物联网的定义及场景
1999 年,MIT Auto-ID中心的 Ashton 教授最早提出来了物联网(IoT,Internet of Things)这一概念,其定义是:使用 RFID(射频识别)、GPS(全球定位系统)、红外感应装置、激光扫描装置等信息感知设备,通过某种通信协议就能够将任何物品接入到互联网中,进行数据采集和信息交换,从而完成智能化的识别、定位、跟踪、监控以及管理。
在GBT22239-2019《信息安全技术网络安全等级保护基本要求》中对等保2.0适用的物联网应用场景进行了说明(如下图所示),并明确指出物联网安全扩展要求是针对感知层提出的特殊安全要求,而网络传输层和处理应用层按照安全通用要求提出的要求进行保护。
物联网感知层定义
在等保2.0物联网应用场景中将感知层分为RFID系统和传感网络两部分。
1.RFID
RFID是射频识别(Radio Frequency Identification)的英文缩写,其利用射频信号通过空间电磁耦合实现无接触信息传递并通过所传递的信息实现物体识别。RFID既可以看做是一种设备标识技术,也可以归类为短距离传输技术。
RFID系统主要由三部分组成:电子标签(Tag)、读写器(Reader)和天线(Antenna)。其中,电子标签芯片具有数据存储区,用于存储待识别物品的标识信息;读写器是将约定格式的待识别物品的标识信息写入电子标签的存储区中(写入功能),或在读写器的阅读范围内以无接触的方式将电子标签内保存的信息读取出来(读出功能);天线用于发射和接收射频信号,往往内置在电子标签和读写器中。
RFID技术的工作原理是:电子标签进入读写器产生的磁场后,读写器发出的射频信号,凭借感应电流所获得的能量发送出存储在芯片中的产品信息(无源标签或被动标签),或者主动发送某一频率的信号(有源标签或主动标签);读写器读取信息并解码后,送至中央信息系统进行有关数据处理。
2. 传感网络
在等保2.0中将传感网络分为终端感知节点和感知网关节点两部分,终端感知节点通过传感网与感知网关节点进行通信。
终端感知节点主要是对各种参量进行信息采集和简单加工处理的设备,既传感器。传感器可以独立存在,也可以与其他设备以一体方式呈现。传感器的分类方法多种多样,我们一般按照使用扩展性将传感器分为单一功能传感器和通用智能传感器。
● 单一功能传感器一般设计简单,外部接口较少,功能单一,无法改造;
● 通用智能传感器相对设计复杂,外部接口能够满足大部分应用的需求,可以通过内部软件设置、硬件模块拆卸等满足不同的功能需求。
传感网是终端感知节点与感知网关节点间的通信网络。按照技术特点,可以分为有线传输、近距离无线传输、传统互联网和移动空中网四类。
● 有线传输主要有电线载波或载频、同轴线、开关量信号线、RS232串口、RS485、USB,其中比较常见的是RS232串口、RS485、USB。
● 近距离无线传输主要有无线RF433/315M、蓝牙、Zigbee、Z-ware、IPv6/6Lowpan、LoRa,其中比较常见的是蓝牙、Zigbee、LoRa。
● 传统互联网主要有WiFi和以太网。
● 移动空中网主要有GPRS、3G/4G、NB-IoT、5G。
感知网关节点是指在感知层和网络层中发挥承上启下作用的设备。一般具备两方面功能:其一,在感知层内作为接收者和控制者,被授权监听和处理感知层内的事件消息和数据,可向终端感知节点发布查询请求或派发任务;其二,面向网络层作为中继和网关完成感知层和网络层间协议和数据的转换,是连接感知层与网络层的桥梁。
物联网安全扩展要求
物联网安全扩展要求的内容主要包括技术部分的安全物理环境、安全区域边界和安全计算环境和管理部分的安全运维管理。其中技术部分在各安全等级的要求如下表所示。
管理部分则主要提出了三个方面的要求:一是对感知节点的定期巡检和维护;二是对感知节点全生命周期全程跟踪管理;三是对感知节点和网关节点部署环境的保密性管理。
启明星辰物联网安全解决方案
针对不同类型的感知节点和不同的传感网通信形式,启明星辰拥有全面的物联网安全解决方案。
针对智能终端中可改造的部分集成国密TF卡或者国密UKey及国密客户端,实现认证和加密;针对不可改造的部分串接集成国密芯片的密盒,实现认证和加密。而单一功能终端往往不具备驻留程序,因此根据其具体的通信方式,在传感网或感知网关节点处进行安全防护。
针对现场总线型的通信方式,可以在前端部署现场总线型防护模块,与部署在感知网关节点处的物联网安全网关配合,实现数据的安全加解密。
针对5G、NB-IoT、3G/4G等移动网络的通信方式,物联网安全网关集成了相关通信模块。此外,物联网安全网关支持对LoRa、ZigBee等短距离无线网络传输协议的解析,可以通过在感知网关节点处部署或将原网关节点替换为物联网安全网关实现对感知层的整体安全防护。
启明星辰物联网安全网关产品
通过对物联网安全扩展要求的解读,需要从技术方面在感知层实现设备准入控制、身份标识、访问控制、集中管控、抗数据重放等安全功能。
1. 启明星辰天清物联网安全接入防护系统 IoT-VBox
IoT-VBox是一款专门为解决现存于物联网终端安全问题设计的产品,具备终端识别、终端认证、准入控制,行为基线建立、行为控制、集中管理等安全功能,可识别和管控物联网泛终端,如PC、服务器、打印机、扫描仪、指纹机、物流终端等各类终端,适应用于智慧军营、智慧交通、智慧物流、平安城市、智能交通、智能制造、公安、电力、石油、石化、市政等领域。
2. VenusHalo物联网安全系统
启明星辰VenusHalo网关通过深⼊入IOT底层终端采集设备指纹数据和网络行为数据,并对采集到的数据及协议进行机器学习,搭建设备指纹库、设备准入规则库、业务安全行为模型,智能识别已授权设备及安全行为;同时,防范未知设备接⼊入、恶意威胁和入侵行为。另外,通过挖掘IOT 设备漏洞,针对性防御入侵攻击,增强设备安全能力。Venus-Halo管理后台可根据业务需求制定安全策略并下发执行,发现异常或威胁时后台及APP 端实时告警,以保障物联网设备网络安全。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
