物联网设备安全管理
本帮助主要介绍以下内容:
特性简介
物联网(IoT)是数字转型时代最重要的技术之一,意在将一切都连接到互联网。相较于传统的互联网,物联网连接的设备种类繁多、数量巨大、作用范围广,很多设备都处于偏僻无人看管的状态。因此它们面临的危险和漏洞也随之增加。例如视频安全系统中很多的终端摄像机都是处在偏僻角落监控周围环境。
物联网设备安全管理是一种针对物联网设备进行智能检测、安全管理的技术,主要功能包括:标准格式检查、设备准入控制、敏感信令控制、标准流量管控。
如果设备同时配置了标准格式检查、设备准入控制、敏感信令控制和标准流量管控中的多个功能,设备会按照上述出现顺序依次对报文进行处理,直到报文被丢弃。
图-1 各功能处理顺序图
标准格式检查
标准格式检查功能可以根据不同的物联网设备标准,对物联网设备流量进行检查,确定流量是否符合相关物联网标准。此功能可以有效的避免非标准设备的接入。
标准格式检查实现流程如下:
对于流经设备的物联网相关流量,设备会判断它的源地址是否在白名单之内,在白名单内的流量将会直接放行。
对于不在白名单内的流量,设备会根据它的源地址来判断是否需要进行格式检查。不需要进行格式检查的流量将会直接放行。可以分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件。相同类型的地址对象组只能存在一个。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算匹配成功。
如果需要进行格式检查,设备会根据管理员配置的行政区域属性、设备编码、物联网设备类型、接口方法等检测属性来判断流量是否满足相关的物联网标准,所有检测属性都满足标准的流量会直接放行。
对于不满足标准的流量,设备会根据管理员配置的动作将其丢弃或者放行。
图-2 标准格式检查数据处理流程图
设备准入控制
设备准入控制功能可以根据不同的物联网设备标准以及管理员配置的设备信息对物联网设备流量进行检查,从而达到只有允许的物联网设备发出的流量才能通行的目的。此功能可以有效地避免设备被篡改的情况。
设备准入控制实现流程如下:
对于流经设备的全部流量,设备会判断它的源地址是否在白名单之内,在白名单内的流量将会直接放行。
对于不在白名单内的流量,设备会根据它的源地址来判断是否需要进行设备准入控制。不需要进行设备准入控制的流量将会直接丢弃。可以分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件。相同类型的地址对象组只能存在一个。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算匹配成功。
如果需要进行设备准入控制,设备会根据管理员配置的IP地址、MAC地址、设备编码、标准等设备认证信息来判断流量是否可以在设备上转发,满足所有认证信息的流量会直接放行。
对于不满足认证信息的流量,设备会根据管理员配置的动作将其丢弃或者放行。
图-3 设备准入控制数据处理流程图
敏感信令控制
敏感信令控制功能可以根据不同的物联网设备标准,对物联网设备流量进行敏感信令识别,通过将流量信息与管理员配置的敏感信令进行匹配,实现对相关敏感信令过滤的功能。此功能可以查询出物联网设备流量中的查询、准入、控制等敏感行为,从而有效的避免数据泄露和数据篡改。
敏感信令控制实现流程如下:
对于流经设备的物联网相关流量,设备会判断它的源地址是否在白名单之内,在白名单内的流量将会直接放行。
对于不在白名单内的流量,设备会根据它的源地址来判断是否需要进行敏感信令控制。不需要进行敏感信令控制的流量将会直接放行。可以分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件。相同类型的地址对象组只能存在一个。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算匹配成功。
如果需要进行敏感信令控制,设备会检查流量中是否含有用户指定的敏感信令,不含有敏感信令的流量会直接放行。
对于含有敏感信令的流量,设备会根据管理员配置的动作将其丢弃或者放行。
图-4 敏感信令控制数据处理流程图
标准流量管控
标准流量管控功能可以根据不同的标准流量管控策略,对物联网设备流量进行检测,通过将单一设备编码的请求发生次数、频率等信息与管理员设置的阈值进行比较,实现对请求方设备进行流量管控的功能。此功能可以有效的避免拒绝服务攻击。
对于流经设备的物联网相关流量,设备会根据标准流量管控策略在设备上显示的顺序从上到下对流量进行匹配。一旦匹配上某个标准流量管控策略便结束此匹配过程,并根据该策略中指定的动作对此流量进行处理;如果流量没有匹配上任何策略,则允许该流量通过。
标准流量管控实现流程如下:
