公共设施-安连宝安全接入解决方案.pptx

1、1摘要 本方案是深圳市优网科技有限公司针对保密需求的移动办公、上网安全管控、物联网安全接入等场景推出的“物联网安全云-移动网络管-安联宝设备端”解决方案。设备端采用安连宝设备，通过中国移动4G网络或物联网网络实现可信安全接入平台，客户通过WEB程序或手机APP实现对可信安全接入的的远程管理。2行业背景及市场空间分析典型案例说明所属行业所属领域原因分析后果总结2017年1月，美国食品和药物管理局FDA发出警告St Jude植入起搏器和心血管仪器存严重安全性问题医疗健康终端平台脉冲发生器/起搏器可被入侵，黑客可以读取数据并对数据进行恶意篡改，引起脉冲发生器中止工作，危及患者生命。传输数据被篡改，导

2、致脉冲发生器中止工作，危及患者生命未对传输数据进行有效保护，导致设备停止工作2016年，Hospira公司生产的多个型号的输液泵存在多处严重的安全漏洞，攻击者可以修改药物剂量医疗健康终端Hospira公司生产的多型号输液泵存在多处严重的安全漏洞，攻击者可以通过远程访问的方式对输液泵固件进行更新，并写入恶意固件。输液泵固件被恶意篡改，导致药物剂量等关键信息错误，危及患者生命多处安全漏洞导致固件可被远程恶意篡改2016年11月，黑客对芬兰Lappeenranta市的两栋建筑的供暖系统发起攻击，造成两栋楼供暖系统崩溃民生终端供暖系统暴露在公网上，黑客可对其进行分布式拒绝服务攻击，造成设备不断重启，该

3、问题无法进行远程修复。供暖系统瘫痪终端设备未进行有效边界防护，易导致拒绝服务攻击物联网终端漏洞数量虽远少于传统互联网但影响范围却更大突出的问题80%的IOT设备存在隐私泄露或滥用风险；80%的IOT设备允许使用弱密码；60%的IOT设备的web 界面存在安全漏洞；60%的IOT设备下载软件更新时没有使用加密3行业痛点分析物联网设备固件升级不方便。一旦漏洞被利用，易造成大规模影响物联网设备数量众多，形态多样，使网络受攻击面扩大物联网设备计算资源有限，安全防护弱。多数无人值守，易受攻击设备安全问题通信网络业务管理界面数据服务器业务服务器安全通信网关防火墙通信网路的安全机制不能解决业务使用者的身份认

4、证和业务数据安全现有物联网未形成统一的安全管理解决方案网络安全限制非可信区域可信区域安全接入网关4解决的问题通信网络拓展移动安全可信边界文件加密及共享安全存储安全的数据传输通道系统配置管理URL提取和过滤安连宝设备功能 网络访问设备配置管理系统配置管理路由选择VPN存储访问 设备配置管理URL提取与过滤 URL过滤文件加密及存储共享网络访问网络访问安连宝设备安全云平台 Wifi配合终端和安全云平台对安全接入设备进行统一的系统配置，对终端网络访问进行URL提取，结合安全云平台的安全资源，对不合规的URL进行过滤和拦截，集成商用VPN，提供安全的数据传输通道，支持文件加密和存储共享，向用户提供一个

5、高安全性和高便捷性的数据存储和传输环境，拓展移动安全可信边界至安全接入设备。5企业移动办公场景企业办公网OA办公系统邮件/CRM系统企业内网资源针对企业用户移动办公场景，更好的扩展企业集团客户 方便：随时随地通过4G网络接入企业办公网。多终端：支持电脑、手机、PAD、专用设备等兼容WIFI的多种终端设备。免维护：终端免配置安全到企业内网。提供多重加密的安全隧道，一键启动，免配置实现移动安全办公6高保密机关机构场景保密内网 部分国家机关/机构有高保密要求，可通过4G和安全网关实现高保密通信 加密通信：支持国密加密算法，安全芯片，量子通信保障通信安全。远程管控：可以对远程设备进行访问控制，销毁等操

6、作 双域切换：支持日常/专用双通信域切换，保证通信安全 内容传递：支持对于工作通知、消息进行定向创宇 审计：支持对于用户、位置、内容多重信息设计7可信网络边界扩展 通信网络保证了网络数据传输安全，但无法提供针对网络传输内容的信息安全保障。专用APN，结合基于国密算法的VPN进一步保障了设备认证和业务数据网络传输安全。APN地址池专用专用APN核心网APN地址池IP承载网安全通信终端移动终端安全通信网关业务平台基于国密的基于国密的VPN通道通道通过在集成加密芯片的安全接入设备和高性能安全通信网关之间建立基于国密算法的VPN加密通道，保证业务数据的网络传输安全。lSM2算法保证数据的机密性和身份认

