智慧消防IoT网络安全解决方案
一、消防物联网脆弱性分析
随着近些年消防物联网的广泛应用,消防物联网网络的感知层涉及到大量的传感器等终端设备,并且这些设备的物理分布非常广,也意味着安全问题更加难以监管,同时也暴露给攻击者更多攻击面。消防物联网应用是通过大量的感知设备对消防设备设施运行状态进行数据采集后由感知层终端设备或数据归集设备汇总后进行上传,最终由云端平台通过数据汇集、分析实现业务的应用支撑,同时云端平台对外提供管理接口与移动APP等实现操作交互。
消防物联网感知层
消防物联网的感知层终端设备可能存在默认账号密码未更改,或者弱口令,或者存在已知的安全漏洞,容易被攻击者控制并用于发起攻击或传播恶意软件、病毒、恶意脚本等恶意进程。
消防物联网网络层
在消防物联网终端设备接入网络时,可能面临私接、或伪造非法接入等问题,同时可能会面对内部系统的横向攻击、中间人攻击等。另外,由于网络层承载着数据的传输,数据泄露的可能性较大,一旦数据被窃取,攻击者就可以轻松地了解业务模型并进一步实施更高级的攻击。
消防物联网应用层
消防物联网应用层除了面临基础的弱口令、系统漏洞等威胁,其应用程序也可存在SQL注入、数据窃取、DDOS攻击等风险。
二、消防物联网安全痛点分析
1、IOT终端接入安全
消防物联网终端设备通常使用弱密码、默认账户等不安全的凭证,缺乏必要的身份验证和访问控制机制,容易被未经授权的第三方访问和控制,使得攻击者可以轻易查找到他们,并使用它们来发起攻击。消防物联网终端设备也面临着非法连接的问题,攻击者可以通过未经授权的方式将设备连接到网络上,非法连接可以极大地威胁网络的安全性,甚至危及整个企业的安全。
2、IOT终端攻击防护
攻击者可以通过公网进行网络扫描,使用各种攻击手段来入侵设备,例如DDoS攻击、中间人攻击、畸形报文攻击或设备漏洞利用。
通信链路安全 消防物联网终端设备数量多,难管理,通信行为不可控,可能面临未授权的访问、社交工程攻击、DNS欺骗等威胁,攻击者可获取机密信息或者实施攻击行为。另外,消防物联网场景下终端设备维护困难,通信链路若发生故障维修时间长、成本高,通信链路的中断或延迟可能导致设备无法正常工作,严重影响消防物联网的可用性和效率。
3、数据传输安全
消防物联网应用场景下,业务数据在公网上明文传输,存在数据泄露的风险。公网传输数据,在公有网络环境中难以确保数据安全,也存在数据篡改等风险。
三、建设思路
消防物联网终端安全接入的建设思路主要结合场景应用从无线通信、可靠传输、虚拟专网、接入访问控制、数据加密、攻击防护等方面进行安全防护。
无线通信
支持通过4G方式接入运营商网络,解决有线网络覆盖面不足的问题。
可靠传输
消防物联网场景下的loT设备,往往部署在无人场站,对通信可靠性要求高,需要支持有线和无线互为热备的数据传输能力。
虚拟专网
在公有网络上组建私有的局域专网,解决网络环境不可信不可靠的问题。
接入访问控制
对分布式网络边缘节点处的接入设备做接入控制和访问控制。
数据加密
通过加密隧道对数据通道做加密有效防止控制指令被篡改和业务数据泄露。
攻击防护
针对各类网络攻击行为,如泛洪攻击、扫描探测、非法指令传输做检查和阻断。
四、建设方案
1、传感器数据传输加密:
设备端和云端服务器在传输数据前,对消防物联网通信系统采用SSL/TLS协议、AES加密算法等,对数据进行加密处理后进行传输,服务器接收到数据后,再进行解密处理,防止数据被窃取或篡改。此举可以有效预防明文数据传输时,被黑客截获,大大降低安全隐患。
传感器建立设备认证和身份验证机制:安消一体化平台通过对物联网设备建立设备认证和身份认证机制,即设备接入安消一体化平台前,由系统生成设备鉴权二维码,再进行设备联网,设备添加系统时,需通过该二维码进行白名单鉴权,未获取身份标识的非白名单设备禁止接入平台。
建立虚拟专用数据通信网络,将分散在各单位的物联网节点,通过加密数据流实现安全数据传输,构建点到云的安全网络。消防物联网终端通过专用的APN进行网络访问,将物联网终端网络与公网、其他客户进行网络隔离,通过内部网络建立与4G网络的连接,终端接入后直接与用户内部网络建立专用通道,提高数据传输安全性。
2、搭建引入网络入侵检测与防御系统:
通过引入网络入侵检测与防御系统,实时监控网络流量,及时发现并阻止潜在的网络入侵与攻击行为,确保网络的安全性。建设消防物联网统一安全管理平台,将分散在各单位的物联网节点进行集中统一管理,能够对物联网安全接入设备的安全策略统一管理、资产管理、安全监测。对消防物联网进行资产拓扑展示,并监测物联网安全接入节点在线状态。检测物联网安全接入网关的通信协议异常、流量异常、连接异常、非法设备接入等安全事件,结合资产的重要程度产生告警,提醒管理员进行安全检查和加固,并将报警信息通过邮件或短信推送给相应的运维人员。