在以往，電力的端點可以說是家家戶戶的電表，運維靠的是基層員工走街串巷，查電表、修線路、抓偷電。電力物聯網的出現讓老一輩抄表員不再跑斷腿。隨著新能源汽車的興起，時代要求電力系統(tǒng)做新能源汽車的“加油站”，即充電站。在電網概念中，充電站仍然以電表為端點。但在物聯網概念中，充電站是一個子網，這個子網中至少有智能電表、充電樁、攝像頭。傳統(tǒng)的端點從一個電表變成了幾十上百個IoT設備。要保障這一物聯網的健康運行，勢必要解決合法設備便捷接入網絡，防止入侵及IoT設備風險評估等問題，以保護物聯網的安全。因此，終端準入與訪問控制對于電力物聯網而言十分必要。本期發(fā)布牛品推薦——上海寧盾：物聯網（IoT）接入安全場景解決方案。

　　#牛品推薦第二十四期 #

　　01

　　標簽

　　終端合規(guī)檢測，網絡準入，訪問控制，資產管理，可視化拓撲，風險告警

　　02

　　用戶痛點

　　1、如何讓合法設備便捷地接入網絡

　　新的IoT管理必須為業(yè)務高速發(fā)展提供支撐。傳統(tǒng)準入方法是在IoT設備上配置802.1x認證，或者配置MAC地址白名單。問題在于，一是多數新型啞終端無法支持802.1x認證，抬高了設備門檻，讓采購喪失靈活性；二是傳統(tǒng)方法基于靜態(tài)信息，新業(yè)務的快速開展一定存在大量的設備增加和變更，甚至設備品牌的變化，基于靜態(tài)信息的準入讓運維效率變得低下。

　　2、如何探測植入或入侵

　　電力物聯網是一個TCP/IP網，基于防火墻做了網絡邊界防護。充電站有許多IoT設備暴露在建筑物外部，比如充電樁和攝像頭，這些設備在網絡邊界內部卻在物理邊界外部，不法人員很容易通過室外的物理端口接入，對網絡邊界內部發(fā)起攻擊。

　　3、如何動態(tài)評估IoT設備風險，做到有備無患

　　IoT設備的一大特點是固件不易升級，安裝運維特點是默認密碼不修改，為長期運維留下隱患。隨著時間的推移，不斷會有設備爆出漏洞。對IoT設備進行風險評估是一個比較新的領域，除了對單一設備動態(tài)評估，還需要對網絡區(qū)域安全風險做整體評估、排名，對高風險設備做告警，甚至隔離網絡。

　　03

　　解決方案

　　解決上述問題，首先要做到“看得到”，從而實現“管得了”。

　　首先，要探測到網絡中所有終端，形成整體視圖，能夠識別出“合法設備”和“非法設備”。這需要探測終端的設備類型、MAC地址、地理位置等，并且與本地資產庫或者聯動外部資產庫匹配終端，能夠匹配的為合法終端，匹配不成功的標記為非法終端。

　　其次，持續(xù)檢測終端指紋，一旦終端指紋變化，意味著其MAC地址可能被偽造，需要標記為安全事件，并自動聯動網絡設備限制其接入。

　　除此以外，需要聯動第三方IoT漏洞檢測系統(tǒng)，收集和統(tǒng)計終端威脅，形成風險評估列表，讓風險設備也能被看到。

　　寧盾解決方案中完整的系統(tǒng)組成包括寧盾探針、寧盾IoT中控、IoT漏洞探測（可選）、客戶自運維的大數據分析平臺（可選）：

　　寧盾探針：充當網絡“攝像頭”和策略執(zhí)行器，通過流量鏡像發(fā)現、探測終端信息。探針在IoT設備流量比較小時單臺容量很大，每個地市部署1至2臺即可；

　　寧盾IoT中控：它是泛終端資產及風險管理中心，它提供集中資產視圖（聯動）、集中終端視圖以及終端風險視圖；

　　IoT漏洞探測系統(tǒng)：在寧盾探針發(fā)現終端設備后，對其定期掃描，豐富終端風險視圖，使寧盾系統(tǒng)可根據風險評級自動告警或者限制網絡接入；

　　大數據分析平臺：客戶自有平臺，寧盾有可將終端設備的各種信息和動態(tài)發(fā)送給第三方。

　　資產定義或聯動：

　　終端集中可視化：

　　終端風險視圖（聯動OpenVAS效果）：

　　04

　　方案特點

　　該方案放棄邊界防護思路，采用基于無邊界的“零信任”機制解決終端問題，在執(zhí)行層面，通過全程“可視化”替代傳統(tǒng)基于Agent方式來實現終端信息收集問題，通過打造開放性與第三方聯動，承擔泛終端安全管理連接器及感知中臺。

