参选理由：

该方案放弃边界防护思路，采用基于无边界的“零信任”机制解决终端问题，在执行层面，通过全程“可视化”替代传统基于Agent方式来实现终端信息收集问题，通过打造开放性与第三方联动，承担泛终端安全管理连接器及感知中台。

案例介绍：

安全挑战：

在以往，电力的端点可以说是家家户户的电表，运维靠的是基层员工走街串巷，查电表、修线路、抓偷电。电力物联网的出现让老一辈抄表员不再跑断腿。随着新能源汽车的兴起，时代要求电力系统做新能源汽车的“加油站”，即充电站。在电网概念中，充电站仍然以电表为端点。但在物联网概念中，充电站是一个子网，这个子网中至少有智能电表、充电桩、摄像头。传统的端点从一个电表变成了几十上百个IoT设备。要保障这一物联网的健康运行，势必要解决合法设备便捷接入网络，防止入侵及IoT设备风险评估等问题，以保护物联网的安全。因此，终端准入与访问控制对于电力物联网而言十分必要。

 

用户痛点：

1、如何让合法设备便捷地接入网络

新的IoT管理必须为业务高速发展提供支撑。传统准入方法是在IoT设备上配置802.1x认证，或者配置MAC地址白名单。问题在于，一是多数新型哑终端无法支持802.1x认证，抬高了设备门槛，让采购丧失灵活性；二是传统方法基于静态信息，新业务的快速开展一定存在大量的设备增加和变更，甚至设备品牌的变化，基于静态信息的准入让运维效率变得低下。

2、如何探测植入或入侵

电力物联网是一个TCP/IP网，基于防火墙做了网络边界防护。充电站有许多IoT设备暴露在建筑物外部，比如充电桩和摄像头，这些设备在网络边界内部却在物理边界外部，不法人员很容易通过室外的物理端口接入，对网络边界内部发起攻击。

3、如何动态评估IoT设备风险，做到有备无患

IoT设备的一大特点是固件不易升级，安装运维特点是默认密码不修改，为长期运维留下隐患。随着时间的推移，不断会有设备爆出漏洞。对IoT设备进行风险评估是一个比较新的领域，除了对单一设备动态评估，还需要对网络区域安全风险做整体评估、排名，对高风险设备做告警，甚至隔离网络。

 

解决方案：

解决上述问题，首先要做到“看得到”，从而实现“管得了”。

首先，要探测到网络中所有终端，形成整体视图，能够识别出“合法设备”和“非法设备”。这需要探测终端的设备类型、MAC地址、地理位置等，并且与本地资产库或者联动外部资产库匹配终端，能够匹配的为合法终端，匹配不成功的标记为非法终端。

其次，持续检测终端指纹，一旦终端指纹变化，意味着其MAC地址可能被伪造，需要标记为安全事件，并自动联动网络设备限制其接入。

除此以外，需要联动第三方IoT漏洞检测系统，收集和统计终端威胁，形成风险评估列表，让风险设备也能被看到。

 

宁盾解决方案中完整的系统组成包括宁盾探针、宁盾IoT中控、IoT漏洞探测（可选）、客户自运维的大数据分析平台（可选）：

● 宁盾探针：充当网络“摄像头”和策略执行器，通过流量镜像发现、探测终端信息。探针在IoT设备流量比较小时单台容量很大，每个地市部署1至2台即可；

● 宁盾IoT中控：它是泛终端资产及风险管理中心，它提供集中资产视图（联动）、集中终端视图以及终端风险视图；

● IoT漏洞探测系统：在宁盾探针发现终端设备后，对其定期扫描，丰富终端风险视图，使宁盾系统可根据风险评级自动告警或者限制网络接入；

● 大数据分析平台：客户自有平台，宁盾有可将终端设备的各种信息和动态发送给第三方。

 

资产定义或联动：

 

终端集中可视化：

 

 

终端风险视图（联动OpenVAS效果）：

 

 

方案特点

该方案放弃边界防护思路，采用基于无边界的“零信任”机制解决终端问题，在执行层面，通过全程“可视化”替代传统基于Agent方式来实现终端信息收集问题，通过打造开放性与第三方联动，承担泛终端安全管理连接器及感知中台。

创新点如下：

1. 自动化：在设定规则之后，它能够自动发现泛终端；
2. 开放生态：与以往试图提供整体解决方案不同，它尝试打造一个解决问题的生态体系，通过与各种安全产品联动、大数据平台联动，整体解决爆发式增长泛终端的资产及安全管理问题；
3. 基于学习式：通过机器学习，不断扩大终端识别库以及提升终端行为判断精准度；

技术优势

1. 自动实现终端资产分类，提升资产提供的精准度、实现实时终端资产统计及更新时间、替代传统手工统计方式无法实现全局收集难题，降低管理成本；
2. 终端规模越大，识别代价越低、精准度越高；
3. 自动识别风险终端，并能够定位终端的身份、位置、设备类型、风险情况，大大提升发现及解决问题效率；
4. 开放连接架构，提升联动解决泛终端安全问题能力，能够连接不同厂商安全能力、数据能力，实现联动解决泛终端安全问题，如DLP、漏洞管理、SIEM及态势感知等联动；

 

 

 

用户反馈

“宁盾终端准入产品帮助提升IT基础设施的可视化，有效识别入网终端身份信息及安全情况，阻隔非法终端接入，并自动对异常终端进行隔离，自助修复，保障了企业内网资源安全。”

——来自某人工智能公司

 

“对于接入网络的终端，宁盾提供完善的终端准入安全审查防护功能，能够有效的对入网终端进行合规性检查。通过客户端/无客户端的模式，简化了用户准入流程，提高了用户产品体验。兼容现有网络架构，无需进行网络改动，支持与第三方平台进行联动，加强企业内部网络安全。方便、经济、高效。”

——来自某芯片半导体公司

“宁盾终端准入解决方案提升企业对终端管控的可视化能力，包括发现连接到企业内部PC、手机、物联网设备、网络设备等，以及受信及非受信终端，并进行灵活的入网安全控制。高效便捷及生态联动能力，实现企业网络环境整体防护。”

——来自某物联网科技公司

 

“分布式部署模式能够灵活适应企业组织架构，实现企业对终端准入的集中管控要求。通过对终端入网进行安全检查，有效防止不合规终端或不符合安全要求的终端入网，让不安全变得可见。例如，防病毒软件未及时更新、操作系统补丁未及时更新、安全不合规软件等行为。切实提高了企业内网的安全基线。”

——来自某大型金融企业

 

 

企业介绍：

宁盾作为企业身份管理提供商，致力于云和移动时代企业身份安全基础设施，提供“多因子认证”、“泛终端准入”、“云身份认证”、“国产化身份目录服务”等一站式身份安全解决方案。目前已服务互联网科技、高端制造、金融等全行业超2000家企业客户。