产品知识分享 | 物联网安全准入 - 新鲜讯息

点击蓝字

关注我们

文字 | FJH

视觉 | 吨吨

小编有话说

各位读者朋友，今天专栏为——产品知识分享。小编会经常分享一些大家常见、常用或者是新出现的产品技术解读哦~

今日的主题是物联网安全准入产品解读。

一、

产品背景

大量的物联网设备接入到物联网络，物联网设备包括非智能终端(也称“哑终端”，一般没有数据处理的能力，只能通过网络上报传感数据，或接受操控数据。例如打印机、视频摄像头、ETC等，该类终端功能单一，从硬件到软件都已经固化，无法进行改造和扩充，智能程度微弱)和智能终端设备(该类终端功能强大，有专用的操作系统，可以调整内部的软件、应用参数设置，或者重新改造来满足不同的应用需求。例如业务一体机、智能平板等)，这些改变引发了网络安全新的重大挑战，安全风险存在并不局限于:

(1)物联网终端众多，资产情况难以掌握，存在违规接入的风险，同时缺失运维手段、事件监测通报以及应急处理机制;

(2)物联网终端在户外、分散安装、易被接触到而又没有纳入管理，导致物理攻击、篡改和仿冒;

(3)物联网终端普遍存在弱口令、维护后门、漏洞和大量开放端口等安全风险，容易被恶意代码感染形成僵尸主机，进而构成僵尸网络。

物联网准入防护系统专门为解决现存于物联网终端安全问题设计的产品，可识别传统PC，哑终端、智能设备等多类型终端指纹，实现终端特征、行为准入控制。

该类产品介于物联网感知层和网络层之间，具备终端识别、终端认证、准入控制，行为基线建立、行为控制、集中管理等安全能力，能够解决冒用接入、入侵控制、行为异常、海量IP管理等安全问题，全方位协助用户构建安全可控的物联网络终端环境，解决安防终端接入安全问题。

物联网准入防护产品可以在不进行任何终端改造的前提下，解决3大终端安全问题

1、终端的梳理和发现，全网发现终端为用户提供真实终端部署现状;

2、终端安全接入管控，解决冒用终端的接入或被操控终端执行非法行为问题;

3、终端安全运营呈现，提供终端状态整体化、逐层化呈现，安全状态一目了然;

在解决用户三大终端安全问题的同时，还能够额外提供非法入侵检査、深度数据检测等安全能力，全方位协助用户构建安全可控的物联网络终端环境。

二、

物联网安全准入技术体系解读

1. 架构组成

物联网准入防护系统一般由前端准入防护装置和后台处理系统组成，前端物联网准入防护装置部署在各二级网络节点，支持串行、旁路两种部署模式：

旁路部署：纯旁路（物理、逻辑均非串行）方式部署，对终端进行指纹学习同时实现终端的准入控制。

串行部署：串行方式部署，提供行为基线学习、非法行为控制、终端指纹学习、接入控制。

三、

应用成效

物联网准入产品有别于物联网关、智能网关、工业网关、安全隔离装置等产品，在于其着重在于物联网前端设备的安全问题，不参与涉及具体业务应用的如规约解析、边缘计算等，而是确保物联网各类终端、智能设备的安全，防止不法分子通过扫描网络寻找物联网终端的漏洞，然后对其进行攻击，恶意控制、窃取和篡改数据等，或者通过物联网终端的漏洞植入恶意软件，一旦一端被攻破那么就会形成“连锁”反应，造成物联网产业链的用户个人隐私数据泄露。这才是该类产品的主要应用要求。

据中国信通院发布的《物联网终端安全白皮书（2019）》，到2025年，物联网终端应用将增长4.7倍，年增长率达21%，数值有望突破19亿。目前，由于物联网终端技术标准不统一、不规范，种类五花八门，形态各异，造成行业终端设计处于各自为政的阶段，用户使用很难兼容，并且绝大多数的物联前端设备都没有配套相应的安全监管措施。可是，物联网使用终端却是无人值守，如果缺乏相应的技术管理，那么会造成终端无法定位、问题处理不及时。这些弱点就会被非法攻击者利用，造成数据泄漏，给用户和商家带来经济损失。尤其是那些军政企主导物联网系统，其数据价值重大，更需要“以端促网”，构建物联网安全生态，从终端、网络、平台、应用等功能提升物联网链的安全能力。

END