零信任网络助力工业互联网安全体系建设

随着云计算、大数据、物联网、5G、边缘计算等IT技术的快速发展，工业互联网的应用得到了快速支撑。作为“新基础设施”的重点方向之一，工业互联网发展进入快车道，将加速“中国制造”向“中国制造”转变，推动实体经济高质量发展。

新型IT技术与传统工业OT技术的深度融合，使得工业系统逐渐互联开放，也加剧了工业制造面临的安全风险，带来了更加艰巨的安全挑战。根据CNCERT发布的2019年中国互联网络安全形势总结，中国大型工业互联网平台平均每天遭受攻击次数为90次。

工业互联网连接大量工业控制系统和设备，汇聚海量工业数据，构建工业互联网应用生态，与工业生产和企业管理息息相关。一旦被入侵或攻击，可能造成工业生产停滞，不仅影响单个企业，还会扩展到整个工业生态，给国民经济造成重大损失，影响社会稳定，甚至对国家安全构成威胁。

最近发生了一起重大工业安全事故，造成了恶劣影响。5月7日，美国最大的燃油运输管道供应商Colonial Pipeline遭到勒索软件攻击，长达5500英里的输油管道被迫停运，严重影响了美国东海岸的燃油供应。美国首次因网络攻击宣布进入紧急状态。

根据保护对象的不同，从网络接入、工业控制、工业数据、应用接入四个方面分析了5G与工业互联网融合面临的安全威胁。

01

网络访问安全

5G开启万物互联时代。5G与工业互联网的融合，使得大量工业终端的接入成为可能，如数控机床、工业机器人、AGV等高价值的关键生产设备。如果这些关键终端设备存在漏洞、缺陷、后门等安全问题，一旦暴露在相对开放的5G网络下，将带来攻击风险点的增加。

02

工业控制安全

传统工业网络相对封闭，缺乏整体安全理念和整体安全管理保护体系。比如各种工业控制协议、控制平台、软件本身的设计框架缺乏完整的安全验证手段，如数据完整性、身份验证等安全设计，授权和访问控制不严格，身份验证不充分。各种创新型工业应用软件面临的安全问题，将相对封闭的工业网络暴露在互联网之下，增加了工业控制协议和工业IT系统被攻击和利用的风险。

03

数据传输和呼叫安全

云计算、虚拟化技术等新兴IT技术在工业互联网中的大规模应用，在促进关键工业设备使用效率、提升整体制造过程智能化和透明化的同时，打破了原有封闭、自治的工业网络环境，使得安全边界更加模糊甚至弱化。各种外部应用数据流和对工厂内数据资源的访问缺乏足够的透明度和相应的监管措施。同时，各种开放的API接口和多应用接入，使得传统封闭制造业中的生产管理数据和生产运营数据开放流动，与工厂外部的各种应用和数据源交互、流动和享用，大大增加了工业数据安全传输和存储的风险。

04

访问安全性

工业互联网核心的各类创新场景应用，带来了更多参与者的基础网络、OT网络、生产设备、应用、系统等。通过与5G网络的深度融合，它们带来了更高效的网络服务能力，受益于更灵活的接入方式，但也带来了新的风险和挑战，应用接入安全问题日益突出。

针对上述工业互联网遇到的安全问题，青云科技旗下Evervite Networks的光网格网络面向工业互联网行业，提出了工业互联网SD-NAAS(软件定义网络& amp；安全即服务(Security as a service)软件定义网络和安全即服务(security as a service)解决方案，依托统一身份安全认证和访问控制、东西向流量、南北向流量统一的零信任网络安全模型架构设计。借助SD-NaaS，工业互联网平台可以构建动态虚拟边界，不会直接对外暴露应用，为工业互联网提供接入终端/网络的实时认证和动态授权，有效控制内外用户、终端设备、工厂内工业主机、边缘计算网关、应用系统等接入主体对工业互联网平台的访问行为，全面提升工业互联网的安全防护能力。帮助企业利用零信任网络安全防护架构构建工业互联网安全体系，让5G、边缘计算、物联网等能力更好地服务于工业互联网发展。

基于光网格SD-NaaS架构的工业互联网安全体系大致可以分为四个层次:

基于统一身份认证的网络安全接入

首先，SD-NaaS平台引入零信任安全概念，为接入工业互联网的各类用户和工控终端启用全新的身份认证管理模式，提供全面的认证服务、动态业务授权和集中策略管理能力。SD-NaaS持续收集接入终端的日志信息，结合身份数据库、权限数据库、大数据分析和身份画像，持续评估终端的信任度，基于身份、权限、信任级别和安全策略动态授权网络接入。

最小权限和动态授权的工业安全控制

其次，针对工业互联网时代工业控制网络面临的安全风险，SD-NaaS零信任网络平台提出了全新的控制权限分配机制。基于“最小权限、动态授权”的原则，控制权限判断不再基于简单的静态规则(IP黑白名单、静态权限策略等。)，但基于工控管理员、工程师、操作员等不同身份和信任级别。控制服务器、现场控制设备、测量仪器等不同终端的安全策略，以及不同的工控命令权限，并结合大数据安全分析进行动态评估授权，实现工业边界最小授权和精细化访问控制。这样可以防止工业控制网络受到未知漏洞的威胁，同时也可以有效防止操作人员非正常操作带来的危害。

端到端加密，良好的授权数据保护

工业生产中会产生海量的工业数据，包括R&D设计、开发和测试、系统设备资产信息、控制信息、工况、工艺参数等。平台上的应用之间存在大量的数据共享和协同处理需求。SD-NaaS平台提供了更强的端到端数据安全保护方法。通过实时的信任检测和访问行为安全级别的动态评估，建立安全的加密隧道，保证应用之间数据流的安全可靠。同时，各种工业系统之间的API交互和数据库调用，如生产质量控制系统、自动成本核算系统和生产进度可视化系统等。，SD-NaaS平台可以实现细粒度的操作权限控制，对添加、删除、修改、查询等所有行为进行行为审计。

通过应用程序隐藏和代理访问实现应用程序保护

最后，SD-NaaS平台利用SDP安全网关和MSG微分段技术，实现工业互联网平台的应用隐身和安全访问代理，有效管理工业互联网平台的网络边界和暴露面，动态授权最小粒度(如生产数据、库存信息、进销存管理等。)基于工程师、操作员、采购、销售、供应链等不同身份，审核所有接入行为，构建全方位、全天候的应用安全防护屏障。

基于光网格网络SD-NaaS解决方案，在工业视觉、智能巡检、远程驾驶、AI视频监控等场景实现了安全可靠的落地；帮助企业在确保安全的基础上，构建支撑制造资源泛在连接、柔性供应、高效配置的工业云平台，利用工业互联网平台，探索工业制造业数字化、智能化转型发展的新模式和新业态。

SD-NaaS的最佳实践:

申请光网络产品解决方案

点击申请使用光网络产品解决方案。