物联网边缘-物联网准入或接入安全防护产品及解决方案

一、物联网准入防护技术

        大量的物联网设备接入到物联网络，物联网设备包括非智能终端（也称“哑终端”，一般没有数据处理的能力，只能通过网络上报传感数据，或接受操控数据。例如打印机、视频摄像头、ETC等，该类终端功能单一，从硬件到软件都已经固化，无法进行改造和扩充，智能程度微弱）和智能终端设备（该类终端功能强大，有专用的操作系统，可以调整内部的软件、应用参数设置，或者重新改造来满足不同的应用需求。例如业务一体机、智能平板等），这些改变引发了网络安全新的重大挑战，安全风险存在并不局限于：

（1）物联网终端众多，资产情况难以掌握，存在违规接入的风险，同时缺失运维手段、事件监测通报以及应急处理机制；

（2）物联网终端在户外、分散安装、易被接触到而又没有纳入管理，导致物理攻击、篡改和仿冒；

（3）物联网终端普遍存在弱口令、维护后门、漏洞和大量开放端口等安全风险，容易被恶意代码感染形成僵尸主机，进而构成僵尸网络。

        物联网准入防护系统专门为解决现存于物联网终端安全问题设计的产品，可识别传统PC，哑终端、智能设备等多类型终端指纹，实现终端特征、行为准入控制。

        该类产品介于物联网感知层和网络层之间，具备终端识别、终端认证、准入控制，行为基线建立、行为控制、集中管理等安全能力，能够解决冒用接入、入侵控制、行为异常、海量IP管理等安全问题，全方位协助用户构建安全可控的物联网络终端环境，解决安防终端接入安全问题。

        物联网准入防护产品可以在不进行任何终端改造的前提下，解决3大终端安全问题：

1、终端的梳理和发现，全网发现终端为用户提供真实终端部署现状；

2、终端安全接入管控，解决冒用终端的接入或被操控终端执行非法行为问题；

3、终端安全运营呈现，提供终端状态整体化、逐层化呈现，安全状态一目了然。

        最好在解决用户三大终端安全问题的同时，还能够额外提供非法入侵检查、链路加密传输、深度数据检测等安全能力，全方位协助用户构建安全可控的物联网络终端环境。

 二、技术方案

       2.1 系统组成

        物联网准入防护系统一般由前端准入防护装置和后台处理系统组成，前端物联网准入防护装置部署在各二级网络节点，支持串行、旁路两种部署模式：

        旁路部署，纯旁路（物理、逻辑均非串行）方式部署，对终端进行指纹学习同时实现终端的准入控制。

 串行部署，串行方式部署，提供行为基线学习、非法行为控制、终端指纹学习、接入控制。

         系统主要包含两大部分，前端设备是否准许接入及安全接入，以及已接入设备安全管理：

2.2 物联安全准入

        1）资产监管：

        物联准入防护装置主动探测识别，设备无需终端改造即可精准识别哑终端，包括打卡机、打印机、扫描仪、门禁、摄像头、车管终端等，通过无代理技术实现面向泛终端的精准准入及监管。同时可远程识别主流网络设备、打印设备、安全运维设备以及视频监控设备，并通过扫描方式或流量分析方式识别各种操作系统、流量、IP、协议等IT资产信息。客户可自定义设备特征以及手动探测资产、自行配置等从多维度实现接入资产的实时监测、显示与控制。

        2）安全隔离：

        基于控制系统运行环境设计，部署于控制网与信息网之间，采用黑白名单机制、双重准入机制等技术手段实现安全隔离，是控制系统的双向安全保护屏障。物联准入防护装置采用综合过滤、访问控制、数字签名、应用代理、文本检查技术实现信息网与控制网的隔离，并保证在网络隔离的情况下可信数据能够进出网络，非法信息被隔离，以保证控制系统的安全。

