隨著一系列等級保護新標準的順利發(fā)布，網(wǎng)絡安全等級保護進入到2.0時代。作為新增的等級保護對象，物聯(lián)網(wǎng)要怎么過“等保關”?綠盟科技來支招。

　　一、要求總覽

　　隨著企業(yè)業(yè)務的數(shù)字化轉型，物聯(lián)網(wǎng)技術和商業(yè)模式也以驚人的速度發(fā)展。當前物聯(lián)網(wǎng)應用遍布在智慧家居，智慧大廈，智慧能源，智慧交通，智慧城市等行業(yè)。相對于傳統(tǒng)信息系統(tǒng)，物聯(lián)網(wǎng)如何進行等級保護非常受關注。新等級保護標準的發(fā)布，明確了物聯(lián)網(wǎng)作為等級保護對象的具體要求，指導物聯(lián)網(wǎng)的安全建設。

　　新標準中對于物聯(lián)網(wǎng)的等級保護，依據(jù)物聯(lián)網(wǎng)架構的三個邏輯層次，即感知層、網(wǎng)絡傳輸層和處理應用層，提出了具體的技術要求。由于網(wǎng)絡傳輸層和處理應用層通常是由計算機設備構成，因此這兩部分按照安全通用要求提出的要求進行保護，物聯(lián)網(wǎng)安全擴展要求針對感知層提出特殊安全要求，與安全通用要求一起構成對物聯(lián)網(wǎng)的完整安全要求。

　　注：安全通訊網(wǎng)絡、安全管理中心、安全管理制度、安全管理機構、安全管理人員和安全建設管理，物聯(lián)網(wǎng)無擴展要求。對于物聯(lián)網(wǎng)的等級保護，我們以第三級要求說明有哪些應該重點關注。

　　二、抓住重點

　　1.物聯(lián)網(wǎng)構成

　　等級保護基本要求附錄F中，描述了物聯(lián)網(wǎng)應用場景。物聯(lián)網(wǎng)從結構上可分為三個邏輯層，即感知層、網(wǎng)絡傳輸層和處理應用層。其中感知層包括傳感器節(jié)點和傳感網(wǎng)網(wǎng)關節(jié)點，網(wǎng)絡傳輸層包括將這些感知數(shù)據(jù)遠距離傳輸?shù)教幚碇行牡木W(wǎng)絡，處理應用層包括對感知數(shù)據(jù)進行存儲與只能處理的平臺，并對業(yè)務應用終端提供服務。

　　2.安全物理環(huán)境

　　解讀：

　　物聯(lián)網(wǎng)感知節(jié)點設備，能對物或環(huán)境進行信息采集和執(zhí)行操作。在物理防護上，要求環(huán)境不對設備造成破壞，環(huán)境對采集結果不造成影響，設備有持續(xù)的電力供應。這里主要是對物聯(lián)網(wǎng)終端廠商、設備的部署安裝提出的要求，需要在物理防護上滿足等級保護要求。

　　3.安全區(qū)域邊界

　　解讀：

　　物聯(lián)網(wǎng)感知節(jié)點設備，在接入網(wǎng)絡時需要具備唯一標識，且感知節(jié)點接入行為應具有身份鑒別機制，采用訪問控制機制，確保授權才允許接入。

　　對感知節(jié)點和網(wǎng)關節(jié)點的入侵防范，擴展要求時限制通訊的目的地址，用的主要也是訪問控制策略，通過白名單限制感知節(jié)點和網(wǎng)關的網(wǎng)絡訪問。

　　4.安全計算環(huán)境

　　解讀：

　　物聯(lián)網(wǎng)感知節(jié)點通常處于網(wǎng)絡邊緣，弱終端負責數(shù)據(jù)采集，強終端會涉及到一些邊緣計算，安全計算環(huán)境首先要保證設備的安全。身份標識和鑒別是基本要求，通過可信ID，確保資產(chǎn)不會被替換和偽造。

　　物聯(lián)網(wǎng)網(wǎng)關節(jié)點主要用于和弱終端的連接，需要對與其連接的設備合法性進行判斷。設備的密鑰和配置參數(shù)的更新，相當于有安全基線的要求，同時需要支持授權用戶的在線更新。

　　數(shù)據(jù)新鮮性是指對所接收的歷史數(shù)據(jù)或超出時限的數(shù)據(jù)能夠進行識別。物聯(lián)網(wǎng)數(shù)據(jù)使用有可用性、完整性、保密性的要求，以避免數(shù)據(jù)重放攻擊。

　　對于數(shù)據(jù)融合處理有兩種方案，不同終端廠商設計時按照行業(yè)標準，使用通用協(xié)議加私有協(xié)議方式，為平臺提供數(shù)據(jù)。或者平臺自己能夠支持多種協(xié)議的數(shù)據(jù)融合。

　　5.安全運維管理

　　解讀：

　　物聯(lián)網(wǎng)感知節(jié)點設備，部署位置廣泛環(huán)境惡劣，會因日久年深導致設備不可用。對運維管理提出要求是定期巡視設備并進行記錄和維護，并對設備的入庫、部署到報廢的全生命周期進行管理。此外對運維的保密性管理也提出了要求。

　　三、解決方案

　　綠盟科技結合多年等保合規(guī)實踐經(jīng)驗，按照感知層、傳輸層、應用層的體系框架，針對安全通用要求和物聯(lián)網(wǎng)安全擴展要求，提出了立體性、先進性和綜合性的物聯(lián)網(wǎng)等保合規(guī)解決方案。

　　立體性：從感知終端、傳輸層、平臺層不同層次上實施不同的安全機制，形成多視角，立體化的安全體系

　　先進性：采用先進的機器學習算法，進行建模分析，結合NTI物聯(lián)網(wǎng)情報系統(tǒng)，達到針對物聯(lián)網(wǎng)持續(xù)高效安全防護目的

　　綜合性：通過安全管理平臺平臺關聯(lián)使用，實現(xiàn)設備可視、威脅可防、風險可控，實現(xiàn)統(tǒng)一綜合管理目的

　　等保2.0對物聯(lián)網(wǎng)的感知層提出物聯(lián)網(wǎng)擴展要求，網(wǎng)絡傳輸層和平臺應用層需要按照通用要求進行安全防護。可以從數(shù)據(jù)加密、密鑰管理、入侵檢測、風險評估等角度進行防護。

　　同時，綠盟科技提供包含等保咨詢、漏洞掃描、安全檢查、滲透測試、安全加固、應急響應、安全通告、風險評估服務和安全培訓等一系列安全咨詢服務，在等級保護的多個階段幫助客戶更好的滿足等保合規(guī)要求。

　　綠盟科技已發(fā)布等級保護2.0系列解決方案，相關咨詢請聯(lián)系綠盟科技各分公司、辦事處的相關人員或撥打咨詢熱線：400-818-6868。