网络层的安全威胁主要来自以下几个方面:一是对终端的入侵,终端感染病毒,或者篡改软硬件模块,从而窃取存储的私密信息;二是对传输链路的入侵,通过删除、改写链路上的数据和对各种协议级的干扰,使数据传输堵塞;三是对核心网络的入侵,绝大多数物联网开发业务信息要用到互联网传输,移动通信与互联网的核心网络具有相对完整的安全保护能力,但核心网络很容易受到Ddos攻击和假冒攻击。
面对攻击,网络层的安全需求应涵盖以下几个方面:一是保证业务数据在承载网络中的传输安全,保证数据在传输过程中不被泄露与截获;二是解决终端和异构网络的鉴权认证,实现对物联网的连接认证和对异构网络互连的身份认证。三是异构网络下终端的安全接入。针对物联网M2M的工作特征,对网络框架和接入技术进行优化和改进。四是物联网协议总和的标准需求。即建立一个统一的协议栈和相应的技术标准,防止协议漏洞。五是大规模分布式安全监控。针对物联网关于实时性、稳定性、资源可靠性等方面的要求,对物联网终端进行大规模部署,建立安全的管控体系。
目前,核心网主要是指运营商的核心网络,其重要性不言而喻,其安全防御系统主要包括:安全通道管控设备、防火墙、网络密码设备、漏洞扫描设备、入侵检测设备、防病毒计算机、补丁分发服务器和综合安全管理设备。
我们对其中的最重要的几个设备的安全防护机制进行简要分析:
第一,综合安全管理设备。该设备能够对整个网络的安全情况进行统一的监视,并对安全设备进行系统的管理,构建全网安全管理体系;还可以对全网的安全事件进行汇总、上报,实现网络层各类安全设备和系统的互联互动。
第二,证书管理系统。该系统负责管理和签发数字证书,由证书注册中心、签发中心和证书目录服务器组成。该系统还有一些附加功能,如证书撤销、证书恢复、证书发布、密匙申请、日志审计、备份恢复和各种查询服务。证书管理系统的关系图如下:
证书管理系统的关系图
第三,应用安全访问控制设备。该设备采用安全隧道技术,在服务器和物联网中间建立一条安全隧道,隔离两者的直接连接,而所有的查询和访问都必须经过安全隧道的同意。其工作原理是:终端将访问请求通过安全隧道发送给应用访问控制设备,该设备会马上做出响应,并验证终端设备的身份,然后查询终端设备的权限,最后决定是否允许终端设备访问。
应用安全访问控制设备需要的功能主要有:统一的安全保护机制、基于数字证书和USBKEY的身份认证、数据安全保护和透明转发。
第四,安全通道管控设备。该设备部署在物联网LNS服务器和运营商网关之间,主要用来防御公网和终端设备的各种安全威胁。它主要有两个特点:(1)对用户透明、对网络设备透明,信任度很高;(2)可以根据需求对网络通信的内容进行监视。
第五,漏洞扫描系统。在可扫描IP的范围内,该系统可以对不同操作系统的计算机进行漏洞检测,分析和指出计算机网络的薄弱环节,并可以针对监测到的网络安全隐患,提出相应的解决方法、安全建议和补救措施,从而提高安全保密分系统的保密能力和抗破坏能力。
第六,入侵检测设备。该设备为终端子网提供异常信息的监测,在第一时间发现攻击行为,并在全网开启警报。另外,分析检测设备还可以对网络层的大部分数据进行分析和排查,提供多种应用协议的审计,记录各个与之相关联的终端设备访问行为。
第七,防病毒服务器。该设备主要用于保护网络中的服务器和应用主机,防止主机和服务器因感染病毒而导致通信故障、数据丢失或瘫痪。防病毒服务器包括监控中心和客户端,客户端分别部署在主机和服务器上,监控中心则部署在基础子网中。
第八,补丁分发服务器。该服务器部署在安全防护系统内网之中,采用B/S架构,可在网络的任何终端,通过登录内网补丁分发服务器对页面进行管理、对各种信息进行查询服务。将来,补丁分发系统可以根据客户端数量和管理需求进行功能的无缝拓展。
赣公网安备 36011102000373号
售前咨询