解决IoT场景下网络安全的最后一公里威胁

引言

随着近些年物联网在制造、安防、交通、电力、物流、医疗、环保、农业、能源等关键领域的广泛应用，物联网网络的感知层涉及到大量的传感器等哑终端设备，并且这些设备的物理分布非常广，也意味着安全问题更加难以监管，同时也暴露给攻击者更多攻击面。从国内“数百个非法气象探测站向境外传输数据”事件已经显现，物联网安全问题已严重威胁到国家重要基础行业及社会关键服务领域。

物联网脆弱性分析

物联网应用特点是通过大量的感知设备对业务进行数据采集后由感知层终端设备或数据归集设备汇总后进行上传，最终由云端平台通过数据汇集、分析实现业务的应用支撑，同时云端平台对外提供管理接口与移动APP等实现操作交互。

IOT感知层

物联网的感知层终端包括传感器、执行器、控制器和其他设备，这些终端由于设备的默认账号密码未更改，或者弱口令，或者存在已知的安全漏洞，容易被攻击者控制并用于发起攻击或传播恶意软件、病毒、恶意脚本等恶意进程。另外，物联网终端设备主要注重业务数据采集、传输，未关注私接问题，易连接到未受信任的设备或网络，可能会导致数据泄露、未经授权的访问或黑客入侵。同时，物联网终端设备可能非法地与外部网络进行通信，例如在未授权的情况下与恶意服务器建立连接或传输数据。这种违规外联可能会导致数据泄露、远程控制或其他安全威胁。

IOT网络层

物联网网络层的安全问题主要是传统安全问题，目前的网络安全体系虽已成熟，但仍存在许多的攻击漏洞。在终端设备接入网络时，可能面临私接、或伪造非法接入等问题，同时可能会面对内部系统的横向攻击、中间人攻击等。另外，由于网络层承载着数据的传输，数据泄露的可能性较大，一旦数据被窃取，攻击者就可以轻松地了解业务模型并进一步实施更高级的攻击。

IOT应用层

物联网的应用层包括运用数据处理技术进行的业务逻辑、组织组成和应用程序实现。物联网应用层除了面临基础的弱口令、系统漏洞等威胁，其应用程序也可存在SQL注入、数据窃取、DDOS攻击等风险。

总的来说，物联网在感知层、网络层和应用层等方面都存在着许多脆弱性，需要针对性地采取相应的安全措施来加强其安全性。

图物联网脆弱性分析

物联网安全痛点分析

IOT终端接入安全

物联网终端设备通常使用弱密码、默认账户等不安全的凭证，缺乏必要的身份验证和访问控制机制，容易被未经授权的第三方访问和控制，使得攻击者可以轻易查找到他们，并使用它们来发起攻击。物联网终端设备也面临着非法连接的问题，攻击者可以通过未经授权的方式将设备连接到网络上，非法连接可以极大地威胁网络的安全性，甚至危及整个企业的安全。另外，物联网终端设备存在缺乏安全更新和补丁、采用弱密码、使用不安全的通信通道等基本安全问题，攻击者可以轻松入侵物联网终端设备。

IOT终端攻击防护

攻击者可以通过公网进行网络扫描，使用各种攻击手段来入侵设备，例如DDoS攻击、中间人攻击、畸形报文攻击或设备漏洞利用，在工控应用场景下还存在工业控制指令的恶意下发。

通信链路安全

物联网终端设备数量多，难管理，通信行为不可控，可能面临未授权的访问、社交工程攻击、DNS欺骗等威胁，攻击者可获取机密信息或者实施攻击行为。另外，物联网场景下终端设备维护困难，通信链路若发生故障维修时间长、成本高，通信链路的中断或延迟可能导致设备无法正常工作，严重影响物联网的可用性和效率。

数据传输安全

物联网应用场景下，业务数据在公网上明文传输，存在数据泄露的风险。公网传输数据，在公有网络环境中难以确保数据安全，也存在数据篡改等风险。

图物联网安全痛点

产品定位对比分析

物联网终端数据的上传，目前主要通过DTU/GPRS或传统物联网网关,DTU/GPRS不做数据采集、不支持工业协议的深度解析，业务数据透明传输，面对远端控制场景缺乏防护能力。传统物联网网关只做数据采集、数据转发上传，很少全面的考虑业务安全，缺乏安全防护能力。

