技术领域
[0001] 本
发明属于泛在电力物联网安全防护技术领域,尤其涉及一种适应于电力行业的泛在物联网安全防护网关系统、方法及部署架构。
背景技术
[0002] 随着物联网的迅速发展及
基础设施通信系统的IP化,海量设备通过网络互联将成为趋势。在公安、交警、电力
能源等行业中,大量IP摄像机、探测器、RFID等物联网终端已经大规模部署在城市的各个
角落,当今社会已经逐渐进入物联网时代。和传统的互联网相比,物联网终端数量巨大、物理部署范围更广,除了人机互联以外还包含大量的设备互联,如何保证物联网的实时可见和全程可控,是业界面临的全新问题。物联网前端设备大量分散在无人值守的环境下,极易被黑客利用,进而渗透到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。因此,建立完善的物联网终端
可视化和管控机制是物联网安全体系建设的重要内容。
[0003] 其中接入到企业的核心网络的物联网终端主要包括两类,非智能终端,称“泛终端”(一般没有
数据处理的能力,只能通过网络上报传感数据,或接受操控数据)和智能终端设备(例如工业
机器人、业务一体机、智能平板等),这些设备接入网络后给安全带来了新的重大挑战,安全
风险存在并不局限于以下方面:
[0004] (1)物联网终端众多,资产情况难以掌握,存在违规接入的风险,同时缺失运维手段、事件监测通报以及应急处理机制;
[0005] (2)物联网终端在户外分散安装,易被
接触到而又没有纳入管理,导致存在物理攻击、篡改和仿冒的安全风险;
[0006] (3)物联网终端普遍存在弱口令、漏洞、大量开放端口等安全风险,容易被恶意代码感染形成僵尸主机,进而构成僵尸网络;
[0007] (4)物联网终端网络协议多种多样并存在大量漏洞,增加了终端感染病毒、木
马或恶意代码入侵的渠道,增加了网络层的安全风险;
[0008] 基于以上安全威胁,黑客入侵物联网的设备后可以进行大规模的破坏,进而威胁到企业核心资产和业务,例如:
[0009] (1)DDoS攻击进行业务破坏或勒索
[0010] 由于物联网终端数量庞大,且由于其能持续向
云端发送数据,目前已经成为攻击者组建“僵尸网络”的主要来源,并正在成为DDoS发起的主要阵地。如Mirai通过对摄像头入侵,向DNS运营商DYN发起了大规模的DDoS攻击,致使整个美国网络
访问大规模中断;2017年2月被发现的Linux.ProxyM物联僵尸网络,仅用4个月就控制了超过万台物联网终端。
[0011] (2)仿冒攻击
[0012] 由于物联网终端难以物理管控,因此通过对物联网终端的冒用替换,以此为跳板可以直接威胁到企业的核心业务系统。如在某行业红蓝对抗中,黑客通过办公
门禁卡系统的冒用进入入侵攻破了该行业的核心业务
服务器。
[0013] (3)国家关键基础设施遭破坏
[0014] 随着工业4.0、两化融合、智慧城市、工业互联网等国家战略的推进,在国家关键性基础设施建设当中,有庞大数量的物联网终端在被广泛使用,如智慧城市、交通(高速、轨道、车管)、安防(公安、边防、海关、交警、军队)、电力、工业物联网等。由于物联网设备大都采用相同或者相似的软
硬件方案,意味着一台被攻破,就可以使所有的终端全军覆没。这些事关国计民生的基础设施一旦遭遇风险,势必引发重大后果,可能会造成无法估量的经济损失,甚至会引起社会恐慌。
发明内容
[0015] 为解决
现有技术中的不足,本
申请提供一种适应于电力行业的泛在物联网安全防护网关系统、方法及部署架构。本申请面向泛在电力物联网全场景安全防护应用场景,采用终端识别技术,通过主动探测和流量发现两种方式对网络中的物联网终端设备指纹信息进行识别,通过主动扫描识别网络中的物联网终端的资产状况并实现可视化呈现,可有效识别针对传统PC,哑终端、智能设备等多种终端;对识别物联网终端建立身份基线并进行审批,实现物联网终端的仿冒攻击防护,进而可以实现对物联网终端的安全态势评估,并有效给出防护建议和手段;通过对识别的物联网终端进行有效准入控制,可以有效解决海量IP设备的接入认证和安全管控问题,帮助用户构建安全可控的泛在电力物联网络。
[0016] 为了实现上述目标,本申请的第一件发明采用如下技术方案:
[0017] 一种电力行业泛在物联网安全防护网关系统,物联网终端设备分别通过对应的各物联网安全防护网关接入到核心企业网;物联网终端设备支持旁路管控、串行管控、接入认证管控三种方式接入物联网安全防护网关;每一物联网安全防护网关包括系统状态模
块、系统管理模块、网络发现模块、流量
自学习模块、终端指纹探测模块、终端指纹变化
感知识别模块、行为感知模块、终端准入白名单模块、安全规则模块、网络防护模块、VPN配置模块、集中管理模块、日志审计模块;其特征在于:
[0018] 所有物联网安全防护网关均通过可视化集控平台连接到可视大屏;
[0019] 系统状态模块用于对所接入物联网终端设备的状态监控、会话统计和记录阻断事件;
[0020] 系统管理模块用于系统设置和网络设置;
[0021] 网络发现模块用于自动发现物联网终端,并实现设备和网络访问的可视化呈现;
[0022] 流量自学习模块用于根据网络流量自动发现资产、连接关系、通信协议以及应用层访问指令,并自动推荐安全策略,协助管理员轻松生成、维护网络安全策略;
[0023] 终端指纹探测模块用于设备指纹信息探测,并根据探测内容为物联网终端建立指纹基线并对其进行审批,实现物联网终端准入控制;所述设备指纹信息包括IP、MAC、
操作系统、
软件版本和开发端口信息;
[0024] 终端指纹变化感知识别模块用于实时监控已准入物联网终端的指纹信息变化情况,当已接入终端指纹信息发生变化时,自动采取隔离告警通知管理员或在可视化集控平台进行告警展示,或直接启动阻断策略第一时间将可疑终端进行隔离;
[0025] 行为感知模块用于与上级可视化集控平台互动提供物联网终端支持漏洞发现、弱口令风险和威胁感知能力;
