等保2.0时代的物联网安全建设

发布时间 2019-05-23

随着平安城市、智慧城市等项目的开展,物联网设备在给生活带来便利的同时,也不断出现物联网安全事件,如视频泄露、ATM机遭黑客窃取、消防设备遭受数据重放攻击等,这些安全事件撞击着社会大众的敏感神经,为社会的稳定带来极大的安全隐患。

2019年5月13日,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》正式发布,其中对物联网安全作出了详细的安全要求,那如何确保等保2.0中的物联网扩展要求落地呢?


安全措施要前置
IOT设备联网前就具备安全感知能力


物联网感知层是物联网信息获取的重要来源,终端的威胁或漏洞将会对整个物联网系统安全产生巨大的威胁,因此要保护物联网安全,必须从感知层存在的信息安全威胁入手,等保2.0的物联网扩展要求中也对感知节点做了明确要求。

物联网感知层信息安全的特点:

1)感知层节点设备缺乏相应保护措施,一旦入侵者入侵成功,可对感知层信息进行篡改;
2)入侵者可利用非法手段窃取感知层信息,或进一步利用身份伪装传递错误信息,破坏信息传输安全;
3)IOT设备大多处于无人保护状态,远程配置很容易受到不法分子的利用。

以上特点都会使物联网的可靠性受到威胁。

为保证物联网信息安全,需要将物联网安全措施前置,使IOT终端设备具备准入管控、数据采集监测及防护、网络行为监测及防护、恶意入侵检测等自安全能力。
 



感知层安全防护
VenusHalo物联网安全网关提供解决方案


针对安全措施要前置,VenusHalo物联网安全网关通过在感知层介入,在IOT终端设备处设置安全防护点,通过对设备准入及管控、设备后台服务的监测与管控、数据采集监测、网络行为监测与管控,实现设备合法才能入网,入网后网络行为必须合规,若发生威胁可追溯的全方位安全防护。

同时,VenusHalo物联网安全后台管理系统可以实现安全事件及终端设备的可视化管理,增强安全防护的实时性和管理强度。



VenusHalo满足等保2.0
物联网网络安全要求


VenusHalo物联网安全网关解决方案在从感知层解决物联网安全问题的同时,对等保2.0中相关要求保持高度关注,并提出应对解决方案。

1、等保2.0要求——安全区域边界


接入控制:
应保证只有授权的感知节点可以接入

入侵防范:
a)应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击;
b)应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为

VenusHalo解决方案


接入控制:

通过对设备提取安全标识,对设备进行准入控制,能够及时发现非法设备接入,并可远程控制是否允许执行网络通信。

入侵防范:
a)通过采集流量数据,支持对网络行为进行监控,发现异常网络行为,如访问未知IP、网址或异常业务流等现象,自动发出报警或报警并拦截;
b)支持终端网络隔离保护功能,基于网络底层,对内网直接的服务访问进行隔离阻断。
 

2. 等保2.0要求——安全计算环境


感知节点设备安全:
a)应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更;
b)应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力;
c)应具有对其连接的其他感知节点设备(包括读卡器)进行身份标识和鉴别的能力。

网关节点设备安全:
a)应具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别的能力;
b)应具备过滤非法节点和伪造节点所发送的数据的能力;
c)授权用户应能够在设备使用过程中对关键密钥进行在线更新;
d)授权用户应能够在设备使用过程中对关键配置参数进行在线更新。

抗数据重放:
a)应能够鉴别数据的新鲜行,避免历史数据的重放攻击;
b)应能够鉴别历史数据的非法修改,避免数据的修改重放攻击。

数据融合处理:
应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。
 

VenusHalo解决方案


感知节点设备安全:
通过对设备提取安全标识,对设备进行准入控制,非法设备未经允许不可入网。

网关节点设备安全:
通过登录鉴权模块,针对所有外部访问进行认证,确保仅有已授权的用户可以正常访问IOT设备。

抗数据重放:
通过对设备的网络行为进行机器学习,对网络出入流量进行监控,发现异常网络行为进行告警并拦截,实现抗数据重放能力。

数据融合处理:
通过封装数据接口,实现对不同平台数据的融合处理,保障不同种类数据可在同一平台被使用。
 

3.等保2.0要求——安全运维管理


感知节点管理:
a)应指定人员定期巡视感知节点设备、网关节点设备的部署环境,对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护;
b)应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等作出明确规定,并进行全程管理。
 

VenusHalo解决方案


感知节点管理:
支持IOT设备管理,如新设备发现,设备联网管理、设备信息管理等。



VenusHalo物联网安全网关在充分满足等保2.0物联网安全要求的同时,已与众多IOT设备厂商建立了深度合作,经与这些厂商业务结合分析,发现IOT设备潜在的安全问题包括非法设备入侵、业务数据重放、资产替换、僵尸程序、设备后台配置篡改、弱口令、端口暴露、DNS劫持等潜在威胁, 并已针对上述潜在威胁提供了相应解决方案。

VenusHalo将继续通过携手IOT设备厂商以工程化的模式建立生态合作,协助IOT设备引入自安全措施,引领行业新概念。