搜索
SecurityLevel:HuaweiSymantecTechnologiesCo.,Ltd.HuaweiSymantecConfidentialSlidetitle:Arial35-40ptColor:whiteSlidesubtitle:Arial25-30ptColor:white2019/10/1物联网的安全保障目录引言物联网架构物联网立方体物联网安全物联网存储案例分析改变引言iPod成为第一位的音乐发行渠道;颠覆传统的CD及其发行渠道;胶卷2009年6月,74岁的世界第一款克罗姆彩色胶卷停产了;报纸2009年3月18日,146岁《西雅图邮讯报》关门了;改做新闻网站;图书音乐颠覆图书的出版和发行;颠覆学生们重重的书包;Web2.0—Video2.025291580540161988280050010001500200025003000200620072008E2009E2010E2011ESource:IDC2008Exabyte=1018byte海量信息Web2.0–多媒体如何实现低成本传输和存储海量数据?Internet流量爆炸性增长高清电视+3D电视物联网—超越人口,发展用户……从60亿的人到500亿的机器的互联;M2M的本质:信息基础设施和实体基础设施结合,实现其智能化,提升效率和节能环保;物联网产业链—运营商的定位制定M2M协议,认证终端;只提供定制SIM卡,以最低的成本进入M2M市场,风险最小;不购买M2M通讯模块和M2M网关,但可以转售M2M网关;欧洲运营商定位成“管道”针对大行业提供管道,针对小企业,提供端到端方案(集成和托管);制定M2M协议,对终端进行认证;中国移动是发展用户后,购买终端;最终用户可以购买或者租用终端产品;中国移动多种定位共存目录引言物联网架构物联网立方体物联网安全物联网存储案例分析物联网架构感知层:对周围环境的准确实时感知、信息的归纳和数据传输是基础层的技术核心,RFID标签与读写器,传感器与传感器网络网络层:通过3G网络、卫星、工业以太网等实现数据的汇聚、处理和传输,通信技术是其核心中间件层担负着海量数据和信息的收集、存储、查询和响应,包括读写器、事件管理器、应用程序等接口,一般以功能软件形态存在应用层提供节点定位、名称解析、移动目标跟踪追溯、信息服务、搜索等功能目录引言物联网架构物联网立方体物联网安全物联网存储案例分析智能感知层安全数据存储物联网立方体Page10新一代InternetofThings数据支撑与保障网络层安全数据存储安全中间件层数据存储应用层安全数据存储物联网安全感知层安全:RFID安全RadioBasebandEEPROMDataMemoryRadioBasebandMCUDC-DCconverterBatteryROMRAM无源-被动发射电磁波有源-主动发射电磁波•伪造RFID标签:标签硬件的简单性和非加密性造成被伪造的可能性;标签包含信息的简单性造成信息的可预测、可推算性;•重放攻击:伪造的RFID标签会使系统数据产生冲突,甚至达到DoS的效果,降低系统的可用性和系统数据的完整性•窃听:在RFID标签和阅读器之间是没有专用的加密信道和算法,故很容易被窃听,同时RFID标签无法分辨合法、非法阅读器•同频干扰:多对RFID标签和阅读器同时通信会产生干扰感知层安全:无线传感器网安全RadioBasebandMCUDC-DCconverterBatteryROMRAMA/DconverterSensorLinkLayerNetworkOSApplications通信非稳定:传输冲突、多跳延时、信道不稳定引起的丢包等无线多跳网络的传统问题无线干扰:无线传感器网可以基于IEEE802.11、802.15等技术组网,但由于节点本身的脆弱性使得大功率无线设备可直接干扰它们女巫攻击:由于系统的开放性,恶意设备可扮演成或替代合法的节点,干扰分布式文件系统、路由算法、数据获取、无线资源公平性使用、节点选举流程等;隐私暴露威胁:通过节点窃听和流量分析获取节点上的信息网络层安全防火墙/IPS安全域划分与安全隔离安全传输(VPN、SSL)网络访问控制DDOS防御僵尸/蠕虫攻击溯源虚拟防火墙流量分析和控制内容监控和过滤安全加固终端设备安全渗透测试安全审计漏洞分析应急响应网络层将底层传感网络层获取的信息由后台的控制中心作数据处理,通信技术是网络层的核心IPCorePEPEPEPEPE中间件安全系统最小化裁减安全补丁系统加固内容安全(DPI)软件统一分发资产管理病毒防护沙箱隔离剩余数据保护数据访问控制数据完整性Web安全数据防泄漏数据位置磁盘与文件加密完全同态加密中间件是处在信息收集点和服务接入点之间,提供计算和数据处理功能。应用层安全使用物联网的信息资源实现特定的功能和服务,并且这些功能与场景和应用环境密切相关。多因素认证统一身份认证(SSO)统一访问控制终端统一认证安全日志审计安全威胁报表统一密钥管理安全运营平台(SOC)DisasterRecoveryMilitaryFieldSmartmeterandlockHomepower,lighting,temperaturecontrolIntrusioninspection,videosurveillance,alertPage17物联网数据可获得性保障面向物联网的存储资源优化N+1,1+1集群/双激活模式,全冗余设计数据保护策略定制主机灵活扩展,存储节点升级在线后端存储容量扩充FC/IP用户用户用户用户backendstorageFCMemorySSDFCSATA采用SATA/SSD/FC盘支持分层次存储HotspotdataApplicationserveractiveservicesicon控制器内存全局共享RarelyaccesseddataPrimarystorageFCSecondarystorageSATAmemory热