[0026] 终端准入白名单模块通过白名单机制实现将指纹信息发生变化及行为异常的终端排除在可信流量之外,从而达到有效隔离的目的;
[0027] 安全规则模块用于对网络行为进行实时管控,包括自定义规则和自定义特征;
[0028] 网络防护模块用于提供
防火墙策略、地址绑定、地址转换、协议管理、地址管理、会话管理和安全选项;
[0029] VPN配置模块用于VPN基本配置、隧道配置和隧道监控,实现基于物联网协议的数据加密传输;
[0030] 集中管理模块用于泛在物联网安全防护网关系统大规模部署并进行集中管理,全网策略统一下发,设备情况统一展现,日志告警集中显示。
[0031] 日志审计模块用于日志配置和日志访问,还用于设备管理日志和系统日志的记录和外发。
[0032] 本发明进一步包括以下优选方案:
[0033] 优选地,系统状态模块包括状态监控模块、会话统计模块和事件中心模块;
[0034] 所述状态监控模块实现对导览信息、网络信息、设备信息、
接口信息、license信息和日志信息的实时监控;
[0035] 所述导览信息包括发现资产数、日志数和规则数;所述网络信息包括会话数ip排行、资产类型统计、网络吞吐量、并发会话和协议分布图;所述设备信息包括系统信息、CPU和内存使用的仪器盘;所述接口信息包括接口名称、ip地址、发送和接受流量以及启用状态;所述license信息包括模块名称、有效期限、描述和状态;所述日志信息包括触发日志的时间、类型、级别和详细信息;
[0036] 会话统计模块实现对会话连接进行统计和对连接排行榜进行可视化展示;
[0037] 统计信息包括当前并发连接数,TCP、UDP、ICMP的连接数,TCP连接的处于各状态的连接数和ICMP处于非应答状态的连接数;连接排行榜展示以源地址统计的连接数的前十名和以目的地址统计的连接数排名的前十名;
[0038] 事件中心模块用于报告策略中心模块产生的阻断事件,如果设备阻断了一条未放通的连接,策略中心模块将产生一个阻断事件,并将其记录下来;事件中心模块为每个事件提供相应的处理机制来解决误阻断情况;所述事件共有四种状态:未读、已读、已处理和忽略,四种状态的统计个数可查询和筛选;事件中心模块提供处理机制和忽略机制两种方式;事件中心模块为每个事件提供两种处理机制,一是生成一条相应的白名单策略,放通此连接;二是从策略中心模块找到与对应事件相关的白名单策略,更新已有策略放通此连接;事件中心模块提供两种不同程度的忽略机制,一是不再在系统主界面显示,但可查看此事件,当此事件再次产生时,将会重新变为可见;二是添加事件
过滤器,此类事件将不再报告。
[0039] 优选地,所述系统管理模块包括系统设置单元和网络设置单元;
[0040] 所述系统设置单元用于设置系统信息、设置管理员配置信息和系统维护;
[0041] 其中,系统信息包括日期时间、系统参数、集中管理和交换机联动;
[0042] 管理员配置信息包括集中管理主机的IP、各项监控信息的
阈值和SNMP v1&v2c的团体字符串及SNMPv3的用户信息,用于实现管理员账号按权限授权管理;
[0043] 系统维护包括备份、恢复和升级;
[0044] 所述网络设置单元用于对接口和路由进行设置;
[0045] 泛在物联网安全防护网关系统可配置的网络设备包括物理设备、VLAN设备、桥接设备和冗余设备;
[0046] 泛在物联网安全防护网关系统进行路由选择时,如果没有静态路由与当前的数据包匹配,则选择默认路由,通过网络设置单元对默认路由的设置,使默认路由实现负载均衡的功能;默认路由在系统路由规则中的优先级最低,当数据包到达时,首先与静态路由等路由规则进行匹配,如果匹配成功,则对应的策略路由、静态路由被选中,如果匹配不成功,则进行默认路由。
[0047] 优选地,网络发现模块包括行为学习模块、网络发现展示模块和资产管控模块;
[0048] 所述行为学习模块用于展示学习到的流量特征信息;
[0049] 所述网络发现展示模块用于展示经过防护设备转发的流量信息,并将网络行为学习到的数据以协议或多播的形式展示出来;
[0050] 所述资产管控模块用于指纹探测与
异常检测和行为学习分析,通过探测网络中资产指纹信息,并根据指纹信息进行异常检测,实时识别异常资产并实现网络阻断;
[0051] 其中,资产包括主动测探到的网络资产和通过流量学习学到的网络资产,包括全部、已审批和未审批三种视图查看方式;探测方式分为主动探测和周期性探测两种,主动探测为手动输入需要探测ip或者网段,点击主动探测实现对网络中的资产发现;周期性探测通过设置更新间隔以及探测网段进行资产发现。
[0052] 优选地,所述泛在物联网安全防护网关系统具备可自定义的内容黑白名单管控引擎,用于配置面向物联网通信协议的内容白名单规则,支持面向攻击防护特征的黑名单规则。
[0053] 优选地,所述安全规则模块中,自定义规则为可配置自定义的规则,包括黑名单和白名单的过滤机制;
[0054] 在测试模式下,自定义规则只匹配流量,打印报警日志,不做丢弃动作;
[0055] 行为学习界面经过分析下发的规则,自动出现在自定义特征界面,通过手动编写特征语法添加自定义特征。
[0056] 优选地,所述网络防护模块包括策略中心模块、地址绑定模块、地址转换模块、协议管理模块、地址管理模块、会话管理模块和安全选项模块;
[0057] 策略中心模块为泛在物联网安全防护网关系统提供了四种防火墙模式,分别是全通模式、调试模式、防护模式和监听模式;策略中心模块基于状态检查进行动态包过滤,包过滤规则决定特定的网络包能否通过安全网关,策略中心模块提供相关的选项以保护网络免受攻击;策略中心模块支持的协议包括基本协议、ICMP、动态协议和通过策略中心模块中预置服务组自定义的协议;
[0058] 地址绑定模块用于基于全局的IP/MAC检查和记录绑定日志,泛在物联网安全防护网关系统中的地址绑定默认关闭状态;
