5.1、零信任融入工業(yè)互聯(lián)網(wǎng)安全

當(dāng)前工業(yè)互聯(lián)網(wǎng)安全主要分為三個場景，工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)邊緣側(cè)安全和工業(yè)互聯(lián)網(wǎng)平臺安全。

工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全，可以采用“一個中心、三重防御”的理念，應(yīng)用統(tǒng)一安全管理平臺、工控主機(jī)衛(wèi)士、工業(yè)防火墻和工業(yè)監(jiān)測審計系統(tǒng)等系統(tǒng)，采用白名單的策略實施安全防護(hù)，未來可升級為零信任安全架構(gòu)，在工業(yè)交換機(jī)、工業(yè)路由器和工業(yè)防火墻上引入零信任技術(shù)，實現(xiàn)分區(qū)之間的微隔離和動態(tài)訪問控制。

工業(yè)互聯(lián)網(wǎng)邊緣側(cè)和工業(yè)互聯(lián)網(wǎng)平臺的安全，可采用零信任安全架構(gòu)，融入工業(yè)互聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu)，解決邊緣側(cè)終端安全接入、邊緣側(cè)訪問控制、隧道加密、平臺側(cè)網(wǎng)絡(luò)隱身、平臺側(cè)動態(tài)訪問控制和持續(xù)信任評估等安全痛點。詳細(xì)的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)如下圖所示。

圖13、基于零信任的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)圖

安全資源層：在邊緣側(cè)部署零信任邊緣網(wǎng)關(guān)，通過無線和有線接入物聯(lián)網(wǎng)設(shè)備，通過4G或5G將數(shù)據(jù)上送到云端，提供物聯(lián)網(wǎng)設(shè)備準(zhǔn)入控制、身份認(rèn)證、TLS通道加密等功能，同時提供邊緣防火墻功能，保護(hù)邊緣側(cè)的物聯(lián)網(wǎng)終端。邊緣網(wǎng)關(guān)，基于安全芯片的可信根，提供可信計算環(huán)境和本體安全防護(hù)。

安全服務(wù)層：在云端部署零信任安全網(wǎng)關(guān)和零信任控制器，實現(xiàn)網(wǎng)絡(luò)隱身。零信任安全網(wǎng)關(guān)，提供身份校驗、通道加密、訪問控制和數(shù)據(jù)轉(zhuǎn)發(fā)等功能。零信任控制器，提供身份認(rèn)證、訪問授權(quán)、持續(xù)評估和動態(tài)策略等功能。

安全運營層：在云端部署密碼服務(wù)平臺和安全管控平臺。密碼服務(wù)平臺提供基于PKI體系的證書和密鑰分發(fā)等功能，證書用于零信任邊緣網(wǎng)關(guān)等設(shè)備的TLS雙向認(rèn)證，需要定期更新。安全管控平臺提供資產(chǎn)可視化、攻擊面分析、威脅檢測和安全基線分析等功能，輔助零信任控制器，進(jìn)行動態(tài)訪問控制。

5.2、零信任融合工業(yè)互聯(lián)網(wǎng)標(biāo)識

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)重要的組成部分，那么零信任安全架構(gòu)是否可以結(jié)合標(biāo)識解析體系提升工業(yè)互聯(lián)網(wǎng)安全？在回答該問題之前，本節(jié)先深入理解下工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系。

工業(yè)互聯(lián)網(wǎng)標(biāo)識編碼是指能夠唯一識別機(jī)器、產(chǎn)品等物理資源以及算法、工序等虛擬資源的身份符號；工業(yè)互聯(lián)網(wǎng)標(biāo)識解析是指能夠根據(jù)標(biāo)識編碼查詢目標(biāo)對象網(wǎng)絡(luò)位置或者相關(guān)信息的系統(tǒng)裝置，對機(jī)器和物品進(jìn)行唯一性的定位和信息查詢，是實現(xiàn)全球供應(yīng)鏈系統(tǒng)和企業(yè)生產(chǎn)系統(tǒng)的精準(zhǔn)對接、產(chǎn)品全生命周期管理和智能化服務(wù)的前提和基礎(chǔ)。工業(yè)互聯(lián)網(wǎng)標(biāo)識解析的基本業(yè)務(wù)流程如下圖所示。

