本章主要描述设备管理中的安全基线、基线详情和设备状态的管理。

如果还没有接入设备,那么您需要在物联网平台上创建产品和设备,集成安全开发组件之后,即可进行安全基线的检测。


设备接入检测

安全基线

安全基线指的是特定的IoT产品维持其正常业务功能所需要的基准行为,包括网络、设备访问、进程间IPC通信、文件访问等。

安全基线包含两类:

  • 一类是静态文件取证,通过扫描系统中已有的二进制文件,计算文件hash并上报云端。该功能的主要作用是后续如果有未知的程序侵入,可以及时被发现和阻止。
  • 另一类是动态行为采集,相对静态文件取证来说,动态行为采集可以捕获系统中进程在动态运行过程中所做的操作,例如访问网络、打开设备驱动、进程间IPC通信等。

一切不在基准行为规则里面的操作和程序运行都被视为是风险行为而被拦截。SOC基于阿里云IoT安全团队沉淀的安全能力,通过持续感知设备正常运行期间的行为生成多个安全维度的行为基线,管理员可以按需修正后发布该基线作为后续设备运营阶段的安全监控参考基线。安全基线可以有效拦截攻击者远程入侵和未知风险文件的运行,从而保证IoT设备的安全。


安全基线

SOC为每一款产品生成的安全基线均为未发布状态,需要用户执行发布。发布后的基线会对设备的行为进行安全基线检查,按照既定的策略进行自动处理。

生成安全基线

  • 设备取证(静态文件取证)

    需要用户手动执行“取证”操作。


    发布管理
  • 行为规则

    安全基线的动态行为采集由SOC SDK全自动完成,无需人工干预。


    安全基线行为规则
    说明 行为规则曲线波动较小后再发布基线,能够获得更好的安全防护效果和更精确的风险事件预警。
  • 策略锁定
    • 开启了策略锁定:允许安全基线允许的行为发生,安全基线以外的行为将会产生告警。
    • 未开启策略锁定:只允许安全基线允许的行为发生,安全基线以外的行为将会被阻止。

    开启策略锁定

发布安全基线

  • 全局基线:安全基线覆盖了设备的所有行为。
  • 系统基线:安全基线仅覆盖了设备的部分行为,不包含后续安装的其他应用(不阻止新应用/组件的安装和执行,但是会生成告警上报给管理员)。


说明 已发布的安全基线,不允许修改任何配置。如果需要重新配置安全基线,需要执行“撤销发布”,恢复为 未发布的安全基线。
已发布的基线

安全基线详情

无论安全基线是否发布,都可以通过基线详情查看指定产品的安全基线,包括如下。

  • 系统对象
    系统对象
  • 进程行为
    行为进程
  • 网络行为
    网络行为
  • 组件列表
    组件列表

设备状态

在设备安全发布后,针对每一型号设备的状态汇总和取证周期的设置需要在状态管理完成。管理员可以在该界面进行设备状态查询和调整取证周期。


设备列表查看设备状态

您也可以单击取证设置,设置取证方式。


设置取证参数