[0059] 地址转换模块包括SNAT模块、端口映射模块和IP映射模块;
[0060] SNAT模块用于将ip数据包的源地址转换成另外一个地址;端口映射模块用于将目的IP地址和端口信息映射成另一个IP地址和端口号;IP映射模块用于将目的IP地址映射成另一个IP地址;
[0061] 协议管理模块包括添加自定义协议模块,协议管理模块预置物联网协议深度解析,包括OPC、Modbus、IEC104、EIP和S7协议,用于自定义协议特征,实现指令级访问控制,所述访问控制包括3个方面:终端通讯协议级访控、终端通用协议内容深度过滤和终端置外通讯协议深度过滤;
[0062] 地址管理模块用于对泛在物联网安全防护系统中的IP地址进行集中管理,用于用户根据需求添加、编辑或删除IP地址、地址组和地址池;所述地址组为IP地址的集合,用于用户根据需求添加、编辑或删除地址组条目;所述地址池为IP地址段,用于用户根据需求添加、编辑或删除地址池条目;
[0063] 会话管理模块用于查看本机会话,并编辑会话超时时间;
[0064] 安全选项模块用于选择安全防护功能,包括包过滤规则和抗攻击类型;所述包过滤规则包括包过滤缺省允许、严格的状态检测以及快速模式;所述抗攻击类型包括抗地址欺骗攻击、抗源路由攻击、抗Smurf攻击、抗LAND攻击、抗Winnuke攻击、抗Queso扫描、抗SYN/FIN扫描、抗NULL扫描和抗FIN扫描。
[0065] 优选地,VPN配置模块包括VPN基本配置模块、隧道配置模块和隧道监控模块;
[0066] VPN基本配置模块用于设置IKE密钥周期、VPN密钥周期、预共享密钥和NAT端口信息,并用于选择是否启用VPN功能;
[0067] 所述隧道配置模块包括VPN规则模块、IKE配置模块、网关隧道设置模块和隧道监控模块;
[0068] VPN规则模块用于提供VPN规则,VPN规则为保护网络的内网地址;
[0069] IKE配置模块用于用户根据需求添加、编辑或删除IKE配置信息,IKE配置信息包括IKE名称、对端地址类型、对端地址、认证方式和设备类型;
[0070] 网关隧道设置模块用于对网关隧道进行配置,建立两个远程网关之间的加密信道,所述加密信道只加密其符合所引用的规则的数据包;
[0071] 隧道监控模块用于列出系统当前建立的隧道列表,并集成启、停用隧道功能,对单地址隧道和隧道组进行监控。
[0072] 优选地,所述泛在物联网安全防护网关系统通过日志服务器和本地日志产生日志,所述日志类型包括:管理日志、网络防护、VPN、DPI、高可用性、地址监控以及所有;日志级别包括:紧急、警报、临界、出错、预警、提示、通知、调试和所有。
[0073] 优选地,所述物联网安全防护网关还包括无线WIFI接入模块和网络AP的发现和识别模块;
[0074] 所述无线WIFI接入模块将wifi设备纳入统一的管理,实现对物联网设备的全
覆盖;
[0075] 所述网络AP的发现和识别模块用于防御网络钓鱼wifi和非法接入。
[0076] 优选地,所述物联网安全防护网关还包括第三方设备联动模块,用于在资产发生异常时,泛在物联网安全防护网关除了已有的网络防护措施以外,还与第三方设备联动,通过将异常信息发送给第三方网络设备,实现对物联网资产的管控。
[0077] 优选地,所述物联网安全防护网关还包括基础防火墙模块,用于基于传统五元组、协议、资产和时间一体化访问控制;
[0078] 所述基础防火墙模块包括透明、路由和混合三种部署模式;基础防火墙模块内置多种物联网防护模型,并可以自定义防护规则。
[0079] 本申请还公开了另一件发明,即一种电力行业泛在物联网安全防护网关系统实现方法,所述实现方法包括以下内容:
[0080] 通过主动探测和流量发现两种模式对网络中的物联网终端设备指纹信息进行识别,实现终端发现、终端网络访问流可视化呈现及
机器视觉异常发现,进而全面掌握网络中物联网终端情况。
[0081] 优选地,所述实现方法包括以下步骤:
[0082] 步骤1:在泛在物联网安全防护网关系统中设置网络,对接口和路由进行设置;
[0083] 步骤2:将泛在物联网安全防护网关通过与交换机设备进行联动,获取到下挂在交换机上的终端设备与交换机端口的对应关系;
[0084] 步骤3:添加需要防护的物联网终端设备的资产IP段地址范围;
[0085] 步骤4:对物联网终端进行主动探测,收集物联网终端设备指纹信息,形成终端设备列表并进行准入名单向导式的安全策略推荐;
[0086] 步骤5:物联网终端流量发现,获取物联网终端指纹信息,梳理并呈现网络流量情况,并进行准入名单向导式的安全策略推荐;
[0087] 步骤6:对业务行为分析进行建模,构建物联网终端的行为模型,将物联网业务行为以可视化的方式进行呈现;
[0088] 步骤7:建立白名单机制,通过对物联网终端的指纹信息建立白名单列表,根据终端的指纹信息属性选择批准哪些终端被允许接入在特定系统或者网络中进行通讯;
[0089] 步骤8:资产智能分类识别,根据系统中积累的资产指纹信息,结合资产指纹发现技术,对物联网终端资产进行智能分类识别;
[0090] 步骤9:网络拓扑发现,通过分析网络流量实现物联网终端资产的连接关系绘制,通过与交换机联动,实现物理拓扑关系绘制,从而实现资产连接关系的可视化;
[0091] 步骤10:资产按需通断,综合无代理资产指纹、资产智能识别、资产防冒用和业务行为分析建模技术,实现物联网终端的智能编排,在此基础上实现细粒度、全方位的网络隔离,真正实现资产的按需通断;
[0092] 步骤11:对泛在物联网安全防护网关进行集中管理,包括对设备状态进行监控、设备日志收集、对物联网终端设备的入侵行为进行告警策略管理、策略管理、对数据进行维护、设备管理和设备信息可视化图形展示。
[0093] 优选地,步骤6中,通过物联网实体及网络连接关系、物联网终端指令操作以及物联网操作流程三个方面,以及物联网传输过程中的报文进行深度解析,智能学习不同业务的报文内容,通过
