產品介紹

隨着物聯網技術的廣泛應用,IoT設備不僅在辦公領域發揮着不可替代的作用,正逐步深入到組織的核心業務,成為業務流程中不可或缺的組成部分。奇安信IoT接入控制系統(簡稱IoT准入)就是為解決網內各類型IoT設備大量使用場景下的安全接入管理難題而推出的一款產品,能夠輕鬆實現IoT設備的發現和識別、接入感知與用户識別、多類型設備的統一接入控制、仿冒檢測和處置、安全合規檢查、狀態監控、IP地址管理與使用監控等安全管理功能。



核心功能

1.自動資產發現
支持多種方式發現資產,包括攝像頭、打印機、電話、ATM、工控機等各類IoT設備。通過自動學習建立行為模型,形成資產白名單,監測非法設備和仿冒設備接入。產品支持資產管理,包括廠商名稱、設備類型、設備型號、IP地址、MAC地址、接入位置等多種屬性,並支持資產的批量導入導出。
2.網絡感知
可以通過多種方式掃描網絡設備(交換機、路由器)的信息及連接關係,繪製設備物理拓撲,方便管理與定位IoT設備的網絡接入位置,幫助用户及時發現不可信節點和故障節點。
3.准入控制
支持Web認證、802.1x認證等多種准入控制方式,強制接入網絡的IoT設備進行身份認證和合規檢查,未通過身份認證和合規檢查的設備無法接入網絡。
4.訪問控制
基於設備的使用人信息、設備信息、設備合規狀態等多維度進行動態授權和訪問控制,確保網內設備僅擁有受限的網絡訪問權限。當存在設備超越權限的網絡訪問請求時,將根據管理員配置對越權設備進行阻斷或日誌記錄。
5.設備合規性檢查
能夠通過主動掃描及流量分析的方式探查IoT設備合規情況,可以檢查是否存在弱口令、違規開放端口、被其他設備仿冒等問題,檢查設備的流量是否超過管理員設定的最小值或最大值、流量的波動是否超過管理員設定的範圍、設備是否從指定的位置接入網絡等情況。當發現設備不滿足合規要求時,本產品將根據管理員的策略配置對不合規設備進行阻斷或日誌記錄。
6.失陷設備發現
利用攻擊者使用的遠程命令和控制服務器情報,對網絡流量進行檢測,及早發現內部被黑客攻陷的IoT設備,將這些失陷設備及時隔離出網絡,以防止實際損失的產生。

產品特點

1.旁路部署,不影響當前網絡結構,不會增加新的故障點和網絡瓶頸。
2.統一管理平台,集中管理網絡的IoT設備以及其它設備,可以做到策略統一管理、數據統一上報。
3.豐富的設備接入安全檢查,根據策略進行預警,通知管理員進行整改。
4.網絡邊界接入監測,及時發現網絡接入異常及風險。
5.提供多種逃生機制,如雙機熱備、冷備、一鍵Bypass等。

適用場景

1.視頻專網的接入控制
適用於各類視頻專網、安防監控網絡、視頻與PC混合網絡,可以與其他安全系統進行聯動,形成整體安全防護體系,避免亞健康設備對專網的影響。
2.泛終端接入控制
適用於電力、能源、金融、運營商等各行業的泛終端接入控制。

部署方式

奇安信IoT 接入控制系統支持集中管理和多級管理,以滿足不同組織的管理需求;支持集中式和分佈式部署方式,以適應多樣的接入網絡環境,實現覆蓋區域內IoT接入網絡的資產可見、活動可知、設備可控。

1.集中式部署
如果用户的IoT設備集中在一個區域,網絡光纖或專線數據傳輸帶寬比較大,能夠保障服務器和設備之間的數據通訊,可以採用集中式部署方式。
集中式部署方式的優點是實施部署簡單、成本低、控制枱統一管理,適用於規模比較小、相對比較獨立的網絡環境部署,如一整棟辦公樓或一個視頻專網管理片區。這種環境下,網絡規模較小,網絡拓撲較簡單,可將設備部署於網絡核心交換機旁,統一管理範圍內的各類設備。
2.分佈式部署
如果用户具有眾多分支機構,分支機構採用專線或站點對站點VPN的方式與總部網絡相連,根據用户網絡的實際拓撲情況,為確保IoT設備的安全穩定運行,可在各分支機構獨立部署IoT准入設備,通過統一管理平台進行集中管理、策略下發、設備監測等操作,即“分佈式部署、集中式管理”。
這種部署方案的優點是故障風險比較小,安全穩定,設備下移管理力度強,對於各種准入方式都適用。
3.分級式部署
如果用户擁有眾多下屬分支機構,並存在多級管理的需求,需要針對區域權限進行細分控制,可以採用多級部署方式,通過配置IoT准入設備和同級統一管理平台對接、二級管理平台與一級管理平台級聯的模式,IoT准入設備由各自二級管理平台管理,二級管理平台受一級管理平台監管,接收一級管理平台下發的策略模板,並將基礎數據與告警上報至上級平台,從而實現大型組織架構下的靈活管理。