綠盟：綠盟物聯網準入網關技術白皮書（13頁）.pdf

《綠盟：綠盟物聯網準入網關技術白皮書（13頁）.pdf》由會員分享，可在線閱讀，更多相關《綠盟：綠盟物聯網準入網關技術白皮書（13頁）.pdf（13頁珍藏版）》請在三個皮匠報告上搜索。

1、 綠盟綠盟物聯網準入網關物聯網準入網關 技術白皮書技術白皮書 文檔編號文檔編號 密級密級 內部公開 版本編號版本編號 V1.1 日期日期 2019.04 2019 綠盟科技綠盟科技 版權聲版權聲明明 本文中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬綠綠盟科技盟科技所有，受到有關產權及版權法保護。任何個人、機構未經綠盟科技綠盟科技的書面授權許可，不得以任何方式復制或引用本文的任何片斷。版本變更記錄版本變更記錄 時間時間 版本版本 說明說明 修改人修改人 2018-11 V1.0 新增 2019-04 V1.1 修改部分技術細節 劉軍 4 適用性聲明適用性

2、聲明 本模板用于撰寫綠盟科技內外各種正式文件，包括技術手冊、標書、白皮書、會議通知、公司制度等文檔使用。物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -1-目錄目錄 一.產品概述.2 二.技術架構.3 三.功能介紹.4 3.1 設備和入網管理.4 3.1.1 設備識別.4 3.1.2 設備流量.4 3.1.3 地址沖突.4 3.1.4 設備異常.5 3.1.5 設備離線.5 3.1.6 設備漏洞.5 3.1.7 IP 地址管理.6 3.1.8 設備入網登記注冊.6 3.2 非法行為監控阻斷.6 3.2.1 流異?；顒?6 3.2.2 網絡行為審計

3、.7 3.3 集中管理多級部署.7 3.3.1 總體安全狀態監控.7 3.3.2 多級分布式部署.7 四.關鍵技術.7 4.1 超高速設備探測和發現.7 4.2 發現未知的攻擊行為.8 4.3 智能聯動阻斷異常設備.8 4.4 旁路流量監控.8 五.產品部署.9 六.產品優勢.10 6.1 方案合規，產品可信.10 6.2 多個層面，全面防護.10 6.3 功能實現，針對性強.10 6.4 可視管理，精確定位.10 6.5 部署簡單，無單點故障.11 物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -2-一一.產品概述產品概述 隨著企業向數字化業務

4、的發展，物聯網技術和商業模式也以驚人的速度發展。當前物聯網應用遍布在智慧家居，智慧大廈，智慧能源，智慧交通，智慧城市等行業。物聯網感知設備數量巨大，分布廣泛，存在漏洞極易被黑客利用。2015 年，國內知名視頻設備廠商，被江蘇省公安廳通報，部分設備已被境外 IP 地址控制，需要對該品牌設備進行全面清查；2016 年 Mirai 蠕蟲感染攝像頭造成美國域名管理服務器供應商遭受攻擊，導致大量網站宕機，數小時才陸續恢復；2017 年 WannaCry 蠕蟲通過MS17-010 漏洞在全球范圍大爆發，感染的計算機被植入敲詐者病毒，導致文件被加密，病毒會提示支付價值相當于 300 美元的比特幣才可解鎖，事

5、件波及上百個國家。綠盟科技根據多年的研究，設計的物聯網準入網關切實考慮了物聯網的網絡架構特征，無需改變原有網絡架構，不需安裝任何代理，采用雙引擎的工作方式，通過高效協同工作實現單向獲取數據和發送控制指令，即實現了有效管理又保證了相對封閉和隔離。綠盟物聯網準入網關以行為分析為基礎，以先進的數理模型自動建立網絡訪問關系白名單，幫助用戶全面了解網絡內發生的行為，將非法的行為提取出來；采用行為分析識別攻擊活動，使攻擊者無法隱藏自己；能夠對全網眾多的物聯網設備進行發現、管理和監控；更可以通過地址分析、行為分析和漏洞掃描發現異?；顒?，阻斷異常設備；計算全網的安全風險指標，控制安全風險。綠盟物聯網準入網關從

6、資產管理、運行監測、安全控制三個維度出發，集設備自動發現、漏洞自動探知、接入自動甄別、行為自動分析、違規自動阻斷等多種安全功能于一身,從邊界到行為再到核心數據,逐步深入,形成立體監控,建立縱深防御,在加強安全運行管理同時,將用戶從繁重的日常事務中解放出來,輕松實現資產一目了然、設備故障實時報警、安全風險實時掌控、非法入侵及時阻斷等功能,全方位解決物聯網安全運行問題。物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -3-圖 1.1 物聯網概述 二二.技術架構技術架構 物聯網準入網關主要分為網絡行為分析和阻斷、設備自動發現和監控、設備入網和準入、三大核