传统防火墙应用与物联网终端设备前端，大多数传统防火墙不支持物联网连接（4G物联网卡或WLAN接口），同时由于不具备工业特性也无法适应工业现场的应用。

表物联网安全产品对比分析

核心需求分析

物联网场景应用在网络层和应用层的网络安全相对成熟，感知层因设备类型碎片化、部署泛在化和网络异构化等典型特点，需要注重物联网边缘侧的安全保障，从感知层进行安全防护，通过链路冗余、安全接入、访问控制、攻击防护、虚拟专网、加密传输、指令防护、地址隐藏和统一管理等多种安全防护手段，解决IOT网络安全的“最后一公里”威胁。

图物联网核心需求

建设思路

物联网终端安全接入的建设思路主要结合场景应用从无线通信、可靠传输、虚拟专网、接入访问控制、数据加密、攻击防护等方面进行安全防护。

无线通信

支持通过4G方式接入运营商网络，解决有线网络覆盖面不足的问题。

可靠传输

物联网场景下的loT设备，往往部署在无人场站，对通信可靠性要求高，需要支持有线和无线互为热备的数据传输能力。

虚拟专网

在公有网络上组建私有的局域专网，解决网络环境不可信不可靠的问题。

接入访问控制

对分布式网络边缘节点处的接入设备做接入控制和访问控制。

数据加密

通过加密隧道对数据通道做加密有效防止控制指令被篡改和业务数据泄露。

攻击防护

针对各类网络攻击行为，如泛洪攻击、扫描探测、非法指令传输做检查和阻断。

图物联网“最后一公里”安全建设思路

建设方案

图物联网“最后一公里”安全建设方案

解决IOT应用场景网络安全的“最后一公里”威胁

通过物联网安全接入网关对感知层终端设备进行安全防护，利用链路冗余、安全接入、访问控制、攻击防护、虚拟专网、加密传输、指令防护、地址隐藏等多种安全防护手段，保障现场侧的接入安全、设备自身安全和数据传输安全。

站好监控中心数据接收岗，保障互联网边界安全

通过工业互联防火墙对接分布式各业务单元节点上的安全接入设备，完成数据接收链路、保障数据传输的安全性；并利用工业互联防火墙的安全防护功能保障企业工业互联网边界安全。

统一监管、集中决策、分区运营

通过统一安全管理平台对分布式各业务单元节点上的安全接入设备集中管控，实现安全接入设备的策略统一管理、资产管理、安全监测、报警分区推送，根据分布式各业务单元的区域划分进行分区运营，收集全网的安全事件，统一分析挖掘更深层次的脆弱性和威胁，提升了企业安全运维的效率。

场景功能落地方案

1.物联网安全接入网关：解决IOT应用场景网络安全的“最后一公里”威胁

图物联网安全-物联网安全接入网关能力

无线数据传输

威努特物联网安全接入网关不仅具备有线数据传输能力，还具备4G无线数据传输能力。通过接入运营商4G网络，产品能够在复杂的大型分布式网络中正常进行数据传输，解决有线网络覆盖面有限的问题。

终端设备接入管控

自学习建立物联网终端设备白名单，同时支持手动编辑，以白名单为基线进行终端设备接入的检测，一旦有未知设备接入网络即产生相应的告警以提醒管理员及时处理。

访问控制策略

物联网安全接入网关采用状态检测的机制实现相应的安全控制。接入网关采用状态检测包过滤的技术，是传统包过滤上的功能扩展。在网络层部署状态检测检查引擎，截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。

工业协议白名单

自动学习网络中出现的合法工业控制指令，形成工业协议白名单，支持工业协议深度解析，有效防止网络中传输非法的工业控制指令。

安全通信

建立虚拟专用数据通信网络，为用户远程访问、外网和内网之间的通信提供了安全而稳定的虚拟专用隧道，将分散在公网上的各节点连接起来，通过加密数据流实现安全数据传输，构建点到点或点到多点的安全网络。

