一、智慧燈杆背景分析
在新基建的背景下,5G網絡建設将面臨大量基站建設,同時“萬物互聯”背景下智慧城市的傳感器建設需求也十分迫切。智慧燈杆的建設可以有效地實作成本城市整體營運的降本增效、有利于城市管理效率提升。目前,國家政策導向大力支援智慧燈杆研發及應用,深圳、上海等城市已經逐漸展開智慧燈杆試點應用,企業積極投入研發要素拓寬産業應用場景及功能。
智慧燈杆是智慧城市建設的重要組成部分,是将攝像頭、廣告屏、充電樁、小基站等功能集于一身的新型資訊基礎設施,能夠完成對照明、公安、市政、氣象、環保、通信等多個行業的資料資訊進行采集、釋出以及傳輸。與此同時,作為5G時代車聯網建設、雲網建設以及通信網絡建設的重要組成部分,智慧燈杆也将得以廣泛應用。
二、智慧燈杆現狀分析
2.1、燈杆業務組成分析
智慧路燈控制系統是由軟體系統和硬體系統組成,分為資料采集層、通信層、應用層和互動層四層,通過各層的互相配合,實作了路燈設施管理、故障報警、用電監測、路燈控制等應用功能。由此可見智慧燈杆業務對前端場景的準确度、及時性有一定要求,業務運轉具備一定自動化程度,是以有大量物聯網裝置在燈杆業務中應用,是以燈杆采集層裝置的安全性至關重要。
2.2、燈杆安全現狀分析
前端燈杆資料采集裝置大多都處于網絡邊界無人值守的狀态,且自身基本不具備任何安全防護能力,存在許多安全風險點。
2.2.1、智慧燈杆部署在戶外,且長期無人值守,資産容易被私接
資産以次充好、非法接入、私自篡改替換(用電監測資料采集失敗或采集錯誤),造成經濟損失。
2.2.2、智慧燈杆系統網絡異常行為難以發現,非法入侵難防備
照明系統被非法入侵,無法正常照明影響居民生活(如實時更改路燈運作狀态、故障報警情況)造成安全事故。
2.2.3、智慧燈杆系統被黑客利用腳本語言發現漏洞,植入病毒對路燈進行操控
利用固件漏洞植入控制病毒,短時間病毒大量橫向傳播,緻使業務癱瘓(控制智能燈杆整個燈控系統)。
2.2.4、智慧燈杆系統存在後門或弱密碼漏洞,易淪陷為黑客利用攻擊的殭屍電腦
LED顯示屏圖檔、監控視訊被替換成惡意負面視訊,對社會造成影響。
2.3、智慧燈杆攻擊案例
2020年2月5日全球領先網絡安全解決方案提供商Check Point 軟體技術有限公司的威脅情報部門 Check Point Research 今天披露了一些漏洞,可被黑客用于接管智能電燈及其控制器,進而将勒索軟體或其他惡意軟體傳播到智慧燈杆系統中。黑客通過對智慧路燈的晶片固件進行分析,發現可能存在的一些漏洞,通過這些漏洞,很快便破解了智慧燈杆控制系統,進而實作遠端操控。
如果不法分子進入系統,可能将一個街區乃至整個城市的智慧燈杆突然關閉,夜間突如其來的黑暗會造成嚴重的交通事故。同時,智慧燈杆一旦被利用,可以通過聲音和圖像傳遞非法資訊,造成恐慌和騷亂。更有甚者,如果被大批量控制,智慧燈杆拍攝的畫面可以被用于很多非法用途,也可能會導緻交通資料的洩露等問題,嚴重的可能會威脅公共安全,乃至國家安全。
2.4、智慧燈杆防護思路
通過分析攻擊案例後發現,智慧燈杆不能及時發現非法接入裝置,導緻黑客通過路燈存在的一些安全漏洞進行網絡攻擊,如何解決智慧燈杆存在的安全問題需考慮以下幾方面:
2.4.1可信終端裝置
需考慮對關鍵裝置進行加強,具備對智慧燈杆系統終端流量資料采集、監控、防護、預警處置等能力。需要與安全營運中心實作智慧燈杆端到端安全關聯,在合理範圍内執行終端網絡阻斷等處置政策,實作智慧燈杆安全營運中心與營運商等業務安全賦能。
2.4.2可信通信網絡
需考慮傳輸鍊路的安全可信通信能力,及時發現智慧燈杆系統網絡存在的惡意遠端控制、病毒等資訊。
2.4.3可信安全邊界
需考慮滿足智慧燈杆“雲、管、邊、端”的邊界隔離、通路控制、入侵防範、安全審計及物聯網安全擴充要求。
2.4.4可信安全營運中心
需考慮對智慧燈杆系統、通信鍊路、平台等資産及海量業務安全資料進行統一采集和歸類彙總;對業務場景中各類網絡安全事件進行實時監控和集中審計,并進一步進行事件關聯性挖掘,識别安全異常和潛在安全事件;将威脅事件與智慧燈杆業務進行有機結合,通過态勢感覺大屏将全局的安全态勢以圖形化的方式直覺呈現,将安全由不可見變為可見。
