在以往，電力的端點(diǎn)可以說是家家戶戶的電表，運(yùn)維靠的是基層員工走街串巷，查電表、修線路、抓偷電。電力物聯(lián)網(wǎng)的出現(xiàn)讓老一輩抄表員不再跑斷腿。隨著新能源汽車的興起，時(shí)代要求電力系統(tǒng)做新能源汽車的“加油站”，即充電站。在電網(wǎng)概念中，充電站仍然以電表為端點(diǎn)。但在物聯(lián)網(wǎng)概念中，充電站是一個(gè)子網(wǎng)，這個(gè)子網(wǎng)中至少有智能電表、充電樁、攝像頭。傳統(tǒng)的端點(diǎn)從一個(gè)電表變成了幾十上百個(gè)IoT設(shè)備。要保障這一物聯(lián)網(wǎng)的健康運(yùn)行，勢(shì)必要解決合法設(shè)備便捷接入網(wǎng)絡(luò)，防止入侵及IoT設(shè)備風(fēng)險(xiǎn)評(píng)估等問題，以保護(hù)物聯(lián)網(wǎng)的安全。因此，終端準(zhǔn)入與訪問控制對(duì)于電力物聯(lián)網(wǎng)而言十分必要。本期發(fā)布牛品推薦——上海寧盾：物聯(lián)網(wǎng)（IoT）接入安全場景解決方案。

　　#牛品推薦第二十四期 #

　　01

　　標(biāo)簽

　　終端合規(guī)檢測(cè)，網(wǎng)絡(luò)準(zhǔn)入，訪問控制，資產(chǎn)管理，可視化拓?fù)洌L(fēng)險(xiǎn)告警

　　02

　　用戶痛點(diǎn)

　　1、如何讓合法設(shè)備便捷地接入網(wǎng)絡(luò)

　　新的IoT管理必須為業(yè)務(wù)高速發(fā)展提供支撐。傳統(tǒng)準(zhǔn)入方法是在IoT設(shè)備上配置802.1x認(rèn)證，或者配置MAC地址白名單。問題在于，一是多數(shù)新型啞終端無法支持802.1x認(rèn)證，抬高了設(shè)備門檻，讓采購喪失靈活性；二是傳統(tǒng)方法基于靜態(tài)信息，新業(yè)務(wù)的快速開展一定存在大量的設(shè)備增加和變更，甚至設(shè)備品牌的變化，基于靜態(tài)信息的準(zhǔn)入讓運(yùn)維效率變得低下。

　　2、如何探測(cè)植入或入侵

　　電力物聯(lián)網(wǎng)是一個(gè)TCP/IP網(wǎng)，基于防火墻做了網(wǎng)絡(luò)邊界防護(hù)。充電站有許多IoT設(shè)備暴露在建筑物外部，比如充電樁和攝像頭，這些設(shè)備在網(wǎng)絡(luò)邊界內(nèi)部卻在物理邊界外部，不法人員很容易通過室外的物理端口接入，對(duì)網(wǎng)絡(luò)邊界內(nèi)部發(fā)起攻擊。

　　3、如何動(dòng)態(tài)評(píng)估IoT設(shè)備風(fēng)險(xiǎn)，做到有備無患

　　IoT設(shè)備的一大特點(diǎn)是固件不易升級(jí)，安裝運(yùn)維特點(diǎn)是默認(rèn)密碼不修改，為長期運(yùn)維留下隱患。隨著時(shí)間的推移，不斷會(huì)有設(shè)備爆出漏洞。對(duì)IoT設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估是一個(gè)比較新的領(lǐng)域，除了對(duì)單一設(shè)備動(dòng)態(tài)評(píng)估，還需要對(duì)網(wǎng)絡(luò)區(qū)域安全風(fēng)險(xiǎn)做整體評(píng)估、排名，對(duì)高風(fēng)險(xiǎn)設(shè)備做告警，甚至隔離網(wǎng)絡(luò)。

　　03

　　解決方案

　　解決上述問題，首先要做到“看得到”，從而實(shí)現(xiàn)“管得了”。

　　首先，要探測(cè)到網(wǎng)絡(luò)中所有終端，形成整體視圖，能夠識(shí)別出“合法設(shè)備”和“非法設(shè)備”。這需要探測(cè)終端的設(shè)備類型、MAC地址、地理位置等，并且與本地資產(chǎn)庫或者聯(lián)動(dòng)外部資產(chǎn)庫匹配終端，能夠匹配的為合法終端，匹配不成功的標(biāo)記為非法終端。

