等保2.0物聯網感知層安全解決方案
作者:啟明星辰
2020-08-28
物聯網的定義及場景
1999 年�����,MIT Auto-ID中心的 Ashton 教授最早提出來了物聯網(IoT��,Internet of Things)這一概念���,其定義是:使用 RFID(射頻識別)��、GPS(全球定位系統)���、紅外感應裝置�����、激光掃描裝置等信息感知設備�,通過某種通信協議就能夠將任何物品接入到互聯網中��,進行數據采集和信息交換��,從而完成智能化的識別���、定位�、跟蹤���、監控以及管理���。
在GBT22239-2019《信息安全技術網絡安全等級保護基本要求》中對等保2.0適用的物聯網應用場景進行了說明(如下圖所示)�����,并明確指出物聯網安全擴展要求是針對感知層提出的特殊安全要求����,而網絡傳輸層和處理應用層按照安全通用要求提出的要求進行保護���。
物聯網感知層定義
在等保2.0物聯網應用場景中將感知層分為RFID系統和傳感網絡兩部分�。
1.RFID
RFID是射頻識別(Radio Frequency Identification)的英文縮寫�����,其利用射頻信號通過空間電磁耦合實現無接觸信息傳遞并通過所傳遞的信息實現物體識別����。RFID既可以看做是一種設備標識技術��,也可以歸類為短距離傳輸技術���。
RFID系統主要由三部分組成:電子標簽(Tag)��、讀寫器(Reader)和天線(Antenna)����。其中�����,電子標簽芯片具有數據存儲區���,用于存儲待識別物品的標識信息�;讀寫器是將約定格式的待識別物品的標識信息寫入電子標簽的存儲區中(寫入功能)���,或在讀寫器的閱讀范圍內以無接觸的方式將電子標簽內保存的信息讀取出來(讀出功能)�����;天線用于發射和接收射頻信號�,往往內置在電子標簽和讀寫器中�����。
RFID技術的工作原理是:電子標簽進入讀寫器產生的磁場后�,讀寫器發出的射頻信號�,憑借感應電流所獲得的能量發送出存儲在芯片中的產品信息(無源標簽或被動標簽)���,或者主動發送某一頻率的信號(有源標簽或主動標簽)����;讀寫器讀取信息并解碼后�,送至中央信息系統進行有關數據處理���。
2. 傳感網絡
在等保2.0中將傳感網絡分為終端感知節點和感知網關節點兩部分�����,終端感知節點通過傳感網與感知網關節點進行通信�。
終端感知節點主要是對各種參量進行信息采集和簡單加工處理的設備��,既傳感器�����。傳感器可以獨立存在�,也可以與其他設備以一體方式呈現���。傳感器的分類方法多種多樣�,我們一般按照使用擴展性將傳感器分為單一功能傳感器和通用智能傳感器����。
● 單一功能傳感器一般設計簡單�,外部接口較少����,功能單一���,無法改造��;
● 通用智能傳感器相對設計復雜��,外部接口能夠滿足大部分應用的需求����,可以通過內部軟件設置���、硬件模塊拆卸等滿足不同的功能需求�。
傳感網是終端感知節點與感知網關節點間的通信網絡�����。按照技術特點���,可以分為有線傳輸���、近距離無線傳輸���、傳統互聯網和移動空中網四類�。
● 有線傳輸主要有電線載波或載頻��、同軸線���、開關量信號線����、RS232串口��、RS485��、USB��,其中比較常見的是RS232串口����、RS485����、USB��。
● 近距離無線傳輸主要有無線RF433/315M���、藍牙�、Zigbee���、Z-ware��、IPv6/6Lowpan�����、LoRa�,其中比較常見的是藍牙�、Zigbee��、LoRa���。
● 傳統互聯網主要有WiFi和以太網�����。
● 移動空中網主要有GPRS�����、3G/4G�、NB-IoT���、5G����。
感知網關節點是指在感知層和網絡層中發揮承上啟下作用的設備�����。一般具備兩方面功能:其一���,在感知層內作為接收者和控制者�,被授權監聽和處理感知層內的事件消息和數據�,可向終端感知節點發布查詢請求或派發任務��;其二��,面向網絡層作為中繼和網關完成感知層和網絡層間協議和數據的轉換����,是連接感知層與網絡層的橋梁�����。
物聯網安全擴展要求
物聯網安全擴展要求的內容主要包括技術部分的安全物理環境��、安全區域邊界和安全計算環境和管理部分的安全運維管理��。其中技術部分在各安全等級的要求如下表所示�。
管理部分則主要提出了三個方面的要求:一是對感知節點的定期巡檢和維護��;二是對感知節點全生命周期全程跟蹤管理����;三是對感知節點和網關節點部署環境的保密性管理�。
啟明星辰物聯網安全解決方案
針對不同類型的感知節點和不同的傳感網通信形式�,啟明星辰擁有全面的物聯網安全解決方案�。
針對智能終端中可改造的部分集成國密TF卡或者國密UKey及國密客戶端���,實現認證和加密��;針對不可改造的部分串接集成國密芯片的密盒��,實現認證和加密�。而單一功能終端往往不具備駐留程序����,因此根據其具體的通信方式���,在傳感網或感知網關節點處進行安全防護�。
針對現場總線型的通信方式���,可以在前端部署現場總線型防護模塊���,與部署在感知網關節點處的物聯網安全網關配合��,實現數據的安全加解密�����。
針對5G����、NB-IoT����、3G/4G等移動網絡的通信方式����,物聯網安全網關集成了相關通信模塊�����。此外��,物聯網安全網關支持對LoRa�����、ZigBee等短距離無線網絡傳輸協議的解析�����,可以通過在感知網關節點處部署或將原網關節點替換為物聯網安全網關實現對感知層的整體安全防護���。
啟明星辰物聯網安全網關產品
通過對物聯網安全擴展要求的解讀�����,需要從技術方面在感知層實現設備準入控制���、身份標識�、訪問控制����、集中管控��、抗數據重放等安全功能�����。
1. 啟明星辰天清物聯網安全接入防護系統 IoT-VBox
IoT-VBox是一款專門為解決現存于物聯網終端安全問題設計的產品�,具備終端識別��、終端認證�����、準入控制���,行為基線建立���、行為控制����、集中管理等安全功能�,可識別和管控物聯網泛終端���,如PC��、服務器��、打印機�、掃描儀���、指紋機�����、物流終端等各類終端�,適應用于智慧軍營����、智慧交通�、智慧物流�、平安城市�����、智能交通��、智能制造�����、公安�、電力�、石油���、石化�、市政等領域��。
2. VenusHalo物聯網安全系統
啟明星辰VenusHalo網關通過深?入IOT底層終端采集設備指紋數據和網絡行為數據��,并對采集到的數據及協議進行機器學習��,搭建設備指紋庫��、設備準入規則庫���、業務安全行為模型�,智能識別已授權設備及安全行為��;同時���,防范未知設備接?入�、惡意威脅和入侵行為����。另外��,通過挖掘IOT 設備漏洞�����,針對性防御入侵攻擊���,增強設備安全能力��。Venus-Halo管理后臺可根據業務需求制定安全策略并下發執行��,發現異?��;蛲{時后臺及APP 端實時告警����,以保障物聯網設備網絡安全�����。
京公網安備11010802024551號