        3）安全通信：

系统自身网络传输安全设计：

1. 信息采集接口安全防护。工控网络通信协议类型复杂，采用工业控制协议多维度智能识别技术，定期扫描工控协议漏洞，在网络安全攻击形成之前测除工控网络的潜在安全风险；对于部分工控产品，若其不具备网络数据采集条件，安全模块可以以硬件模块内嵌或外挂终端方式接入，用于完成身份认证、隧道接入、协议加解密等功能；同时，鉴于工控网络环境对流量信息敏感度极高的特点，在信息采集接口层采用边缘智分析技术，初步分析聚合与流量的边缘检测，通过前置安全AI分析模型进行边缘分析,发现潜在安全问题。
2. 通信网络安全保密。系统提供网络边界控制入侵侦测，支持用户接入鉴权，能对用户端、主机端、应用端和网络端的安全性进行基线评估和准入控制，确保前端“安全入网”。将各子系统各区域间部署物联接入防护装置，重点解决区域内的隔离和数据交换控制。对于部分采用明文通信协议的业务数据流，增加纵向加密重置通信业务，构建安全通信加密信道。
3. 信息安全保密管理。建立工控系统设备物理接触权限等物理安全控制，严格控制设备物理安全；为人员、设备等网络实体提供身份认证、网络实名、权限管理等管理服务；通过构建应急预案库，提供应急任务的创建、分发与状态监控功能；提供工控系统用户管理、授权管理、认证管理和综合审计，能够对全面的用户和资源进行管理，减少系统维护工作。

 2.3 物联安全管控

        1）数据侦听：

        基于镜像或分光技术的旁路侦听方式或通信信道串行方式部署，采用探针采集技术以及流量还原、文件还原技术实现网络数据实时监测。

旁路侦听部署是物联接入防护装置部署在网络回路外，在网络出口处采集网络通信数据，通过镜像的方式，先将流量镜像到物联接入防护装置；而串行方式将物联接入防护装置部署在网络回路内，进行流经本设备的数据流量采集；该装置进行流量还原，还原出文件，并对文件进行检测。

通过网络流量深度分析实现APT新型网络攻击检测，自动识别高级威胁攻击，并可与防火墙、入侵防御、网闸等网络安全设备联动，提升防护高级威胁攻击的能力。

        2）安全分析：

        建立网络安全监测预警体系，实施全网的攻击检测和内容安全监测，辅助指挥人员和安全防护人员对全网安全态势进行分析、判断和处理。面向系统网络数据实施深度监测，将安全数据汇聚分析及自主学习，对网络通信、设备接入、设备维修等业务操作数据实现动态监控和安全可视化展示，对发现的异常行为和攻击前兆及时发出预警，优化相应的安全防护策。

        *威胁检测

        入侵植入：网站攻击、远程漏洞攻击、邮件攻击、挂马攻击、恶意代码；

        失陷检测：主机控制、网站控制、黑客工具、DGA域名、隐秘信道、异常通信；

        *检测引擎

        流量检测：漏洞检测、木马检测、威胁情报检测、web攻击检测、异常行为检测、隐秘信道检测、DGA检测；

        文件检测：静态检测、沙箱检测、机器学习检测、威胁情报；

        3）安全预警：

        统一化终端状态展示，通过集中收集进一步整合终端安全状态数据，分层次、分区域、从整体到每一终端详细分析、展示终端安全状态，并进行有效展示；具备完善数据接口，与多种集控平台、态势感知系统具备无缝对接整合能力。

• 采用时序列表与输出展示网络数据包分析信息；
• 采用图表展示网络流量态势、重点资产、统计报表；
• 采用事件列表网络安全预警信息，提供搜索、跳转、过滤、排序等功能；
• 基于2D、3D电子地图标记预警信息，以及停靠显示细节、事务处置跳转等能力；
• 采用即时消息/邮件等对外数据发布预警信息；
• 预警事件依据业务规则联动设备，显示联动执行下控指令及执行回执。