对于流经设备的物联网相关流量,设备会根据管理员配置的标准流量管控策略中的请求方设备编码、IP地址、MAC地址、物联网相关标准等匹配选项来判断是否需要进行标准流量管控。
如果报文与某条标准流量管控策略中所有种类的过滤条件都匹配成功(其中地址对象组为一类过滤条件,不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件),则报文与此条标准流量管控策略匹配成功。若有一类过滤条件不匹配,则报文与此条标准流量管控策略匹配失败,报文继续匹配下一条标准流量管控策略。以此类推,直到最后一条标准流量管控策略,若报文还未与规则匹配成功,则不对流量进行标准流量管控。
如果需要进行标准流量管控,设备会根据用户配置的单设备发出请求次数和单设备发出请求频率等判定条件来判断流量是否需要执行管理员配置的标准流量管控策略的执行动作。对于未达到判定条件阈值的流量,设备会直接放行。
对于达到判定条件阈值的流量,设备会根据管理员配置的动作将其丢弃或者放行。
图-5 标准流量管控数据处理流程图
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
License支持情况
敏感信令控制功能需要基于应用识别(APR)特征库来进行识别。License过期后,敏感信令控制功能可以采用设备中已有的APR特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“License联机帮助”。
使用限制和注意事项
仅支持对采用GB/T 28181、GB 35114、GA/T 1400标准的物联网设备进行智能检测和管理。
设备准入控制功能会将不满足过滤条件的所有流量进行阻断,包括不属于GBT28181、GB35114、GAT1400标准的流量,因此建议用户在不需要时关闭该功能。
配置指南
配置准备
配置标准格式检查
标准格式检查功能可以根据不同的物联网设备标准,对物联网设备流量进行检查,确定流量是否符合相关物联网标准。此功能可以有效的避免非标准设备的接入。具体配置步骤如下:
配置全局白名单
选择“策略 > 物联网设备安全管理 > 标准格式检查”。
在“标准格式检查”页面可配置全局白名单,当管理员对物联网接入设备非常信任或发现格式检查存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报。
图-6 配置全局白名单
配置不同标准的标准格式检查功能,当前仅支持检查GB/T 28181、GB 35114、GA/T 1400标准。
选择“策略 > 物联网设备安全管理 > 标准格式检查”。
在“标准格式检查”页面可配置不同标准的格式检查功能。具体配置内容如下所示:
图-7 配置不同标准的格式检查功能
表-1 标准格式检查功能配置参数表
参数
说明
标准
GB/T 28181
开启指定标准的格式检查功能
GB 35114
GA/T 1400
日志告警
开启日志告警功能,当格式检查失败时发送日志
执行动作
当格式检查失败时设备对报文的执行动作,会有以下两种情况:
正常放行
丢弃非法报文
检测属性
配置设备进行标准格式检查时的检测属性,只有设备对所有选中的检测属性都检测通过时才认为格式检查成功
设备检测范围
配置作为设备检测范围的源地址对象组,不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件,设备就会对报文进行检测。设备会直接放行源地址不在检测对象组之内的报文
单击<应用>按钮,指定标准的格式检查功能配置成功。
配置设备准入控制
设备准入控制功能可以根据不同的物联网设备标准以及管理员配置的设备信息对物联网设备流量进行检查,从而达到只有允许的物联网设备发出的流量才能通行的目的。此功能可以有效地避免设备被篡改的情况。具体配置步骤如下:
选择“策略 > 物联网设备安全管理 > 设备准入控制”。
在“设备准入控制”页面可配置详细的设备准入控制功能。具体配置内容如下所示:
图-8 配置设备准入控制功能
表-2 设备准入控制功能配置参数表
参数
说明
设备准入控制
开启设备准入控制功能
全局白名单
当管理员对物联网接入设备非常信任或发现设备准入控制存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报
设备检测范围
配置作为设备检测范围的源地址对象组,不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件,设备就会对报文进行检测。设备会直接阻断源地址不在设备检测范围之内的报文
设备认证信息
表示用于认证的物联网设备的信息,例如设备地址、设备编码、设备所使用的标准类型等。当报文中采集到的物联网设备信息与设备认证信息一致时设备将会直接放行该报文。如果设备认证信息较多,可通过<导入>按钮批量导入设备认证信息
