（钟一鸣）：万物互联，智联安全

万物互联，智联安全 深信服医疗事业部钟一鸣 一．物联网的现状及挑战二．物联网安全解决思路三．物联网安全解决方案 物联网基本概念 物联网(IoT:InternetofThings):通过感知设备，按照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟 世界的信息进行处理并作出反应的智能服务系统。（GBT33745-2017物联网术语） 物联网在医疗行业的应用建设 实现对患者的监护跟踪安全系统，病人流动管理、出入控制与安全；婴儿安全管理系统、医护人员管理系统。 实现包括实时付费以及网上诊断、网上病理切片分析、设备的互通等，以及挂号、诊疗、查验、住院、手术、护理、出院、结算等智能服务。 药品、耗材、器械设备等医疗相关产品在供应、分拣、配送等各个环节的供应链管理系统。 通过界面采集数据、提炼数据、获得管理功能，并进行分析、统计、报表，以针对医废物跑处理做出管理决策。 实行家庭安全监护，实时得到病人的全面医疗信息，从而实现远程医疗指导或自助医疗指导。 人员管理智能化 医疗过程智能化 供应链管理智能化 医疗废弃物管理智能化 健康管理智能化 物联网安全整体态势分析 物联网攻击正呈现爆发上升趋势，2017年物联网攻击数量是2016年的10倍，2018年为2016年的50倍 全球超过6000万物联网设备暴露于互联网，路由器、视频监控设备占比超过20% 据Gartner预计，到2020年超过25%的安全事件将与物联网相关 中国物联网形势极为严峻，设备暴露、入侵等问题位于世界前列 物联网僵尸网络已成为网络黑产重要手段，全球IOT僵尸网络的设备数超过400万 安全挑战一：安全风险不可视 •现有准入方式简单粗暴，哑终端、物联设备等极容易被仿冒和替换 •前端设备多数部署在比较隐蔽的地方，现有准入机制难以发现私接设备 •过去取证主要基于IP和MAC的方式，但IP和MAC都很容易被仿冒，无法对真实攻击进行溯源取证 •经过多次路由转发或NAT转换难以跟踪到源MAC或IP，定位难度加大 终端难发现资产不可视溯源取证难攻击难防御 •物联网存在大量传感器、专项器械、摄像头等，设备数量多、品牌杂、部署位置分散，且由各厂家分别管控，缺乏有效统一管控 •海量电脑、哑终端、物联网设备、服务器等设备资产信息不可视，难以有效管理 •物联网建设以传统防护为主，攻击行为不能持续检测，造成表面安全的错觉 •随着物联网建设规模扩大，难以准确定位 资产风险 •系统自身存在漏洞、弱口令等脆弱性，而外部的挖矿病毒、勒索病毒等潜伏威胁日益剧增，海量安全日志看不全看不懂 安全挑战二：安全风险不可控 外部攻击行为不可使，不可控 物联网边界缺乏有效防护，大部分处于“裸奔”状态，攻击者 进入内网后一马平川 •物联网边界缺乏细粒度的协议分析管控，无法识别攻击流量 夹杂进入专网的情况 •物联网设备已知漏洞大多缺乏补丁和加固措施，攻击者利用前端物联网设备漏洞或者默认密码等弱口令，控制并获取所有物联网设备数据 内部威胁不可控 •监控PC终端大多缺乏有效防病毒和补丁管理措施，且终端间无隔离，任一终端失陷后病毒会在整个物联网中传播 一．物联网的现状及挑战二．物联网安全解决思路三．物联网安全解决方案 国内物联网信息安全相关标准 1GB/T22239-2019《信息安全技术网络安全等级保护基本要求》； 2GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》； 3GB/T28448-2019《信息安全技术网络安全等级保护测评要求》； 4GB/T37044-2018《信息安全技术物联网安全参考模型及通用要求》； 5GB/T37093-2018《信息安全技术物联网感知层接入通信网的安全要求》； 