搜索
搜索
imgboxbg

新闻中心

当前位置:
首页
/
/
工控安全 | 网御星云工业互联网零信任安全探析

工控安全 | 网御星云工业互联网零信任安全探析

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2021-07-14 15:19
  • 访问量:

【概要描述】传统互联网时代,网络攻击所造成影响大多停留在网络空间层面,然而在数字经济时代,网络攻击可能直接影响真实的物理世界,不仅会造成网络瘫痪、数据泄露等重大财产损失,甚至可能影响能源、电力、交通、市政等基础设施,带来灾难性后果。

工控安全 | 网御星云工业互联网零信任安全探析

【概要描述】传统互联网时代,网络攻击所造成影响大多停留在网络空间层面,然而在数字经济时代,网络攻击可能直接影响真实的物理世界,不仅会造成网络瘫痪、数据泄露等重大财产损失,甚至可能影响能源、电力、交通、市政等基础设施,带来灾难性后果。

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2021-07-14 15:19
  • 访问量:
详情

传统互联网时代,网络攻击所造成影响大多停留在网络空间层面,然而在数字经济时代,网络攻击可能直接影响真实的物理世界,不仅会造成网络瘫痪、数据泄露等重大财产损失,甚至可能影响能源、电力、交通、市政等基础设施,带来灾难性后果。

反思上述安全问题的原因不难看出,随着云计算、移动互联网、IoT物联网等新技术的发展,越来越多的应用上云和访问移动化,使得内外网边界日益模糊,传统安全边界在逐渐消失和瓦解。不仅如此,许多网络安全事件的发生,都是由于内部人员的疏忽和管理不当造成的。因此,探寻工业互联网与零信任体系的结合势在必行。

工业互联网的零信任

零信任是一种以资源保护为核心的网络安全方式,其前提是信任从来不应该被隐式授予,而是必须进行持续的评估。零信任体系架构是一种端到端的网络安全体系,包含身份、凭据、访问管理、操作、终端、托管环境与关联基础设施,是相关概念、思路和组件关系(体系结构)的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。通过引入零信任安全机制,可为工业互联网提供确定性的安全服务。同时,针对工业互联网以及工业云场景,零信任安全机制也能够保障生产系统安全运营的有序进行。

工业互联网的零信任实践:SDP

SDP-软件定义边界系统作为工业互联网零信任安全接入的最佳实践之一,具备边界隐身机制、安全消减网络攻击架构、易于网络扩展特性、极易落地实施等优势。NIST标准将SDP作为零信任的最佳实践方式之一;Gartner将SDP列入2020年的九大主流安全趋势;由全国信息安全标准化技术委员会牵头制定的《网络安全时间指南——零信任参考架构及应用指引》将SDP列入第一位的零信任架构实现技术。

SDP软件定义边界系统的核心功能主要包括:可信用户、可信设备、可信环境、可信网络、信任评估、动态访控、可信通道、可信应用以及信任支撑等。具体如下:

图1SDP软件定义边界系统基本功能

网御星云软件定义边界系统

SDP软件定义边界系统集网络隐身、多维身份认证、精细化权限管控、国密安全通道、实时信任评估、动态访问控制、单点登录、日志审计等功能于一体。其核心的技术定位如下:

1、多维身份认证

支持基于用户、设备、应用、属性等多维一体的绑定认证技术,实现对接入主体的信任度鉴别。认证方式包括:用户名口令、短信认证、令牌认证、数字证书认证、设备指纹、生物识别认证等认证技术。

2、RBAC+ABAC权限管控

支持RBAC+ABAC融合的多属性角色授权管理机制,可将角色赋予不同的用户组,用户组可关联多维属性及多维策略,实现以身份为中心的权限管控机制。

3、全面的应用代理

支持对BS应用、CS应用、网端应用等应用代理访问,支持OA系统、邮件系统、ERP系统、FTP系统、视频、网络共享等资源的隐藏及代理访问。

4、统一单点登录

支持根据用户现有协议架构定制单点登录机制及代填凭证或Token,可满足不同应用系统的最小化对接改造需求。

5、虚拟门户功能,支持快速灵活个性化定制

具备良好的扩展性,适应大多数用户的个性化需求。其中,虚拟门户的功能可为用户提供独有的认证门户。用户只需简单配置就能实现自定义门户的需求,快速定制。

网御SDP典型部署

1、作为边界可信网关部署

此场景多部署于被保护的工业企业内网边界处,由于此场景多面临互联网接入,因此网御可信网关可提供传输加密功能,同时还可对接入实体进行身份认证、设备审批、权限控制及日志记录审计。

2、作为身份认证网关部署

此场景下,网御可信网关被用作身份认证网关,应用于工业企业不同安全域间人员及服务器互访等场景。在该场景中,需求不同网域接入的实体被要求进行身份鉴别及日志审计。

该部署模式多用于具有不同用户管理体系、不同密级要求的工业企业项目场景,既可部署于外网到内网之间,也可部署于内网之间。

3、作为统一移动接入平台部署

该场景下,可信网关通过提供安全APP并结合身份认证、传输加密、访问控制等技术,实现智能移动设备接入的安全可管可控。

毋庸置疑,在数字化转型发展的大趋势下,缺少科学化安全设计和体系化建设的工业互联网将面临巨大安全风险。因此,针对工业互联网的安全建设已不能再局限于表面,而是更应该注重深层次、体系化、全场景的安全探索。在此背景下,与零信任体系的结合将是工业互联网安全的未来最佳实践场景之一。网御星云将持续进行工业互联网安全的更多场景化实践,为推动工业互联网安全生态体系建设贡献智慧与力量。

 

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

北京网御星云信息技术有限公司   京ICP备05080314号-1