產品介紹

隨著物聯網技術的廣泛應用,IoT設備不僅在辦公領域發揮著不可替代的作用,正逐步深入到組織的核心業務,成為業務流程中不可或缺的組成部分。奇安信IoT接入控制系統(簡稱IoT準入)就是為解決網內各類型IoT設備大量使用場景下的安全接入管理難題而推出的一款產品,能夠輕松實現IoT設備的發現和識別、接入感知與用戶識別、多類型設備的統一接入控制、仿冒檢測和處置、安全合規檢查、狀態監控、IP地址管理與使用監控等安全管理功能。

IoT接入控制系統

IoT接入控制系統

核心功能

1.自動資產發現
支持多種方式發現資產,包括攝像頭、打印機、電話、ATM、工控機等各類IoT設備。通過自動學習建立行為模型,形成資產白名單,監測非法設備和仿冒設備接入。產品支持資產管理,包括廠商名稱、設備類型、設備型號、IP地址、MAC地址、接入位置等多種屬性,并支持資產的批量導入導出。
2.網絡感知
可以通過多種方式掃描網絡設備(交換機、路由器)的信息及連接關系,繪制設備物理拓撲,方便管理與定位IoT設備的網絡接入位置,幫助用戶及時發現不可信節點和故障節點。
3.準入控制
支持Web認證、802.1x認證等多種準入控制方式,強制接入網絡的IoT設備進行身份認證和合規檢查,未通過身份認證和合規檢查的設備無法接入網絡。
4.訪問控制
基于設備的使用人信息、設備信息、設備合規狀態等多維度進行動態授權和訪問控制,確保網內設備僅擁有受限的網絡訪問權限。當存在設備超越權限的網絡訪問請求時,將根據管理員配置對越權設備進行阻斷或日志記錄。
5.設備合規性檢查
能夠通過主動掃描及流量分析的方式探查IoT設備合規情況,可以檢查是否存在弱口令、違規開放端口、被其他設備仿冒等問題,檢查設備的流量是否超過管理員設定的最小值或最大值、流量的波動是否超過管理員設定的范圍、設備是否從指定的位置接入網絡等情況。當發現設備不滿足合規要求時,本產品將根據管理員的策略配置對不合規設備進行阻斷或日志記錄。
6.失陷設備發現
利用攻擊者使用的遠程命令和控制服務器情報,對網絡流量進行檢測,及早發現內部被黑客攻陷的IoT設備,將這些失陷設備及時隔離出網絡,以防止實際損失的產生。

產品特點

1.旁路部署,不影響當前網絡結構,不會增加新的故障點和網絡瓶頸。
2.統一管理平臺,集中管理網絡的IoT設備以及其它設備,可以做到策略統一管理、數據統一上報。
3.豐富的設備接入安全檢查,根據策略進行預警,通知管理員進行整改。
4.網絡邊界接入監測,及時發現網絡接入異常及風險。
5.提供多種逃生機制,如雙機熱備、冷備、一鍵Bypass等。

適用場景

1.視頻專網的接入控制
適用于各類視頻專網、安防監控網絡、視頻與PC混合網絡,可以與其他安全系統進行聯動,形成整體安全防護體系,避免亞健康設備對專網的影響。
IoT接入控制系統
IoT接入控制系統
2.泛終端接入控制
適用于電力、能源、金融、運營商等各行業的泛終端接入控制。
IoT接入控制系統

部署方式

奇安信IoT 接入控制系統支持集中管理和多級管理,以滿足不同組織的管理需求;支持集中式和分布式部署方式,以適應多樣的接入網絡環境,實現覆蓋區域內IoT接入網絡的資產可見、活動可知、設備可控。

1.集中式部署
如果用戶的IoT設備集中在一個區域,網絡光纖或專線數據傳輸帶寬比較大,能夠保障服務器和設備之間的數據通訊,可以采用集中式部署方式。
集中式部署方式的優點是實施部署簡單、成本低、控制臺統一管理,適用于規模比較小、相對比較獨立的網絡環境部署,如一整棟辦公樓或一個視頻專網管理片區。這種環境下,網絡規模較小,網絡拓撲較簡單,可將設備部署于網絡核心交換機旁,統一管理范圍內的各類設備。
IoT接入控制系統
2.分布式部署
如果用戶具有眾多分支機構,分支機構采用專線或站點對站點VPN的方式與總部網絡相連,根據用戶網絡的實際拓撲情況,為確保IoT設備的安全穩定運行,可在各分支機構獨立部署IoT準入設備,通過統一管理平臺進行集中管理、策略下發、設備監測等操作,即“分布式部署、集中式管理”。
這種部署方案的優點是故障風險比較小,安全穩定,設備下移管理力度強,對于各種準入方式都適用。
IoT接入控制系統
3.分級式部署
如果用戶擁有眾多下屬分支機構,并存在多級管理的需求,需要針對區域權限進行細分控制,可以采用多級部署方式,通過配置IoT準入設備和同級統一管理平臺對接、二級管理平臺與一級管理平臺級聯的模式,IoT準入設備由各自二級管理平臺管理,二級管理平臺受一級管理平臺監管,接收一級管理平臺下發的策略模板,并將基礎數據與告警上報至上級平臺,從而實現大型組織架構下的靈活管理。

IoT接入控制系統