零信任网络助力工业互联网安全体系建设

随着云计算、大数据、物联网、5G、边缘计算等IT技术的快速发展，支撑了工业互联网的应用快速落地。作为“新基建”的重点方向之一，工业互联网发展已经进入快轨道，将加速“中国制造”向“中国智造”转型，并推动实体经济高质量发展。

新型 IT 技术与传统工业 OT 技术深度融合，使得工业系统逐步走向互联、开放，也加剧了工业制造面临的安全风险，带来更加艰巨的安全挑战。CNCERT 发布的《2019 年我国互联网网络安全态势综述》指出，我国大型工业互联网平台平均攻击次数达 90 次/日。

工业互联网连接了大量工业控制系统和设备，汇聚海量工业数据，构建了工业互联网应用生态、与工业生产和企业经营密切相关。一旦遭入侵或攻击，将可能造成工业生产停滞，波及范围不仅是单个企业，更可延伸至整个产业生态，对国民经济造成重创，影响 社会 稳定，甚至对国家安全构成威胁。

近期便有重大工业安全事件发生，造成恶劣影响，5 月 7 日，美国最大燃油运输管道商 Colonial Pipeline 公司遭受勒索软件攻击，5500 英里输油管被迫停运，美国东海岸燃油供应因此受到严重影响，美国首次因网络攻击而宣布进入国家紧急状态。

以下根据防护对象不同，分别从网络接入、工业控制、工业数据、应用访问四个层面来分析 5G 与工业互联网融合面临的安全威胁。

01

网络接入安全

5G 开启了万物互联时代，5G 与工业互联网的融合使得海量工业终端接入成为可能，如数控机床、工业机器人、AGV 等这些高价值关键生产设备，这些关键终端设备如果本身存在漏洞、缺陷、后门等安全问题，一旦暴露在相对开放的 5G 网络中，会带来攻击风险点的增加。

02

工业控制安全

传统工业网络较为封闭，缺乏整体安全理念及全局安全管理防护体系，如各类工业控制协议、控制平台及软件本身设计架构缺乏完整的安全验证手段，如数据完整性、身份校验等安全设计，授权与访问控制不严格，身份验证不充分，而各类创新型工业应用软件所面临的病毒、木马、漏洞等安全问题使原来相对封闭的工业网络暴露在互联网上，增大了工控协议和工业 IT 系统被攻击利用的风险。

03

数据传输及调用安全

云计算、虚拟化技术等新兴IT技术在工业互联网的大规模应用，在促进关键工业设备使用效率、提升整体制造流程智能化、透明化的同时，打破原有封闭自治的工业网络环境，使得安全边界更加模糊甚至弱化，各种外来应用数据流量及对工厂内部数据资源的访问调用缺乏足够透明性及相应监管措施，同时各种开放的 API 接口、多应用的的接入,使得传统封闭的制造业内部生产管理数据、生产 *** 作数据等，变得开放流动，与及工厂外部各类应用及数据源产生大师交互、流动和共享，使得行业数据安全传输与存储的风险大大增加。

04

访问安全

工业互联网核心的各类创新型场景化应用，带来了更多的参与对象基础网络、OT 网络、生产设备、应用、系统等，通过与 5G 网络的深度融合，带来了更加高效的网络服务能力，收益于愈发灵活的接入方式，但也带来的新的风险和挑战，应用访问安全问题日益突出。

针对上面工业互联网遇到的安全问题，青云 科技 旗下的 Evervite Networks 光格网络面向工业互联网行业，提出了工业互联网 SD-NaaS（software definition network & security as a service 软件定义网络与安全即服务）解决方案，依托统一身份安全认证与访问控制、东西向流量、南北向流量统一零信任网络安全模型架构设计。工业互联网平台可以借助 SD-NaaS 构建动态虚拟边界，不再对外直接暴露应用，为工业互联网提供接入终端/网络的实时认证及访问动态授权，有效管控内外部用户、终端设备、工厂工业主机、边缘计算网关、应用系统等访问主体对工业互联网平台的访问行为，从而全面提高工业互联网的安全防护能力。帮助企业利用零信任网络安全防护架构建设工业互联网安全体系，让 5G、边缘计算、物联网等能力更好的服务于工业互联网的发展。

基于光格网络 SD-NaaS 架构的工业互联网安全体系大体可以分四个层面：

基于统一身份认证的网络安全接入

首先 SD-NaaS 平台引入零信任安全理念，对接入工业互联网的各类用户及工控终端，启用全新的身份验证管理模式，提供全面的认证服务、动态业务授权和集中的策略管理能力，SD-NaaS 持续收集接入终端日志信息，结合身份库、权限数据库、大数据分析，身份画像等对终端进行持续信任评估，并基于身份、权限、信任等级、安全策略等进行网络访问动态授权，有力的保障了 5G+ 工业互联网场景下的终端接入的安全。

