解決方案

方案分類:IOTinsght

方案名稱:IOTguardian - OT場域裝置網管暨防護系統

廠牌型號:NetVision IOTinsight

功能簡介:

OT場域 - IP網路與主機系統維運監控及物聯網裝置防護管控。運用AI智慧機器學習, 發現與辨識場域設備與裝置, 進行自動化管理。AIOTquardian解決方案有二: 

  • Policy guardian(IOTquardian) - 
    • 智能IP網路管理: 自動化拓樸圖, 網路設備組態, 流量與效能分析, 主機系統監控, 安全管理
    • 裝置管理與管控: 裝置資產發現, 生命週期管理, port/MAC/IP/TCP/DHCP 第1,2,3,4層管控策略,  進行裝置保護與場域資通安全防護。
  • access guardian - 端末裝置界接防護交換器, 除了進行POE供電外, 亦職司裝置異常第一線的場域保護機制。

產品名稱:  ISOinsight IOT editon – 企業IOT設備管理管控系統

關鍵字: ISOinsight IOT edition, IOTinsight, AI網管智慧機器學習, 物聯網設備安全控管監控, 資源管理, 伺服器監控, 網路監控, 存取管控, IOT管控, 流量分析, 效能管理, 環境監控, ISO27000, ISMS

 

IOTinsight 企業IT維運

IOT物聯網設備控管

敘述企業IOT設備如何管理管控? 規畫設計

  1. 管理緣由、目標敘述
  2. 服務設計規劃
  3. 解決方案

​​​​

管理緣由、目標敘述

物聯網IoT設備已成資安問題根源

IoT物聯網設備(緣由) – 泛指辦公室使用IP基礎的事物或監控設備, 例如IP印表機伺服器、影印機、交換機/話機/錄音設備、攝影機、傳真機、環控偵測器等設備, 該設備具備IP通訊能力極具管理優勢, 然因為多數以崁入的UNIX基礎作業系統, 早期多數設備仍保存有入侵漏洞未修正, 現今成為駭客後門入侵的最愛, 也是有效途徑。最有名的案例是某銀行海外分行錄音設備遭受入侵, 最後成為ATM盜領事件。

管理管控(目標) – 協助企業建立IOT物聯網設備管理與管控措施

正邦公司ISOinsight IOT edition具備IOT設備智慧管控機制, 架構如下圖:

Discover (發現) – ISOinsight IOT edition是完善的企業IOT物聯網設備管理暨威脅偵測的系統,首先它提供企業IT物聯網設備維運豐富管理工具, 包括:

(1)發現與辨識精靈 – 系統自動發現企業IP組織分佈,並提供監聽及掃瞄工具協助企業進行IOT物聯網設備辨識與盤點。

(2)白名單管理 – 藉由管理員匯入/匯出、發現與辨識精靈協助企業建置IOT物聯網設備白名單,並協助IT人員建構IOT物聯網設備管理管控基礎,包括設備用途、存放位置、MAC/IP網段歸屬、保管人、管控參數等基本資料。

(3) 生命週期管理 – 對IOT物聯網設備管理符合ISO27001 ISMS管理精神,包括:(1)設備授權程序,提供簡易或完整覆核可選擇的端點白名單生成作業程序(2)多元設備生成作業, 提供親善的端點生成作業(by 供應商, 主機名, AD登入)(3)自動化的回收作業, 提供自動的設備回收作業(閒置)

(4) 屬性管理 – 建立IOT物聯網設備屬性管理機制,包括行為模式、資產的營運價值與事件等級方便企業未來或其他系統進行風險運算與資安流程管理,保障IT系統與網路穩定的運營 , 作為企業風險評鑑的基礎。

Prevent(預防) –ISOinsight IOT edition管控策略是企業內網物聯網設備維運管控有效的機制,可藉由白名單的設立進行IP/TCP行為存取管控策略,有效預防企業IOT物聯網設備被不當連線入侵。這些管控策略包括有:

(1)設備MAC/IP存取管控 - 內建ARP Probe收集設備MAC/IP,比對企業物聯網設備白名單, 搭配管控策略可有效管制未授權設備的入侵網路使用, 策略包括: VLAN為基礎的MAC, IP綁定檢測驗證策略。

(2)TCP行為存取管控 – 針對IOT物聯網設備行為或訪問進行策略管控與阻擋。

Protect(保護) –ISOinsight IOT edition具備有效阻斷策略,是企業阻止物聯網設備行為異常或駭客網路攻擊有效的機制。目前系統提供的阻斷方式,以TCP reset 為主要手段 管理員可以設定手動或自動方式阻斷異常的IP設備, 進行對外的連線, 阻止IOT物聯網設備不必要之網路連線及服務..

服務設計規劃

依據企業網路架構, 進行IOT物聯網設備管控, 可以設計為單一「區域運算」或者多「區域運算」搭配「雲運算」的資訊流, 如下圖說明 (詳敘參考 AI智慧網管運算)

「區域運算」 - 定義為企業邊際區域網路內IOT物聯網設備管控運算及相關管理措施。職司企業邊際網路IOT物聯網設備監聽、發現、收集、管控、資安、結案、回報事件。

「雲運算」 - 定義為企業雲端網路內IOT物聯網設備管控資訊流的彙整統計分析運算及中心指揮派送暨相關管理措施。職司企業邊際網路IOT物聯網設備管控狀態日誌彙整、大數據儲存分析、異常預測發現、維運與資安事件追蹤、資訊儀錶板展現。

 

搭配解決方案

IOTinsight衍伸自ISOinsight NAC edition為一完整企業端點與IOT物聯網設備控管解決方案, 搭配或升級ISOinsight/LOGinsight  可以及於整體企業IT維運, 包含資訊系統、網路、資安等

搭配或升級ISOinsight/LOGinsight  產品後的架構如下圖:

 

企業IOT物聯網設備管控方案佈署, 依企業網路架構可以單一「區域運算」為之, 亦可以運營商等級「區域運算」+ 「雲運算」大型網路架構為之。

  1. 區域運算- 資訊系統、網路服務、端點及物聯網設備存取管控、資安通報、環境監控等
  2. 雲運算 - ISOinsight維運中心、LOGinsight :大數據日誌暨戰情防禦中心

單一「區域運算」IOTinsight 佈署

可適用於單一區域網路或封閉式廣域網路(其他分處並無互聯網出口者), 功能執行包括:

  • 發現 – 物聯網設備收集與白名單建立, 手段包括匯入/匯出, 監聽與掃描發現
  • 管理 – 屬性管理, 設備生命週期管理
  • 行為 – 物聯網設備行為監控與紀錄
  • 管控 – 物聯網設備存取訪問管控
  • 異常 – 行為異常告發與防衛阻斷
  • 報表 – 物聯網設備清冊與維運報告產出與自動生成

 

運營商等級 維運佈署

適用於多區域網路非封閉式廣域網路(各自互聯網出口者), 功能執行包括:

  • 區域運算 – 如前述
  • 回報 – 區域運算回報設備維運、異常事件、行為紀錄
  • 彙整 – 區域運算物聯網設備維運彙整
  • 儲存 – 匯集各區域運算相關維運或行為日誌大數據儲存
  • 學習 – 異常行為AI情境設計與統計分析運算
  • 告警 – 聯合「區域運算」進行警報中心: eMail、SMS、LINE通知、windows視窗彈出或指令
  • 防衛 – 聯合「區域運算」進行防禦中心: SNMP鎖埠、L2/3 ACL、TCP reset
  • 流程 – 聯合「區域運算」進行事件處理
  • 解除 - 聯合「區域運算」進行事件解除