物联网安全解决方案
物联网安全需求分析
物联网(IOT)技术在智能电网、智能交通系统、智能安全、智能家居等生活应用系统被广泛使用,但是如果不能保证用户隐私安全,会直接影响物联网整体信息安全。随着物联网的广泛应用和提供信息的范围更广,信息暴露的风险会进一步增加。
我们来介绍物联网安全体系结构和层次结构,并了解各层次的安全需求。
物联网体系架构
物联网作为互联网的延伸,将原有的用户端延伸和扩展到任何物品之上,从而实现了用户到物品,物品到物品之间的信息交换和通信。
物联网的典型系统架构如下图所示,主要划分为感知层、网络层、应用层:
一、感知层:主要完成物联网最后一段覆盖的信息采集的工作,通过各类传感器(温湿度、水浸、气体、光照、声音、视频等各种传感器)、RFID标签等实现环境感知,工业控制;感知层采用的技术方案目前比较灵活多样,一般包括Lora,NB-IoT,WIFI,485等通信技术,这里的图示是典型的广域低功耗NB-IoT网络的拓扑图。
二、网络层:主要通过各种通讯网络完成数据的回传工作,使用例如3G/4G网络、有线等通讯技术,通过加密隧道等实现数据的加密传输。
三、应用层:把感知层的得到的信息进行处理,并在此基础上实现具体的应用控制,如智能化识别、定位、跟踪、监控和管理等。
感知层安全需求
1.设备标识:接入的物联网终端设备、感知层实体应具备可用于识别的物联网系统中的唯一身份标识,该标识应通过专有的密钥管理平台分发,为每个设备生成唯一密钥,以标识私钥代表设备身份,防止设备伪造。
2.准入控制:具备通过第三方独立的准入控制系统,对接入的感知层终端进行身份审核,杜绝口令的网络传输,防止身份伪造。
3.网络控制:能够对承载网络进行实时监控,对其访问的网络资源进行控制与审查,具体包括:
◈基于IP地址、网段的资源访问控制;
◈ 基于TCP、DUP端口的资源访问控制;
◈基于终端/终端组的资源访问控制;
4.入侵防护:应具备对感知层接入终端,进行入侵防护监控和处置的能力,并满足以下要求;
◈拒绝和丢弃不可鉴别的感知层终端发来的数据;
◈支持对恶意攻击和异常行为的检测,并具备入侵报警能力;
网络层安全需求
最新等级保护要求在物联网感知层、网络传输层、处理应用层有相应安全防护措施,实现数据源认证,异构网络安全接入,应用和数据安全等。针对等级保护要求,需要部署基于等级保护三级要求的相应传统安全设备,如:防火墙,入侵防御,防病毒网关,web应用防火墙,抗DDos设备等安全产品。
应用层安全需求
当前物联网应用平台主要的安全需求如下:
(1)需要可靠的认证机制和秘钥管理方案,包括PKI和对称秘钥的有机结合机制;
(2)需要具备高强度数据机密性和完整性服务能力;
(3)需要具有入侵检测和病毒检测能力;
(4)需要具有访问控制和灾难恢复机制;
(5)需要建立保密日志跟踪和行为分析以及恶意行为模型;
(6)需要有效的数据库访问控制和内容筛选机制;
(7)需要有不同场景的隐私信息保护技术;
(8)需要有效的计算机取证技术;
(9)需要具有安全的计算机数据销毁技术;
物联网安全解决方案
背景:
随着互联网、大数据、人工智能云计算、物联网、5G等新需求和新技术的推动下,相关支持鼓励政策不断出台,物联网迎来了前所未有的发展高峰期。随着物联网设备的急剧增长,物联网安全威胁也受到非常大的威胁。
物联网安全-核心和难点
感知层终端设备和数据采集网关安全保障,物联网安全最后一公里,从最前端的物联网设备上阻断网络威胁攻击。
物联网安全-感知层的安全风险
边界风险大:
灯杆部署分散,感知层终端无人监管,边界安全风险极大,对边界安全无有效的安全解决方案,难以形成整体的安全防护体系;
设备多存在漏洞多,易被攻击:终端设备品类繁多且存在大量漏洞,一旦被攻击后不能及时发现,造成持续性大范围攻击,或被僵尸网络利用,难以快速发现及阻断;
攻击门槛低:
漏洞多存在时间久,且修复难度大成本高,已经形成系统化黑客攻击教程,导致攻击成本极低且成功率高
业务与安全发展不平衡:
物联网设备近年来发展迅猛如雨后春笋,生产终端生产企业遍地开花,但安全一直没有被重视。
解决方案-客户期待的解决方案
设备自动发现识别,资产家底清晰,灵活快速定位;
资产准入可控,仿冒实时监测,边缘威胁无处遁形;
网络行为可查可控,异常、威胁及时发现;
持续性监测内网设备状况,全网风险可视化。
解决方案-满足等保2.0
覆盖等保2.0在“物联网安全扩展要求”中提到的“安全区域边界”、“安全计算环境”及“安全运维管理”中3级安全规范要求
●接入控制、仿冒检测实现终端入侵防范,保障区域边界安全
●深入感知层,保障感知节点设备安全、网关节点设备安全
●机器学习搭建网络行为合规基线,实现异常行为发现,保障计算环境安全
●资产清点,权限验证,深入每个环境的安全运维管理
解决方案-系统架构
系统架构包括前端探针、AI中心和管理平台。在前端采用嵌入式SDK、硬件网关和流量检测引擎对网络数据进行采集,将数据样本反馈给AI中心,基于AI建立安全模型,包括网络行为基线、白名单模型建立,配合AI/ML辅助分析进行智能决策。管理平台对前端探针进行配置管理,安全威胁告警、资产测绘等安全可视化显示。从而对网络资产可见、网络流量行为可知以及网络威胁告警可视化。
解决方案-安全能力
免责声明
所载内容来源于互联网、微信公众号等公开渠道,仅供参考、交流学习之目的。转载的稿件版权归原作者或机构所有。如侵权,请联系小编会在第一时间删除。多谢!
向本文原创者致以崇高敬意!!!
在线咨询
在线咨询
0371-63319761