　　其次，持續(xù)檢測(cè)終端指紋，一旦終端指紋變化，意味著其MAC地址可能被偽造，需要標(biāo)記為安全事件，并自動(dòng)聯(lián)動(dòng)網(wǎng)絡(luò)設(shè)備限制其接入。

　　除此以外，需要聯(lián)動(dòng)第三方IoT漏洞檢測(cè)系統(tǒng)，收集和統(tǒng)計(jì)終端威脅，形成風(fēng)險(xiǎn)評(píng)估列表，讓風(fēng)險(xiǎn)設(shè)備也能被看到。

　　寧盾解決方案中完整的系統(tǒng)組成包括寧盾探針、寧盾IoT中控、IoT漏洞探測(cè)（可選）、客戶自運(yùn)維的大數(shù)據(jù)分析平臺(tái)（可選）：

　　寧盾探針：充當(dāng)網(wǎng)絡(luò)“攝像頭”和策略執(zhí)行器，通過流量鏡像發(fā)現(xiàn)、探測(cè)終端信息。探針在IoT設(shè)備流量比較小時(shí)單臺(tái)容量很大，每個(gè)地市部署1至2臺(tái)即可；

　　寧盾IoT中控：它是泛終端資產(chǎn)及風(fēng)險(xiǎn)管理中心，它提供集中資產(chǎn)視圖（聯(lián)動(dòng)）、集中終端視圖以及終端風(fēng)險(xiǎn)視圖；

　　IoT漏洞探測(cè)系統(tǒng)：在寧盾探針發(fā)現(xiàn)終端設(shè)備后，對(duì)其定期掃描，豐富終端風(fēng)險(xiǎn)視圖，使寧盾系統(tǒng)可根據(jù)風(fēng)險(xiǎn)評(píng)級(jí)自動(dòng)告警或者限制網(wǎng)絡(luò)接入；

　　大數(shù)據(jù)分析平臺(tái)：客戶自有平臺(tái)，寧盾有可將終端設(shè)備的各種信息和動(dòng)態(tài)發(fā)送給第三方。

　　資產(chǎn)定義或聯(lián)動(dòng)：

　　終端集中可視化：

　　終端風(fēng)險(xiǎn)視圖（聯(lián)動(dòng)OpenVAS效果）：

　　04

　　方案特點(diǎn)

　　該方案放棄邊界防護(hù)思路，采用基于無邊界的“零信任”機(jī)制解決終端問題，在執(zhí)行層面，通過全程“可視化”替代傳統(tǒng)基于Agent方式來實(shí)現(xiàn)終端信息收集問題，通過打造開放性與第三方聯(lián)動(dòng)，承擔(dān)泛終端安全管理連接器及感知中臺(tái)。

　　1、創(chuàng)新點(diǎn)：

　　自動(dòng)化：在設(shè)定規(guī)則之后，它能夠自動(dòng)發(fā)現(xiàn)泛終端；

　　開放生態(tài)：與以往試圖提供整體解決方案不同，它嘗試打造一個(gè)解決問題的生態(tài)體系，通過與各種安全產(chǎn)品聯(lián)動(dòng)、大數(shù)據(jù)平臺(tái)聯(lián)動(dòng)，整體解決爆發(fā)式增長泛終端的資產(chǎn)及安全管理問題；

　　基于學(xué)習(xí)式：通過機(jī)器學(xué)習(xí)，不斷擴(kuò)大終端識(shí)別庫以及提升終端行為判斷精準(zhǔn)度。

　　2、技術(shù)優(yōu)勢(shì)

　　自動(dòng)實(shí)現(xiàn)終端資產(chǎn)分類，提升資產(chǎn)提供的精準(zhǔn)度、實(shí)現(xiàn)實(shí)時(shí)終端資產(chǎn)統(tǒng)計(jì)及更新時(shí)間、替代傳統(tǒng)手工統(tǒng)計(jì)方式無法實(shí)現(xiàn)全局收集難題，降低管理成本；