7、证安全性lSM3算法保证数据的完整性lSM4算法保证数据的机密性和完整性l物理噪声源保证随机数的随机性8物联网安全接入场景 物联网业务安全解决方案主要由安全接入设备（网关）、安全能力云平台组成。安全接入设备自身采用软硬件加固，并可检测物联网出口流量，鉴别用户身份，识别攻击行为，将攻击日志实时与云平台同步。有效屏蔽外部攻击，避免物联网终端因为自身漏洞被作为肉鸡利用。为物联网终端持续安全的接入网络提供保障。IP承载网安全接入网关物联网终端安全能力云平台物联网终端安全接入解决方案物联网终端安全接入解决方案入侵日志同步系统加固攻击识别物联网业务平台9物联网安全接入场景作为移动家庭宽带的补充，针对家宽暂

8、时覆盖不到可以先发展客户 高速上网：支持高达150mb的高速上网。安全上网：可过滤病毒、诈骗、钓鱼等内容。移动上网：可在办公室、咖啡馆等地点随时随地使用 为个人用户、家庭用户提供便携式移动宽带服务，补充家庭宽带覆盖，实现安全、高速、移动上网10智慧教育场景 互联网开放性对未成年人管控造成困扰，通过给孩子配备安全网关，防止孩子被不良信息网站、广告骚扰，并可对上网行为进行管控。不良信息过滤：针对色情、暴力、赌博等不良信息进行过滤 上网行为管控：可分时段（上课）限制使用非教育网站或APP 位置定位：可以了解孩子目前的位置情况。APP管理：限制孩子使用某些不健康或娱乐APP114G业务受限地区场景 国

9、内部分地区移动4G业务受限于安保政策无法开通，网络建设了，投资却无法获得收益，通过采用安全网关上网，实现了“先管控、在使用”，既满足也政策要求，也使业务得到发展。安保需求 上网审计：支持实名制用户、访问位置、访问网站的审计 黑名单控制：支持加入网站黑名单，禁止用户访问黑名单 网站重定向：支持把某个网站重定向到某个IP 访问控制：支持关闭设备的上网功能12智慧旅游场景 近些年旅游行业持续发展，用户到旅游地异地漫游，可通过租用安全网关获得更多的本地流量，满足朋友圈、视频直播等场景 共享上网：用户可以采用日租/周租方式获得本地流量 充电宝：设备支持高容量充电宝，可边充电边上网 旅游导引：内置政府/旅

10、游门户，推荐本地酒店、交通、景点等信息 旅游大数据：分析用户位置、内容信息对本地旅游进行大数据分析机场/火车站/客车站/酒店投放共享上网本地旅游资源导引酒店、交通、景点等信息13方案架构 安连宝安全接入解决方案由安全云平台、安连宝设备及安全管理APP构成。通过统一开放的安全能力接口以及灵活便携的安全接入设备，构建一个开放、可信、弹性的移动可信网络，为信息安全管控、移动办公和物联网设备安全提供解决方案14方案实施p 终端实施方案：设备端主要是安连宝设备，通过安装中国移动4G手机卡或物联网卡，对外提供wifi接入能力，通过wifi接入的手机终端、IPAD等即可实现安全上网、企业网接入，双域政务网等

11、安全功能。p 平台层实施方案：物联网安全云平台是优网科技实现安全云平台，融合国家权威安全数据库、中国移动安全数据库及第三方安全数据库等安全资源，制定统一的安全接口。基于云计算环境搭建，低耦合、易扩展、高可用架构设计，依托4G/5G网络和大数据处理分析技术，向客户提供高并发、低时延的安全产品与服务、终端无关的“安全运行时环境”，实现安全服务无感知15功能模块功能简介实现方式备注用户管理用户分级、用户注册、用户密码修改WEB设备管理对设备的进行建立和控制WEB恶意网址过滤 可实现恶意网址过滤、记录功能WEBVPN、APN功能支持VPN、APN等功能WEB策略下发可实现策略的集中下发方案实施p应用侧

