close

摘 要:

工業互聯網作為國家重點信息基礎設施的重要組成部分,正在成為全世界最新的地緣政治角逐戰場。工業控制系統由封閉狀態直接或者間接的與互聯網連接,其固有的安全弱點將被暴露在互聯網上並被無限放大,成為黑客未來攻擊的熱點和重點。如何確保工業企業的網絡安全,保障國家和社會經濟正常運轉成為國家和企業的重要研究課題。從用戶身份和訪問控制的角度探討由政府層面統籌規劃建立的基於雲服務模式的身份和訪問控制體系模型的可行性,並描述了相應的建設內容,為工業互聯網時代的企業網絡安全建設提供了一個思路。

內容目錄:
1 工業互聯網安全現狀
1.1 工業互聯網安全事件頻發
1.2 國內工業互聯網發展現狀
1.3 國內工業互聯網常見問題
1.3.1 行業複雜性帶來需求多樣性的挑戰
1.3.2 缺乏統一接入的安全標準及安全規範、服務規範的建設
1.3.3 雲服務下用戶身份治理問題分析
1.3.4 工業企業安全事件缺少審計
1.3.5 風險診斷和研判能力有待提升
1.3.6 企業應急機制的補充與完善
2 身份與訪問控制體系建設思路
3 身份與訪問控制體系建設內容
3.1 工業領域各企業用戶身份治理需求多樣性
3.2 實現多層次安全風險要素的集中分析和處置
3.3 建設雲端企業安全檢測評估服務
3.4 建設風險診斷與研判公共服務
3.5 建設用戶動態權限保護
3.6 建設應急處置公共服務
3.7 開放性設計抵禦主要安全威脅
3.8 可定製性的安全能力建設
3.9 建立安全規範和服務規範
4 結 語
隨着信息技術的不斷發展,傳統封閉的工業控制系統利用新興互聯技術實現生產效率的提升,但同時其本身固有的安全漏洞及互聯網的安全威脅也極大地影響了生產的安全。保障生產安全有多方面措施,本文從用戶身份管理和訪問控制的角度探討了生產安全的保障機制,希望為工業互聯時代的企業網絡安全建設提供一個思路。

