天融信物联网安全等级保护解决方案

　　背景介绍

　　网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法，对网络安全保障有着不可替代的作用。各行业、各地区的网络运营者应当按照网络安全等级保护制度的要求，依法开展网络定级备案、安全建设整改、等级测评和自查等工作。作为指导各行业、各地区切实开展网络安全等级保护建设整改和测评检查工作的重要依据，等级保护2.0的三大核心标准《网络安全等级保护基本要求》、《网络安全等级保护测评要求》和《网络安全等级保护安全设计技术要求》已经于2019年5月13日发布，12月1日起正式实施。

　　随着大量的基础设施的建设,物联网设备在提升各行业业务效率的同时其安全问题也不容忽视，国家更是针对物联网建设中的安全问题在等保2.0物联网安全扩展要求中作出指示，在通过物联网技术打开智慧化建设大门的同时，如何将针对智慧城市建设中的物联网安全防护能力融入新基建的过程中成为新基建建设过程的重要环节。

　　随着物联网技术不断成熟，以及引导政策的不断加码，物联网的发展迎来了新的建设高潮，但与此同时，物联网发展遇到的问题也愈发凸显，尤其是在物联网的终端安全，通信保障等方面，边缘业务节点与外界实现联网之后，恶意软件的入侵、受到网络攻击的危险性将进一步提升，对网络安全对策与解决方案的需求将更加旺盛。

　　方案概述

　　天融信根据物联网企业在实际应用场景的组网需求，安全防护痛点，凭借多年的网络安全经验，以及前沿的物联网研究成果，基于“构建物联网安全互联理念”，形成的可以集中管控，资产可管，网络可控，安全可视的物联网安全防护解决方案。

　　天融信物联网安全赋能系统对企业网络内接入的各类终端设备进行识别、过滤、阻断，确保接入物联网络设备的合法性和安全性，与此同时对运行中的设备进行实时监控，利用独有的感知发现技术，及时发现网络中伪冒、入侵、异常的设备，保障“物联专网”整体网络安全运行。同时系统为用户提供实时的前端设备状态监控和直观的网络状态视图，方便用户随时掌握网络整体状况，并且集成了多种威胁入侵检测技术，可以有效的实现物联网络的可视、可信和可管。

　　安全技术措施设计

　　根据实际物联网应用场景的组网需求、安全痛点，综合采用以下技术措施，形成可以快速部署、即刻生效、可管可控、安全可视的物联网安全解决方案：

　　部署物联网接入网关，针对感知节点、网关节点，重点强调接入控制与入侵防范，通过在感知节点和网关设备中烧制安全标识，保证感知、网关节点的身份认证、网络准入的安全防护；

　　部署物联网安全网关，对物联网异常流量及行为进行过滤、控制，将安全流量与云平台的物联网应用防火墙（IAF）对接，建立VPN隧道，对通过互联网传输的物联网协议数据进行加密保护；

　　通过IAF对海量的物联网数据提供清洗、过滤等保护，并通过标识技术、时间戳技术保证物联网数据的新鲜性，防御恶意数据重放攻击；

　　实现对物联网接入设备的安全访问控制、通信链路加密、感知业务流量，有效降低业务风险，抵御网络攻击；

　　部署物联网安全中心，负责对物联网安全产品（标识、接入网关、安全网关、应用防火墙）进行统一注册、认证、管理，对安全信息进行收集、整理、展示，对不同数据进行融合处理和关联分析，对安全策略进行动态、集中管理。

　　客户收益

　　该方案相比传统的网络安全产品具有诸多技术优势，主要体现在以下几点：

　　一、资产可视，物联网终端安全准入系统，基于物联网节点感知技术，通过丰富的物联网设备指纹基线库，并且支持结合客户需求，定制指纹库，实现客户物联网设备准入控制，行为诊断，可以有效评估物联网设备的安全状态，发现终端异常行为，及时阻断。可以通过黑白名单，防止仿冒终端的接入，确保物联网业务平台的安全。通过资产识别技术，系统可以提供全网的物联网资产探查能力，能够实现全网资产状态的可视化管理，风险管理，能够提供相对其它防火墙产品更加灵活的安全策略控制。

　　二、网络可管，物联网终端安全准入系统通过监听通信链路的网络流量，支持对接第三方的网关设备，能够确保通信链路的安全性。系统可以持续监控传输流量的协议类型，识别传感器的业务种类，进行安全行为分析，为设备标注标签，快速的检测实时网络攻击。企业根据云端的流量可视化工具，可以灵活编排安全策略，如映射不同的物联网业务到不同的开放端口，实施网络白名单制等等，确保物联网流量的端到端的可视化和统一的业务级安全策略实施。

　　 三、全局管控，在物联网安全的传统方案中，为确保链路保障和网络安全，在物联网分布式节点部署复杂的网关设备以及防火墙等组件以确保安全。但随着分布式节点数量的提高，业务灵活多变，导致分布式节点的复杂度和管理难度持续提升。以上挑战，通过天融信的物联网终端安全准入系统都可以有效解决，天融信的物联网终端安全准入系统采用云端统一的审计和准入控制，可以为物联网用户提供可视化的安全管理界面，通过云端的集中管理，用户可以灵活定义终端分组，资源划分，实现设备的安全接入和业务的合法性审计，可以为企业提供一种经济，灵活的管理方式，并最终形成一套高水平的物联网安全运营管理平台。通过集中的管理平台，用户可以同时管理成千上万的分布式节点，同时管理安全策略，相对于传统的方案，需要耗费巨大的时间和人力成本，统一管理的模式使物联网业务的安全部署更加简单、快捷、灵活、易用和高效。

　　责任编辑：广汉