàn)接入資產(chǎn)的實時監(jiān)測、顯示與控制。

????????2）安全隔離：

??????? 基于控制系統(tǒng)運行環(huán)境設(shè)計，部署于控制網(wǎng)與信息網(wǎng)之間，采用黑白名單機制、雙重準入機制等技術(shù)手段實現(xiàn)安全隔離，是控制系統(tǒng)的雙向安全保護屏障。物聯(lián)準入防護裝置采用綜合過濾、訪問控制、數(shù)字簽名、應(yīng)用代理、文本檢查技術(shù)實現(xiàn)信息網(wǎng)與控制網(wǎng)的隔離，并保證在網(wǎng)絡(luò)隔離的情況下可信數(shù)據(jù)能夠進出網(wǎng)絡(luò)，非法信息被隔離，以保證控制系統(tǒng)的安全。

????????3）安全通信：

系統(tǒng)自身網(wǎng)絡(luò)傳輸安全設(shè)計：

1. 信息采集接口安全防護。工控網(wǎng)絡(luò)通信協(xié)議類型復(fù)雜，采用工業(yè)控制協(xié)議多維度智能識別技術(shù)，定期掃描工控協(xié)議漏洞，在網(wǎng)絡(luò)安全攻擊形成之前測除工控網(wǎng)絡(luò)的潛在安全風險；對于部分工控產(chǎn)品，若其不具備網(wǎng)絡(luò)數(shù)據(jù)采集條件，安全模塊可以以硬件模塊內(nèi)嵌或外掛終端方式接入，用于完成身份認證、隧道接入、協(xié)議加解密等功能；同時，鑒于工控網(wǎng)絡(luò)環(huán)境對流量信息敏感度極高的特點，在信息采集接口層采用邊緣智分析技術(shù)，初步分析聚合與流量的邊緣檢測，通過前置安全AI分析模型進行邊緣分析,發(fā)現(xiàn)潛在安全問題。
2. 通信網(wǎng)絡(luò)安全保密。系統(tǒng)提供網(wǎng)絡(luò)邊界控制入侵偵測，支持用戶接入鑒權(quán)，能對用戶端、主機端、應(yīng)用端和網(wǎng)絡(luò)端的安全性進行基線評估和準入控制，確保前端“安全入網(wǎng)”。將各子系統(tǒng)各區(qū)域間部署物聯(lián)接入防護裝置，重點解決區(qū)域內(nèi)的隔離和數(shù)據(jù)交換控制。對于部分采用明文通信協(xié)議的業(yè)務(wù)數(shù)據(jù)流，增加縱向加密重置通信業(yè)務(wù)，構(gòu)建安全通信加密信道。
3. 信息安全保密管理。建立工控系統(tǒng)設(shè)備物理接觸權(quán)限等物理安全控制，嚴格控制設(shè)備物理安全；為人員、設(shè)備等網(wǎng)絡(luò)實體提供身份認證、網(wǎng)絡(luò)實名、權(quán)限管理等管理服務(wù)；通過構(gòu)建應(yīng)急預(yù)案庫，提供應(yīng)急任務(wù)的創(chuàng)建、分發(fā)與狀態(tài)監(jiān)控功能；提供工控系統(tǒng)用戶管理、授權(quán)管理、認證管理和綜合審計，能夠?qū)θ娴挠脩艉唾Y源進行管理，減少系統(tǒng)維護工作。

?2.3 物聯(lián)安全管控

????????1）數(shù)據(jù)偵聽：

????????基于鏡像或分光技術(shù)的旁路偵聽方式或通信信道串行方式部署，采用探針采集技術(shù)以及流量還原、文件還原技術(shù)實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)實時監(jiān)測。

旁路偵聽部署是物聯(lián)接入防護裝置部署在網(wǎng)絡(luò)回路外，在網(wǎng)絡(luò)出口處采集網(wǎng)絡(luò)通信數(shù)據(jù)，通過鏡像的方式，先將流量鏡像到物聯(lián)接入防護裝置；而串行方式將物聯(lián)接入防護裝置部署在網(wǎng)絡(luò)回路內(nèi)，進行流經(jīng)本設(shè)備的數(shù)據(jù)流量采集；該裝置進行流量還原，還原出文件，并對文件進行檢測。

通過網(wǎng)絡(luò)流量深度分析實現(xiàn)APT新型網(wǎng)絡(luò)攻擊檢測，自動識別高級威脅攻擊，并可與防火墻、入侵防御、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備聯(lián)動，提升防護高級威脅攻擊的能力。

