物联网要过“等保2.0”?绿盟科技来支招

物联网要过“等保2.0”?绿盟科技来支招

2019年05月31日 10:10:20
来源:财经夜说

随着一系列等级保护新标准的顺利发布,网络安全等级保护进入到2.0时代。作为新增的等级保护对象,物联网要怎么过“等保关”?绿盟科技来支招。

一、 要求总览

随着企业业务的数字化转型,物联网技术和商业模式也以惊人的速度发展。当前物联网应用遍布在智慧家居,智慧大厦,智慧能源,智慧交通,智慧城市等行业。相对于传统信息系统,物联网如何进行等级保护非常受关注。新等级保护标准的发布,明确了物联网作为等级保护对象的具体要求,指导物联网的安全建设。

新标准中对于物联网的等级保护,依据物联网架构的三个逻辑层次,即感知层、网络传输层和处理应用层,提出了具体的技术要求。由于网络传输层和处理应用层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护,物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整安全要求。

null

注:安全通讯网络、安全管理中心、安全管理制度、安全管理机构、安全管理人员和安全建设管理,物联网无扩展要求。对于物联网的等级保护,我们以第三级要求说明有哪些应该重点关注。

二、 抓住重点

1. 物联网构成

null

等级保护基本要求附录F中,描述了物联网应用场景。物联网从结构上可分为三个逻辑层,即感知层、网络传输层和处理应用层。其中感知层包括传感器节点和传感网网关节点,网络传输层包括将这些感知数据远距离传输到处理中心的网络,处理应用层包括对感知数据进行存储与只能处理的平台,并对业务应用终端提供服务。

 2. 安全物理环境

null

解读:

物联网感知节点设备,能对物或环境进行信息采集和执行操作。在物理防护上,要求环境不对设备造成破坏,环境对采集结果不造成影响,设备有持续的电力供应。这里主要是对物联网终端厂商、设备的部署安装提出的要求,需要在物理防护上满足等级保护要求。

 3. 安全区域边界

null

解读:

物联网感知节点设备,在接入网络时需要具备唯一标识,且感知节点接入行为应具有身份鉴别机制,采用访问控制机制,确保授权才允许接入。

 对感知节点和网关节点的入侵防范,扩展要求时限制通讯的目的地址,用的主要也是访问控制策略,通过白名单限制感知节点和网关的网络访问。

4. 安全计算环境

null

解读:

 物联网感知节点通常处于网络边缘,弱终端负责数据采集,强终端会涉及到一些边缘计算,安全计算环境首先要保证设备的安全。身份标识和鉴别是基本要求,通过可信ID,确保资产不会被替换和伪造。

物联网网关节点主要用于和弱终端的连接,需要对与其连接的设备合法性进行判断。设备的密钥和配置参数的更新,相当于有安全基线的要求,同时需要支持授权用户的在线更新。

数据新鲜性是指对所接收的历史数据或超出时限的数据能够进行识别。物联网数据使用有可用性、完整性、保密性的要求,以避免数据重放攻击。

对于数据融合处理有两种方案,不同终端厂商设计时按照行业标准,使用通用协议加私有协议方式,为平台提供数据。或者平台自己能够支持多种协议的数据融合。

5. 安全运维管理

null

解读:

物联网感知节点设备,部署位置广泛环境恶劣,会因日久年深导致设备不可用。对运维管理提出要求是定期巡视设备并进行记录和维护,并对设备的入库、部署到报废的全生命周期进行管理。此外对运维的保密性管理也提出了要求。

三、 解决方案

绿盟科技结合多年等保合规实践经验,按照感知层、传输层、应用层的体系框架,针对安全通用要求和物联网安全扩展要求,提出了立体性、先进性和综合性的物联网等保合规解决方案。

立体性:从感知终端、传输层、平台层不同层次上实施不同的安全机制,形成多视角,立体化的安全体系

先进性:采用先进的机器学习算法,进行建模分析,结合NTI物联网情报系统,达到针对物联网持续高效安全防护目的

综合性:通过安全管理平台平台关联使用,实现设备可视、威胁可防、风险可控,实现统一综合管理目的

null

等保2.0对物联网的感知层提出物联网扩展要求,网络传输层和平台应用层需要按照通用要求进行安全防护。可以从数据加密、密钥管理、入侵检测、风险评估等角度进行防护。

null

同时,绿盟科技提供包含等保咨询、漏洞扫描、安全检查、渗透测试、安全加固、应急响应、安全通告、风险评估服务和安全培训等一系列安全咨询服务,在等级保护的多个阶段帮助客户更好的满足等保合规要求。

绿盟科技已发布等级保护2.0系列解决方案,相关咨询请联系绿盟科技各分公司、办事处的相关人员。