机器学习算法对时间维度、包长维度以及Payload内容进行不断学习聚合,自动辅助建立物联网终端的行为模型;
[0094] 当业务出现异常时,配合主被动指纹学习技术,建立物联网终端的指纹基线、行为基线并进行接入审批,当业务出现异常时即业务行为超出已有模型的范围,泛在物联网安全防护网关系统根据配置对不合规业务行为进行阻断、告警,从而实现基于业务行为的物联网终端网络行为防护,实现检测物联网终端仿冒用攻击,报警或者阻断物联网终端被冒用的安全问题。
[0095] 优选地,步骤7所述终端的指纹信息属性包括
进程名称、文件名称、发行商名称和厂商信息。
[0096] 优选地,步骤8所述物联网终端资产包括通用PC、网络安全设备、视频设备、
打印机和
打卡机;所述物联网终端资产的类型可根据资产的IP地址、MAC地址、开放端口、访问端口和操作系统信息自定义。
[0097] 优选地,步骤10具体包括:
[0098] 异常资产隔离:基于指纹识别技术,结合主被动网络发现,实现资产指纹异常的实时发现,在防护模式下一旦确认资产状态异常,即将异常资产列入异常资产黑名单,实现逻辑隔离;
[0099] 业务行为合规性检查:基于业务行为分析建模技术,将业务行为以行为规则的形式下发到数据处理层,实现对异常业务流量的实时阻断和告警;
[0100] TCP RST功能:针对旁路部署模式下,泛在物联网安全防护网关无法实现阻断的情况,TCPRST功能支持通过流量镜像的方式,通过主动发送TCPRST的形式实现对异常资产的入网阻断,增强网关的适应性;
[0101] 安全策略:在传统五元组策略的基础上,拓展安全策略的管控维度,增加接口、服务、时间和带宽控制维度,结合资产智能分类识别技术实现对网络的细粒度控制。
[0102] 本申请所达到的有益效果:
[0103] 1.本申请面向泛在电力物联网全场景安全防护应用场景,采用终端识别技术,通过主动探测和流量发现两种方式对网络中的物联网终端设备指纹信息进行识别,通过主动扫描识别网络中的物联网终端的资产状况并实现可视化呈现,可有效识别针对传统PC,哑终端、智能设备等多种终端;
[0104] 2.本申请对识别物联网终端建立身份基线并进行审批,实现物联网终端的仿冒攻击防护,进而可以实现对物联网终端的安全态势评估,并有效给出防护建议和手段;
[0105] 3.本申请通过对识别的物联网终端进行有效准入控制,可以有效解决海量IP设备的接入认证和安全管控问题,帮助用户构建安全可控的泛在电力物联网络;
[0106] 4.本申请通过在电力行业领域部署泛在物联网安全防护网关系统,在每一层楼都实现对哑终端的管控防护,实现对物联网终端的可视化管控;
[0107] 5.本申请通过建立基于终端设备指纹的设备身份基线并进行合规设备审批,当出现设备冒用时,会进行阻断,极大的提升了业务系统的安全性;
[0108] 6.本申请通过基于流量自学习,智能建立起网络层合法白名单,关闭物联网终端的开放端口,实现按需通断,极大的提升了安全防护效果;
[0109] 7.本申请结合泛在物联网安全可视化集控平台,立体化呈现整个单位所有接入管控的终端设备的安全态势。
附图说明
[0110] 图1为泛在物联网安全防护网关系统部署架构图;
[0111] 图2为本发明泛在物联网安全防护网关系统结构示意图;
[0112] 图3为本发明泛在物联网安全防护网关系统实现方法的流程示意图。
具体实施方式
[0113] 下面结合附图对本申请作进一步描述。以下
实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本申请的保护范围。
[0114] 如图1所示,本申请的一种电力行业泛在物联网安全防护网关系统,物联网终端设备分别通过对应的各物联网安全防护网关接入到核心企业网;物联网终端设备支持旁路管控、串行管控、接入认证管控三种方式接入物联网安全防护网关;
[0115] 1、旁路管控方式:该方式是无代理方式,无需物联网终端安装任何
插件。设备旁路部署到交换机上,无需改变用户网络拓扑,可以实现对物联网终端及哑终端的身份基线信息建立,并可实现对非法接入设备的准入控制;如开启交换机流量镜像到物联网安全网关上,设备能实现面向物联网终端的攻击和异常流量的检测。
[0116] 2、串行管控方式:泛在物联网安全防护网关串接到客户网络中,除了具备基于指纹的身份基线建立和管控外,相较于旁路部署,具备针对攻击和异常流量能够做到实时阻断的优势;能同时支持无代理和有代理的安全管控方式。
[0117] 3、接入认证管控方式:泛在物联网安全防护网关也包含可选认证插件,针对可以开放安装接口或具备移植能力的物联网终端,可以实现双向身份认证和链路传输加密。
[0118] 本申请的所有物联网安全防护网关均通过可视化集控平台连接到可视大屏;
[0119] 可视化集控平台可以同时实现对多台泛在物联网安全防护网关的集中管控和
大数据分析可视化感知,全面呈现网络中哑终端的安全态势。
[0120] 本发明提出的泛在物联网安全防护网关系统可应用于泛在电力物联网安全防护典型应用场景,物联网安全终端适合部署在任何具备哑终端或智能终端的场景,其较为常见的部署场景为办公环境,可部署在各办公部门边界,楼层网络边界,地域网络边界,对部门、楼层、区域内的网络终端提供识别、检查和准入等安全保障。
[0121] 如图2所示,本申请的每一物联网安全防护网关包括系统状态模块、系统管理模块、网络发现模块、流量自学习模块、终端指纹探测模块、终端指纹变化感知识别模块、行为感知模块、终端准入白名单模块、安全规则模块、网络防护模块、VPN配置模块、集中管理模块、日志审计模块;
[0122] 系统状态模块用于对所接入物联网终端设备的状态监控、会话统计和记录阻断事件;
[0123] 系统管理模块用于系统设置和网络设置;
