【技术实现步骤摘要】
基于零信任的终端控制方法、系统及装置
[0001]本申请涉及物联网,特别涉及基于零信任的终端控制方法、系统及装置。
技术介绍
[0002]对于整个物联网系统,其有大量终端。可选地,这里的终端可包含前端设备比如网络摄像机(IPC:IP Camera)、网络视频录像机(NVR:Network Video Recorder)、无人机等,也可包含后端设备比如管理节点、服务节点等。以视频物联网为例,上述的终端如视频采集节点、感知节点(如无人机等)、设备管理节点、流媒体服务节点、云存储服务节点等。
[0003]在物联网系统中,任一终端被身份仿冒和攻击,都会造成敏感数据泄漏,导致严重的隐私安全问题和网络安全事件。
技术实现思路
[0004]本申请实施例提供了基于零信任的终端控制方法、系统及装置,以实现基于零信任的终端控制。
[0005]本申请实施例提供一种基于零信任的终端控制方法,该方法应用于物联网系统中新部署的终端控制中心,所述终端控制中心管理的各终端中部署了安全代理,不同VLAN内的终端使用控制网关交互...
【技术保护点】
【技术特征摘要】
1.一种基于零信任的终端控制方法,其特征在于,该方法应用于物联网系统中新部署的终端控制中心,所述终端控制中心管理的各终端中部署了安全代理,不同VLAN内的终端使用控制网关交互,该方法包括:获得终端通过已部署的安全代理注册的终端指纹信息,依据所述终端注册至所述终端控制中心的终端指纹信息生成终端安全策略,将所述终端安全策略下发至所述终端;所述终端指纹信息用于表征终端;获得所述终端通过已部署的安全代理上报的终端安全状态事件;所述终端安全状态事件是由所述安全代理基于接收的所述终端安全策略检测出所述终端的安全状态发生异常时上报的;获得所述控制网关检测出的所述终端的通信链路安全状态事件;获得所述物联网系统外部的外部安全状态信息;依据所述终端安全状态事件、所述通信链路安全状态事件、所述外部安全状态信息生成所述终端的安全状态画像,确定与所述安全状态画像匹配的身份与访问控制策略作为所述终端的身份与访问控制策略,下发所述身份与访问控制策略至所述终端和所述控制网关;所述身份与访问控制策略至少包括所述终端的身份认证策略,以及所述终端的访问控制策略。2.根据权利要求1所述的方法,其特征在于,所述终端指纹信息至少包括:终端的设备信息;和/或,终端的软件信息;所述软件信息至少包括:所述终端上运行的应用的应用信息、所述终端上部署的操作系统的信息;和/或,终端的硬件信息;所述硬件信息至少包括:所述终端上的CPU信息、内存信息。3.根据权利要求1所述的方法,其特征在于,所述终端安全策略至少包括:文件安全策略;所述文件安全策略用于指示:在检测到关键文件路径对应的文件被更新或被删除,和/或,新增关键文件路径对应的文件,和/或关键文件路径对应的属性被更新时,触发第一类终端安全状态事件;所述第一类终端安全状态事件所属的事件类型为文件类型;所述关键文件路径对应的属性至少包括:关键文件路径的用户权限;进程策略;所述进程策略用于指示在进程的属性发生更新或者在新增进程时,触发第二类终端安全状态事件;所述第二类终端安全状态事件所属的事件类型为进程类型;网络策略;所述网络策略用于指示在检测到网络连接发生变化则触发第三类终端安全状态事件;所述第三类终端安全状态事件所属的事件类型为网络类型;操作系统策略;所述操作系统策略用于指示在操作系统信息发生异常则触发第四类终端安全状态事件;所述第四类终端安全状态事件所属的事件类型为操作系统类型;应用策略;所述应用策略用于指示在应用信息异常时则触发第五类终端安全状态事件;所述第五类终端安全状态事件所属的事件类型为应用类型。4.根据权利要求1所述的方法,其特征在于,所述终端的通信链路安全状态事件是由所述控制网关在检测出的所述终端的通信链路上的数据流异常时上报的;所述数据流异常至少包括:所述数据流携带的TCP/IP协议模型中至少一层的协议特征值与该层对应的协议标准特征值不匹配。5.根据权利要求1所述的方法,其特征在于,所述获得所述物联网外部的外部安全状态
信息,包括:收集指定网站发布的安全威胁情报,依据所述安全威胁情报确定所述外部安全状态信息,所述安全威胁情报至少包含安全风险信息。6.根据权利要求1至5任一所述的方法,其特...
【专利技术属性】
技术研发人员:王滨,陈达,张峰,史治国,陈积明,赵海涛,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。