近年来,高新技术快速发展,数字化转型成为教育领域高质量发展的重要引擎和创新路径。网络安全作为数字化建设的安全基石,却面临着网络安全人才缺口不断攀升的直接挑战,网络安全人才培养迫在眉睫。
结合多年丰富的网络安全技术积累与人才培养经验,安恒信息数字人才创研院和解决方案部共同推出一系列教育行业解决方案,从网络安全全行业出发,全方位助力高校形成人才培养、技术创新、产业发展与网络安全技术应用的良性生态。
本期第四话
安恒信息智慧校园物联网安全解决方案
随着智慧校园的不断建设,智能化终端和物联网终端被广泛应用在校园各处角落,让校园更安全、更智能,学校也进入万物互联的时代。伴随校园物联网设备数量激增,尤其是视频监控设备、在线物联网设备等智能设备,规模数量庞大、部署位置分散、边界延伸模糊且部分终端长期处于无人值守的状态,以至于设备存在异常行为往往也难以及时感知到,物联网安全已成为高校信息化安全建设重要部分。
挑战一:终端自身安全不可控
学校物联网设备类型多、分布广,并且设备生产厂商注重业务应用层面的技术创新,忽略其产品自身的安全性能,导致设备出厂时广泛存在诸如漏洞、弱口令、高危端口开放等安全隐患,设备自身面临着巨大的安全挑战。
挑战二:终端数据安全不可控
物联网管理平台往往只识别终端在线的状态,无法感知终端实际的安全状态,且物联网设备自身存在的系统漏洞和安全防护能力不足,极易被黑客控制发起攻击与破坏。
挑战三:安全管控手段不完善
高校已有的安全防护体系未纳入校园物联网设备安全,对物联网设备缺乏统一安全管控手段,导致物联网设备即使存在异常行为、发生安全事件无法感知,整体校园网络安全依旧存在木桶效应。
智慧校园物联网安全解决方案
面向高校智慧物联网应用场景,以保护学校物联网资产与网络为目标,以物联网安全感知与管理平台为核心,结合不同维度的安全探针,构建高校智慧物联网络整体安全防护体系。技术构架分为如下四个层级:
安全探针层负责采集物联网感知层不同维度的安全数据:各类物联网设备的资产信息、资产脆弱性、违规外联行为、高级攻击威胁、终端准入数据、欺骗诱捕数据;
数据分析层负责对安全探针层上报的各维度安全数据进行数据处理、关联分析计算、数据挖掘从而之处安全应用层的各功能模块;
安全应用层提供面向用户的各大安全能力模块,其中包括物联网安全威胁监测、物联网安全态势感知、分析研判、通报预警等,真正实现学校物联网安全整体安全威胁可视,风险预警处置闭环。
能力一、摸清物联网资产底数
通过主动资产探测、流量监听等方式,对校园内部不同类型不同系统的物联网设备自动发现,自动识别,感知设备基本信息包括IP、MAC、开放端口、网络连接等,协助学校建立完善、清晰的物联网资产清单。
能力二、物联网终端安全准入
针对校园内部物联网设备进行身份指纹认证,基于场景化的访问控制策略,只允许可信物联网终端接入到网络内,授权允许的协议流量才能通过,以此保障只有认证通过、合法授权的终端安全接入。
能力三、物联网终端风险扫描
针对校园内部物联网设备自身健壮性安全检查,平台提供弱密码、系统漏洞库、IoT设备专有漏洞库等全面评估校园内部物联网设备脆弱性分布状态,提前发现提前加固。
能力四、违规外联安全监测
针对校园内部物联网设备访问互联网违规外联行为实时监测精准识别外联物联网设备并告警记录,记录包括出口IP地址、地理位置、私网IP地址、外联时间、外联次数等关键信息,避免物联网终端被恶意控制。
能力五、异常行为实时监测
基于自研安全分析框架对物联网内部网络通信行为大数据建模分析,对网络中存在的网内攻击行为、异常行为、病毒传播和违规行为等主动监测、主动发现、主动预警,并对存在异常行为的物联网终端定位、处置,避免威胁进一步扩散。
能力六、物联网终端专项防护
基于物联网设备流量监测及安全策略的设定,对L3-L7层流量进行识别、分析、选择,检查数据流中每一个数据包,制定数据流安全策略,以达到允许或阻止该数据包通过的目的,实现物联网设备一对一安全专项防护。
能力七、被动感知攻击入侵
部署物联网诱饵,进一步诱导外部攻击者攻击诱饵,拖延攻击者攻击进程,进而保护真实物联网设备;并将捕获到的攻击者行为信息、攻击进程、攻击代码等信息统一分析处理,为溯源反制攻击者提供信息支撑。
能力八、多维研判洞悉风险
依托大数据安全分析技术,实现校园内物联网设备安全威胁可视化、安全态势整体感知、管控,以可视化方式展示异常威胁和风险行为,快速发现物联网应用的异常威胁和告警。
建设优势
优势一:领先的物联网资产指纹库
基于主动探测与被动监测两种机制相结合的方式,结合2W+丰富的资产识别指纹库,对物联网内各类IoT设备全方位系统化识别盘点,自动获取厂商品牌、设备类型、操作系统类型、协议、平台等信息,协助学校建立与维护物联网资产信息系统档案库。
优势二:实时的物联网边界安全监测能力
基于多风险场景建模,对校园物联网网络边界安全实时监测预警,主动监测内部是否存在违规和非授权网络边界,及时发现不受控隐蔽的跨边界数据传输和网络访问通道,以及监测外部设备非授权入网和内部设备违规外联外部网络等风险行为,预防物联网网络被不法人员利用,非法入侵等安全事件。
优势三:强大的大数据分析能力
利用大数据、机器学习以及威胁建模等技术手段综合分析,对校园海量物联网设备行为多维度展示,包括资产梳理、脆弱性分析、安全监控、行为监测等,实现物联网终端的安全态势感知与可信管控,增强学校在物联网安全的网络安全态势感知和监测预警能力、网络安全攻防对抗能力。
应用价值
建立物联网安全防护能力
采用各类型安全探针,实现对校园物联网设备的安全状态实时监控,终端安全防护,同时运用大数据分析技术、动态预警技术、泛系统漏洞检测技术等多项关键技术,结合外部最新威胁情报数据,对全场景内的物联终端进行综合安全分析计算,实现校园物联网络安全威胁可视、可管、可控。
满足物联网安全扩展要求
基于系统访问控制、安全检测与入侵防御技术,赋能物联网信息系统满足等保2.0物联网安全扩展技术要求。
典型案例
项目背景
某大学已完成智慧校园建设,校园内部部署多家厂商的网络监控设备、智慧发布屏等物联网设备;学校已有的网络安全体系不能有效监管物联网设备,导致存在网络安全管理盲区,部分物联网设备被恶意控制,向外部恶意攻击,被监管单位通报,因此学校规划校园物联网安全体系,对全校物联网设备的安全状态进行态势感知和有力管控,安全风险实时监测、感知、处置。
建设方案与成果
校内物联网资产盘点:全面梳理分布在校园网络内部的物联网设备资产,摸清家底,建立物联网资产库。
资产脆弱性监测:梳理物联网设备存在的弱口令、高危端口、高危漏洞和高危信令等脆弱性,及时加固。
物联网异常行为预警:对学校物联网网内的攻击/病毒行为实现主动安全监测,并通过可视化方式呈现,让安全看得见、看得懂。
取证和溯源:对发生的各种物联网安全事件提供数据取证,包括明细行为记录以及原始数据包记录。