图片64

一般从体系结构上说，物联网可分为处理应用层、网络层传输层、感知层。因此，对物联网的网络安全等级保护也需要分别从这三个层次展开。

作为物联网处理应用层，网络传输层一般是由计算机设备构成的，这两个方面的安全保护需要根据一般安全要求所提出的具体要求进行保护设计。

在感知层，对物联网进行安全保护时，需要根据物联网安全扩展要求所提出的具体要求进行安全保护设计。

物联网安全性综合解决方案。以一中心三重防护为核心，建立集识别、防护、探测、反应于一体的完整、立体安全保障系统，方案逻辑结构如上图所示。

基于物联网的保2.0架构构建内容主要包括感知层安全、网络传输层安全、处理应用层安全及安全管理平台等。

根据上面的逻辑架构，物联网感知层.网络传输层和处理应用层三层体系结构来实现物联网综合安全保护设计。

1.感知层的安全性。

构建物联网感知层的主要内容有：感知终端的物理保护、感知终端的接入控制、感知层的入侵防御、感知的节点设备和网关设备识别.存取控制.安全基线.抗数据重放和维护管理等。

其中部分终端配有标准TF接口或USB接口，可植入安全定制APP，加配国密TF卡或USBkey卡，实施安全认证：传输加密；部分终端是没有常驻程序的哑终端，对于这个终端通过设备指纹识别、协议白名单和行为分析等技术手段，解决了感知层访问控制，安全进入，防止自适应攻击等问题。

现场总线方式在各终端感知节点前端布置感知节点保护模块(现场总线)，对称地部署网络传输层的可信接入网关，这两种方法都建立了安全加密通道，通过采集现场的总线设备指纹，根据设备指纹识别他们的身份，实现对非法接入的实时报警和拦截。

2.安全的网络传输层。

网路传输层是物联网的传输层，承担讯息传递，支撑讯息.在感知层及处理应用层间传送资料，为各种应用提供服务接口，是物联网资讯服务的基础。

通过跨网数据交换方案，实现了网络传输层的安全性。该方案由可靠的安全防护网关、数据交换系统、网闸等组成。

受信任接入网关对跨网用户实施身份认证和访问控制，同时实现了对服务的攻击防护和行为审核，防止在服务访问期间进行身份伪造、越权访问、远程网络攻击。该系统与网闸配合使用，可以满足各种复杂.异构的大容量数据交换业务需求，实现与业务系统的无缝连接；同时还可以监控整个交换过程，实现保密.完整.可控.可用.可追溯。

3.应用层安全性。

Image Systems安全管理中心、物联网漏洞管理平台。新的网络安全事件分析和发现系统。安全检查工具包等构成。

(1)物联网安全管理平台，能对物联网侧感知节点安全访问模块、感知结点安全接入网关进行安全策略配置管理和状态监控，实现对物联网安全事件的报警和应急响应功能。

(2)物联网漏洞管理平台，能够预警物联网漏洞并动态调用扫描引擎来评估物联网设备的弱点，并且统一关联、显示和报警，使管理人员能够有效地跟踪漏洞的生命周期，实现漏洞全生命周期的可视化、可控、可管。

(3)新一代网络安全事件分析和发现系统(UEBA)，提供了一张用户画像.实体对象的肖像，综合威胁情报数据，为用户和实体对象的行为建立标准基准，监测对基线的偏离，从而持续监测调整风险级别。

(4)应急处理工具箱包含通常在应急处理过程中使用的绝大多数工具，包括信息收集(N map.Wire shark等).日常安全检查(web shell探测.恶意代码探测.漏洞扫描等).安全加强类(系统加固.软件加固，等等).电子取证(内存取证分析.日志提取等)，它还涵盖了Windows.Unix和Linux的各种操作系统平台。

另外，处理应用层的安全措施还包括一系列满足等保2.0通用安全要求的安全设备，如入侵探测/防御.网络/数据库审计，基线配置验证等。

本文提出的物联网安全解决方案，解决了物联网用户在实践中遇到的安全问题。如物联网资产分散难以管理、物联网终端的漏洞难以管理、物联网网络攻击事件频繁、物联网身份与权限难以控制等问题等等，帮用户有效降低物联网安全风险的同时，保证物联网业务的持续稳定运行。