管理员通过物联网相关的管理平台修改物联网设备本身的设备编码、使用的标准类型等信息时,由于该物联网设备之前已经认证成功,因此可能会出现认证不准确的情况。此时管理员可以通过<重认证>按钮对已经配置的物联网设备进行重认证操作,按照新的认证结果对报文进行处理
设备检测时间
当报文中采集到的物联网设备信息不完整时,设备将无法对接入的设备完成认证操作。此时设备会在检测时间范围内持续采集每个报文中的物联网设备信息进行认证。
认证失败动作
当认证失败时设备对报文的执行动作,会有以下两种情况:
正常放行
阻断设备流量
日志告警
开启日志告警功能,当设备认证失败时发送日志
单击<应用>按钮,设备准入控制功能配置成功。
配置敏感信令控制
敏感信令控制功能可以根据不同的物联网设备标准,对物联网设备流量进行敏感信令识别,通过将流量信息与管理员配置的敏感信令进行匹配,实现对相关敏感信令过滤的功能。此功能可以查询出物联网设备流量中的查询、准入、控制等敏感行为,从而有效的避免数据泄露和数据篡改。具体配置步骤如下:
配置全局白名单
选择“策略 > 物联网设备安全管理 > 敏感信令控制”。
在“敏感信令控制”页面可配置全局白名单,当管理员对物联网接入设备非常信任或发现敏感信令控制存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报。
图-9 配置全局白名单
配置不同标准的敏感信令控制功能,当前仅支持检查GB/T 28181、GB 35114、GA/T 1400标准。
选择“策略 > 物联网设备安全管理 > 敏感信令控制”。
在“敏感信令控制”页面可配置不同标准的敏感信令控制功能。具体配置内容如下所示:
图-10 配置不同标准的敏感信令控制功能
表-3 标准格式检查功能配置参数表
参数
说明
标准
GB/T 28181
开启指定标准的敏感信令控制功能
GB 35114
GA/T 1400
日志告警
开启日志告警功能,当检测到敏感信令时发送日志
执行动作
当检测到敏感信令时设备对报文的执行动作,会有以下两种情况:
正常放行
丢弃敏感信令
设备检测范围
配置作为设备检测范围的源地址对象组,不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件,设备就会对报文进行检测。设备会直接放行源地址不在检测对象组之内的报文
敏感信令选择
选择设备所需要检测的敏感信令,即检测报文中是否包含指定的敏感操作,如修改、删除等
单击<应用>按钮,指定标准的敏感信令控制功能配置成功。
配置标准流量管控
标准流量管控功能可以根据不同的标准流量管控策略,对物联网设备流量进行检测,通过将单一设备编码的请求发生次数、频率等信息与管理员设置的阈值进行比较,实现对请求方设备进行流量管控的功能。此功能可以有效的避免拒绝服务攻击。具体配置步骤如下:
选择“策略 > 物联网设备安全管理 > 标准流量管控”。
在“标准流量管控”页面单击<新建>按钮,进入“新建标准流量管控策略”页面。
图-11 新建标准流量管控策略
图-12 新建标准流量管控策略页面
新建标准流量管控策略,具体配置内容如下所示:
表-4 标准流量管控策略配置参数表
参数
说明
策略名称
配置标准流量管控策略的名称
生效状态
是否开启该标准流量管控策略
设备检测范围
配置作为设备检测范围的源地址对象组,不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件,设备就会对报文进行检测。设备会直接放行源地址不在检测对象组之内的报文
匹配选项
标准类型
报文所采用的标准类型
设备信息
设备的基本信息,包括设备编码和地址
判定条件
单ID请求总次数
单个物联网设备发出请求的总次数
单ID请求频次
单个物联网设备发出请求的频率,即每分钟发出请求的次数
条件关系
判定条件之间的关系,可选择以下两种关系:
或:请求次数或者请求频率任意一项达到判断条件,标准流量管控策略即可执行动作
且:请求次数和请求频率必须同时达到判定条件,标准流量管控策略才能执行动作
动作
当有报文命中标准流量管控策略并且满足判定条件时,设备对报文的执行动作,会有以下两种情况:
正常放行
阻断报文
告警
开启日志告警功能,当有报文命中标准流量管控策略并且满足判定条件时发送日志
单击<确定>按钮,新建标准流量管控策略成功,并会在标准流量管控页面中显示。
图-13 新建标准流量管控策略成功
(可选)管理员可在标准流量管控页面设置告警周期时间,当有物联网接入设备命中策略需要发送标准流量管控日志时,设备会判断距上一次该接入设备命中相同的策略时发送日志的时间是否超过告警周期,超过则发送日志,不超过则不发送日志。
图-14 设置告警周期时间
