银行网点：物联网设备身份认证.docx

《银行网点：物联网设备身份认证.docx》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、一、安全风险 跑过银行业务的都清楚，办理银行业务前首先需要叫号，然后大堂经理帮你复印身份证等相关文件。柜台前，业务人员又会递给你一沓打印好的表单确认签名。令人意想不到的是，就在这习以为常的操作中却隐藏着极大的物联网终端安全风险。银行网点几乎为每个业务员配置一台办公电脑和一台打印机，除此之外还设有公共打印机、摄像头、IP电话以及考勤机等IoT设备。一般情况下，非法分子很难通过外网发起攻击，更多的是在拔了网线的情况下，通过伪造IP/MAC地址的方式盗取内网资源或注入蠕虫病毒。因此，终端身份认证及权限管控成为银行网点应对物联网设备安全的重要措施。二、解决方案方案1、从访问权限的角度防止IoT信息泄

2、漏面向物联网设备较少的办公场景，企业可以采用MAB认证+静态ACL的方式，通过控制终端的访问权限的方式阻止信息资源泄漏。但物联网设备数量最好能控制在20个以内，毕竟随数量的增加，对应配置增加，运维成本也会增加。如图：物联网终端MAC地址绑定示意图。方案2、从强化身份认证的角度阻止非法终端的接入 1、细分终端身份，防止IP/MAC地址伪造 试问决定终端身份的只有IP/MAC地址吗？长期以来，我们一直把IP/MAC地址作为终端身份的唯一标志。直到设备指纹概念的出现，我们意识到，IP终端和人类一样有着固有、可循的静态/动态特征，比如终端类型、生产厂商、访问行为、软/硬件运行状态以及病理特征（是否安

3、装杀毒软件、是否更新补丁、是否安装了非合规应用……）等。  由于IoT设备功能单一，其设备指纹的可监控项也相对减少，但是我们还是可以通过细分终端身份的方式提升身份鉴别强度。比如在验证IP/MAC地址的同时校验“终端类型”。以打印机为例，打印机的终端类型为“Printer”，而笔记本电脑的是“Windows”，那么即使非法人员更改了笔记本电脑的IP/MAC地址，也会因“终端类型”不一致而被困于网外。 a.图为打印机的设备类型及生产厂商示意图b.图为防止IP/MAC地址伪造的控制策略，效果是“如果终端类型不是打印机Printer、摄像头Camera或IP电话IPPhone的话，则可以通过Virt

4、ualFirewall将其加入到黑名单。”2. 异构兼容网络设备，灵活派发DACL访问策略面向IoT终端数量众多、网络结构复杂的物联网场景，静态ACL的配置成本较高。同时受限于厂商设备兼容性，企业使用DACL的常常受阻。对此，产品兼容多品牌交换机为客户提供异构网络DACL联合派发解决方案。通过向终端设备/设备组下发DACL，确保“游走”于物理网络环境中的IoT终端仅能访问其权限内的网络资源。比如，将打印机的外层服务器访问权限绑定到华为交换机，即使打印机的物理位置变更，其可访问的网络资源也不会发生改变。当下物联网正处于飞速发展时期，未来将有更多未知的物联网终端进入我们的视野。但是面向物联网设备

5、的安全防护却还处于起步阶段。虽然政府、企业以及IoT生产厂商也在不断的寻找新的防护手段，但在找到合适的安全规范之前，解决当下物联网终端安全的可行性方案仍以身份认证安全准入为主。至少通过身份认证阻止终端接入网络，同时提升物联网网络安全防御能力，防止因IP/MAC地址伪造所引发的信息泄漏。智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理

6、与单点登录、网络设备AAA授权管理、大型商业WiFi认证管理等多个产品线于一体的全场景解决方案。