7、心功能。網絡行為分析和阻斷功能通過數據采集、統計設備流量，自動識別網絡中的正常業務的行為、異常的行為及未知的可疑行為，識別產生異常行為的設備并進行告警。設備自動發現和監控功能通過主動探測自動發現網內設備，識別設備類型、品牌、型號、進行 IP/MAC 地址綁定，監控設備流量和行為異常設備，監測設備離線、類型變更、地址沖突。設備入網和準入通過注冊登記流程，對物聯網設備進行準入控制，發現非法接入設備并進行阻斷，防止惡意接入網內導致數據泄露。物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -4-三三.功能介紹功能介紹 3.1 設備和入網管理設備和入網管理

8、3.1.1 設備識別設備識別 設備識別是物聯網安全管理的基礎，因此系統需支持強大的設備識別能力。系統支持設備主動發現功能，發現過程不需在原有設備中安裝任何程序，發現過程不對網絡造成影響；能夠獲取物聯網中在網設備的 IP 和 MAC 地址、品牌、型號、發現時間等信息；支持弱密碼風險的自動識別。系統支持多種識別方式，系統提供豐富識別規則，支持根據預定義規則的組合發現設備的信息；支持結果指紋識別；支持使用預定義 python 或 lua 腳本對設備的發現，可以靈活的定義設備發現方法。3.1.2 設備設備流量流量 物聯網中設備流量的異常會影響物聯網業務的正常開展，對設備的流量進行統計分析從中發現問題所

9、在十分必要。系統通過旁路抓包方式實現對所有在網設備進行上下行流量、上下行流量包、發現時間的實時監控。3.1.3 地址沖突地址沖突 物聯網設備量大、分布廣泛，同時又屬于多人管理，信息上的不同步使得管理人員在使用IP 地址時極易產生混亂，從而導致 ip-mac 地址沖突事件的發生，系統通過支持自動檢查設備的 IP 地址、MAC 地址沖突及時發現問題并報警，提醒管理人員進行相關處置。因此，要求系統支持自動檢查設備的 IP 地址、MAC 地址沖突；支持地址沖突設備列表展示，列表信息 至少包括 IP 地址、MAC 地址、設備類型、地址組、管理員、沖突 MAC、沖突設備類型、狀態等。物聯網物聯網準入網關產

10、品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -5-3.1.4 設備設備異常異常 物聯網通過設備準入管理僅能實現最基本的安全控制，黑客通過特殊技術較容易“鑿穿”準入措施接入物聯網，因此需要通過設備的網絡行為異常作為補充，完善安全控制機制；系統通過旁路分析自動識別網絡行為，根據行為的特點自動判斷網絡行為是否為異常行為并產生報警，實現設備異常監控。系統支持根據異常行為自動產生設備異常報警；設備異常狀態分為異常和分析中，支持相關異常和分析中數量顯示，分別用不同顏色進行報警，點擊能彈出與該設備有關的異常對話框；支持設備異常列表。3.1.5 設備設備離線離線 物聯網設備物理上分

11、布廣泛，發生故障而產生離線時很難通過巡檢及時發現問題，因此需要對設備在線狀態進行實時檢測及時發現故障點。系統通過主動探測技術，以設備識別為基礎，實時檢測所有在網設備的在線狀態，支持產生設備離線報警。因此，要求系統支持對設備狀態進行實時檢測，并將離線設備記錄為離線狀態；支持離線設備列表，列表信息至少包括 IP 地址、MAC 地址、設備類型、地址組、管理員、最近離線時間、恢復時間、離線時間、狀態等。3.1.6 設備漏洞設備漏洞 物聯網由于前端設備數量龐大，維護人員在進行管理時為了方便常使用弱密碼對同一類型設備進行管理，這無形中增加了物聯網的安全隱患。系統通過主動探測技術，以設備識別為基礎，自動探測

12、在網設備、特別是前端設備的弱口令，及時產生設備風險報警。物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -6-3.1.7 IP 地址管理地址管理 前端設備作為物聯網組成部分，基數龐大，采用靜態 IP 地址接入方式，更好的 IP 地址管理非常必要，系統支持 IP 地址自動管理，實現 IP 地址自動統計、自動回收，支持已用 ip、可用 ip、ip 設備類型等詳細化管理。要求擁有仿冒終端智能識別功能，對于非法仿冒前端設備 IP/MAC 的終端，通過多級指紋判斷，自動告警、定位并阻斷。3.1.8 設備設備入網入網登記登記注冊注冊 系統識別的終端信息可編輯，

13、可對物聯網設備、網絡設備、終端等設備進行注冊、登記（包括 MAC 地址、物理位置、IP 地址、型號、廠商等）。確保物聯網所有 IP 設備的規范化管理，統一注冊、統一審批，落實責任人。3.2 非法行為監控阻斷非法行為監控阻斷 3.2.1 流流異?；顒赢惓；顒?物聯網通過設備準入管理僅能實現最基本的安全控制，黑客通過特殊技術較容易“鑿穿”準入措施接入物聯網，因此需要通過設備的網絡行為異常作為補充，完善安全控制機制。因此，要求系統支持通過行為分析自動識別物聯網中的異常行為，并記錄為異?；顒?；支持異?；顒訄缶斜?，列表信息至少包括策略名稱、級別、協議類型、源地址、源端口、目的地址、目的 端口、字節數、

