<ul id="kio0y"></ul> 
5.1、零信任融入工業(yè)互聯(lián)網(wǎng)安全
當(dāng)前工業(yè)互聯(lián)網(wǎng)安全主要分為三個(gè)場(chǎng)景,工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)邊緣側(cè)安全和工業(yè)互聯(lián)網(wǎng)平臺(tái)安全。
工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全,可以采用“一個(gè)中心、三重防御”的理念,應(yīng)用統(tǒng)一安全管理平臺(tái)、工控主機(jī)衛(wèi)士、工業(yè)防火墻和工業(yè)監(jiān)測(cè)審計(jì)系統(tǒng)等系統(tǒng),采用白名單的策略實(shí)施安全防護(hù),未來(lái)可升級(jí)為零信任安全架構(gòu),在工業(yè)交換機(jī)、工業(yè)路由器和工業(yè)防火墻上引入零信任技術(shù),實(shí)現(xiàn)分區(qū)之間的微隔離和動(dòng)態(tài)訪問(wèn)控制。
工業(yè)互聯(lián)網(wǎng)邊緣側(cè)和工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全,可采用零信任安全架構(gòu),融入工業(yè)互聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu),解決邊緣側(cè)終端安全接入、邊緣側(cè)訪問(wèn)控制、隧道加密、平臺(tái)側(cè)網(wǎng)絡(luò)隱身、平臺(tái)側(cè)動(dòng)態(tài)訪問(wèn)控制和持續(xù)信任評(píng)估等安全痛點(diǎn)。詳細(xì)的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)如下圖所示。
圖13、基于零信任的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)圖
安全資源層:在邊緣側(cè)部署零信任邊緣網(wǎng)關(guān),通過(guò)無(wú)線和有線接入物聯(lián)網(wǎng)設(shè)備,通過(guò)4G或5G將數(shù)據(jù)上送到云端,提供物聯(lián)網(wǎng)設(shè)備準(zhǔn)入控制、身份認(rèn)證、TLS通道加密等功能,同時(shí)提供邊緣防火墻功能,保護(hù)邊緣側(cè)的物聯(lián)網(wǎng)終端。邊緣網(wǎng)關(guān),基于安全芯片的可信根,提供可信計(jì)算環(huán)境和本體安全防護(hù)。
安全服務(wù)層:在云端部署零信任安全網(wǎng)關(guān)和零信任控制器,實(shí)現(xiàn)網(wǎng)絡(luò)隱身。零信任安全網(wǎng)關(guān),提供身份校驗(yàn)、通道加密、訪問(wèn)控制和數(shù)據(jù)轉(zhuǎn)發(fā)等功能。零信任控制器,提供身份認(rèn)證、訪問(wèn)授權(quán)、持續(xù)評(píng)估和動(dòng)態(tài)策略等功能。
安全運(yùn)營(yíng)層:在云端部署密碼服務(wù)平臺(tái)和安全管控平臺(tái)。密碼服務(wù)平臺(tái)提供基于PKI體系的證書(shū)和密鑰分發(fā)等功能,證書(shū)用于零信任邊緣網(wǎng)關(guān)等設(shè)備的TLS雙向認(rèn)證,需要定期更新。安全管控平臺(tái)提供資產(chǎn)可視化、攻擊面分析、威脅檢測(cè)和安全基線分析等功能,輔助零信任控制器,進(jìn)行動(dòng)態(tài)訪問(wèn)控制。
5.2、零信任融合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)
工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)重要的組成部分,那么零信任安全架構(gòu)是否可以結(jié)合標(biāo)識(shí)解析體系提升工業(yè)互聯(lián)網(wǎng)安全?在回答該問(wèn)題之前,本節(jié)先深入理解下工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系。
工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)編碼是指能夠唯一識(shí)別機(jī)器、產(chǎn)品等物理資源以及算法、工序等虛擬資源的身份符號(hào);工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析是指能夠根據(jù)標(biāo)識(shí)編碼查詢目標(biāo)對(duì)象網(wǎng)絡(luò)位置或者相關(guān)信息的系統(tǒng)裝置,對(duì)機(jī)器和物品進(jìn)行唯一性的定位和信息查詢,是實(shí)現(xiàn)全球供應(yīng)鏈系統(tǒng)和企業(yè)生產(chǎn)系統(tǒng)的精準(zhǔn)對(duì)接、產(chǎn)品全生命周期管理和智能化服務(wù)的前提和基礎(chǔ)。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的基本業(yè)務(wù)流程如下圖所示。
圖14、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的基本業(yè)務(wù)流程
