之前烏克蘭電網(wǎng)系統(tǒng)遭攻擊已經(jīng)為大型工業(yè)物聯(lián)網(wǎng)系統(tǒng)的安全問(wèn)題敲響了警鐘。2016年Mirai病毒通過(guò)弱口令探測(cè)控制了大量網(wǎng)絡(luò)攝像頭及相關(guān) DVR
錄像機(jī)。在WannaCry事件中,蠕蟲病毒不僅嘗試加密數(shù)據(jù),還攻擊了連接設(shè)備,如醫(yī)院的醫(yī)療設(shè)備、學(xué)校的教學(xué)設(shè)備等。
物聯(lián)網(wǎng)安全離不開(kāi)訪問(wèn)控制
物聯(lián)網(wǎng)設(shè)備的復(fù)雜性和多樣性使得物聯(lián)網(wǎng)面臨著更多來(lái)自終端設(shè)備的安全挑戰(zhàn)。因此訪問(wèn)控制成為物聯(lián)網(wǎng)安全策略中無(wú)法繞過(guò)的重要一環(huán)。
IoT環(huán)境下,訪問(wèn)控制管理最關(guān)鍵的有三點(diǎn):
1.設(shè)備的可見(jiàn)性:只有被發(fā)現(xiàn)才可能被管控,看見(jiàn)是實(shí)現(xiàn)所有安全策略的基礎(chǔ)。
2. 合規(guī)性檢查及管控:利用可視化的管理平臺(tái),向管理設(shè)備發(fā)送接入IoT設(shè)備的信息,建立合規(guī)的安全基線,防止非法接入和違規(guī)行為。
3. 網(wǎng)絡(luò)分段隔離:將不同類型的終端放入不同的“分段”中,將合法終端和非法終端進(jìn)行隔離,有效防范風(fēng)險(xiǎn)擴(kuò)散。
盈高準(zhǔn)入5招落實(shí)訪問(wèn)控制管理
1.智能化的設(shè)備類型識(shí)別分類
盈高準(zhǔn)入內(nèi)置上千種不同類型設(shè)備的識(shí)別庫(kù)。通過(guò)自動(dòng)掃描、自動(dòng)探測(cè)的方式,能夠迅速的對(duì)網(wǎng)內(nèi)各種IP設(shè)備進(jìn)行信息采集,通過(guò)與識(shí)別庫(kù)中的庫(kù)信息比對(duì),實(shí)現(xiàn)設(shè)備類型自動(dòng)分類識(shí)別。
2.先進(jìn)的設(shè)備指紋識(shí)別技術(shù)從終端進(jìn)行防控
設(shè)備特征指紋識(shí)別技術(shù)是盈高科技擁有自主知識(shí)產(chǎn)權(quán)的一項(xiàng)設(shè)備發(fā)現(xiàn)標(biāo)識(shí)技術(shù)。當(dāng)設(shè)備接入網(wǎng)絡(luò)之后,盈高準(zhǔn)入通過(guò)網(wǎng)絡(luò)掃描、嘗試掃描和被動(dòng)監(jiān)聽(tīng)的方式,可以對(duì)該設(shè)備的各種固有信息進(jìn)行收集,綜合運(yùn)算形成該設(shè)備唯一的“指紋信息”。設(shè)備被非法替換后,該信息將顯示為不同的值,就可以判斷是否有偽造的設(shè)備進(jìn)行非法接入,一旦發(fā)現(xiàn)將進(jìn)行報(bào)警和網(wǎng)絡(luò)阻斷。
3.細(xì)致的網(wǎng)絡(luò)透視功能展示全網(wǎng)拓?fù)?/p>
盈高準(zhǔn)入提供了一個(gè)全網(wǎng)安全管理和展示的平臺(tái),在拓?fù)鋱D上可以全面展示網(wǎng)絡(luò)中的各種系統(tǒng)設(shè)備、網(wǎng)絡(luò)連接等信息,能夠從整體上首先把握網(wǎng)絡(luò)的運(yùn)行和安全狀況。
當(dāng)物聯(lián)網(wǎng)網(wǎng)絡(luò)中有非法接入的NAT設(shè)備、HUB設(shè)備、WIFI設(shè)備時(shí),盈高準(zhǔn)入通過(guò)網(wǎng)絡(luò)中的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析,對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行信息采集,可以快速展示出當(dāng)前網(wǎng)絡(luò)中的邊界設(shè)備連接狀態(tài)。對(duì)于非法的邊界設(shè)備可以進(jìn)行網(wǎng)絡(luò)阻斷,防止其接入網(wǎng)絡(luò)造成安全風(fēng)險(xiǎn)。
4.在物聯(lián)網(wǎng)中的實(shí)時(shí)安全狀態(tài)發(fā)現(xiàn)
盈高準(zhǔn)入可實(shí)時(shí)地對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行安全狀態(tài)掃描,掃描包括系統(tǒng)的操作系統(tǒng)漏洞、操作系統(tǒng)配置弱點(diǎn)、操作系統(tǒng)及應(yīng)用系統(tǒng)的弱口令等。與普通的漏洞掃描器不同的是,盈高準(zhǔn)入的實(shí)時(shí)安全狀態(tài)發(fā)現(xiàn)功能是一個(gè)全自動(dòng)的過(guò)程。當(dāng)發(fā)現(xiàn)設(shè)備接入、狀態(tài)發(fā)生變化、特征信息更新等情況時(shí),會(huì)立即啟動(dòng)自動(dòng)狀態(tài)掃描發(fā)現(xiàn)。
5.設(shè)備接入“微分段”
在采用合適的部署模式的情況下,盈高準(zhǔn)入可以對(duì)接入終端進(jìn)行“微分段”處理。這樣可以將合法終端和非法終端完全隔離,還可將不同類型、操作系統(tǒng)、所屬者的終端賦予不同的訪問(wèn)“域”和接入“域”。通過(guò)“微分段”方式可以有效地將風(fēng)險(xiǎn)進(jìn)行控制,避免風(fēng)險(xiǎn)快速擴(kuò)散。