1

工業互聯網安全現狀

近年來,隨着我國工業互聯網的高速發展,網絡安全威脅正在加速向工業領域蔓延,傳統的工業控制系統的安全機制的弱點在互聯網上暴露無遺。
1.1 工業互聯網安全事件頻發
工業互聯網作為國家重點信息基礎設施的重要組成部分,正在成為全世界最新的地緣政治角逐戰場。例如,包括能源、電力等在內的關鍵網絡已成為全球攻擊者的首選目標,極具價值。當前,網絡安全威脅正在加速向工業領域蔓延,工業互聯網安全事件頻發已經嚴重影響經濟社會正常運行及國家安全,接連發生的安全事件引發各國對工業互聯網安全高度重視與關注。
2015 年 12 月,烏克蘭約 60 座變電站遭到黑客攻擊,導致烏克蘭 140 萬名居民遭遇了一次長達數小時的大規模停電;2017 年 5 月,「永恆之藍「勒索病毒席捲全球,英國、意大利、俄羅斯等歐洲國家以及中國國內多個高校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件;2021 年 5 月,美國最大的燃油管道商 Colonial Pipeline 遭到勒索軟件攻擊,導致其業務受到嚴重影響。
事實證明,沒有得到良好安全保護的工業互聯網,就像一扇虛掩的大門,根本無法防禦任何精心策劃的攻擊行動。
1.2 國內工業互聯網發展現狀
當前我國工業互聯網產業發展正處在一個關鍵的歷史時刻。2012 年,通用電氣公司(General Electric Company,GE)在全球範圍內首次提出工業互聯網概念後。我國於 2015 年 5 月正式印發《中國製造 2025》國家行動綱領,明確了 9項戰略和重點任務,包括推進信息化與工業化深度融合,通過大力發展新一代信息技術產業,加快製造業轉型升級,全面提高發展質量和核心競爭力。
黨的十九大報告全面系統地論述了堅持總體國家安全觀的重要思想,並明確提出「加快建設製造強國、網絡強國、數字中國、智慧社會,推動互聯網、大數據、人工智能和實體經濟深度融合」的戰略部署。從圖 1 中可以看到,近幾年我國聯網工業控制系統的數量逐年遞增,2020 年發展更是成數倍地增長。而工業互聯網領域各類網絡攻擊行為直接破壞或損毀工業控制系統、設備等關鍵信息基礎設施,對人民生產生活以及經濟發展、社會穩定、國家安全構成嚴重威脅。工業互聯網安全體系建設已成為國家安全體系建設的重要組成,其重要性不亞於經濟安全、科技安全等 。
圖 1 近年中國聯網工業控制系統數量(數據來源:國家工業信息安全發展研究中心)
伴隨工業互聯網化平台接入,工控網絡將直接或間接與互聯網連接。此時,其封閉式底層工業控制網絡安全考慮不充分、安全認證機制和訪問控制的防護能力不足、生產設備和控制系統的控制指令簡單等缺點暴露無遺。如圖 2所示,伴隨着聯網工業控制系統的不斷增多,新發現的工業控制系統漏洞也隨之增加。一旦聯網工業控制系統遭受攻擊,將導致平台運行環境被破壞、生產流程中斷,甚至關鍵工業設施損毀,嚴重威脅工業生產的穩定運行及財產、人身安全,進而影響國家和社會正常穩定運行。由此可見,沒有堅實的安全保障,將難以維持工業生產平台的正常運行,更談不上工業互聯網的穩定發展。
圖 2 近年中國新增工業控制系統漏洞數量(數據來源:國家工業信息安全發展研究中心)
1.3 國內工業互聯網常見問題
國內工業互聯網安全體系建設正處於初級階段,尚未形成良性發展的工業互聯網安全生態體系。存在以下系統性或共性問題。
1.3.1 行業複雜性帶來需求多樣性的挑戰
在兩化融合基礎上,電子、家電等行業推動生產向網絡化、智能化階段邁進,各行業企業對工業互聯網安全需求側重不同。在流程型製造行業,利用信息技術助力企業提升綜合管控能力。例如,鋼鐵、石化、醫藥、食品等行業。在離散型製造行業,側重推動企業向服務型製造加速轉型 [2]。例如,機械製造、消費品生產等行業。因此,國內工業互聯網安全體系建設需要根據行業視角進行理解、剪裁、取捨和優化,逐步形成良性可持續發展的工業互聯網安全體系,為工業互聯網帶來持久穩定的安全保障力量。
1.3.2 缺乏統一接入的安全標準及安全規範、服務規範的建設
《中國製造 2025》戰略帶來工業互聯網的蓬勃發展,新的工業互聯網化平台不斷湧現,數量眾多,但是基本上處於各自為戰的狀態,安全方案千差萬別,服務能力參差不齊,未形成統一的安全框架模式和安全標準,無法基於標準定義符合各企業情況的安全接入策略,並獲得可預期的、全面的安全保障,不利於我國工業互聯網安全保障體系的可持續性發展 。
1.3.3 雲服務下用戶身份治理問題分析