[0124] 网络发现模块用于自动发现物联网终端,并实现设备和网络访问的可视化呈现;
[0125] 流量自学习模块用于根据网络流量自动发现资产、连接关系、通信协议以及应用层访问指令,并自动推荐安全策略,协助管理员轻松生成、维护网络安全策略;
[0126] 终端指纹探测模块用于设备指纹信息探测,并根据探测内容为物联网终端建立指纹基线并对其进行审批,实现物联网终端准入控制;所述设备指纹信息包括IP、MAC、操作系统、软件版本和开发端口信息;
[0127] 终端指纹变化感知识别模块用于实时监控已准入物联网终端的指纹信息变化情况,当已接入终端指纹信息发生变化时,自动采取隔离告警通知管理员或在可视化集控平台进行告警展示,或直接启动阻断策略第一时间将可疑终端进行隔离;
[0128] 行为感知模块用于与上级可视化集控平台互动提供物联网终端支持漏洞发现、弱口令风险和威胁感知能力;
[0129] 终端准入白名单模块通过白名单机制实现将指纹信息发生变化及行为异常的终端排除在可信流量之外,从而达到有效隔离的目的;所述泛在物联网安全防护网关系统具备可自定义的内容黑白名单管控引擎,用于配置面向物联网通信协议的内容白名单规则,支持面向攻击防护特征的黑名单规则。
[0130] 安全规则模块用于对网络行为进行实时管控,包括自定义规则和自定义特征;
[0131] 网络防护模块用于提供防火墙策略、地址绑定、地址转换、协议管理、地址管理、会话管理和安全选项;
[0132] VPN配置模块用于VPN基本配置、隧道配置和隧道监控,实现基于物联网协议的数据加密传输;
[0133] 集中管理模块用于泛在物联网安全防护网关系统大规模部署并进行集中管理,全网策略统一下发,设备情况统一展现,日志告警集中显示。
[0134] 日志审计模块用于日志配置和日志访问,还用于设备管理日志和系统日志的记录和外发。
[0135] 本申请实施例中,系统状态模块包括状态监控模块、会话统计模块和事件中心模块;
[0136] 所述状态监控模块实现对导览信息、网络信息、设备信息、接口信息、license信息和日志信息的实时监控;
[0137] 所述导览信息包括发现资产数、日志数和规则数;所述网络信息包括会话数ip排行、资产类型统计、网络吞吐量、并发会话和协议分布图;所述设备信息包括系统信息、CPU和内存使用的仪器盘;所述接口信息包括接口名称、ip地址、发送和接受流量以及启用状态;所述license信息包括模块名称、有效期限、描述和状态;所述日志信息包括触发日志的时间、类型、级别和详细信息;
[0138] 会话统计模块实现对会话连接进行统计和对连接排行榜进行可视化展示;
[0139] 系统状态监控的连接统计显示,可以显示泛在物联网安全防护网关系统状态表里的状态统计信息,包括当前并发连接数,TCP、UDP、ICMP的连接数,TCP连接的处于各状态的连接数和ICMP处于非应答状态的连接数;连接排行榜展示以源地址统计的连接数的前十名和以目的地址统计的连接数排名的前十名;
[0140] 事件中心模块用于报告策略中心模块产生的阻断事件,如果设备阻断了一条未放通的连接,策略中心模块将产生一个阻断事件,并将其记录下来;事件中心模块为每个事件提供相应的处理机制来解决误阻断情况;所述事件共有四种状态:未读、已读、已处理和忽略,四种状态的统计个数可查询和筛选;事件中心模块提供处理机制和忽略机制两种方式;事件中心模块为每个事件提供两种处理机制,一是生成一条相应的白名单策略,放通此连接;二是从策略中心模块找到与对应事件相关的白名单策略,更新已有策略放通此连接;事件中心模块提供两种不同程度的忽略机制,一是不再在系统主界面显示,但点击“忽略”图标可查看此事件,当此事件再次产生时,将会重新变为可见;二是添加事件过滤器,此类事件将不再报告。
[0141] 所述系统管理模块包括系统设置单元和网络设置单元;
[0142] 所述系统设置单元用于设置系统信息、设置管理员配置信息和系统维护;
[0143] 其中,系统信息包括日期时间、系统参数、集中管理和交换机联动;
[0144] 管理员配置信息包括集中管理主机的IP、各项监控信息的阈值和SNMP v1&v2c的团体字符串及SNMPv3的用户信息,用于实现管理员账号按权限授权管理;
[0145] 集中管理模块通过SNMP协议从泛在物联网安全防护网关系统获取监控信息,包括:系统名字版本号序列号、CPU利用率、内存利用率、网络接口状态、网络连通状态等,同时当泛在物联网安全防护网关系统运行信息超过阈值后,通过SNMP协议向集中管理主机发Trap告警信息。
[0146] 通过TRAP信息发给集中管理模块,为网络管理人员提供全面、易用、高效的实时监控网络资源使用状况的工具和手段。泛在物联网安全防护网关系统可以通过与交换机设备进行联动,获取到下挂在交换机上的终端设备与交换机端口的对应关系。管理员设置可以实现管理员账号按权限授权管理。
[0147] 系统维护包括备份、恢复和升级等功能;
[0148] 所述网络设置单元用于对接口和路由进行设置;
[0149] 泛在物联网安全防护网关系统可配置的网络设备包括物理设备、VLAN设备、桥接设备和冗余设备;
[0150] 泛在物联网安全防护网关系统提供多个默认路由负载均衡的功能,进行路由选择时,如果没有静态路由与当前的数据包匹配,则选择默认路由,通过网络设置单元对默认路由的设置,使默认路由实现负载均衡的功能;默认路由在系统路由规则中的优先级最低,当数据包到达时,首先与静态路由等路由规则进行匹配,如果匹配成功,则对应的策略路由、静态路由被选中,如果匹配不成功,则进行默认路由。
[0151] 网络发现模块包括行为学习模块、网络发现展示模块和资产管控模块;
[0152] 所述行为学习模块用于展示学习到的流量特征信息;
[0153] 所述网络发现展示模块用于展示经过防护设备转发的流量信息,并将网络行为学习到的数据以协议或多播的形式展示出来;