异常攻击和扫描防护

畸形报文防护支持检测Land攻击、Teardrop攻击、Ping of Death攻击，异常流量防护支持检测SYN Flood攻击、Ping Flood攻击、UDP Flood攻击等典型DDoS攻击，扫描防护支持TCP、UDP、ICMP异常扫描检测。

接入设备访问控制

通过配置IP/MAC绑定策略，对经过网关的流量进行IP地址和MAC地址匹配校验，当外来设备接入网络时，物联网安全接入网关将拒绝外来设备向上通信，保障场站内接入设备的通信合法性。

地址隐藏

通过NAT（网络地址转换）功能可以将工业物联网网络的某个工段或者工作域以特定IP地址对外发布，既可防止设备的真实IP对外暴露，另外也可以节约地址资源，减少对原有网络的影响。

业务中断告警

分布式网络节点数量较多，且可能处于无人值守状态，安全设备下端连接的业务设备存在网口意外掉落、人为将网口线缆拔出进行现场调试等问题，部署在PLC前端的安全设备，需具备PLC网口状态异常时，及时向调度中心告警的能力，第一时间提醒运维人员定位无人值守场站中的非法操作。

物联网安全接入网关管理

通过统一安全管理平台进行统一配置管理和告警日志收集，所有配置都可以针对具体的某个接入网关。为了方便管理多个具有相同业务的接入网关，系统还引入了分组的概念，可以对同组的设备一次性配置。

2.工业互联防火墙：站好监控中心数据接收岗，保障互联网边界安全

图物联网安全-工业互联防火墙能力

安全通信

威努特工业互联防火墙支持建立虚拟专用数据通信网络，将分散在各节点的物联网安全接入网关连接起来，通过加密数据流实现安全数据传输，构建点到多点的安全网络。可对连接断开等关键设备内容进行告警，快速定位故障点，及时向网络管理提供设备状态，助力运维。

安全防护

威努特工业互联防火墙采用一体化安全策略，可针对入侵防御、病毒查杀、攻击防护等内容进行统一管控，使用方便，维护简单。

工控安全

威努特工业互联防火墙支持主流工控网络协议解析，能全面细致配置指令级访问控制策略。支持智能化机器学习能力，生成策略白名单，实现快速一键式部署。

威努特工业互联防火墙集安全策略、入侵防御、病毒过滤、应用识别、业务可视、安全认证等功能于一体，为物联网场景下企业侧监控中心物联设备的接入提供了一个灵活、高效、全面的网络解决方案。

3.物联网统一安全管理平台：统一监管、集中决策、分区运营

图物联网安全-统一管理能力

物联网统一安全管理平台，可以将分散在各物联网节点的物联网安全接入网关进行集中统一管理，能够对物联网安全接入网关的安全策略统一管理、资产管理、安全监测、报警分区推送，统一管理极大地提升了企业安全运维的效率。

图物联网安全-统一管理能力

物联网统一安全管理平台可对物联网安全接入网关进行安全策略模板配置、安全策略统一下发、安全策略变更可视等安全策略管理，同时提供完善的资产分区管理功能，能够建立资产及分区信息，可结合物联网应用场景进行分区信息建立，方便分区运维。并且可进行资产拓扑展示，并监测物联网安全接入网关在线状态。能够有效检测物联网安全接入网关的通信协议异常、流量异常、连接异常、非法设备接入等安全事件，结合资产的重要程度产生告警，提醒管理员进行安全检查和加固，并可以按区域分组将报警信息通过邮件或短信推送给相应的运维人员。

典型场景化部署（横向滑动）

结语

物联网安全是物联网发展的一个重要组成部分，物联网终端设备数量庞大、安全性参差不齐，面临的安全威胁越来越复杂和严重，应该采取更加有力的措施开展物联网安全建设，在现有主流的网络安全技术上持续性的提升，并切入实际物联网应用场景，构建全面的物联网安全防护体系，提供更加全面的物联网安全保障，更好地促进物联网的健康发展。