最小权限，动态授权的工业安全控制

其次针对工业互联网时代下的工控网络面临的安全隐患，SD-NaaS 零信任网络平台提出全新的控制权限分配机制， 基于“最小化权限，动态授权”原则，控制权限判定不再基于简单的静态规则（IP 黑白名单，静态权限策略等），而是基于工控管理员、工程师和 *** 作员等不同身份及信任等级，控制服务器、现场控制设备和测量仪表等不同终端的安全策略，不同工控指令权限，结合大数据安全分析进行动态评估及授权，实现工业边界最小授权，精细化的访问控制。以此避免工业控制网络受到未知漏洞威胁，同时还可以有效的阻止 *** 作人员异常 *** 作带来的危害。

端到端加密，精细化授权的数据防护

工业生产中会产生海量的工业数据包括研发设计、开发测试、系统设备资产信息、控制信息、工况状态、工艺参数等，平台各应用间有大量的数据共享与协同处理需求，SD-NaaS 平台提供更强壮的端到端数据安全保护方法，通过实时信任检测、动态评估访问行为安全等级，建立安全加密隧道以保障数据在应用间流动过程的安全可靠。同时生产质量控制系统、成本自动核算系统、生产进度可视系统等各类工业系统之间的 API 交互，数据库调用等行为，SD-NaaS 平台可实现细颗粒度的 *** 作权限控制，对所有的增删改查等动作进行行为审计。

采用应用隐藏和代理访问的应用防护

最后 SD-NaaS 平台采用 SDP 安全网关和 MSG 微分段技术实现工业互联网平台的应用隐身和安全访问代理，有效管理工业互联网平台的网络边界及暴露面，并基于工程师、 *** 作员、采购、销售、供应链等不同身份进行最细颗粒度的动态授权（如生产数据，库存信息，进销存管理等），对所有的访问行为进行审计，构建全方位全天候的应用安全防护屏障。

基于光格网络 SD-NaaS 解决方案，我们在工业视觉、智能巡检、远程驾驶、AI 视频监控等场景实现安全可靠落地；帮助企业在确保安全的基础上，打造支撑制造资源泛在连接、d性供给、高效配置的工业云平台，利用工业互联网平台 探索 工业制造业数字化、智能化转型发展新模式和新业态。

SD-NaaS 最佳实践：

申请使用光格网络产品解决方案

点击申请使用光格网络产品解决方案

边缘计算即在设备端附近产生的计算。

边缘计算是为应用开发者和服务提供商在网络的边缘侧提供云服务和IT环境服务；目标是在靠近数据输入或用户的地方提供计算、存储和网络带宽。

通俗地说：边缘计算本质上是一种服务，就类似于云计算、大数据服务，但这种服务非常靠近用户；为什么要这么近？目的是为了让用户感觉到刷什么内容都特别快。

物联网应用

全球智能手机的快速发展，推动了移动终端和“边缘计算”的发展。而万物互联、万物感知的智能社会，则是跟物联网发展相伴而生，边缘计算系统也因此应声而出。

事实上，物联网的概念已经提出有超过15年的历史，然而，物联网却并未成为一个火热的应用。一个概念到真正的应用有一个较长的过程，与之匹配的技术、产品设备的成本、接受程度、试错过程都是漫长的，因此往往不能很快形成大量使用的市场。

根据Gartner的技术成熟曲线理论来说，在2015年IoT从概念上而言，已经到达顶峰位置。因此，物联网的大规模应用也开始加速。因此未来5-10年内IoT会进入一个应用爆发期，边缘计算也随之被预期将得到更多的应用。

随着物联网高速发展，工业制造业逐步趋于自动化、信息化。5G网络、大数据信息、AI人工智能以及先进制造业的深度融合正在重构工业技术和价值体系。5g工业网关的智慧工厂应用实现工业自动化生产、数据采集可视化、远程控制等 *** 作。

计讯物联5G 工业网关凭借无线技术、高带宽、高可靠、低时延、移动性助力工厂实现设备智能化、生产管理智能化、控制迭代智能化，广泛应用于物联网、工业自动化控制、物流追踪、工业AR、云化机器人等工业应用领域。

5G工业网关具备设备接入能力、数据采集能力、边缘计算能力、数据处理能力、协议转换能力、数据转发能力、5G/4G/有线等综合通信传输能力、本地缓存能力、断网续传能力、远程配置管理能力、超阈值报警能力、安全加密防护能力、抗干扰能力、易用性等，更能够进行二次开发，研发出适合不同企业用户的特性功能。

5G 工业网关功能优势

1、支持4G/3G/PPPoE/DHCP/静态地址等连接方式，有线无线互为备份，多种工作模式选择。

2、支持APN/VPDN数据安全传输，支持IPSec、L2TP、PPTP、OPEN***等***类型。

3、支持DHCP server，DHCP客户端，IP与MAC地址绑定，DDNS，NAT，DMZ主机，QoS，流量统计。

4、支持TCP/IP、UDP、TFTP、>