课题来源与背景随着物联网的迅速发展及基础设施通信系统的IP化,海量设备通过网络互联将成为趋势,在公安、交警、电力能源等行业中,大量IP摄像机、探测器、RFID等物联网终端已经大规模部署在城市的各个角落,当今社会已经逐渐进入物联网时代。和传统的互联网相比,物联网终端数量巨大、物理部署范围更广,除了人机互联以外还包含大量的设备互联,如何保证物联网的实时可见和全程可控,是业界面临的全新问题。物联网前端设备大量分散在无人值守的环境下,极易被黑客利用,进而渗透到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。使得物联网终端安全接入防护系统的研究显得尤为重要。国网延安供电公司针对目前物联网的迅速发展以及现存于物联网中的终端安全问题的研究,建立完整的物联网终端可视化和管控机制,不断完善物联网安全体系建设,研究一套完整的泛在物联网终端安全接入防护软硬件系统体系。技术原理及性能指标泛在物联网终端安全接入防护系统可通过终端探测、终端识别技术,来实现对部署网络范围内物联网终端的发现。采用基于流量分析、主动探测、指纹识别等技术手段进行泛终端的扫描与管理。通过深入自学习业务行为特征,建立合规业务的网络流量包的数据模型。深度解析终端的每一帧传输数据包内容,与建立的合规数据模型/设备指纹等进行比对,对不符合要求的数据包进行过滤。与网络中其它网络设备(交换机、hub等)进行联动,将违规终端进行网络隔离。性能指标系统的最大并发用户数不低于100。当系统进行多用户并发操作时,满足:(1)首页访问平均响应时间不超过3秒;(2)系统登录平均响应时间不超过5秒;(3)执行简单查询、添加和删除业务时,平均响应时间不超过5秒;(4)执行复杂的综合业务(同时包括查询、添加、删除等操作请求)时,平均响应时间不超过8秒;(5)在执行统计业务时,月统计业务的平均响应时间不超过20秒,年统计业务的平均响应时间不超过30秒。(6)日常平均CPU占用率小于40%,忙时小于75%,内存占用率小于50%,最大并发时小于75%。(7)系统稳定试运行三个月以上,运行安全、稳定,达到7×24h 的可靠运行能力,年可用率>99.97%,满足使用单位的有关要求。系统安全防护依据《国家电网公司智能电网信息安全防护总体方案》(国家电网信息〔2011〕1727号)要求,遵循“分区分域、安全接入、动态感知、全面防护”的安全策略,按照等级保护二级系统要求进行对物理环境、边界网络、主机、应用和数据进行安全防护设计,并根据业务系统的不断完善加强对网站的防护,最大限度的保障系统的安全、可靠和稳定运行。技术创造性与先进性(1)创造性采用流量学习和指纹技术实现泛终端资产的可信接入、发现、识别、防冒用功能。(2)率先采用行为学习结合合规业务模型的深度包检测技术解决泛终端的安全接入边界防护问题。(3)充分利用雾计算、边缘计算技术,实现数据处理下沉,根据物联代理功能需求,可定制提供模块化的数据接口和应用功能接口,满足用户的二次开发需求,缓解网络层和应用层压力。技术成熟程度:泛在物联网终端安全接入防护硬件系统是基于传统防火墙设备基于五元组(源IP、源端口、目的IP、目的端口、传输协议)的禁止和允许操作外,增加了第三类深度包检测策略的安全网关设备。在五元组基础上,对tcp/ip(甚至是应用层协议)数据包的payload部分进行规则匹配检测。泛在物联网终端安全接入防护硬件系统根据物联网设备业务较为简单专一、通信固定、数据包格式统一且种类较少的特点,改变传统安全设备检测异常数据包的方法,从检测正常业务数据包的角度,解决物联网设备的安全问题。其和传统防火墙设备、防护网关类设备相比,具有效率高、误报率低、规则简单且通用的特点。适用范围:适用于分散在无人值守的物联网前端设备运行环境中,完善物联网安全体系建设。安全性:该成果支持多达100台终端安全接入防护系统的集中管理。对物联网安全防护网关的可用性进行监控,监控的指标有接口流速和状态、CPU、内存、硬盘等,实际掌握设备状态。集中管理平台会保存监控数据。支持物联网安全防护网关的日志收集与分析。集中管理平台可以提取出用户关心的设备状态监控信息。针对物联网终端设备的入侵行为进行告警和动作提示。集中管理平台可以免客户端证书、免用户名密码登录设备。可实现批量升级、批量备份与恢复、批量策略下发等功能。可实时呈现整体、区域、单点设备的运行状况及统计信息,并提供可视化图形展示。应用情况:该成果装置于2019年12月在我公司客户服务中心,经现场使用多次反复操作,未见异常。存在的问题:泛在物联网终端所运行业务系统普遍具有单一性、专业化的特点,其网络行为具有特定性,例如,访问特定的IP和端口,发送单一或者几个固定结构的业务数据包等。因此,对每类泛在物联网终端的业务行为进行梳理和分析,整理出其特定的必要行为,并以此为依据采用严格的访问策略,可以极大的提升泛在物联网终端接入的安全性。