网联万物安全守护—威努特构建物联网安全接入体系

　　随着物联网技术的发展，慢慢的变多的日常物品，如家用电器、汽车、工业设施等，利用互联网相互连接，形成了一个庞大的网络。这种高度的互联性虽然带来了便利和效率，但也极大地扩展了潜在的攻击面，使得物联网成为了网络安全的新前线。从美国副总统迪克·切尼心脏病发作、疑似心脏除颤器被模拟攻击，到特斯拉被爆出Model S车型汽车应用存在设计漏洞、可致使攻击者远程控制车辆，以及央视曝光智能城市的家庭摄像头存在重大隐私泄露问题等，都不同程度反映出物联网不同应用场景下的网络安全问题。物联网设备数量庞大、种类非常之多，其安全性必然的联系到个人隐私、企业数据和国家安全。在万物互联时代，物联网安全慢慢的变成了互联网空间安全的重要组成部分。

　　根据工信部无线电管理局的定义，“物联网”就是“万物相连的互联网”。它有两层含义，第一，物联网的核心和基础仍然是网络，是在互联网基础上延伸和扩展的网络；第二，其用户端延伸和扩展到了物品与物品之间，进行信息交换和通信，也就是万物相连。

　　网络层：由各种网络，包括互联网、光电网、网络管理系统和云计算平台等组成，是整个物联网的中枢，负责传递和处理感知层获取的信息。

　　应用层：是物联网和用户的接口，它与行业需求结合，实现物联网的智能应用。应用层按照每个用户的需求可以面向各类行业实际应用的管理平台和运行平台，并依据各种应用的特点集成相关的内容服务。

　　随着物联网技术的慢慢的提升，未来将实现真正意义上的万物互联。在过去十年中，物联网技术经历了惊人的发展。据IoT Analytics报告称，2020年，智能家居设备、联网汽车和网络工业设施等物联网连接首次超过电脑和笔记本电脑等传统联网设备，占217亿活跃联网设备的 54%。该公司预计，到 2025年，物联网连接将超过300亿个，相当于平均每人拥有约四个物联网设备。

　　由于物联网设备数量庞大且分布广泛，大量的数据需要在本地做处理，而不是全部传输到云端做处理。边缘计算就是将计算和数据存储靠近物联网设备，在网络边缘进行数据处理和分析。在一些对实时性要求高的场景，如智能工厂的生产的全部过程监控、智能交通的路况实时分析等，边缘计算将发挥重要作用。

　　物联网在各个垂直行业的应用将不断深化和细化。在医疗行业，除了现有的远程医疗、医疗设施监测等应用，还将出现基于物联网的精准医疗、医疗物联网平台与电子病历系统的深层次地融合等新的应用模式；在农业领域，物联网将与大数据、人工智能相结合，实现农业生产的智能化决策、精准施肥、病虫害监测与防治等；在能源领域，物联网可用于智能电网的监测和控制，提高能源利用效率，实现能源的智能化管理。

　　5G 具有高速率、低时延、大连接的特点，正好满足物联网对网络性能的高要求。在5G网络的支持下，物联网设备可以在一定程度上完成实时、高速的数据传输，满足诸如无人驾驶、工业自动化控制等对时延要求极高的应用场景。

　　未来的物联网平台将更加智能化，具备自动学习、自动优化的能力。物联网平台能够准确的通过设备的运行数据和用户的使用习惯，自动调整设备的参数和运行模式，实现设备的智能化运维。同时，物联网平台还能够对海量的物联网数据来进行深度分析，挖掘数据背后的价值，为企业的决策提供有力支持。

　　随着物联网的发展，产业链上的所有的环节将更加紧密地协作，形成完整的产业生态。芯片制造商、传感器供应商、网络运营商、系统集成商、应用开发商等各方将一同推动物联网的发展。同时，物联网产业与其他新兴技术产业，如人工智能、大数据、区块链等相互融合，共同构建新的产业ECO，为经济社会持续健康发展注入新的动力。此外，国家有关政策为物联网产业生态链的完善也提供了坚实保障。例如，《物联网新型基础设施建设三年行动计划（2021—2023 年）》明白准确地提出要突破一批制约物联网发展的关键共性技术，培育一批示范带动作用强的物联网建设主体和运营主体，构建健全完善的物联网标准和安全保障体系。在这些政策的引导和支持下，物联网产业不停地改进革新和拓展，迎来更广阔的发展空间。