[0154] 所述资产管控模块用于指纹探测与异常检测和行为学习分析,通过探测网络中资产指纹信息,并根据指纹信息进行异常检测,实时识别异常资产并实现网络阻断;
[0155] 其中,资产包括主动测探到的网络资产和通过流量学习学到的网络资产,可以通过选择实现对资产的分类显示,支持全部、已审批、未审批三种视图查看;探测方式分为主动探测和周期性探测两种,主动探测为手动输入需要探测ip或者网段,点击主动探测实现对网络中的资产发现;周期性探测通过设置更新间隔以及探测网段进行资产发现。
[0156] 所述安全规则模块中,自定义规则为可配置自定义的规则,安全规则模块包括黑名单和白名单的过滤机制;
[0157] 在测试模式下,自定义规则只匹配流量,打印报警日志,不做丢弃动作;
[0158] 行为学习界面经过分析下发的规则,自动出现在自定义特征界面,需通过手动编写特征语法添加自定义特征。
[0159] 所述网络防护模块包括策略中心模块、地址绑定模块、地址转换模块、协议管理模块、地址管理模块、会话管理模块和安全选项模块;
[0160] 策略中心模块为泛在物联网安全防护网关系统提供了四种防火墙模式,分别是全通模式、调试模式、防护模式和监听模式;策略中心模块基于状态检查进行动态包过滤,包过滤规则决定特定的网络包能否通过安全网关,策略中心模块提供相关的选项以保护网络免受攻击;策略中心模块支持的协议包括基本协议(如HTTP,Telnet,SMTP等)、ICMP、动态协议(如H.323,FTP,SQLNET等),此外还包括预置服务组,可自定义协议;
[0161] 地址绑定模块用于基于全局的IP/MAC检查和记录绑定日志,泛在物联网安全防护网关系统中的地址绑定默认关闭状态;
[0162] 地址转换模块包括SNAT模块、端口映射模块和IP映射模块;
[0163] SNAT模块用于将ip数据包的源地址转换成另外一个地址;端口映射模块用于将目的IP地址和端口信息映射成另一个IP地址和端口号;IP映射模块用于将目的IP地址映射成另一个IP地址;
[0164] 协议管理模块包括添加自定义协议模块,系统也预置了一些动态协议,用户可以根据需求新建、编辑和删除动态协议条目。协议管理模块预置多种常用物联网协议深度解析,包括OPC、Modbus、IEC104、EIP和S7等协议,用于自定义协议特征,实现指令级访问控制,提供300多种协议变量、24种算术运算符、逻辑运算符和多种数据类型的标准化过滤语言体系。所述访问控制包括3个方面:终端通讯协议级访控、终端通用协议内容深度过滤和终端置外通讯协议深度过滤。
[0165] 1、终端通讯协议级访控:泛在物联网安全防护网关系统可以对专用的物联网协议进行白名单或黑名单的访问控制,系统预置了百种以上物联网协议,可实现物联网协议的白名单安全防护;预置了常用的PLC防护模型,可快速实现
控制器的白名单防护;支持基于二层协议号和三层网络端口号的自定义物联网协议白名单安全防护。
[0166] 2、终端通用协议内容深度过滤:泛在物联网安全防护网关系统针对物联网协议的安全防护,除了具备白名单访问控制等基本功能外,还需要对物联网协议有应用层的理解与控制,可以实现对物联网报文指令的过滤。支持基于常见协议、物联网协议及工业互联网专用协议,如OPC/MODBUS等的深度过滤功能。
[0167] 3、终端置外通讯协议深度过滤:泛在物联网安全防护网关系统在内置支持多种协议的同时,还提供自定义协议深度过滤功能来对特殊定制协议、私有协议、改进协议等进行过滤支持,管理员可使用系统提供的“新一代规则定义语言”对相关数据或者协议传输内容进行bit级的内容检查及过滤。本套规则定义语言支持TCP、UDP、HTTP、DNS等60多种协议解析;支持300多种协议变量的解析,且协议变量名称遵循国际标准;提供百余种功能函数专用于规则描述,简化复杂规则功能的定义;支持24种算术运算符、逻辑运算符和多种数据类型。可以精确表达类似自然语言的丰富的检测需求,减少误报的同时可增强发现各种多样化、复杂化、隐蔽化的攻击。
[0168] 地址管理模块用于对泛在物联网安全防护系统中的IP地址进行集中管理,用于用户根据需求添加、编辑或删除IP地址、地址组和地址池;所述地址组为IP地址的集合,用于用户根据需求添加、编辑或删除地址组条目;所述地址池为IP地址段,用于用户根据需求添加、编辑或删除地址池条目;
[0169] 会话管理模块用于查看本机会话,并编辑会话超时时间;
[0170] 安全选项模块用于选择安全防护功能,包括包过滤规则和抗攻击类型;所述包过滤规则包括包过滤缺省允许、严格的状态检测以及快速模式;所述抗攻击类型包括抗地址欺骗攻击、抗源路由攻击、抗Smurf攻击、抗LAND攻击、抗Winnuke攻击、抗Queso扫描、抗SYN/FIN扫描、抗NULL扫描和抗FIN扫描。
[0171] VPN配置模块包括VPN基本配置模块、隧道配置模块和隧道监控模块;
[0172] 所述VPN配置模块用于基于物联网协议的数据加密传输;泛在物联网安全防护网关系统支持国密证书的身份认证,同时整合了专业的VPN模块,可以进行专业级的隧道加密防护,防止数据窃取及篡改,保障用户的生产经营数据的机密性、完整性及可用性。VPN配置模块支持多种通用加密及认证协议,包括RSA系列,AES系列,DES系列,SHA系列,MD5等,支持国密标准的SM1~SM4,支持IPSec和SSL VPN多种隧道模式,可以与所有支持标准协议的VPN设备进行无缝对接。泛在物联网安全防护网关系统的加密方式是基于国密芯片卡的硬件加密方式,比传统软件加密安全性更胜一筹。
[0173] VPN基本配置模块用于设置IKE密钥周期、VPN密钥周期、预共享密钥和NAT端口信息,并用于选择是否启用VPN功能;
[0174] 所述隧道配置模块包括VPN规则模块、IKE配置模块、网关隧道设置模块和隧道监控模块;
