38、等保2.0 物联网之安全物理环境_区域边界

Categories:

  少于1分钟  

  • 感知层:包括传感器节点和传感网网关节点,或 RFID 标签和 RFID 读写器,同时也包括这些感知设备及传感网网关、RFID 标签与阅读器之间的短距离通信(通常为无线)部分,该层面主要利用 RFID、传感器、二维码等随时随地获取物体的信息。
  • 解读:由各种传感器网关和传感器构成、包括有二氧化碳浓度传感器、二维码标签、湿度传感器、摄像头、RFID 标签和读写器、GPS等感知终端。感知层的作用就像人的视觉、触觉、味觉、听觉一样,它是物联网获取识别物体、采集信息的来源,主要功能是识别物体、采集信息。
  • 网络传输层:包括将这些感知数据远距离传输到处理中心的网络,包括互联网、移动网、私有网络、无线和有线通信网和云计算平台等,以及几种不同网络的融合,网络层就相当于人的大脑和神经中枢,主要负责传递和处理感知层获取的信息,并实时准确地传递出去;
  • 解读:物联网中的网络层通常不仅限于一种网络,而是由多种网络组合而成。物联网涉及到大量的设备和传感器,这些设备可能使用不同的通信技术和协议进行连接和交互。物联网的网络层可以包括有线网络(如以太网)、无线网络(如Wi-Fi、蓝牙、Zigbee、LoRaWAN)、传感器网络(如传感器融合网络)以及移动通信网络(如2G、3G、4G、5G)等。因此,物联网的网络层通常是由多种不同类型的网络组合而成,以满足不同设备之间的通信和互联需求,并提供可靠的数据传输和处理能力。
  • 处理应用层:包括对感知数据进行存储与智能处理的平台,并对业务应用终端提供服务(主要把感知层的得到的信息进行处理,实现智能化识别、定位、跟踪、监控和管理等实际应用)。对大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备。

常见的物联网系统有:智慧小区安防系统、智慧燃气系统、电子价签物联网系统、电梯物联网监控系统、建筑消防设施物联网监控系统、智慧水表系统、智慧景区旅游服务物联网系统、大型医用影像设备运维管理系统和大型医用设备使用监督管理平台等;

系统架构举例

例一、智慧景区旅游服务物联网系统

例二、家用智能摄像机

1)过手机的APP远程访问家里的摄像机,查看家里的情况,并将视频实时上传到云上。在这个过程中,物联网模型由用户(手机)、云端服务器、摄像头、传输系统四元素组成;

2)摄像头属于物联网中的感知层,进行现实世界的视频数据采集;云端则为物联网的应用层,汇聚、处理、分析摄像头传输回来的视频数据等,并与用户进行信息交互。在这个模型中,为摄像头与云端提供数据传输管道的设备,均属于网络层。

物联网延申

物联网通常由3层架构组成,由下到上依次为感知层、网络层、应用层。通俗的来讲,分为端、管、云三部分:

  • 端指的是终端。物联网终端实现数据信息采集,属于物联网的感知层;
  • 管指的是管道。所有为物联网提供数据传输的设备、系统都属于管道;
  • 云是大数据处理的中枢,提供面向用户的设备管理和数据汇聚等功能。

视频监控中所提到的智能视频技术主要是指:“自动的分析和抽取视频源中的关键信息。”如果把摄像机看作人的眼睛,而智能视频系统或设备则可以看作人的大脑。

传统的视频监控系统缺乏智能,在很大程度上依赖于人的判断。然而,人类有着自身难以克服的弱点,比如:(1)人力有限,人的反应与处理速度有限,导致我们在指定的时间内能够进行监视的地点有限。这也就意味着各个被监控点并非每时每刻都处于监控当中。(2)人并非一个可以完全信赖的观察者,无论是在观看实时的视频流还是在观看录像回放的时候,由于自身生理上的弱点,我们经常无法察觉安全威胁,从而导致漏报现象的发生。

智能视频技术可以在很多地方得到应用。比如:

(1)高级视频移动侦测:在复杂的天气环境中(例如雨雪、大雾、大风等)精确地侦测和识别单个物体或多个物体的运动情况,包括运动方向、运动特征等。

(2)物体追踪:侦测到移动物体之后,根据物体的运动情况,自动发送PTZ控制指令,使摄像机能够自动跟踪物体,在物体超出该摄像机监控范围之后,自动通知物体所在区域的摄像机继续进行追踪。

(3)人物面部识别:自动识别人物的脸部特征,并通过与数据库档案进行比较来识别或验证人物的身份。此类应用又可以细分为“合作型”和“非合作型”两大类。“合作型”应用需要被监控者在摄像机前停留一段时间,通常与门禁系统配合使用。“非合作型”则可以在人群中识别出特定的个体,此类应用可以在机场、火车站、体育场馆等安防应用场景中发挥很大的作用。

(4)车辆识别:识别车辆的形状、颜色、车牌号码等特征,并反馈给监控者。此类应用可以用在被盗车辆追踪等场景中。

(5)非法滞留:当一个物体(如箱子、包裹、车辆、人物等)在敏感区域停留的时间过长,或超过了预定义的时间长度就产生报警。典型应用场景包括机场、火车站、地铁站等。

(6)交通流量控制:用于在公路上监视交通情况,例如统计通过的车数、平均车速、是否有非法停靠、是否有故障车辆等等。

安全物理环境

感知节点设备物理防护

a) 感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动;

理解解读:

1)感知节点设备就是对周围物和环境进行信息采集的设备,在通过5G网络、移动网络、专网等传给上一级网络节点,在物理防护上,这些设备所处的环境应该不对其造成物理破坏,使其无法进行信息的收集和传输,当然有一些损坏是无法预期的,但是起码在短时间内安全的。

b) 感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域);

理解解读:

1)感知节点设备所收集的信息,不应该受到周围环境的太大影响,尤其是温度传感设备,例如收集室内温度传感器不能安在窗户边上,避免阳光直射对其造成太大的影响,再比如收集空气质量信息的传感器,就不可以安装在烟筒附近等等。

c) 感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响,如强干扰、阻挡屏蔽等;

理解解读:

这一项与上一项类似,就是换成了在收集电磁一类的容易受到干扰的信息时,避免受到周围环境的影响,应该避免此类感知节点安装在强电、强磁或者具有屏蔽作用的环境里。

d) 关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力)。

理解解读:

这一项检查是否设置了双线路供电,一般都是市电双线路,其次检查是否配备了UPS系统,保证在断电的情况下可以持续供电到电力恢复。

安全区域边界

二、接入控制

a)应保证只有授权的感知节点可以接入。

理解解读:

1)物联网的接入方式包括4G/5G、WiFi、蓝牙、NB-IOT等,安全技术包括认证、授权、加密连接等(安全设备有物联网安全网关)。

2)保证授权用户接入一般采用的方法有IP-Mac地址绑定、白名单等,查看物联网系统是否采取了相关措施,或通过对设备提取安全标识,对设备进行准入控制,能够及时发现非法设备接入,并可远程控制是否允许执行网络通信等措施。

注:NB-IOT是一种低功耗广域物联网(LPWA)技术,旨在支持大规模的低功耗设备连接和长距离通信。它是3GPP组织定义的一种标准,属于蜂窝网络技术之一。以下是关于NB-IoT的一些特点和优势:

  1. 低功耗:NB-IoT 设备采用低功耗设计,可以实现长时间的电池寿命,通常可达数年级别。
  2. 高覆盖范围:NB-IoT 可以在广域范围内提供广阔的覆盖,适用于在城市、农村和室内等各种环境中使用。
  3. 窄带宽:NB-IoT 采用窄带信道,可以在较小的带宽资源上支持大规模的设备连接,从而提高了网络的容量和效率。
  4. 较低的部署成本:由于NB-IoT利用现有的蜂窝网络基础设施,因此可以将其快速部署到现有的基站中,使得整体的部署成本相对较低。
  5. 多连接密度:NB-IoT 支持高密度的设备连接,能够同时处理大量的连接请求,这使得它非常适合支持物联网应用中数量众多的智能设备。
  6. 安全性和可靠性:NB-IoT 提供了安全和可靠的通信,采用加密和身份验证等技术来保护数据和设备的安全。

二、入侵防范

a) 应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为;

理解解读:

1)一般部署下一代防火墙或者物联网安全网关,且配置合理(通过采集流量数据,支持对网络行为进行监控,发现异常网络行为,如访问未知IP、网址或异常业务流等现象,自动发出报警或报警并拦截),或者有类似功能的设备、组件、协议等来实现,如果对这些节点进行单独组网或者划分VLAN也是可以的。

b) 应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为。

理解解读:

一般部署下一代防火墙或者物联网安全网关,且配置合理(支持终端网络隔离保护功能,基于网络底层,对内网直接的服务访问进行隔离阻断),或者有类似功能的设备、组件、协议等来实现,如果对这些节点进行单独组网或者划分VLAN也是可以的。

安全防护方案

01、物联网等保2.0安全防护方案设计应以“一个中心、三重防护”为核心指导思想,构建集识别、防护、检测、响应于一体的综合、立体的安全保障体系(一般网络层和传输层按照等级保护通用要求进行安全防护,主要考虑感知层安全防护)。

02、 物联网感知层、网络传输层和处理应用层的三层架构进行物联网综合安全防护设计;

01、感知层安全

物联网感知层主要建设内容包括感知终端物理防护,感知终端接入控制,感知层入侵防范,感知节点设备和网关设备身份鉴别、访问控制、安全基线、抗数据重放和运维管理等。

以太网型中①②部分终端具有智能系统以及标准TF接口或USB接口,植入安全定制APP,加配国密TF卡或USBkey卡,实现安全认证、传输加密;③部分终端是不具备驻留程序的哑终端,对于这部分终端通过设备指纹识别、协议白名单和行为分析等技术手段,解决感知层访问控制、安全准入、自适应攻击防范等的问题。

现场总线型在每个末梢感知节点前端部署感知节点防护模块(现场总线型),与网络传输层可信接入网关对称部署,二者建立安全加密隧道,采集现场总线型设备指纹,依据设备指纹对其身份进行鉴别,实现对非法接入行为实时告警与阻断功能。

02、网络传输层安全

网络传输层是物联网的传输层,承担信息传输的工作,支撑信息、数据与指令在感知层和处理应用层之间的传输,并为各类应用提供服务接口,是实现物联网信息服务的基础。

网络传输层的安全可以由跨网数据交换方案来实现。跨网数据交换方案由可信安全防护网关、数据交换系统和网闸等组成。

可信接入网关对跨网访问的用户实施身份认证和访问控制,同时实现针对服务的攻击防护和行为审计等功能,防止服务访问过程中的身份假冒、越权访问及远程网络攻击。数据交换系统与网闸配合使用,能满足各种复杂、异构的海量数据交换业务需求,实现与业务系统的无缝衔接;又能监控整个交换过程,实现整个交换过程的机密、完整、可控、可用、可追溯。

03、处理应用层安全

物联网应用层安全主要由物联网安全管理中心、物联网漏洞管理平台、新型网络安全事件分析与发现系统、安全检查工具箱等设备组成。

(1)物联网安全管理平台,能够对物联网侧感知节点安全接入模块、感知节点安全接入网关进行安全策略配置管理与状态监控,实现对物联网安全事件的告警和应急响应功能。

(2)物联网漏洞管理平台,能够对物联网漏洞进行预警并动态调用扫描引擎对物联网设备的脆弱性进行评估管理,并对资源漏洞信息进行统一关联、展现和告警,使得管理人员可以有效地跟踪漏洞生命周期,实现漏洞全生命周期的可视、可控和可管。

(3)新型网络安全事件分析与发现系统(UEBA),利用大数据、机器学习等技术,提供用户画像、实体对象画像,集成威胁情报数据,对用户和实体对象行为建立正常基线和监测对基线的偏离,可持续监测调整风险等级。

(4)应急处置工具箱包含了通常应急处置过程中用到的绝大部分工具,包括信息收集类(Nmap、Wireshark等)、日常安全检查类(webshell检测、恶意代码发现、漏洞扫描等)、安全加固类(系统加固、软件服务加固等)、电子取证类(内存取证分析、日志提取等)等一系列应急工具,同时也覆盖到了Windows、Unix以及Linux各操作系统平台。

例:某园区物联网安防实例