　　随着物联网设备的广泛接入，物联网安全问题也慢慢的变严峻。由于物联网设备往往计算能力有限、存储容量较小、安全防护机制薄弱，容易成为黑客攻击的目标。一旦物联网设备被黑客入侵，有几率会使个人隐私泄露、工业生产中断、城市基础设施瘫痪等难以处理的后果。因此，未来物联网安全将成为行业发展的关键，需要加强物联网设备的安全认证、加密技术、访问控制等方面的研究和应用，以保障物联网系统的安全运行。

　　物联网包含大量的设备和网络，这些设备和网络的种类和架构多种多样，使得安全管理变得复杂而困难。这些挑战不仅包括设备层面的安全漏洞，如弱密码、缺乏加密等，还涉及网络层面的安全威胁，如中间人攻击、分布式拒绝服务（DDoS）攻击等。此外，数据层面的安全挑战，如数据泄露、隐私侵犯等，也不容忽视。

　　物联网的感知层是物联网的最底层，它由各种传感器、执行器和其他能够采集数据或与环境交互的设备组成。这些设备利用互联网将收集到的数据发送给处理中心，或者接收来自处理中心的指令以采取行动。由于感知层直接暴露于外界环境中，其网络安全问题尤为突出，最重要的包含：设备因资源受限和出厂默认配置不安全而易受攻击；无线通信协议有几率存在加密不足或漏洞，增加了数据被窃听或篡改的风险；缺乏及时的安全更新机制导致已知漏洞长期存在以及弱身份验证和授权机制可能会引起未授权访问。

　　物联网网络层的安全问题主要是传统安全问题，目前的网络安全体系虽已成熟，但仍存在许多的攻击漏洞。在终端设备接入网络时，可能面临私接或伪造非法接入等问题，同时也可能会面对内部系统的横向攻击、中间人攻击、数据传输泄露等威胁。

　　物联网应用层是整个物联网架构的顶层，它直接面向用户更好的提供物联网服务和应用。物联网应用层面临的网络安全威胁包括基础的漏洞或弱口令、恶意代码威胁，还可能面临SQL注入、DDoS攻击和数据泄漏的风险。

　　物联网应用场景下，业务数据在公网上明文传输，存在数据泄露的风险。由于物联网设备本身不具备网络安全能力，当数据在公网传输难以确保数据安全，存在数据篡改等风险。

　　物联网通信链路面临的网络安全风险主要体现为未加密或加密强度不足的数据传输易被拦截篡改，可能遭遇中间人攻击，造成敏感信息泄露及系统被恶意操控风险。此外，物联网设备种类非常之多，管理困难，通信行为不可控，通信链路若出现故障维修时间长，成本较高。

　　公网上存在大量的网络扫描、DDoS攻击以及畸形报文攻击，攻击者可通过各种手段进行渗透攻击，另外工业物联网下PLC可能会面临控制指令的恶意下发造成现场操作的事故。

　　物联网终端设备，如摄像机、打印机、智能仪表等哑终端，都会存在使用弱密码、默认账户及缺乏安全认证机制等问题，存在被未授权访问和恶意控制等风险。此外，物联网设备还存在被非法接入的风险，攻击者可以轻易借此设备侵入用户网络，进而严重威胁网络安全，甚至危及整个企业安全。

　　威努特长期深耕于工业领域，结合工控物联网场景部署分散、业务复杂等特点，自主研发了物联网安全接入网关产品，产品可实现物联网跨网、跨域、业务级的安全接入，全面构建易用的物联网网络安全接入体系。

　　威努特物联网安全接入网关从感知层进行安全防护，提供链路冗余、安全接入、访问控制、攻击防护、虚拟专网、工控指令防护等多种安全能力，真正解除网络安全的“最后一公里”威胁。