　　終端規(guī)模越大，識(shí)別代價(jià)越低、精準(zhǔn)度越高；

　　自動(dòng)識(shí)別風(fēng)險(xiǎn)終端，并能夠定位終端的身份、位置、設(shè)備類型、風(fēng)險(xiǎn)情況，大大提升發(fā)現(xiàn)及解決問題效率；

　　開放連接架構(gòu)，提升聯(lián)動(dòng)解決泛終端安全問題能力，能夠連接不同廠商安全能力、數(shù)據(jù)能力，實(shí)現(xiàn)聯(lián)動(dòng)解決泛終端安全問題，如DLP、漏洞管理、SIEM及態(tài)勢(shì)感知等聯(lián)動(dòng)。

　　05

　　用戶反饋

　　“寧盾終端準(zhǔn)入產(chǎn)品幫助提升IT基礎(chǔ)設(shè)施的可視化，有效識(shí)別入網(wǎng)終端身份信息及安全情況，阻隔非法終端接入，并自動(dòng)對(duì)異常終端進(jìn)行隔離，自助修復(fù)，保障了企業(yè)內(nèi)網(wǎng)資源安全?！?/p>

　　——來自某人工智能公司

　　“對(duì)于接入網(wǎng)絡(luò)的終端，寧盾提供完善的終端準(zhǔn)入安全審查防護(hù)功能，能夠有效的對(duì)入網(wǎng)終端進(jìn)行合規(guī)性檢查。通過客戶端/無客戶端的模式，簡化了用戶準(zhǔn)入流程，提高了用戶產(chǎn)品體驗(yàn)。兼容現(xiàn)有網(wǎng)絡(luò)架構(gòu)，無需進(jìn)行網(wǎng)絡(luò)改動(dòng)，支持與第三方平臺(tái)進(jìn)行聯(lián)動(dòng)，加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全。方便、經(jīng)濟(jì)、高效?！?/p>

　　——來自某芯片半導(dǎo)體公司

　　“寧盾終端準(zhǔn)入解決方案提升企業(yè)對(duì)終端管控的可視化能力，包括發(fā)現(xiàn)連接到企業(yè)內(nèi)部PC、手機(jī)、物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)設(shè)備等，以及受信及非受信終端，并進(jìn)行靈活的入網(wǎng)安全控制。高效便捷及生態(tài)聯(lián)動(dòng)能力，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)環(huán)境整體防護(hù)?！?/p>

　　——來自某物聯(lián)網(wǎng)科技公司

　　“分布式部署模式能夠靈活適應(yīng)企業(yè)組織架構(gòu)，實(shí)現(xiàn)企業(yè)對(duì)終端準(zhǔn)入的集中管控要求。通過對(duì)終端入網(wǎng)進(jìn)行安全檢查，有效防止不合規(guī)終端或不符合安全要求的終端入網(wǎng)，讓不安全變得可見。例如，防病毒軟件未及時(shí)更新、操作系統(tǒng)補(bǔ)丁未及時(shí)更新、安全不合規(guī)軟件等行為。切實(shí)提高了企業(yè)內(nèi)網(wǎng)的安全基線?！?/p>

　　——來自某大型金融企業(yè)

　　安全牛評(píng)

　　當(dāng)業(yè)界在推動(dòng)產(chǎn)業(yè)物聯(lián)網(wǎng)高速發(fā)展同時(shí)，物聯(lián)網(wǎng)安全問題也給我們敲響了警鐘。近兩年，國內(nèi)外挖礦、設(shè)備劫持事件頻發(fā)，智能家居產(chǎn)品不斷爆出安全漏洞，漏洞被利用時(shí)將造成不可逆的經(jīng)濟(jì)損失，同時(shí)也反映在物聯(lián)網(wǎng)產(chǎn)業(yè)建設(shè)初期，安全作為物聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)設(shè)施的重要性。“攻擊來源繁雜、攻擊危害巨大、傳統(tǒng)防護(hù)乏力”是物聯(lián)網(wǎng)安全的三大特征。

　　寧盾科技物聯(lián)網(wǎng)終端安全解決方案，實(shí)現(xiàn)了 “可視化”物聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)和終端信息收集，通過第三方安全平臺(tái)，實(shí)現(xiàn)了自動(dòng)識(shí)別終端風(fēng)險(xiǎn)，大大提升發(fā)現(xiàn)及解決問題效率。