一、安全风险
跑过银行业务的都清楚，办理银行业务前首先需要叫号，然后大堂经理帮你复印身份证等相关文件。

柜台前，业务人员又会递给你一沓打印好的表单确认签名。

令人意想不到的是，就在这习以为常的操作中却隐藏着极大的物联网终端安全风险。

银行网点几乎为每个业务员配置一台办公电脑和一台打印机，除此之外还设有公共打印机、摄像头、IP电话以及考勤机等IoT设备。

一般情况下，非法分子很难通过外网发起攻击，更多的是在拔了网线的情况下，通过伪造IP/MAC地址的方式盗取内网资源或注入蠕虫病毒。

因此，终端身份认证及权限管控成为银行网点应对物联网设备安全的重要措施。

二、解决方案
方案1、从访问权限的角度防止IoT信息泄漏
面向物联网设备较少的办公场景，企业可以采用MAB认证+静态ACL的方式，通过控制终端的访问权限的方式阻止信息资源泄漏。

但物联网设备数量最好能控制在20个以内，毕竟随数量的增加，对应
么即使非法人员更改了笔记本电脑的IP/MAC地址，也会因“终端类型”不一致而被困于网外。

a.图为打印机的设备类型及生产厂商示意图
b. 图为防止IP/MAC地址伪造的控制策略，效果是“如果终端类型不是打印机Printer、摄像头Camera或IP电话IP Phone的话，则可以通过Virtual Firewall将其加入到黑名单。

”
2. 异构兼容网络设备，灵活派发DACL访问策略
面向IoT终端数量众多、网络结构复杂的物联网场景，静态ACL 的配置成本较高。

同时受限于厂商设备兼容性，企业使用DACL的
常常受阻。

对此，产品兼容多品牌交换机为客户提供异构网络DACL 联合派发解决方案。

通过向终端设备/设备组下发DACL，确保“游走”于物理网络环境中的IoT终端仅能访问其权限内的网络资源。

比如，将打印机的外层服务器访问权限绑定到华为交换机，即使打印机的物理位置变更，其可访问的网络资源也不会发生改变。

当下物联网正处于飞速发展时期，未来将有更多未知的物联网终端进入我们的视野。

但是面向物联网设备的安全防护却还处于起步阶段。

虽然政府、企业以及IoT生产厂商也在不断的寻找新的防护手段，但在找到合适的安全规范之前，解决当下物联网终端安全的可行性方案仍以身份认证安全准入为主。

至少通过身份认证阻止终端接入网络，同时提升物联网网络安全防御能力，防止因IP/MAC 地址伪造所引发的信息泄漏。

智能安全接入，从宁盾开始。

宁盾成立以来专注于动态密码双因
素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。

为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。