6GB/T37025-2018《信息安全技术物联网数据传输安全技术要求》； 7GB/T37024-2018《信息安全技术物联网感知层网关安全技术要求》； 8GB/T36951-2018《信息安全技术物联网感知终端应用安全技术要求》； 9GB/T35317-2017《公安物联网系统信息安全等级保护要求》； 10GB/T35318-2017《公安物联网感知终端安全防护技术要求》； 业内主流物联网安全解决方案 A：前端接入安全型 B：边界防护检测型 C：内部隔离防护型 针对物联网中的私接仿冒问题做安全管控，并对异常接入进行告警提示 使用防火墙等网关类产品做边界防护在物联网内部划分安全域，分域进行安 全管控 1.防护片面，未深入分析物联网特点，缺乏准入控制及基于协议的访问控制 2.基于已知风险的静态防御，缺乏预警机制，无法在入侵行为发生前主动发现问题 建设思路：完整覆盖网端云的物联网防御体系 围绕物联网安全风险，形成体系化防护方案 云•动态安全准入，实时安全管控 •持续安全监测，精确安全防护，综合解决安全问题 以网、端、云为体系架构，从多层面进行防护 端网 网：网络边界有效防护端：前端设备全面管理云：全局监测立体保护 •实现网络、前端、云端多层综合防护及管控 •实现对内部威胁、外部攻击、内部威胁横向传播的立体检测和响应 持续预测、防御、检测和响应 •在威胁进入前提前安全预警并进行安全防护 •在威胁扩散前提前隔离控制，快速锁定并封锁恶意威胁 一．物联网的现状及挑战二．物联网安全解决思路三．物联网安全解决方案 物联网安全解决方案 物联网安全解决方案 防护思路 网 网络边界准入区域边界隔离流量行为控制入侵攻击防御非法外联防范 端 前端资产发现设备指纹识别安全合规检测风险扫描评估终端安全防护 云 资产态势监测脆弱性态势掌控全网联动处置平台立体保护 处置工单流程 资产扫描探针TSS 外联探测网关 安全感知平台SIP 流量监测探针STA 安全网关AF 产品实现 动态安全准入 人工智能SAVE引擎 细粒度访问控制 “网端云”协同联动 物联网安全监测 技术优势 采用“网端云架构”以“体系化的”思路构建物联网闭环安全体系，变“被动防御”为“检测和响应并举”的主动防御。 在传统PDR基础上增强预测能力，从被动事件响应升级为主动安全防御响应，通过安全大脑的推理模型预测下一步攻击步骤，结合云端威胁情报检测新型威胁和0day攻击，并联动安全设备进行安全封锁和一键处置 网：边界有效防护 安全网关 •针对物联网络协议优化，提供L2-L7的全面防御能力 •针对攻击者伪造物联网设备指纹，绕过交换机行为，提供阻断 拦截 •识别主流物联网协议，进行通信单向传输的访问控制 •基于物联网协议（如视频协议SIP、28181、各物联网厂商协 议等）漏洞攻击防护 •基于信令的精细化管控 威胁潜伏探针（STA） •集成物联网设备指纹检测能力，全面行为管控 通过部署物联网安全防火墙设备，从安全防御、入侵检测、访问控制、违规阻断、非法访问、物联网协议识别及漏洞防护等角度全方面实现网端安全有效防护 网 威胁潜伏探针 威胁潜伏探针 安全网关AF 安全网关AF 端IOT IOT IOT IOT 物联网设备、视频摄像头物联网设备、视频摄像头 端：物联网资产识别与准入 基于物联网内海量数据，提供主动和被动的资产识别方式，通过多维度特征精准识别物联网资产，建立资产信息画像以及构建前端接入终端安全准入控制； 授权物联网终端 授权物联网终端 物联网安 802.1X全 非授权物联网终端 准入系统 物联网 物联网 安802.1X 全MAB 入 准portal 系 统 授权合规终端授权不合规终端非授权终端 建立边界可信，阻断非法接入，放行信任终端入网，伪造设备阻断 云：全局安全可视 资产管理与可视 物联网准入控制 漏洞管理 威胁及时检测 一键联动处置 处置工单系统 全网态势感知 深信服安全解决方案部