????????2）安全分析：

????????建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系，實施全網(wǎng)的攻擊檢測和內(nèi)容安全監(jiān)測，輔助指揮人員和安全防護人員對全網(wǎng)安全態(tài)勢進行分析、判斷和處理。面向系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)實施深度監(jiān)測，將安全數(shù)據(jù)匯聚分析及自主學習，對網(wǎng)絡(luò)通信、設(shè)備接入、設(shè)備維修等業(yè)務(wù)操作數(shù)據(jù)實現(xiàn)動態(tài)監(jiān)控和安全可視化展示，對發(fā)現(xiàn)的異常行為和攻擊前兆及時發(fā)出預(yù)警，優(yōu)化相應(yīng)的安全防護策。

????????*威脅檢測

????????入侵植入：網(wǎng)站攻擊、遠程漏洞攻擊、郵件攻擊、掛馬攻擊、惡意代碼；

????????失陷檢測：主機控制、網(wǎng)站控制、黑客工具、DGA域名、隱秘信道、異常通信；

????????*檢測引擎

????????流量檢測：漏洞檢測、木馬檢測、威脅情報檢測、web攻擊檢測、異常行為檢測、隱秘信道檢測、DGA檢測；

??????? 文件檢測：靜態(tài)檢測、沙箱檢測、機器學習檢測、威脅情報；

????????3）安全預(yù)警：

????????統(tǒng)一化終端狀態(tài)展示，通過集中收集進一步整合終端安全狀態(tài)數(shù)據(jù)，分層次、分區(qū)域、從整體到每一終端詳細分析、展示終端安全狀態(tài)，并進行有效展示；具備完善數(shù)據(jù)接口，與多種集控平臺、態(tài)勢感知系統(tǒng)具備無縫對接整合能力。

• 采用時序列表與輸出展示網(wǎng)絡(luò)數(shù)據(jù)包分析信息；
• 采用圖表展示網(wǎng)絡(luò)流量態(tài)勢、重點資產(chǎn)、統(tǒng)計報表；
• 采用事件列表網(wǎng)絡(luò)安全預(yù)警信息，提供搜索、跳轉(zhuǎn)、過濾、排序等功能；
• 基于2D、3D電子地圖標記預(yù)警信息，以及?？匡@示細節(jié)、事務(wù)處置跳轉(zhuǎn)等能力；
• 采用即時消息/郵件等對外數(shù)據(jù)發(fā)布預(yù)警信息；
• 預(yù)警事件依據(jù)業(yè)務(wù)規(guī)則聯(lián)動設(shè)備，顯示聯(lián)動執(zhí)行下控指令及執(zhí)行回執(zhí)。

????????4）安全協(xié)同：

????????安全協(xié)同基于安全嗅探、分析、防護基礎(chǔ)上的進一步增強，通過大數(shù)據(jù)采集技術(shù)、采集并處理網(wǎng)絡(luò)流量、流數(shù)據(jù)，以及網(wǎng)絡(luò)設(shè)備、安全設(shè)備的網(wǎng)絡(luò)安全特性運行記錄的日志信息，通過關(guān)聯(lián)分析技術(shù)提取出安全威脅事件信息，最終在中心服務(wù)統(tǒng)一展現(xiàn)全網(wǎng)的安全態(tài)勢，并自動或手動對安全威脅事件做安全響應(yīng)，形成網(wǎng)絡(luò)安全監(jiān)控的閉環(huán)。

????????安全協(xié)同主要是在物聯(lián)接入防護系統(tǒng)發(fā)現(xiàn)威脅事件后，自身或上層應(yīng)用可聯(lián)動控制器下發(fā)阻斷/隔離策略給相關(guān)執(zhí)行器，完成威脅事件閉環(huán)處理。

????????安全協(xié)同方案：

????????1.快速發(fā)現(xiàn)安全事件，基于強大的流量、日志采集和大數(shù)據(jù)分析技術(shù)，發(fā)現(xiàn)數(shù)據(jù)中心的高級威脅攻擊， 幫助客戶實時快速發(fā)現(xiàn)網(wǎng)絡(luò)中的安全威脅事件。

????????2.快速進行安全閉環(huán)，通過和數(shù)據(jù)中心的網(wǎng)絡(luò)控制器、網(wǎng)絡(luò)設(shè)備，安全控制器、安全設(shè)備的快速聯(lián)動，大大提高安全響應(yīng)速度和效率。并可以進行手動或自動的安全策略聯(lián)動，對安全威脅進行處置，防止和降低其對網(wǎng)絡(luò)和業(yè)務(wù)的影響。

??????? 2.4 核心功能設(shè)計

????????終端發(fā)現(xiàn)：可通過主動探測和流量學習兩種方式對物聯(lián)網(wǎng)終端進行學習，梳理在網(wǎng)設(shè)備列表；最好支持無改造實現(xiàn)準入，通過無代理技術(shù)實現(xiàn)面向泛終端的精準準入控制。

