常见的几种物联网终端身份认证及安全准入场景
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
越来越多的OT设备加入IT网络传输功能,成为网络组成的一部分。据统计,到2020年,全球将有500亿物联网终端,至少100亿活跃于企业网络。但是对处于处于飞速发展时期物联网事业,其终端安全却还处于起步阶段,外部面向物联网终端的攻击手段仍然在不断更新。虽然企业、政府甚至IoT生产厂商也在不断的寻找新的防护手段,但是当下,解决物联网终端可视化管理及网络层安全准入仍是解决物联网终端安全的核心。
对比常见的人工信息采集和定期巡检,终端可视化可实时发现并识别接入物联网感知节点,及时感知风险终端,提升物联网终端在网络中的防护能力。同时结合终端更多私有属性解决常见IP/MAC 防伪造问题。常见应用场景包括企业办公物联网身份认证、银行网点打印机网络准入、产线IoT终端可视化及网络安全准入、智慧城市摄像头安全准入等。
1、企业办公物联网设备身份认证
企业办公场景中,摄像头、打印机、电子门禁系统、视频会议系统等物联网设备随处可见,但电脑和手机在企业网络中的占比远高于单一功能的物联网设备。所以一般企业办公场景中物联网设备常与办公设备一同处理。
a)首先,可视化接入网络的所有终端并进行归类;
b)然后,IoT设备执行MAB认证+静态ACL策略
c)同时,结合“终端类型”检测及时隔离IP/MAC伪造的终端。
2、银行网点打印机网络准入
去过银行网点的人都有过取号排队,在一堆堆的打印文件上签名的经历。银行网点几乎每名业务人员配有一台打印机,打印机数量较多,静态ACL的配置成本较高,对网络架构调整的适应能力较弱,所以除终端可视化及IP/MAC地址防伪造外,银行网点打印机更倾
向于使用MAB认证+动态ACL准入方案。
a)可视化发现及识别网络终端;
b)打印机终端自动归类;
c)MAB认证+动态ACL权限管控;
d)IP/MAC地址防伪造。
如图DACL准入策略:
3、产线IoT终端可视化及网络安全准入
产线终端的特点在于终端数量大,不易清点和发现,一般不会通过网络调控的方式对其进行隔离,而多以告警的方式通知管理员进行处理。因此终端可视化及网络定位功能需求可以帮助管理员更快的发现问题终端,及时处理并规避大规模风险的蔓延。
a)MAB认证+DACL权限管控+IP/MAC地址;
b)风险终端告警及可视化网络定位:检测终端在网络中的上下文,
检测终端位于哪个交换机下的哪个端口下,借助NDACE定位终端物理位置,方便运维人员快速找到问题终端。
4、智慧城市摄像头安全准入
摄像头作为城市安防的守护者,监控着大街小巷的治安取证,因此被不法分子盯上。一种是获取监控数据,一种是控制摄像头被自己所用。目前第二种的难度较大,更多还是从伪造IP/MAC地址的角度获取摄像头监控数据,因此权限管控和IP/MAC地址防伪造是摄像头安全准入的核心,另外还需注意数据中心服务器需加强特权账号安全认证及U盘管控功能,以防信息从内部泄漏。
a)可视化识别并归类摄像头终端;
b)MAB认证+DACL+IP/MAC防伪造;
c)服务器U盘管理:为防止U盘信息窃取,因此有必要识别U盘的
合规性,并拒绝非合规U盘的接入。通过识别U盘的安全特性,管控终端对U盘的读、写和拒绝操作。
d)特权账号双因子动态认证:在账号密码的基础上增加动态密码,
形成账号密码动态保护。
智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。