近年来, 随着互联网技术和智能设备的飞速发展,物联网作为一个新科技正被越来越多的人所关注。小到智能家居、大到智慧城市的物联网蓬勃发展,在线物联网设备数量大幅增加,对于大量没有经过严格安全设计的物联网设备的远程注入和控制成为最新的威胁来源,也将是物联网推进过程中需要突破的重大障碍之一。
安全事件解析
美国当地时间2016年10月21日,为美国众多公司提供域名解析网络服务的Dyn公司遭DDoS攻击。Dyn公司在当天早上确认,其位于美国东海岸的DNS基础设施所遭受DDoS攻击来自全球范围,严重影响其DNS服务客户业务,甚至导致客户网站无法访问。该攻击事件一直持续到当地时间13点45分左右。
本次事件是由于大量智能设备、路由器因存在默认密码、弱密码、严重漏洞未及时修复等因素,导致被攻击者植入木马。由于物联网设备的大规模批量生产、批量部署,在很多应用场景中,集成商、运维人员能力不足,导致设备中有很大比例使用默认密码、漏洞得不到及时修复。事件凸显了感知层的节点设备计算和通信能力有限,对抗 DDoS 攻击的能力比较脆弱,在互联网环境里并不严重的 DDoS 攻击行为,在物联网中就可能造成传感网瘫痪。从应用层防护角度分析,设备商未设置安全策略使用弱口令,从而让大量智能终端设备被黑客劫持作为攻击来源,也是本次安全事件的主要因素之一。
基于以上风险实例分析,如何有效地解决物联网行业所存在的诸多安全问题,北京智游网安科技有限公司依托多年在移动信息安全领域所取得的研究成果推出物联网安全解决方案。方案根据物联网体系架构特征,在不同层面提供适配的安全服务,通过建立一整套安全保护体系,为物联网行业用户提供一站式安全防护,保护更加智能的世界。
物联网体系架构
物联网是以感知与应用为目的的物物互联系统,涉及传感器、RFID、安全、网络、通信、信息处理、服务技术、标识、定位、同步等众多技术领域。物联网时代面临的安全威胁是整体威胁,不能单以阻止某类威胁进行界定,需要分析业务场景来进行全局防护,爱加密基于应用场景和技术实现,将物联网体系架构分为以下四层:
安全防护目标
安全解决方案
总体架构设计
爱加密物联网解决方案通过部署在云端的统一管理平台来调配执行物联网不同层面的安全防护措施,以基础设备包括网络设备、服务器、云平台等基础设施为架构,进行统一的安全业务设计和管理,通过开放API的接口与各个安全工具对接,实现物联网应用完整的生命周期安全保障。
方案特点:
分层保护整体监测
爱加密物联网安全解决方案依据“逐级分层,边界控制,整体监测”思路,在保证物联网业务运营发展的前提下,对其进行基于纵深防御、整体全程数据监测为基本目标的安全防护,覆盖物联网业务发展全生命周期(规划与咨询、开发与设计、发布与运维)安全保护解决方案。
主动感知提前防御
基于多层次多角度分析的威胁感知,从设备资产、威胁和脆弱性三个方面进行专题基础数据采集,输出价值数据;根据业务特性和数据特性,建立业务规范属性库,从安全要素如机密性、完整性、可用性等方面对移动业务进行要素评估;根据各项要素评估对于业务进行整体评估,再通过时间序列分析等态势预测模型,分析态势变化规律,形成移动应用安全态势预测。
数据驱动安全业务
安全大数据给信息安全带来的最大不同是将自动化处理与深度挖掘相结合,使原有被动式的事前策略预防,事中处理和事后审计流程,转为更加主动的事前自动评估预测与智能安全防护。随着IT环境和业务的合纵发展,移动化、云平台、物联网等多场景下的信息安全问题日益增长,企业安全管理理论与安全防护技术需要从数据为核心角度来进行安全架构转型,在全样本安全数据中深入挖掘被隐藏忽略的安全知识与安全策略,建立整体的移动安全运营平台,通过数据互通与管理整合应对企业后续业务发展中的未知风险和挑战。
安全量化集中展示
通过感知与大数据平台以综合且直观的效果来体现物联网业务安全状态,体现的内容包括:终端安全状态;业务系统安全状态,业务服务安全状态、异常报警等,涉及第三方支撑的安全能力查询,包括服务安全质量、问题数以及问题整改状态。对物联网业务生产,运营的各环节进行量化展示。
方案价值:
更强的针对性
方案针对移动物联网安全领域已知(欺诈、逆向、篡改、监听、钓鱼、自动化攻击等)和未知的安全威胁建立统一的安全大数据表征,面向该领域数据驱动下的针对性数据挖掘模式,将多渠道、多类型安全数据抽象成可视化的图表象限,形成创新的策略基础。
更先进的架构设计
方案使用全局分布式大数据架构作为基础,建立数据服务总线,与企业运营管理软件和安全防护工具软件数据互通,接口共享,形成安全知识库。平台系统进行分层设计,包括数据层、应用核心层、前置层、表现层、接入层,各层之间采用接口方式进行调用,各层内部处理相应的独立功能,层与层之间互不影响但又互相联系。通过这种松耦合关系,将核心层与业务层的分离,也保证了核心的稳定和业务的定制,并隔离了某层故障对其他层的影响。
更完整的业务范围
方案从物联网安全业务源头出发,涵盖业务咨询与培训、源代码检测、业务检测评估、应用加固、业务渠道检测、安全威胁感知等移动业务全生命周期涉及的安全工具,根据企业安全制度和行业规范进行定制补充,形成完整得安全业务链与安全数据采集面。
自主知识产权
解决方案涉及产品均为爱加密自主研发,具有完全自主的知识产权,能够帮助政府部门、涉密单位、以及关系国计民生的大型企业对网络进行安全管控和安全加固,杜绝安全隐患,响应国家信息安全国产化政策及号召。
零改造管理扩展
方案采用灵活的系统架构、可扩展的多级管理平台、帮助企业安全系统平滑升级,保护企业安全投资。
安全量化可视功能
方案管理模块具有很好的界面图形展示效果,丰富的管理功能,人性化的统计报表,极大的提高了企业安全管理效率,可以多维度查看工作效果,采用了计费功能模块,使安全工作达到量化的效果。