??????? 多重準入識別：提供終端唯一身份標識為準入控制等提供依據(jù)，提供準入終端接入控制白名單，阻斷非業(yè)務(wù)終端訪問

????????行為基線建立：可學習終端日常業(yè)務(wù)行為，并根據(jù)數(shù)據(jù)內(nèi)容自動化生成每個終端的合法行為基線，作為判斷終端非法行為的基線參考模型

????????行為控制：根據(jù)行為基線生成行為管控策略，并根據(jù)策略規(guī)范終端行為，達到屏蔽終端異常動作、指令、行為等訪問的目的，有效防止被感染終端實施違法操作。

?????????深度數(shù)據(jù)解析：支持通過自然化語言對終端傳輸數(shù)據(jù)進行bit級安全解析，可自動或手動生成過濾策略

????????集中監(jiān)控展示：提供終端安全狀態(tài)整實時監(jiān)控、展示管理平臺。針對物聯(lián)網(wǎng)終端，支持實時狀態(tài)展示、分區(qū)展示、單機狀態(tài)展示、安全接入統(tǒng)計、非安全事件報警等；針對物聯(lián)網(wǎng)接入系統(tǒng)集中管理，提供統(tǒng)一升級、統(tǒng)一日志存儲、統(tǒng)一配置、遠程管理等。?

????????網(wǎng)絡(luò)適應(yīng)性：支持NAT、PAT、路由功能、VLAN（trunk對接）、鏡像流量接入等。

?????? 純旁路管控：設(shè)備支持物理、邏輯上的雙重純旁路部署方式，并且在在純旁路部署方式下，仍然可實現(xiàn)對終端設(shè)備的指紋識別和準入管控。

?三、物聯(lián)網(wǎng)準入技術(shù)應(yīng)用場景

??????? 物聯(lián)網(wǎng)準入產(chǎn)品有別于物聯(lián)網(wǎng)關(guān)、智能網(wǎng)關(guān)、工業(yè)網(wǎng)關(guān)、安全隔離裝置等產(chǎn)品，在于其著重在于物聯(lián)網(wǎng)前端設(shè)備的安全問題，不參與涉及具體業(yè)務(wù)應(yīng)用的如規(guī)約解析、邊緣計算等，而是確保物聯(lián)網(wǎng)各類終端、智能設(shè)備的安全，防止不法分子通過掃描網(wǎng)絡(luò)尋找物聯(lián)網(wǎng)終端的漏洞，然后對其進行攻擊，惡意控制、竊取和篡改數(shù)據(jù)等，或者通過物聯(lián)網(wǎng)終端的漏洞植入惡意軟件，一旦一端被攻破那么就會形成“連鎖”反應(yīng)，造成物聯(lián)網(wǎng)產(chǎn)業(yè)鏈的用戶個人隱私數(shù)據(jù)泄露。這才是該類產(chǎn)品的主要應(yīng)用要求。

????????據(jù)中國信通院發(fā)布的《物聯(lián)網(wǎng)終端安全白皮書（2019）》，到2025年，物聯(lián)網(wǎng)終端應(yīng)用將增長4.7倍，年增長率達21%，數(shù)值有望突破19億。目前，由于物聯(lián)網(wǎng)終端技術(shù)標準不統(tǒng)一、不規(guī)范，種類五花八門，形態(tài)各異，造成行業(yè)終端設(shè)計處于各自為政的階段，用戶使用很難兼容，并且絕大多數(shù)的物聯(lián)前端設(shè)備都沒有配套相應(yīng)的安全監(jiān)管措施?？墒?，物聯(lián)網(wǎng)使用終端卻是無人值守，如果缺乏相應(yīng)的技術(shù)管理，那么會造成終端無法定位、問題處理不及時。這些弱點就會被非法攻擊者利用，造成數(shù)據(jù)泄漏，給用戶和商家?guī)斫?jīng)濟損失。尤其是那些軍政企主導(dǎo)物聯(lián)網(wǎng)系統(tǒng)，其數(shù)據(jù)價值重大，更需要“以端促網(wǎng)”，構(gòu)建物聯(lián)網(wǎng)安全生態(tài)，從終端、網(wǎng)絡(luò)、平臺、應(yīng)用等功能提升物聯(lián)網(wǎng)鏈的安全能力。文章來源地址http://www.zghlxwxcb.cn/news/detail-596570.html

到了這里，關(guān)于物聯(lián)網(wǎng)邊緣-物聯(lián)網(wǎng)準入或接入安全防護產(chǎn)品及解決方案的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！