三、解決方案
3.1、方案架構
我司安全團隊緊貼智慧燈杆業務架構,結合裝置的分布情況進行靈活部署,整體方案是從端測、邊側、核心層、雲端這幾方面入手進行安全防護,全方位持續性監測網内可能存在的安全隐患。
1)端側嵌入輕量級安全心SDK,可覆寫Linux、安卓、RTOS等多種作業系統,深入到物聯網最末端。
2)邊側部署感覺層安全網關,對物聯網前端裝置進行安全防護;支援2G/3G/4G、RJ45有線、Lora、序列槽、光口多種網絡通信方式,低功耗無風扇設計,支援複雜戶外環境、滿足寬溫、寬壓。
3)核心層部署流量安全檢測網關,實時對物聯網節點與物聯網業務進行安全檢測。
4)雲端搭建集中管控的物聯網安全感覺管理平台、流量AI算法中心、雲端安全庫。
3.2、方案功能介紹
3.2.1、資産發現清點子產品
基于流量實時分析手段,系統自動發現智慧燈杆系統中的接入裝置,快速識别裝置類型、廠家品牌等裝置資訊,并根據IP和Mac等裝置指紋進行資産梳理。
1)終端發現與識别:針對APN專網或者通過網際網路通道上傳流量到伺服器側的終端資産進行被動探測,根據其流量特征、裝置資訊對裝置進行識别,識别範圍包括但不限于裝置IP、Mac位址、裝置編号、終端類型等資訊。
2)資産台賬梳理:将網絡中發現的各種終端資産進行展示,建立相關資産台賬,提供管理、查詢、導出等功能。
3.2.2、資産準入控制與仿冒檢測子產品
智慧燈杆系統裝置接入網絡後,對其各類行為進行全周期安全分析,當裝置産生異常行為,産生攻擊行為或惡意仿冒替換行為,阻斷其與外界通信連接配接,保護裝置和資料業務安全。
1)終端準入管控:對網内已有裝置及新接入裝置進行入網管控,或根據異常行為分析和攻擊檢測的結果,確定非正常情況下可對終端入網進行控制和處理。
2)終端準入政策:支援準入政策的預制,即全部準入方式與人工稽核方式,可根據網内運維情況靈活運作,同時支援設定終端類型指紋作為準入政策,滿足不同類型終端的入網控制。
3)終端指紋生成:安全探針發現資産後,管理者可以對特定的裝置生成指紋資訊,包括但不限于裝置的IP位址、裝置名稱、終端類型以及流量特征生成裝置指紋并作為裝置在管理平台的唯一辨別。
4)裝置指紋禁用:管理者可以對已經判定是非法接入、無授權接入、不安全裝置、已退運下線的裝置指紋進行管理,如果确認不允許其再接入到網絡内,可以對相應的裝置進行指紋删除/禁用。
5)裝置仿冒監測:如非法資産通過僞造真實資産IP/MAC接入網絡中,經檢測後安全監管平台會顯示終端為仿冒狀态,并進行告警。同時提供IP使用全周期進行詳細審計,詳細記錄每一MAC位址使用不同IP位址對應的時段,并可确認該IP在該時段是否被配置設定給不同的MAC位址使用過。
6)立即斷網:對于判斷屬于惡意或高危的物聯網終端,可以通過管理界面下發立即斷網操作,操作生效後,惡意終端将立即在相應的端口生效斷網。
7)旁路部署阻斷:安全探針支援與交換機、防火牆的關聯處置,滿足不改變網絡拓撲條件下亦能完成裝置阻斷。
3.2.3、資産安全運維管理子產品
安全監測平台可對燈杆系統中的裝置連接配接狀态進行全生命周期監測,及時發現裝置離線,私自接入,替換等異常接入情況。
1)終端狀态監控:支援對網内裝置工作狀态進行全周期狀态監控,對現有的已準入、已記錄的終端裝置的情況進行實時統計,如線上狀态、工作狀态、維修更換記錄等。
2)工作狀态監測:根據終端與伺服器的互動流量進行監控,對其業務上報周期與網絡活躍度進行統計,當識别到活躍度過低時,系統及時判斷與告警。
3)資産責任制管理:支援資産責任制資訊管理,管理資産所屬責任人、聯系方式等檔案資訊,如出現故障時便于找到運維人員,系統可以按照設定自動發送短信或者郵件進行故障上報。
4)資産資訊關聯運維:支援基于資産ID,安全編碼等索引,通過與業務平台對接,實作安全監測管理平台向終端所屬的業務平台進行跳轉。
3.2.4、網絡行為檢測子產品
安全監測平台以燈杆系統網絡行為安全分析為基礎,通過自動化學習把網絡中的智能燈杆裝置通路行為識别為白名單模型,隻要發生網絡攻擊或白名單外的行為,無論攻擊者采用何種攻擊方法,難免要在網内進行探測、攻擊、傳輸、下載下傳等活動,這些攻擊活動在網絡安全政策的過濾下将自動浮出水面,迅速暴露出來。
