产品介绍

随着物联网技术的广泛应用,IoT设备不仅在办公领域发挥着不可替代的作用,正逐步深入到组织的核心业务,成为业务流程中不可或缺的组成部分。奇安信IoT接入控制系统(简称IoT准入)就是为解决网内各类型IoT设备大量使用场景下的安全接入管理难题而推出的一款产品,能够轻松实现IoT设备的发现和识别、接入感知与用户识别、多类型设备的统一接入控制、仿冒检测和处置、安全合规检查、状态监控、IP地址管理与使用监控等安全管理功能。



核心功能

1.自动资产发现
支持多种方式发现资产,包括摄像头、打印机、电话、ATM、工控机等各类IoT设备。通过自动学习建立行为模型,形成资产白名单,监测非法设备和仿冒设备接入。产品支持资产管理,包括厂商名称、设备类型、设备型号、IP地址、MAC地址、接入位置等多种属性,并支持资产的批量导入导出。
2.网络感知
可以通过多种方式扫描网络设备(交换机、路由器)的信息及连接关系,绘制设备物理拓扑,方便管理与定位IoT设备的网络接入位置,帮助用户及时发现不可信节点和故障节点。
3.准入控制
支持Web认证、802.1x认证等多种准入控制方式,强制接入网络的IoT设备进行身份认证和合规检查,未通过身份认证和合规检查的设备无法接入网络。
4.访问控制
基于设备的使用人信息、设备信息、设备合规状态等多维度进行动态授权和访问控制,确保网内设备仅拥有受限的网络访问权限。当存在设备超越权限的网络访问请求时,将根据管理员配置对越权设备进行阻断或日志记录。
5.设备合规性检查
能够通过主动扫描及流量分析的方式探查IoT设备合规情况,可以检查是否存在弱口令、违规开放端口、被其他设备仿冒等问题,检查设备的流量是否超过管理员设定的最小值或最大值、流量的波动是否超过管理员设定的范围、设备是否从指定的位置接入网络等情况。当发现设备不满足合规要求时,本产品将根据管理员的策略配置对不合规设备进行阻断或日志记录。
6.失陷设备发现
利用攻击者使用的远程命令和控制服务器情报,对网络流量进行检测,及早发现内部被黑客攻陷的IoT设备,将这些失陷设备及时隔离出网络,以防止实际损失的产生。

产品特点

1.旁路部署,不影响当前网络结构,不会增加新的故障点和网络瓶颈。
2.统一管理平台,集中管理网络的IoT设备以及其它设备,可以做到策略统一管理、数据统一上报。
3.丰富的设备接入安全检查,根据策略进行预警,通知管理员进行整改。
4.网络边界接入监测,及时发现网络接入异常及风险。
5.提供多种逃生机制,如双机热备、冷备、一键Bypass等。

适用场景

1.视频专网的接入控制
适用于各类视频专网、安防监控网络、视频与PC混合网络,可以与其他安全系统进行联动,形成整体安全防护体系,避免亚健康设备对专网的影响。
2.泛终端接入控制
适用于电力、能源、金融、运营商等各行业的泛终端接入控制。

部署方式

奇安信IoT 接入控制系统支持集中管理和多级管理,以满足不同组织的管理需求;支持集中式和分布式部署方式,以适应多样的接入网络环境,实现覆盖区域内IoT接入网络的资产可见、活动可知、设备可控。

1.集中式部署
如果用户的IoT设备集中在一个区域,网络光纤或专线数据传输带宽比较大,能够保障服务器和设备之间的数据通讯,可以采用集中式部署方式。
集中式部署方式的优点是实施部署简单、成本低、控制台统一管理,适用于规模比较小、相对比较独立的网络环境部署,如一整栋办公楼或一个视频专网管理片区。这种环境下,网络规模较小,网络拓扑较简单,可将设备部署于网络核心交换机旁,统一管理范围内的各类设备。
2.分布式部署
如果用户具有众多分支机构,分支机构采用专线或站点对站点VPN的方式与总部网络相连,根据用户网络的实际拓扑情况,为确保IoT设备的安全稳定运行,可在各分支机构独立部署IoT准入设备,通过统一管理平台进行集中管理、策略下发、设备监测等操作,即“分布式部署、集中式管理”。
这种部署方案的优点是故障风险比较小,安全稳定,设备下移管理力度强,对于各种准入方式都适用。
3.分级式部署
如果用户拥有众多下属分支机构,并存在多级管理的需求,需要针对区域权限进行细分控制,可以采用多级部署方式,通过配置IoT准入设备和同级统一管理平台对接、二级管理平台与一级管理平台级联的模式,IoT准入设备由各自二级管理平台管理,二级管理平台受一级管理平台监管,接收一级管理平台下发的策略模板,并将基础数据与告警上报至上级平台,从而实现大型组织架构下的灵活管理。