　　1、創(chuàng)新點：

　　自動化：在設定規(guī)則之后，它能夠自動發(fā)現泛終端；

　　開放生態(tài)：與以往試圖提供整體解決方案不同，它嘗試打造一個解決問題的生態(tài)體系，通過與各種安全產品聯動、大數據平臺聯動，整體解決爆發(fā)式增長泛終端的資產及安全管理問題；

　　基于學習式：通過機器學習，不斷擴大終端識別庫以及提升終端行為判斷精準度。

　　2、技術優(yōu)勢

　　自動實現終端資產分類，提升資產提供的精準度、實現實時終端資產統(tǒng)計及更新時間、替代傳統(tǒng)手工統(tǒng)計方式無法實現全局收集難題，降低管理成本；

　　終端規(guī)模越大，識別代價越低、精準度越高；

　　自動識別風險終端，并能夠定位終端的身份、位置、設備類型、風險情況，大大提升發(fā)現及解決問題效率；

　　開放連接架構，提升聯動解決泛終端安全問題能力，能夠連接不同廠商安全能力、數據能力，實現聯動解決泛終端安全問題，如DLP、漏洞管理、SIEM及態(tài)勢感知等聯動。

　　05

　　用戶反饋

　　“寧盾終端準入產品幫助提升IT基礎設施的可視化，有效識別入網終端身份信息及安全情況，阻隔非法終端接入，并自動對異常終端進行隔離，自助修復，保障了企業(yè)內網資源安全?！?/p>

　　——來自某人工智能公司

　　“對于接入網絡的終端，寧盾提供完善的終端準入安全審查防護功能，能夠有效的對入網終端進行合規(guī)性檢查。通過客戶端/無客戶端的模式，簡化了用戶準入流程，提高了用戶產品體驗。兼容現有網絡架構，無需進行網絡改動，支持與第三方平臺進行聯動，加強企業(yè)內部網絡安全。方便、經濟、高效?！?/p>

　　——來自某芯片半導體公司

　　“寧盾終端準入解決方案提升企業(yè)對終端管控的可視化能力，包括發(fā)現連接到企業(yè)內部PC、手機、物聯網設備、網絡設備等，以及受信及非受信終端，并進行靈活的入網安全控制。高效便捷及生態(tài)聯動能力，實現企業(yè)網絡環(huán)境整體防護?！?/p>

　　——來自某物聯網科技公司

　　“分布式部署模式能夠靈活適應企業(yè)組織架構，實現企業(yè)對終端準入的集中管控要求。通過對終端入網進行安全檢查，有效防止不合規(guī)終端或不符合安全要求的終端入網，讓不安全變得可見。例如，防病毒軟件未及時更新、操作系統(tǒng)補丁未及時更新、安全不合規(guī)軟件等行為。切實提高了企業(yè)內網的安全基線?！?/p>

　　——來自某大型金融企業(yè)

　　安全牛評

　　當業(yè)界在推動產業(yè)物聯網高速發(fā)展同時，物聯網安全問題也給我們敲響了警鐘。近兩年，國內外挖礦、設備劫持事件頻發(fā)，智能家居產品不斷爆出安全漏洞，漏洞被利用時將造成不可逆的經濟損失，同時也反映在物聯網產業(yè)建設初期，安全作為物聯網應用的基礎設施的重要性?！肮魜碓捶彪s、攻擊危害巨大、傳統(tǒng)防護乏力”是物聯網安全的三大特征。

　　寧盾科技物聯網終端安全解決方案，實現了 “可視化”物聯網資產發(fā)現和終端信息收集，通過第三方安全平臺，實現了自動識別終端風險，大大提升發(fā)現及解決問題效率。