        4）安全协同：

        安全协同基于安全嗅探、分析、防护基础上的进一步增强，通过大数据采集技术、采集并处理网络流量、流数据，以及网络设备、安全设备的网络安全特性运行记录的日志信息，通过关联分析技术提取出安全威胁事件信息，最终在中心服务统一展现全网的安全态势，并自动或手动对安全威胁事件做安全响应，形成网络安全监控的闭环。

        安全协同主要是在物联接入防护系统发现威胁事件后，自身或上层应用可联动控制器下发阻断/隔离策略给相关执行器，完成威胁事件闭环处理。

        安全协同方案：

        1.快速发现安全事件，基于强大的流量、日志采集和大数据分析技术，发现数据中心的高级威胁攻击， 帮助客户实时快速发现网络中的安全威胁事件。

        2.快速进行安全闭环，通过和数据中心的网络控制器、网络设备，安全控制器、安全设备的快速联动，大大提高安全响应速度和效率。并可以进行手动或自动的安全策略联动，对安全威胁进行处置，防止和降低其对网络和业务的影响。

        2.4 核心功能设计

        终端发现：可通过主动探测和流量学习两种方式对物联网终端进行学习，梳理在网设备列表；最好支持无改造实现准入，通过无代理技术实现面向泛终端的精准准入控制。

        多重准入识别：提供终端唯一身份标识为准入控制等提供依据，提供准入终端接入控制白名单，阻断非业务终端访问

        行为基线建立：可学习终端日常业务行为，并根据数据内容自动化生成每个终端的合法行为基线，作为判断终端非法行为的基线参考模型

        行为控制：根据行为基线生成行为管控策略，并根据策略规范终端行为，达到屏蔽终端异常动作、指令、行为等访问的目的，有效防止被感染终端实施违法操作。

         深度数据解析：支持通过自然化语言对终端传输数据进行bit级安全解析，可自动或手动生成过滤策略

        集中监控展示：提供终端安全状态整实时监控、展示管理平台。针对物联网终端，支持实时状态展示、分区展示、单机状态展示、安全接入统计、非安全事件报警等；针对物联网接入系统集中管理，提供统一升级、统一日志存储、统一配置、远程管理等。 

        网络适应性：支持NAT、PAT、路由功能、VLAN（trunk对接）、镜像流量接入等。

       纯旁路管控：设备支持物理、逻辑上的双重纯旁路部署方式，并且在在纯旁路部署方式下，仍然可实现对终端设备的指纹识别和准入管控。

 三、物联网准入技术应用场景

        物联网准入产品有别于物联网关、智能网关、工业网关、安全隔离装置等产品，在于其着重在于物联网前端设备的安全问题，不参与涉及具体业务应用的如规约解析、边缘计算等，而是确保物联网各类终端、智能设备的安全，防止不法分子通过扫描网络寻找物联网终端的漏洞，然后对其进行攻击，恶意控制、窃取和篡改数据等，或者通过物联网终端的漏洞植入恶意软件，一旦一端被攻破那么就会形成“连锁”反应，造成物联网产业链的用户个人隐私数据泄露。这才是该类产品的主要应用要求。

        据中国信通院发布的《物联网终端安全白皮书（2019）》，到2025年，物联网终端应用将增长4.7倍，年增长率达21%，数值有望突破19亿。目前，由于物联网终端技术标准不统一、不规范，种类五花八门，形态各异，造成行业终端设计处于各自为政的阶段，用户使用很难兼容，并且绝大多数的物联前端设备都没有配套相应的安全监管措施。可是，物联网使用终端却是无人值守，如果缺乏相应的技术管理，那么会造成终端无法定位、问题处理不及时。这些弱点就会被非法攻击者利用，造成数据泄漏，给用户和商家带来经济损失。尤其是那些军政企主导物联网系统，其数据价值重大，更需要“以端促网”，构建物联网安全生态，从终端、网络、平台、应用等功能提升物联网链的安全能力。