(引用自工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析白皮書(shū)》)
工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析,主要解決的是設(shè)備可信身份的問(wèn)題,通過(guò)主動(dòng)標(biāo)識(shí)模組載體,為每一件產(chǎn)品分配一個(gè)數(shù)字身份證“工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)”。下表將結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的典型應(yīng)用場(chǎng)景,對(duì)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)和零信任技術(shù)融合的優(yōu)點(diǎn)進(jìn)行探討。
表8、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)和零信任技術(shù)的融合分析
通過(guò)上述分析,我們認(rèn)為零信任安全架構(gòu)融合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系可以進(jìn)一步保障工業(yè)互聯(lián)網(wǎng)安全。
6小結(jié)
通過(guò)本文的探討,我們認(rèn)為零信任安全架構(gòu)可以成功地應(yīng)用于IT、OT和IOT的安全防護(hù)場(chǎng)景。
針對(duì)IT安全防護(hù)場(chǎng)景,企業(yè)數(shù)據(jù)中心的南北向可應(yīng)用SDP技術(shù),東西向可應(yīng)用微隔離技術(shù),企業(yè)統(tǒng)一身份認(rèn)證可應(yīng)用IAM技術(shù),實(shí)現(xiàn)企業(yè)遠(yuǎn)程安全辦公、遠(yuǎn)程安全運(yùn)維和遠(yuǎn)程安全研發(fā)。
針對(duì)OT安全防護(hù)場(chǎng)景,考慮到OT的高可靠、高穩(wěn)定和高性能要求,可以將零信任安全架構(gòu)先應(yīng)用于分區(qū)邊界的微隔離。當(dāng)前流行的白名單理念是相對(duì)靜態(tài)的安全策略,一旦實(shí)施很少變動(dòng),逐步融入零信任安全理念,可實(shí)現(xiàn)持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制,提升工控安全技術(shù)水平。
針對(duì)IOT安全防護(hù)場(chǎng)景,可結(jié)合物聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu),融入零信任安全架構(gòu),同時(shí)結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析技術(shù)解決物聯(lián)網(wǎng)設(shè)備可信身份認(rèn)證的問(wèn)題,提升物聯(lián)網(wǎng)邊緣側(cè)、通信網(wǎng)絡(luò)和云平臺(tái)的安全防護(hù)。
長(zhǎng)揚(yáng)科技作為工業(yè)互聯(lián)網(wǎng)安全和工控網(wǎng)絡(luò)安全領(lǐng)域的第一批踐行者,自成立以來(lái)持續(xù)深耕工業(yè)互聯(lián)網(wǎng)安全、工控網(wǎng)絡(luò)安全和“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”領(lǐng)域,為中國(guó)數(shù)字化和高質(zhì)量發(fā)展提供專業(yè)可靠的安全基座。在技術(shù)創(chuàng)新方面,長(zhǎng)揚(yáng)科技已申請(qǐng)獲得專利、軟著120余項(xiàng),自主研發(fā)了50余款產(chǎn)品,建立起一套以信創(chuàng)安全生態(tài)為底座安全,以工業(yè)安全靶場(chǎng)為能力提升手段,覆蓋工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)、工業(yè)網(wǎng)絡(luò)安全防護(hù)、工業(yè)視覺(jué)安全分析、零信任安全和數(shù)據(jù)安全的完整產(chǎn)品和服務(wù)體系。今年以來(lái),長(zhǎng)揚(yáng)科技在零信任安全領(lǐng)域持續(xù)發(fā)力,基于 “以身份為基石、業(yè)務(wù)安全訪問(wèn)、持續(xù)信任評(píng)估、動(dòng)態(tài)訪問(wèn)控制” 四大關(guān)鍵能力,為企業(yè)網(wǎng)絡(luò)構(gòu)建無(wú)邊界的數(shù)據(jù)安全防護(hù)體系,為企業(yè)遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維和遠(yuǎn)程研發(fā)測(cè)試提供數(shù)據(jù)安全保障。此外,依托零信任架構(gòu)對(duì)應(yīng)云-管-邊-端的業(yè)務(wù)體系,構(gòu)建工業(yè)物聯(lián)網(wǎng)邊緣側(cè)安全智慧管理,強(qiáng)化對(duì)邊緣側(cè)的安全保護(hù),有效防護(hù)潛在威脅。
新聞爆料