圖14、工業(yè)互聯(lián)網(wǎng)標(biāo)識解析的基本業(yè)務(wù)流程

（引用自工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟《工業(yè)互聯(lián)網(wǎng)標(biāo)識解析白皮書》）

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析，主要解決的是設(shè)備可信身份的問題，通過主動標(biāo)識模組載體，為每一件產(chǎn)品分配一個數(shù)字身份證“工業(yè)互聯(lián)網(wǎng)標(biāo)識”。下表將結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識解析的典型應(yīng)用場景，對工業(yè)互聯(lián)網(wǎng)標(biāo)識和零信任技術(shù)融合的優(yōu)點進(jìn)行探討。

表8、工業(yè)互聯(lián)網(wǎng)標(biāo)識和零信任技術(shù)的融合分析

通過上述分析，我們認(rèn)為零信任安全架構(gòu)融合工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系可以進(jìn)一步保障工業(yè)互聯(lián)網(wǎng)安全。

6小結(jié)

通過本文的探討，我們認(rèn)為零信任安全架構(gòu)可以成功地應(yīng)用于IT、OT和IOT的安全防護(hù)場景。

針對IT安全防護(hù)場景，企業(yè)數(shù)據(jù)中心的南北向可應(yīng)用SDP技術(shù)，東西向可應(yīng)用微隔離技術(shù)，企業(yè)統(tǒng)一身份認(rèn)證可應(yīng)用IAM技術(shù)，實現(xiàn)企業(yè)遠(yuǎn)程安全辦公、遠(yuǎn)程安全運維和遠(yuǎn)程安全研發(fā)。

針對OT安全防護(hù)場景，考慮到OT的高可靠、高穩(wěn)定和高性能要求，可以將零信任安全架構(gòu)先應(yīng)用于分區(qū)邊界的微隔離。當(dāng)前流行的白名單理念是相對靜態(tài)的安全策略，一旦實施很少變動，逐步融入零信任安全理念，可實現(xiàn)持續(xù)信任評估和動態(tài)訪問控制，提升工控安全技術(shù)水平。

針對IOT安全防護(hù)場景，可結(jié)合物聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu)，融入零信任安全架構(gòu)，同時結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識解析技術(shù)解決物聯(lián)網(wǎng)設(shè)備可信身份認(rèn)證的問題，提升物聯(lián)網(wǎng)邊緣側(cè)、通信網(wǎng)絡(luò)和云平臺的安全防護(hù)。

長揚科技作為工業(yè)互聯(lián)網(wǎng)安全和工控網(wǎng)絡(luò)安全領(lǐng)域的第一批踐行者，自成立以來持續(xù)深耕工業(yè)互聯(lián)網(wǎng)安全、工控網(wǎng)絡(luò)安全和“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”領(lǐng)域，為中國數(shù)字化和高質(zhì)量發(fā)展提供專業(yè)可靠的安全基座。在技術(shù)創(chuàng)新方面，長揚科技已申請獲得專利、軟著120余項，自主研發(fā)了50余款產(chǎn)品，建立起一套以信創(chuàng)安全生態(tài)為底座安全，以工業(yè)安全靶場為能力提升手段，覆蓋工業(yè)網(wǎng)絡(luò)安全監(jiān)測、工業(yè)網(wǎng)絡(luò)安全防護(hù)、工業(yè)視覺安全分析、零信任安全和數(shù)據(jù)安全的完整產(chǎn)品和服務(wù)體系。今年以來，長揚科技在零信任安全領(lǐng)域持續(xù)發(fā)力，基于 “以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估、動態(tài)訪問控制” 四大關(guān)鍵能力，為企業(yè)網(wǎng)絡(luò)構(gòu)建無邊界的數(shù)據(jù)安全防護(hù)體系，為企業(yè)遠(yuǎn)程辦公、遠(yuǎn)程運維和遠(yuǎn)程研發(fā)測試提供數(shù)據(jù)安全保障。此外，依托零信任架構(gòu)對應(yīng)云-管-邊-端的業(yè)務(wù)體系，構(gòu)建工業(yè)物聯(lián)網(wǎng)邊緣側(cè)安全智慧管理，強(qiáng)化對邊緣側(cè)的安全保護(hù)，有效防護(hù)潛在威脅。