[0175] VPN规则模块用于提供VPN规则,VPN规则为保护网络的内网地址,当数据包的源地址和目的地址符合保护的网络时,数据包才会经过ipsec加解密。
[0176] 通过隧道配置模块建立VPN隧道,在建立VPN隧道之前,必须明确每条隧道都要有两个端点,其中一个端点是正在配置的VPN,另外一个端点是远程VPN。隧道两端都必须进行相应的配置,才可以正常地建立起隧道。用户首先要输入其要建立隧道的对端信息。对端是隧道的终点,由它来负责资料包的加密和解密。远程VPN有两种类型,一种是网关,一种是客户端。
[0177] IKE配置模块用于用户根据需求添加、编辑或删除IKE配置信息。IKE配置信息包括IKE名称、对端地址类型、对端地址、认证方式、设备类型。
[0178] 网关隧道设置模块用于对网关隧道进行配置,建立两个远程网关之间的加密信道,所述加密信道只加密其符合所引用的规则的数据包;泛在物联网安全防护网关系统支持网关类型和网关类型的远程网关之间建立的隧道,用于保护两个子网之间的数据通信。
[0179] 隧道监控模块用于列出系统当前建立的隧道列表,并集成启、停用隧道功能,对单地址隧道和隧道组进行监控。
[0180] 所述泛在物联网安全防护网关系统通过日志服务器和本地日志产生日志,提供强大的日志存储与审计功能。日志服务器程序提供丰富的查询、统计、报表功能,可以保存数量庞大的日志信息(受日志服务器上
硬盘容量限制)。存储日志满后可以覆盖或者暂停,也可以通过
电子邮件提醒用户。日志类型和级别分别提供了8种形式,针对不同的需求可灵活应用。所述日志类型包括:管理日志、网络防护、VPN、DPI、高可用性、地址监控以及所有;日志级别包括:紧急、警报、临界、出错、预警、提示、通知、调试和所有。单独查询管理日志,可以查看到管理的用户名和管理动作。
[0181] 所述物联网安全防护网关还包括无线WIFI接入模块和网络AP的发现和识别模块;
[0182] 所述无线WIFI接入模块将wifi设备纳入统一的管理,实现对物联网设备的全覆盖;
[0183] 所述网络AP的发现和识别模块用于防御网络钓鱼wifi和非法接入。
[0184] 物联网设备受部署环境的限制,大部分终端采用无线接入的方式,为解决物联网中无线设备的安全接入问题,泛在物联网安全防护网关支持无线接入功能,将大量的wifi设备也纳入统一的管理,实现对物联网设备的全覆盖。同时支持网络AP的发现和识别功能,有效防御网络钓鱼wifi、非法接入等风险。通过无线wifi接入后,在泛在物联网安全防护网关看来,无线终端和普通的有线终端并无二致,泛在物联网安全防护网关特有的资产发现、资产防冒用、业务行为分析建模等功能同样适用,极大提高了无线网络的安全性。
[0185] 所述物联网安全防护网关还包括第三方设备联动模块,用于在资产发生异常时,泛在物联网安全防护网关除了已有的网络防护措施以外,还与第三方设备联动,通过将异常信息发送给第三方网络设备,实现对物联网资产的管控。以交换机联动为例,泛在物联网安全防护网关可以通过配置获取到对应交换机的MAC表,并与已经发现的资产进行关联,即可发现物联网资产连接的交换机接口信息,在检测到资产异常时,可以通过与交换机联动的方式,实现对应交换机接口的开启和关闭,实现物理上的网络隔离,增强网络安全性。
[0186] 所述物联网安全防护网关还包括基础防火墙模块,用于基于传统五元组、协议、资产和时间一体化访问控制;
[0187] 所述基础防火墙模块包括透明、路由和混合三种部署模式;基础防火墙模块内置多种物联网防护模型,并可以自定义防护规则;可参与VLAN网络数据传输,支持TRUNK等模式。
[0188] 如图3所示,本申请的一种电力行业泛在物联网安全防护网关系统实现方法,所述实现方法包括以下内容:
[0189] 通过主动探测和流量发现两种模式对网络中的物联网终端设备指纹信息进行识别,实现终端发现、终端网络访问流可视化呈现及机器视觉异常发现,进而全面掌握网络中物联网终端情况。
[0190] 如呈现出物联网资产的分布与活动状态,明确区分网络内部有哑终端设备信息如视频监控、打卡机、ETC等,智能设备信息如售电终端、ATM机等,用户可以根据可视化结果与自身上报统计结果进行比对,便于用户全面掌握网络中物联网终端情况。
[0191] 一种电力行业泛在物联网安全防护网关系统实现方法,所述实现方法包括以下步骤:
[0192] 步骤1:在泛在物联网安全防护网关系统中设置网络,对接口和路由进行设置;
[0193] 步骤2:将泛在物联网安全防护网关通过与交换机设备进行联动,获取到下挂在交换机上的终端设备与交换机端口的对应关系;
[0194] 步骤3:添加需要防护的物联网终端设备的资产IP段地址范围;
[0195] 步骤4:对物联网终端进行主动探测:泛在物联网安全防护网关系统可根据管理配置的地址范围,对范围内设备进行主动的探测发现,收集物联网终端设备指纹信息(IP、MAC地址、操作系统、端口开放状态等),形成终端设备列表并进行准入名单向导式的安全策略推荐。物联网终端的指纹可以包含很多维度,如物联网终端的操作系统、行为特征,采用的技术可以包含被动和主动算法,复合化指纹信息来提高物联网终端指纹基线的准确度,有效的减少指纹的误报率和漏报率。主动探测方式在物联网终端指纹识别过程中具备多种先天优势,具体包括:一是无需针对终端进行任何改造,无需安装任何客户端软件即可针对网络设备指纹特征进行学习,因此非常适合针对哑终端设备进行学习和探测;二是物联网终端只需网络可达即可被主动发现,即终端工作流量无需通过网关设备亦可被感知。
[0196] 步骤5:物联网终端流量发现:泛在物联网安全防护网关系统可根据通过设备的流量学习获取物联网终端指纹信息(IP、MAC地址、操作系统、端口开放状态等);并为物联网终端进行自动命名,以资产和协议的角度形象化地梳理并呈现网络流量情况,并进行准入名单向导式的安全策略推荐。主动探测方式在物联网终端指纹识别过程中也具有不可替代的优点,具体包括:一是终端流量信息识别,可对终端工作流量的方向、协议、端口等信息进行学习,相对主动探测技术其可识别终端信息更加立体丰富;二是行为基线学习的重要依据,行为基线的产生需要根据终端正常工作的流量产生,而流量发现技术可提供终端日常工作的常规流量特征。