　　物联网网络感知层存在大量传感器和感知设备，由于物联网网络在物理距离上较为分散，违规接入造成的异常访问较难管控，物联网安全接入网关具备访问控制和接入控制能力，有很大效果预防私接冒接问题。

　　物联网安全接入网关采用状态检测的机制实现相应的安全控制。接入网关采用状态检测包过滤的技术，是传统包过滤上的功能扩展。在网络层部署状态检测检查引擎，截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。

　　物联网安全接入网关支持攻击防护能力，针对各类网络攻击、非法指令传输，都能做到有效防护。支持防护的攻击类型：Teardrop攻击、Ping of Death攻击、Land攻击、SYN flood、TCP flood、UDP flood、TCP扫描、UDP扫描、ICMP扫描等。

　　无线通信技术可以在一定程度上完成较广泛的覆盖范围,满足物联网设备在偏远地区或室内等复杂环境下的通信需求。物联网安全接入网关支持4G、Ethernet多种上行接入方式，为用户在复杂的网络部署时提供了灵活多样的上行选择。支持有线和无线网络互为链路备份，当有线网络无法与公网正常连通时，自动切换到无线

　　物联网场景下的物联网设备，通常部署在无人场站，对通信链路可靠性要求高。物联网安全接入网关利用VPN技术，对传输通道加密，确保通信过程不被监听、劫持、篡改及破译，保证关键业务数据、控制指令传输的完整性、保密性，满足通信传输过程中数据的安全性。

　　物联网安全接入网关支持在公网创建虚拟专网，解决物联网设备之间相互连通的难题。

　　物联网网络传感数据为上层应用提供了大量原始数据，满足了智慧系统构建的同时，也存在数据泄露的风险，物联网安全接入网关支持数据传输加密，满足业务数据高保密性要求。

　　物联网安全接入网关可以自动学习网络中出现的合法工业控制指令，形成工业协议白名单，支持工业协议深度解析，有很大效果预防网络中传输非法的工业控制指令。

　　物联网统一安全管理平台，可以将分散在各物联网节点的物联网安全接入网关进行集中统一管理，能够对物联网安全接入网关的安全策略统一管理、资产管理、安全监测、报警分区推送，统一管理极大地提升了企业安全运维的效率。

　　物联网安全接入网关支持导轨式安装、磁吸式安装。在具备导轨安装条件的环境中，能够最终靠导轨式安装，保障安装的牢固稳定，在配电箱、环网柜等金属材质的安装场景中，能够最终靠磁吸安装，更便利快捷。

　　威努特物联网安全接入网关是面向工业互联网全场景的物联网安全接入综合防护系统，可实现网络攻击防护、接入控制、链路可靠传输、数据加密、流量威胁检测、集中管控、安全可视化等功能，可适配各类的智能终端和哑终端，可应用于市政热力、市政水务、环境监视测定、视频防护、风电光伏、电力配网、智慧城市等领域。

　　在中心侧旁路部署统一安全管理平台，在分布式节点上串行部署物联网安全接入网关。

　　物联网安全接入网关提供Ethernet下行接入和Ethernet、4G上行接入，可依据业务情况选择正真适合的接入方式；

　　通过统一安全管理平台对分布式节点上的安全设备做集中管控，并收集全网的安全事件，统一分析挖掘更深层次的脆弱性和威胁。

　　1、大多数传统防火墙不支持无线、传统防火墙无法适应较为恶劣的工业现场环境。

　　1、物联网安全接入网关支持有线&无线G接口创建IPsec隧道）的工业级VPN防火墙；

　　2、针对已有物联网安全网关设备（无安全防护模块），可补充其安全防护能力。

　　随着经济社会的数字化转型和智能化升级加速推进，物联网已发展成为新型基础设施的关键组成部分。物联网安全作为其核心保障，将是决定未来物联网能否健康、可持续发展的重要的条件。在马上就要来临的万物互联时代，物联网安全接入网关将扮演不可或缺的角色，它不仅连接感知网络与传统通信网络，更将成为确保数据安全传输、保护用户隐私及维护系统稳定运行的重要纽带。

　　平台声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。