12、方案 依托优网科技的物联网安全云平台，可实现安连宝设备远程管控，具有通用功能，包括：用户管理、设备管理、恶意网址过滤、APN及VPN功能。16方案清单 本解决方案实施过程中需要投入的资源如下：序号名称供应商备注1接入终端客户客户自备手机、ipad等支持WIFI的设备2物联卡及流量费广东移动13位专网专号卡或4G卡，建议套餐选取不限流量套餐或20G流量卡3物联网安全云平台优网科技实现云端管控能力4安连宝优网科技安联宝接入设备5应用服务器广东移动6其他服务优网科技设备调测、维护、维保等恶意网址等安全情报库17p 安连宝：p 物联卡：本方案使用的物联卡为广东移动的专网专号卡或4G卡，卡体为Micro

13、 Sim产品介绍-设备侧18产品介绍-平台侧通信网络拓展移动安全可信边界文件加密及共享安全存储安全的数据传输通道系统配置管理URL提取和过滤安连宝设备功能 网络访问设备配置管理系统配置管理路由选择VPN存储访问 设备配置管理URL提取与过滤 URL过滤文件加密及存储共享网络访问网络访问安连宝设备安全云平台 Wifi配合终端和安全云平台对安全接入设备进行统一的系统配置，对终端网络访问进行URL提取，结合安全云平台的安全资源，对不合规的URL进行过滤和拦截，集成商用VPN，提供安全的数据传输通道，支持文件加密和存储共享，向用户提供一个高安全性和高便捷性的数据存储和传输环境，拓展移动安全可信边界至安

14、全接入设备。19p 用户管理：平台可以对不同权限的用户（如用户名、用户角色、手机号码、邮箱等）进行查看和管理。产品介绍-应用侧关键信息：详细描述WEB端应用程序、手机APP各项功能的细节，并提供功能截图。角色定义角色定义管理操作管理操作多类型用户分类多层级用户分类用户资料管理操作用户增减管理操作20p 设备管理：用户可以在设备管理页面查看和管理设备的、设备IMEI、设备状态等信息,展现所有设备，显示设备基本信息与在线状态，支持进行解绑、删除等操作产品介绍-应用侧关键信息：详细描述WEB端应用程序、手机APP各项功能的细节，并提供功能截图。设备状态设备状态设备详情设备详情设备配置设备配置设备信息

15、管理设备关联用户信息管理支持设备状态查看支持流量监控支持设备状态查询支持多种策略配置21p 日志查询：安连宝安全及操作日志实时传输到云平台，应用平台登录时可以实时监测监控安全日志及操作日志。产品介绍-应用侧关键信息：详细描述WEB端应用程序、手机APP各项功能的细节，并提供功能截图。操作日志操作日志安全日志安全日志支持安连宝设备安全日志用户操作日志审计22p 安全监控统计：平台可以设备数量、流量趋势、恶意类型、拦截URL TOP10等进行监控与展现产品介绍-应用侧关键信息：详细描述WEB端应用程序、手机APP各项功能的细节，并提供功能截图。安全统计信息安全统计信息设备统计信息设备统计信息设备数

16、量信息流量趋势信息恶意类型分布拦截URLTOP1023角色分工 本解决方案实施过程各方的分工如下：p 客户 自备接入设备，如手机终端、IPAD、行业终端等支持WIFI接入的。p 广东移动 提供物联卡或4G卡，对于进入广东移动行业终端库的安连宝设备，广东移动可以结合物联卡流量或4G资费，为客户提供设备补贴。p 优网科技 作为解决方案商，为客户提供提供物联网安全云平台，并负责设备与模组的连接调试和设备接入平台及后续安全服务。24方案价值及优势 利用安全接入设备和安全云平台，能够为企业员工移动办公提供安全便捷的公网及内网访问服务。接入公网时，利用安全云平台，对用户访问的URL和IP进行实时安全检测及

17、拦截，实现安全上网。远程接入内网时，安全接入设备可对用户进行接入认证，并对其操作进行审计。支持APN接入点选择。支持通过VPN进行 全程加密传输。支持通过VPDN接入内网，并在访问内网同时访问公网。安全接入设备可提供安全加密存储，利用APP，用户可将终端上的敏感资料加密存储于接入设备中。25方案价值及优势物联网业务安全解决方案主要由安连宝设备、安全云平台等组成。针对和利用物联网终端的攻击行为越来越多，由于物联网设备长期在线又多无人值守，鉴于此，安全接入设备对端口、应用和服务进行了加固，保障了自身安全，并可检测物联网出口流量，鉴别用户身份，识别攻击行为，将攻击日志实时与云平台同步。有效屏蔽外部攻击，避免物联网终端因为自身漏洞被作为肉鸡利用。为物联网终端持续安全的接入网络提供保障。IP承载网安连宝设备物联网终端安全云平台物联网终端安全接入解决方案入侵日志同步系统加固攻击识别物联网业务平台