1) 網絡流量資訊識别:通過網絡行為分析技術,提取源Mac、目标Mac、源IP、目标IP、源端口、目的端口、網絡協定、應用協定、特征字段和流量特征等資訊。
2) 網絡自動化學習與安全政策搭建:針對終端的多元度的網絡行為資料,對終端可信業務進行自動化學習,通過設定最小合規行為模型;行為模型可直接被政策引用,對識别出的終端通信協定和終端端口資訊進行實時監測,準确識别終端異常行為。
3) 終端入侵攻擊檢測:結合物聯網層面的入侵攻擊規則,檢測物聯網終端面臨的惡意裝置掃描、遠端控制、ARP中間人攻擊、DDOS攻擊和暴力破解等典型物聯網入侵行為,發現後及時攔截或告警。
4) 網絡通信異常檢測:支援對物聯網裝置通信業務場景,對資料包大小、頻率、業務周期等特征進行行為學習,生成業務網絡行為安全模型。可發現如短時間頻繁通路、多個周期通路缺失等異常業務通信,并支援根據裝置類型、所屬分組等進行查詢。
3.2.5、物聯網安全管理平台
安全監測管理平台對燈杆系統中的物聯網終端及安全産品進行集中管控,實作終端全面監控、實時告警、日志資訊統一收集、關聯分析等,降低運維成本、提高事件響應效率,形成各區、各路段安全态勢分析,幫助企業掌握網絡安全态勢。
1)未知裝置檢測:支援快速檢測未知裝置對網内未知的裝置接入進行實時告警,迅速發現系統中存在的非法接入。
2)網絡行為模型管理:基于機器學習功能,從裝置類型、協定、端口等多元度建立物聯網終端安全模型,對安全探針産品識别出的物聯網終端的通信協定和網絡流量進行實時監測。
3)終端安全審計:從終端次元,審計各物聯網裝置曆史上的安全狀态、異常行為等安全資訊。
4)事件關聯分析:支援終端事件關聯分析功能,具備分析事件的起源裝置、目标裝置、及其所經過的路徑,将資産異常事件進行追溯驗證,自動發現攻擊路徑以及物聯網層面網絡攻擊檢測。
5)使用者管理:平台采用三權分立的管理模式,各管理者各司其職,互相監督,并審計管理者、安全員和審計員等各個角色的操作行為,有效避免了越權和權限過大帶來的安全隐患。
6)版本管理:支援平台統一對安全探針下發系統更新指令,可以快速适應客戶不斷增長的安全需求,終端安全永不停更。
3.2.6、安全監測圖形化展示
詳細記錄智能燈杆網絡中的資産狀态、準入監測、資産異常行為、網絡異常行為進行實時監測和告警。
1)線上數量統計:對目前線上的物聯網終端裝置進行數量統計,可以根據裝置類型、裝置區域、裝置歸屬進行統計。
2)離線裝置統計:對已獲得準入權限、曾經上線的離線物聯網終端進行統計,支援根據下線時間、下線原因等進行統計。
3)終端線上率統計:對已獲得準入權限的物聯網終端進行線上統計,可以根據時間、裝置類型、裝置區域、裝置歸屬進行統計。
4)準入成功統計:系統支援對已獲得準入認證的物聯網終端進行統計。
5)準入失敗統計:系統支援對準入認證失敗的物聯網終端進行統計。
6)新增裝置統計:系統支援對新上線的物聯網終端進行統計,支援根據裝置類型、上線時間、所屬分組等進行統計。
7)裝置類型統計:系統支援對目前已注冊、已準入等物聯網終端裝置的類型進行統計,統計還可根據裝置所屬組織架構、裝置類型等統計。
8)告警統計:系統支援對系統發出的告警進行統計,支援根據告警等級、告警對象、告警範圍、告警時間等進行統計。
9)曆史入網記錄統計:系統支援對系統曆史入網情況進行統計,支援入網裝置類型,入網準入控制等曆史情況統計查詢。
10)GIS地圖展示:提供高清GIS地圖展示,在地理位置上直覺展現資産、風險和威脅事件等資訊。
四、價值點
1)及時了解智慧燈杆系統各終端裝置的運作狀态,快速發現裝置是否存在故障,提高運維人員的工作效率,保障燈杆業務的正常運作。
2)及時發現智慧燈杆系統内部網絡行為異常,攻擊行為異常等相關資訊,持續性對燈杆業務進行監測,進而降低網絡事件的發生。
3)及時發現非法裝置接入智慧燈杆系統,快速進行準入管控處理,進而降低安全事故的發生。
4)對智慧燈杆系統中所有網絡行為進行快速學習,形成一套專門針對智慧燈杆業務環境獨有的模型政策,針對網内可能存在的安全漏洞和非法網絡通路行為進行快速阻斷,降低安全事件的發生。