越来越多的物联网及互联网OT设备向以IP为主的IT世界转型，IoT的增长速度远超过网络安全产品的迭代速度。据统计，2020年，全球将有270亿终端，其中100亿­­­活跃于企业网络。而企业网络安全产品仍然以防火墙、入侵检测、杀毒软件“老三样”为主，物联网IoT安全产品寥寥无几。

网络安全领域扩展趋势图（来源：于苹果资本）

由此导致­­­­物联网­­­设备与网络安全防护的冲突：

企业IT网络是一个高度折衷的混合管理架构，传统主要管理网内的业务层电脑笔记本等，无法面面俱到，更不能高效的管理物联网设备；

 企业中物联网终端数量庞大、种类多样，但由于功能单一，操作系统简单，易受攻击，但因无法安装杀毒软件，传统网络安全产品也束手无策；

物联网设备管理困难，因缺乏自动管理工具，运维人员常常手动收集信息，运维成本价较高。

宁盾终端准入（NAC）通过主动探测，通过可视化“识别、归类、准入保护”实现对物联网终端的安全管控。基于“主动防御”，

发现并识别接入网络的终端类型及数量：解决以往终端不可见的问题，运维人员无需再一遍遍排查都有哪些终端接入了网络。

基于业务自动化归类：解决运维人员手动排查和终端归类问题，通过可视化掌控终端分布，合理规划终端及网络布局。

保护入网终端的安全性：入网前检测终端的安全性，实时检测网络中终端的安全性，防止IoT终端被伪造、被拔掉的现象。可视化网络拓扑，对问题终端进行自动隔离或告警至管理员，减轻运维人员盲目排查的痛苦。

一、发现并识别接入网络的一切终端

宁盾终端准入引擎（ND ACE）主动探测接入网络的一切终端，包括从云、数据中心到办公区、生产线的各种电脑、BYOD、瘦客户端、摄像头、打印机、IP电话等；无代理检测支持Nmap ＋ User Agent，丰富的设备类型库通过不断积累和更新，提升了终点识别效率及终端识别准确性。

二、终端可视化及自动化归类

1、终端信息可视化：可视化IoT终端MAC地址、IP地址、终端类型、操作系统、设备厂商、功能、上下游网络拓扑、终端位置、所属部门、所属业务、接入批次、数据流量、在线时长等；

2、自动化归类：根据MAC地址列表、IP地址、IP地址段、终端类型、首次接入时间等控制策略对IoT终端自定义业务模型。ND ACE 主动探测终端的合规性条件，并完成自动归类。

3、自定义业务模型归类：

根据企业业务自定义业务模型：

比如根据首次登录时间设置接入批次模型，终端在接入网络时自动归类到该业务模型中；

比如根据终端类型设置终端业务功能模型，复合该类型的终端自动归类到该业务模型；

4、可视化网络拓扑：基于业务模型及网络基础设施，直观展示终端上下游结构及终端位置。如一个交换机连接了多少AC和AP，每个AC上连接了多少AP，每个AP上连接了多少IoT等等。

根据不同区域的终端分布情况，帮助运维人员合理布局终端及网络，拆掉不常用的网络设备，更换老旧的网络设备及终端，新增或重新部署生产线网络环境等。

三、终端合规性安全及准入保护

1、IP／MAC地址防伪造：在业务模型内，针对IP地址段、MAC地址列表过滤IP／MAC地址不合规的终端，其次检测终端的操作类型，防止电脑、笔记本、BYOD等伪造IoT终端盗取企业信息。

2、弱密码检测：大部分的IoT终端存在弱账号密码现象，检测入网终端的账号密码，降低因弱账号密码导致的攻击事件。

3、防私接：通过检测一个IP地址下是否存在多个操作系统，发现并定位私接终端位置，防止私接路由对企业网络的影响。

4、终端安全准入及自动化隔离：通常情况下，当ND ACE检测到终端非合规时，会将其自动隔离至安全区或进行断网处理。特殊情况下，对于网络变动较为敏感的终端，宁盾ND ACE检测到异常时，告警至管理员进行操作。

5、快速定位终端位置：根据端上下游拓扑关系，及时定位问题终端位于哪个交换机的哪个AC上的哪个端口，并通知管理员对其进行操作。

四、可视化终端资产管理

可视化终端，并根据不同业务模型统计终端数量，包括总的终端资产、不同批次的终端资产、损坏不工作的终端、不同业务模型的终端等，为分析终端资产利用率、终端布局提供依据。

基于“主动防御”，与传统内外网边界防护相比，宁盾终端准入引擎（NDACE）以端为保护对象，主动发现并识别接入网络的一切终端，可视化终端安全状态并及时定位终端位置，提升物联网终端排障速率，降低物联网终端运维成本，为海量IoT终端提供安全保障。