14、包數、報警時間、payload 等；支持查看異?；顒訄缶?payload 信息；支持通過 協議、源 IP、源端口、目的 IP、目的端口、時間查詢異?；顒訄缶?。物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -7-3.2.2 網絡網絡行為審計行為審計 要求系統支持通過行為分析自動識別并歸納物聯網中的訪問服務器、協議掃描、端口掃描、常用協議、一對一訪問等網絡行為；支持網絡行為列表，列表信息至少包括策略名稱、協議、源地址、源端口、目的地址、目的端口等。3.3 集中集中管理多級部署管理多級部署 3.3.1 總體安全總體安全狀態監控狀態監控 物聯網準入網關

15、支持監控主視圖，在監控主視圖上集中展示主要監控指標、態勢曲線及重要的報警信息；支持總體安全指標顯示，安全指標計算包含待準入設備、離線設備、地址沖突設備、異?；顒釉O備、弱口令設備等因素；支持部署資產臺數、在線率、已運行天數顯示。3.3.2 多級分布式多級分布式部署部署 物聯網準入網關支持集中式管理和多級部署，支持上下級之間的控制指令下發和設備、報警信息上報；支持監控主視圖，在監控主視圖上集中展示主要監控指標、態勢曲線及重要的報警信息；支持接受上級阻斷命令、接受上級控制指令。四四.關鍵技術關鍵技術 4.1 超高速設備探測和發現超高速設備探測和發現 物聯網準入網關為了提高內網設備探知速度，采用了無連

16、接探測技術，繞開 tcp/ip 棧進行探測，能夠以最快的速度完成對網絡內設備分布的探知。圖 4.1 設備探測發現流程 物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -8-4.2 發現未知的攻擊行為發現未知的攻擊行為 物聯網準入網關以網絡行為安全分析為基礎，自動把網絡中的正常系統訪問行為識別為白名單，只要發生網絡攻擊行為，無論攻擊者采用何種攻擊方法，難免要在網內進行探測、攻擊、傳輸、下載等活動，這些攻擊活動在行為白名單的過濾下將自動浮出水面，迅速暴露出來。4.3 智能聯動阻斷異常設備智能聯動阻斷異常設備 物聯網準入網關支持非備案設備、異常設備自動阻

17、斷，實時將非法設備“拒之門外”，有效防止非法接入風險。4.4 旁路流量監控旁路流量監控 物聯網準入網關使用探測引擎檢測網絡中的物聯網設備，通過設備指紋特征精確識別設備類型，覆蓋主流的攝像頭、NVR、CVR、DVR、視頻網關、流媒體服務器、門禁卡、打印機等物聯網設備。物聯網準入網關使用旁路的分析引擎監測并分析網絡中數據流量，監控網絡行為關系。物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -9-五五.產品部署產品部署 物聯網準入網關部署不需要改變已有網絡結構，不用在網絡內串接設備，不用在系統上安裝代理，可以很方便的完成部署，無論邏輯上還是物理上都采用

18、旁路工作模式，徹底杜絕單點故障。物聯網準入網關典型部署模式如下：圖 5.1 產品部署圖 物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -10-六六.產品優勢產品優勢 6.1 方案方案合規，產品可信合規，產品可信 物聯網準入網關通過公安三所針對產品安全功能的針對性測試，并具備公安部頒發的 安全專用產品銷售許可證等安全證書，為用戶構建一張安全合規的網絡。6.2 多個多個層面，全面防護層面，全面防護 物聯網準入網關通過設備資產管控、網絡行為管控、應用管控三個層面實現安全控制，只有通過認證的 IP、MAC 地址，并且網絡行為符合物聯網業務需求，所使用的應

19、用符合物聯網應用的行為才能放行，其他 IP、MAC 地址和流量全部阻斷。6.3 功能功能實現，針對性強實現，針對性強 物聯網準入網關內置了主流物聯網設備資產特性及網絡協議，用戶部署后即可實現監測和報警功能。系統功能實現從可視化監測、資產管理、運行監測、安全控制等多方面入手，全面解決物聯網資產管理、設備故障、非法入侵等問題，幫助用戶全方位解決物聯網安全運行問題，實現物聯網可知、可控、可管理。6.4 可視可視管理，精確定位管理，精確定位 物聯網準入網關支持支持網內設備、違規報警、異常設備、未知連接數量等運行指標可視化展示，支持白名單 top5、設備流量 top5、協議流量 top5 等流量指標可視化展示，支持網絡行為、異常設備的集中圖形化展示，讓用戶從全局的角度去掌控網絡狀況。物聯網物聯網準入網關產品白皮書準入網關產品白皮書 2019 綠盟科技綠盟科技 密級：完全公開 -11-6.5 部署簡單部署簡單，無單點故障無單點故障 物聯網準入網關的部署不需要改變已有網絡結構，不用在網絡內串接設備，不用在系統上安裝代理，可以很方便的完成部署，無論邏輯上還是物理上都采用旁路工作模式，徹底杜絕單點故障。