[0197] 泛在物联网安全防护网关系统采用无代理方式,综合主动和被动方式对网络资产进行发现和识别,综合资产IP地址、硬件地址、操作系统、开放端口、访问端口、协议指纹等多维度对每个终端生成一个唯一的资产指纹码,能够实时监测资产信息的变化,实时发现状态异常和仿冒的资产并告警,确保资产的唯一合法性;
[0198] 步骤6:对业务行为分析进行建模:通过对物联网终端行为进行感知学习,泛在物联网安全防护网关系统会对业务场景及数据流进行大数据分析,可以构建物联网终端的行为模型,将物联网业务行为以可视化的方式进行呈现,进而达到管控的安全目标。通过物联网实体及网络连接关系、物联网终端指令操作以及物联网操作流程三个方面,以及物联网传输过程中的报文进行深度解析,智能学习不同业务的报文内容,通过机器学习算法对时间维度、包长维度以及Payload内容进行不断学习聚合,自动辅助建立起一套物联网终端的行为模型,当业务出现异常时,配合主被动指纹学习技术,建立起物联网终端的指纹基线、行为基线并进行接入审批,当业务出现异常时即业务行为超出已有模型的范围,泛在物联网安全防护网关系统可以根据配置对不合规业务行为进行阻断、告警,从而实现基于业务行为的物联网终端网络行为防护,实现检测物联网终端仿冒用攻击,报警或者阻断物联网终端被冒用的安全问题。
[0199] 步骤7:建立白名单机制:通过对物联网终端的指纹信息建立白名单列表,可以根据终端的指纹信息属性,如常见进程名称、文件名称、发行商名称、厂商等信息,让管理员批准哪些终端被允许接入在特定系统或者网络中进行通讯。白名单机制是泛在物联网安全防护网关系统的核心机制,它可以与物联网安全网关系统的终端发现、行为感知学习能力相整合来高效的消除安全威胁。
[0200] 步骤8:资产智能分类识别:泛在物联网安全防护网关在实际安装部署中积累了大量的资产指纹信息,结合资产指纹发现技术,能够对物联网终端资产进行智能分类,目前支持包括通用PC、网络安全设备、视频设备、打印机、打卡机等多种物联网终端资产的识别。同时,泛在物联网安全防护网关支持自定义资产类型,可以根据资产的IP地址、MAC地址、开放端口、访问端口、操作系统信息等维度灵活定义资产类型,泛在物联网安全防护网关能够根据配置对资产进行智能分类,优先级高于预定义类型,方便进行网络管理。
[0201] 步骤9:网络拓扑发现:泛在物联网安全防护网关通过分析网络流量实现物联网终端资产的连接关系绘制,通过与交换机联动,实现物理拓扑关系绘制,从而实现资产连接关系的可视化。连接管理功能结合泛在物联网安全防护网关会话
跟踪功能,对网络流量进行分析,维护资产的连接关系表,支持每个资产连接关系的呈现、查询、管理。交换机面板绘制通过SNMP协议,获取已配置交换机的状态表信息,结合资产发现的结果,实现以交换机为中心的物理连接关系绘制。
[0202] 步骤10:资产按需通断:泛在物联网安全防护网关综合无代理资产指纹、资产智能识别、资产防冒用、业务行为分析建模等多项技术,实现物联网终端的智能编排,再此基础上实现细粒度、全方位的网络隔离,真正实现资产的按需通断。主要包括以下四个方面:
[0203] 1、异常资产隔离:基于指纹识别技术,结合主被动网络发现,实现资产指纹异常的实时发现,在防护模式下一旦确认资产状态异常,即将异常资产列入异常资产黑名单,实现逻辑隔离。
[0204] 2、业务行为合规性检查:基于业务行为分析建模技术,将业务行为以行为规则的形式下发到数据处理层,实现对异常业务流量的实时阻断和告警。
[0205] 3、TCP RST功能:针对旁路部署模式下,泛在物联网安全防护网关无法实现阻断的情况,TCPRST功能支持通过流量镜像的方式,通过主动发送TCPRST的形式实现对异常资产的入网阻断,增强网关的适应性。
[0206] 4、安全策略:在传统五元组策略的基础上,拓展安全策略的管控维度,增加接口、服务、时间、带宽等控制维度,结合资产智能分类识别技术实现对网络的细粒度控制。
[0207] 步骤11:对泛在物联网安全防护网关进行集中管理:针对泛在物联网安全防护网关大规模部署的场景,用户可以选用集中管理系统进行统一的安全策略定制。该系统支持多种泛在物联网安全防护网关的集中管理,支持的功能包括:
[0208] 1、设备状态监控:对泛在物联网安全防护网关的可用性进行监控,监控的指标有接口流速和状态、CPU、内存、硬盘等,实际掌握设备
健康状态。集中管理平台会保存监控数据,以便于用户查询历史数据。
[0209] 2、设备日志收集:支持泛在物联网安全防护网关的日志收集与分析。
[0210] 3、告警:集中管理平台可以提取出用户关心的设备状态监控信息。针对物联网终端设备的入侵行为进行告警和动作提示。
[0211] 4、策略管理:集中管理平台可以免客户端证书、免用户名密码登录设备。可实现批量升级、批量备份与恢复、批量策略下发等功能。
[0212] 5、数据维护:可以定时导出集中管理平台中存储的数据。支持数据恢复,可通过FTP上传或下载数据。
[0213] 6、设备管理:可通过SNMP自动填充设备信息。支持批量设备添加。
[0214] 7、信息展示:可实时呈现整体、区域、单点设备的运行状况及统计信息,并提供可视化图形展示。
[0215] 本发明
申请人结合
说明书附图对本发明的实施示例做了详细的说明与描述,但是本领域技术人员应该理解,以上实施示例仅为本发明的优选实施方案,详尽的说明只是为了帮助读者更好地理解本发明精神,而并非对本发明保护范围的限制,相反,任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。
