在以往，电力的端点可以说是家家户户的电表，运维靠的是基层员工走街串巷，查电表、修线路、抓偷电。电力物联网的出现让老一辈抄表员不再跑断腿。随着新能源汽车的兴起，时代要求电力系统做新能源汽车的“加油站”，即充电站。在电网概念中，充电站仍然以电表为端点。但在物联网概念中，充电站是一个子网，这个子网中至少有智能电表、充电桩、摄像头。传统的端点从一个电表变成了几十上百个IoT设备。要保障这一物联网的健康运行，势必要解决合法设备便捷接入网络，防止入侵及IoT设备风险评估等问题，以保护物联网的安全。因此，终端准入与访问控制对于电力物联网而言十分必要。本期发布牛品推荐——上海宁盾：物联网（IoT）接入安全场景解决方案。

　　#牛品推荐第二十四期 #

　　01

　　标签

　　终端合规检测，网络准入，访问控制，资产管理，可视化拓扑，风险告警

　　02

　　用户痛点

　　1、如何让合法设备便捷地接入网络

　　新的IoT管理必须为业务高速发展提供支撑。传统准入方法是在IoT设备上配置802.1x认证，或者配置MAC地址白名单。问题在于，一是多数新型哑终端无法支持802.1x认证，抬高了设备门槛，让采购丧失灵活性；二是传统方法基于静态信息，新业务的快速开展一定存在大量的设备增加和变更，甚至设备品牌的变化，基于静态信息的准入让运维效率变得低下。

　　2、如何探测植入或入侵

　　电力物联网是一个TCP/IP网，基于防火墙做了网络边界防护。充电站有许多IoT设备暴露在建筑物外部，比如充电桩和摄像头，这些设备在网络边界内部却在物理边界外部，不法人员很容易通过室外的物理端口接入，对网络边界内部发起攻击。

　　3、如何动态评估IoT设备风险，做到有备无患

　　IoT设备的一大特点是固件不易升级，安装运维特点是默认密码不修改，为长期运维留下隐患。随着时间的推移，不断会有设备爆出漏洞。对IoT设备进行风险评估是一个比较新的领域，除了对单一设备动态评估，还需要对网络区域安全风险做整体评估、排名，对高风险设备做告警，甚至隔离网络。

　　03

　　解决方案

　　解决上述问题，首先要做到“看得到”，从而实现“管得了”。

　　首先，要探测到网络中所有终端，形成整体视图，能够识别出“合法设备”和“非法设备”。这需要探测终端的设备类型、MAC地址、地理位置等，并且与本地资产库或者联动外部资产库匹配终端，能够匹配的为合法终端，匹配不成功的标记为非法终端。

　　其次，持续检测终端指纹，一旦终端指纹变化，意味着其MAC地址可能被伪造，需要标记为安全事件，并自动联动网络设备限制其接入。

　　除此以外，需要联动第三方IoT漏洞检测系统，收集和统计终端威胁，形成风险评估列表，让风险设备也能被看到。

　　宁盾解决方案中完整的系统组成包括宁盾探针、宁盾IoT中控、IoT漏洞探测（可选）、客户自运维的大数据分析平台（可选）：

　　宁盾探针：充当网络“摄像头”和策略执行器，通过流量镜像发现、探测终端信息。探针在IoT设备流量比较小时单台容量很大，每个地市部署1至2台即可；

　　宁盾IoT中控：它是泛终端资产及风险管理中心，它提供集中资产视图（联动）、集中终端视图以及终端风险视图；

　　IoT漏洞探测系统：在宁盾探针发现终端设备后，对其定期扫描，丰富终端风险视图，使宁盾系统可根据风险评级自动告警或者限制网络接入；

　　大数据分析平台：客户自有平台，宁盾有可将终端设备的各种信息和动态发送给第三方。

　　资产定义或联动：

　　终端集中可视化：

　　终端风险视图（联动OpenVAS效果）：

　　04

　　方案特点

　　该方案放弃边界防护思路，采用基于无边界的“零信任”机制解决终端问题，在执行层面，通过全程“可视化”替代传统基于Agent方式来实现终端信息收集问题，通过打造开放性与第三方联动，承担泛终端安全管理连接器及感知中台。

　　1、创新点：

　　自动化：在设定规则之后，它能够自动发现泛终端；

　　开放生态：与以往试图提供整体解决方案不同，它尝试打造一个解决问题的生态体系，通过与各种安全产品联动、大数据平台联动，整体解决爆发式增长泛终端的资产及安全管理问题；

　　基于学习式：通过机器学习，不断扩大终端识别库以及提升终端行为判断精准度。

　　2、技术优势

　　自动实现终端资产分类，提升资产提供的精准度、实现实时终端资产统计及更新时间、替代传统手工统计方式无法实现全局收集难题，降低管理成本；

　　终端规模越大，识别代价越低、精准度越高；

　　自动识别风险终端，并能够定位终端的身份、位置、设备类型、风险情况，大大提升发现及解决问题效率；

　　开放连接架构，提升联动解决泛终端安全问题能力，能够连接不同厂商安全能力、数据能力，实现联动解决泛终端安全问题，如DLP、漏洞管理、SIEM及态势感知等联动。

　　05

　　用户反馈

　　“宁盾终端准入产品帮助提升IT基础设施的可视化，有效识别入网终端身份信息及安全情况，阻隔非法终端接入，并自动对异常终端进行隔离，自助修复，保障了企业内网资源安全。”

　　——来自某人工智能公司

　　“对于接入网络的终端，宁盾提供完善的终端准入安全审查防护功能，能够有效的对入网终端进行合规性检查。通过客户端/无客户端的模式，简化了用户准入流程，提高了用户产品体验。兼容现有网络架构，无需进行网络改动，支持与第三方平台进行联动，加强企业内部网络安全。方便、经济、高效。”

　　——来自某芯片半导体公司

　　“宁盾终端准入解决方案提升企业对终端管控的可视化能力，包括发现连接到企业内部PC、手机、物联网设备、网络设备等，以及受信及非受信终端，并进行灵活的入网安全控制。高效便捷及生态联动能力，实现企业网络环境整体防护。”

　　——来自某物联网科技公司

　　“分布式部署模式能够灵活适应企业组织架构，实现企业对终端准入的集中管控要求。通过对终端入网进行安全检查，有效防止不合规终端或不符合安全要求的终端入网，让不安全变得可见。例如，防病毒软件未及时更新、操作系统补丁未及时更新、安全不合规软件等行为。切实提高了企业内网的安全基线。”

　　——来自某大型金融企业

　　安全牛评

　　当业界在推动产业物联网高速发展同时，物联网安全问题也给我们敲响了警钟。近两年，国内外挖矿、设备劫持事件频发，智能家居产品不断爆出安全漏洞，漏洞被利用时将造成不可逆的经济损失，同时也反映在物联网产业建设初期，安全作为物联网应用的基础设施的重要性。“攻击来源繁杂、攻击危害巨大、传统防护乏力”是物联网安全的三大特征。

　　宁盾科技物联网终端安全解决方案，实现了 “可视化”物联网资产发现和终端信息收集，通过第三方安全平台，实现了自动识别终端风险，大大提升发现及解决问题效率。