点数据FC存储,少访问数据迁移至SATAFC/IPFC/IPEB级云存储解决方案业务应用层基础设备层应用接口层平台软件层统一(对象)资源池Node1Node2Node3Node4设备层资源表示存储空间托管/租赁/(灾备)运营电子邮件、互联网社区等Web业务日志存储检索、经营分析(Wap、MMSC、BI)NodeN文件接口数据库接口协议IPTV、视频监控等流媒体业务简化SQLPOSIX/NFS/CIFS……CloudStor架构应用&业务UnifiedStoragepoolNode1Node2Node3Node4DeviceResourceMgmt.TelcoVADOnlineStorageWeb2.0SNSCSS–CloudStorageSystemNodeNPOSIXAPISimple-SQLAgentAccessStreamingMediaCSE–CloudServiceEngineSecurity&AccessCtrl.ResourcesMgmt.Biz&BillInterfacesServiceExecutionFrameworkMgmt.PortalApplicationInterfaces(API)EB级云存储架构CSE-云业务引擎面向终端消费者的业务第三方业务执行适配开放第三方模块以及其他应用APIsCSS-云存储系统虚拟化存储池弹性扩展,scaleout模式标准接口访问基本存储服务自治管理,快速部署可执行的业务环境分布式云存储架构物联网时代的云存储运营方案个人在线存储备份平台政府、企业、NSP云存储基础平台个人移动在线存储解决方案SMB&BranchHome&SOHO大规模分布存储/运算系统企业存储网关企业外派人员IDC家庭存储网关无线数据用户手机代理软件终端代理软件管理、运营平台专用分布存储系统企业在线存储备份平台为物联网提供基于分布式的低成本、高扩展性的端到端数据云存储运营解决方案为物联网用户(政府、企业、NSP等)提供基于分布式系统的综合数据集中数据存储灾备平台物联网运营数据中心融易存储的容灾系统框架融会贯通统一存储,实现存储技术的融合虚拟化实现异构存储设备的融合定制化开发实现容灾系统与客户应用的融合易有易用优化的方案,简化了项目实施操作ISM统一管理,简化了维护操作完善的流程体系,简化了灾难恢复操作容灾业务管理中心灾备演练中心资源管理中心备份管理平台接口服务器IP/FC网络(租用或自建)IPIPFCFC应用级容灾业务接管平台数据级容灾平台NBUDiskGuardVVRVIS6000S6800ES5000VTL6000EMCHP场景1Windows环境容灾数据保护场景3异构环境的容灾场景2磁盘阵列级容灾场景4多分支机构统一容灾场景5多分支机构异构环境容灾场景6两地三中心容灾场景7本地高可靠性容灾场景8可运营容灾平台IPFCIPFCPage23项目评估项目分析制定策略执行策略日常管理为客户提供多种咨询服务:业务关键性评估系统风险评估成本效益评估容灾能力评估了解客户容灾系统的评审点,确定容灾技术方案备份/恢复的范围灾难恢复计划生产/灾备中心间距离组网情况RTO/RPO要求根据项目需求分析报告确定容灾策略确定灾难恢复层次确定站点类型容灾中心地点选择确定实施策略根据项目实施策略完成项目实施制定实施计划完成容灾系统建设首次演练文档/培训建立运维保障体系,确保容灾系统正常运行方案变更管理支持日常维护管理支持容灾演练管理支持灾难恢复管理支持项目分析制定策略执行策略日常管理项目评估制定策略阶段方案实施阶段运维管理阶段需求分析阶段高可用容灾系统建设流程Page24物联网数据全方位的解决方案物理架构电源HVAC布线消防物理安全闭路电视机柜运维中心新一代数据专业服务交钥匙工程服务基础架构设计商业规划设计运维咨询代维服务评估优化运营支撑平台网络管理业务管理安全管理机房管理计算网络存储传输安全传统IDC云计算云存储业务平台(L3)中间件与网络(L2)机房建设(L1)传统IDC业务数据中心云业务•虚拟化,归一化•EP级存储整合•PB及备份及灾备.Hosting空间出租主机托管容灾备份网络安全……•基础业务•增值业务•高级业务目录引言物联网架构物联网立方体物联网安全物联网存储案例分析日本TGroup车况导航应用车况导航成功应用名古屋的6000辆出租车上安装M2M的模块,传递车况信息,对出租车调配管理;生成道路阻塞信息,通过导航服务公司向普通消费者提供道路拥堵状况。Probe信息系统汽车里大约有120个传感信号雨刷速度传感刹车行驶距离温度传感油门摄像头InternetProbe中心道路交通信息安全相关信息环境相关信息车载机信息处理中心强大的CustomerInsight中心T集团:拥有坚固的网络:T固网和T移动网络拥有提供终端的能力:移动运营商TTDataT固网T移动通信网络在出租车上安装M2M通信模块,向监控中心传递车况信息(刹车频率、刹车时间、行驶速度、等等)M2M模块向拥有联网的导航用户发送道路信息(补充VICS信息)数据收集数据收集数据处理数据处理信息发布信息发布合成处理合成处理导航服务公司导航服务公司注:移动运营商T和系统集成商T-Data均为T集团的子公司。日本TGroup三表远抄及家庭安防远程集中监视业务TTELECON(中央控制室)基站侧接收器基站侧接收器终端侧发送器终端侧发送器家居看护服务在窗上的感应器在门上的感应器外出的时候用手机进行家电的ON/OFF操作发生异常时,把信息发给手机控制装置监控设备Flash灯•煤气、水表、电表的自动抄表。•远程监视单身生活的老人的煤气使用量(此信息定期发给住在别的地方的家属的手机或者PC)。•外出的时候也能进行家电的ON/OFF操作。•不在家里的时候,在门窗上安装的感应器监视家里,如果有异常,就给手机发通知。日本TGroup长途货柜车实时管理系统系统架构图企业总部控制室管理人员用PC终端