長揚科技：零信任安全架構在IT、OT和IOT領域的應用

5.1、零信任融入工業(yè)互聯(lián)網(wǎng)安全

當前工業(yè)互聯(lián)網(wǎng)安全主要分為三個場景，工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)邊緣側安全和工業(yè)互聯(lián)網(wǎng)平臺安全。

工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全，可以采用“一個中心、三重防御”的理念，應用統(tǒng)一安全管理平臺、工控主機衛(wèi)士、工業(yè)防火墻和工業(yè)監(jiān)測審計系統(tǒng)等系統(tǒng)，采用白名單的策略實施安全防護，未來可升級為零信任安全架構，在工業(yè)交換機、工業(yè)路由器和工業(yè)防火墻上引入零信任技術，實現(xiàn)分區(qū)之間的微隔離和動態(tài)訪問控制。

工業(yè)互聯(lián)網(wǎng)邊緣側和工業(yè)互聯(lián)網(wǎng)平臺的安全，可采用零信任安全架構，融入工業(yè)互聯(lián)網(wǎng)云-管-邊-端的體系結構，解決邊緣側終端安全接入、邊緣側訪問控制、隧道加密、平臺側網(wǎng)絡隱身、平臺側動態(tài)訪問控制和持續(xù)信任評估等安全痛點。詳細的工業(yè)互聯(lián)網(wǎng)安全架構如下圖所示。

圖13、基于零信任的工業(yè)互聯(lián)網(wǎng)安全架構圖

安全資源層：在邊緣側部署零信任邊緣網(wǎng)關，通過無線和有線接入物聯(lián)網(wǎng)設備，通過4G或5G將數(shù)據(jù)上送到云端，提供物聯(lián)網(wǎng)設備準入控制、身份認證、TLS通道加密等功能，同時提供邊緣防火墻功能，保護邊緣側的物聯(lián)網(wǎng)終端。邊緣網(wǎng)關，基于安全芯片的可信根，提供可信計算環(huán)境和本體安全防護。

安全服務層：在云端部署零信任安全網(wǎng)關和零信任控制器，實現(xiàn)網(wǎng)絡隱身。零信任安全網(wǎng)關，提供身份校驗、通道加密、訪問控制和數(shù)據(jù)轉發(fā)等功能。零信任控制器，提供身份認證、訪問授權、持續(xù)評估和動態(tài)策略等功能。

安全運營層：在云端部署密碼服務平臺和安全管控平臺。密碼服務平臺提供基于PKI體系的證書和密鑰分發(fā)等功能，證書用于零信任邊緣網(wǎng)關等設備的TLS雙向認證，需要定期更新。安全管控平臺提供資產(chǎn)可視化、攻擊面分析、威脅檢測和安全基線分析等功能，輔助零信任控制器，進行動態(tài)訪問控制。

5.2、零信任融合工業(yè)互聯(lián)網(wǎng)標識

工業(yè)互聯(lián)網(wǎng)標識解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡架構重要的組成部分，那么零信任安全架構是否可以結合標識解析體系提升工業(yè)互聯(lián)網(wǎng)安全？在回答該問題之前，本節(jié)先深入理解下工業(yè)互聯(lián)網(wǎng)標識解析體系。

工業(yè)互聯(lián)網(wǎng)標識編碼是指能夠唯一識別機器、產(chǎn)品等物理資源以及算法、工序等虛擬資源的身份符號；工業(yè)互聯(lián)網(wǎng)標識解析是指能夠根據(jù)標識編碼查詢目標對象網(wǎng)絡位置或者相關信息的系統(tǒng)裝置，對機器和物品進行唯一性的定位和信息查詢，是實現(xiàn)全球供應鏈系統(tǒng)和企業(yè)生產(chǎn)系統(tǒng)的精準對接、產(chǎn)品全生命周期管理和智能化服務的前提和基礎。工業(yè)互聯(lián)網(wǎng)標識解析的基本業(yè)務流程如下圖所示。

圖14、工業(yè)互聯(lián)網(wǎng)標識解析的基本業(yè)務流程

（引用自工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟《工業(yè)互聯(lián)網(wǎng)標識解析白皮書》）

工業(yè)互聯(lián)網(wǎng)標識解析，主要解決的是設備可信身份的問題，通過主動標識模組載體，為每一件產(chǎn)品分配一個數(shù)字身份證“工業(yè)互聯(lián)網(wǎng)標識”。下表將結合工業(yè)互聯(lián)網(wǎng)標識解析的典型應用場景，對工業(yè)互聯(lián)網(wǎng)標識和零信任技術融合的優(yōu)點進行探討。

表8、工業(yè)互聯(lián)網(wǎng)標識和零信任技術的融合分析

通過上述分析，我們認為零信任安全架構融合工業(yè)互聯(lián)網(wǎng)標識解析體系可以進一步保障工業(yè)互聯(lián)網(wǎng)安全。

6小結

通過本文的探討，我們認為零信任安全架構可以成功地應用于IT、OT和IOT的安全防護場景。

針對IT安全防護場景，企業(yè)數(shù)據(jù)中心的南北向可應用SDP技術，東西向可應用微隔離技術，企業(yè)統(tǒng)一身份認證可應用IAM技術，實現(xiàn)企業(yè)遠程安全辦公、遠程安全運維和遠程安全研發(fā)。

針對OT安全防護場景，考慮到OT的高可靠、高穩(wěn)定和高性能要求，可以將零信任安全架構先應用于分區(qū)邊界的微隔離。當前流行的白名單理念是相對靜態(tài)的安全策略，一旦實施很少變動，逐步融入零信任安全理念，可實現(xiàn)持續(xù)信任評估和動態(tài)訪問控制，提升工控安全技術水平。

針對IOT安全防護場景，可結合物聯(lián)網(wǎng)云-管-邊-端的體系結構，融入零信任安全架構，同時結合工業(yè)互聯(lián)網(wǎng)標識解析技術解決物聯(lián)網(wǎng)設備可信身份認證的問題，提升物聯(lián)網(wǎng)邊緣側、通信網(wǎng)絡和云平臺的安全防護。

長揚科技作為工業(yè)互聯(lián)網(wǎng)安全和工控網(wǎng)絡安全領域的第一批踐行者，自成立以來持續(xù)深耕工業(yè)互聯(lián)網(wǎng)安全、工控網(wǎng)絡安全和“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”領域，為中國數(shù)字化和高質(zhì)量發(fā)展提供專業(yè)可靠的安全基座。在技術創(chuàng)新方面，長揚科技已申請獲得專利、軟著120余項，自主研發(fā)了50余款產(chǎn)品，建立起一套以信創(chuàng)安全生態(tài)為底座安全，以工業(yè)安全靶場為能力提升手段，覆蓋工業(yè)網(wǎng)絡安全監(jiān)測、工業(yè)網(wǎng)絡安全防護、工業(yè)視覺安全分析、零信任安全和數(shù)據(jù)安全的完整產(chǎn)品和服務體系。今年以來，長揚科技在零信任安全領域持續(xù)發(fā)力，基于 “以身份為基石、業(yè)務安全訪問、持續(xù)信任評估、動態(tài)訪問控制” 四大關鍵能力，為企業(yè)網(wǎng)絡構建無邊界的數(shù)據(jù)安全防護體系，為企業(yè)遠程辦公、遠程運維和遠程研發(fā)測試提供數(shù)據(jù)安全保障。此外，依托零信任架構對應云-管-邊-端的業(yè)務體系，構建工業(yè)物聯(lián)網(wǎng)邊緣側安全智慧管理，強化對邊緣側的安全保護，有效防護潛在威脅。