在企業生產經營過程中,普遍存在重發展輕安全的情況,對其工業互聯網安全缺乏足夠意識,安全防護投入較低。2021 年 2 月,由國家工業信息安全發展研究中心發布的《2020 年工業信息安全態勢報告》中提到,在研判的工業信息安全風險中,主要存在弱口令漏洞、未授權訪問漏洞、目錄遍歷漏洞、結構化查詢語言(Structured Query Language,SQL)注入漏洞等。由此可見,工業企業各類應用普遍在用戶口令、身份認證、權限管理和通信加密等方面均存在大量安全問題 。
2020 年國家工業信息安全漏洞庫(CICSVD)收錄的漏洞主要類型如圖 3 所示。其中,授權問題、資源管理問題以及權限許可和訪問控制問題都與用戶身份、授權、訪問控制密不可分,三者合計 406 個漏洞,占總體類型 30% 以上。因此,雲服務模式下的用戶身份治理與訪問控制需要考慮如下幾個方面。
圖 3 2020 年 CICSVD 收錄漏洞主要類型(數據來源:國家工業信息安全發展研究中心)
(1)用戶身份治理安全。在信息化時代,各行業企業均不同程度涉及上游原料供應商、下游經銷商以及企業自身人員的身份治理問題,包括內部員工的入職、離職、轉崗、調動和外部人員註冊和註銷等變化,由於不同用戶在企業管理的職責、權限不盡相同,造成企業各用戶的身份管理、認證以及訪問控制、動態權限管理的困難。需要構建面向各企業的統一用戶身份治理與訪問控制公共服務支撐體系,實現雲服務模式下用戶全生命周期管理來破解這一難題。(2)用戶訪問安全。在面臨各企業內部應用時,如何有效做好用戶訪問範圍的定義,包括內部員工、外部合作夥伴等不同角色以及在不同業務場景下的認證安全等級、認證方式、行為審計和追蹤溯源等。還應考慮認證方式和安全手段上的可擴展性,以適應未來發展需要。(3)用戶權限管理。在企業發展過程中,在面向不同層級海量數據匯聚的同時,需確保數據的訪問權限的合理性和安全性。應將分散在不同應用系統中的用戶權限進行納管,除了能夠支撐傳統的按角色授權,還可根據用戶屬性、任務等不同類型授權以滿足應用需要。對各類用戶不同環境下對應用的訪問情況開展審計追溯,滿足應用權限監管與統一審計等合規要求。(4)企業應用安全管理。伴隨遠程辦公、移動辦公等場景需要,越來越多的應用接入工業互聯網,使應用直接暴露在互聯網網絡中,同時也意味着工業控制系統將會暴露大量應用接口,而接口標準化、數據安全性、應用接入規範化、應用程序接口(Application Programming Interface,API)管理也面臨着安全風險。統一的 API 管理規範建立、API 開發規範完善、API分級管理制度建設勢在必行,同時需要對訪問者的身份持續認證、動態授權,實現對應用動態訪問的控制策略。
1.3.4 工業企業安全事件缺少審計
工業企業需要不斷提升安全態勢感知和預警處置能力,以確保對安全事件的檢測、數據分析、風險預測和自動調整等環節的實施。才能及時發現各類攻擊威脅與異常,對企業內外部人員的日常登錄操作、訪問操作、輸入 / 輸出操作進行全面詳實記錄,通過歸類、報表、圖形化等方式實現在線的分析審計需要,合規、可視化的審計行為可幫助企業及時規避大範圍的攻擊風險,為企業安全事件調查與回溯提供直接證明。
1.3.5 風險診斷和研判能力有待提升
從工業互聯網領域以往發生的信息安全事件不難看出,企業遭到的網絡安全威脅逐漸從無意識攻擊到有組織的蓄謀攻擊,從個體侵害演變為國家網絡安全的威脅。針對企業信息安全的攻擊手段也更加多樣化,攻擊手段主要包括口令攻擊、拒絕服務攻擊、欺騙攻擊、劫持攻擊、高級可持續威脅攻擊和後門程序攻擊等,攻擊方式呈現跨時間、地點、動機等因素限制。
因此,建設國家級安全檢測評估的公共服務成為當前工業互聯網企業保障安全必需的基礎。通過對安全基線和安全風險特徵庫定義,利用先進的安全檢測工具進行監測,實時更新風險特徵庫,並對其開展動態分析,依據風險等級進行通告、警告和處置等處理。促進工業企業由靜態防禦向動態防禦發展,提升企業安全風險診斷和研判能力,為工業企業安全提供全面的防禦保障。
1.3.6 企業應急機制的補充與完善
工業互聯網身份與訪問控制體系還應建立應急預案管理、定義應急安全處理策略,實現取證和總結等流程,規避高風險、不可逆、影響範圍廣的信息安全事件的發生。
基於上述現狀分析可以看到,當前我國工業企業面臨用戶身份治理、認證和訪問控制、安全審計可追溯性、風險評估與研判、應急機制建立等方面的管控能力不足,構建基於身份與訪問控制為核心的安全雲服務的支撐體系,成為工業互聯網安全生態建設的關鍵。

2

身份與訪問控制體系建設思路

基於經過驗證的主流安全技術與規範,構建可良性發展的工業企業身份與訪問控制安全生態體系。該體系下支撐平台將採用高度可擴展的架構,構建一個可擴展的安全服務雲平台,覆蓋基礎設施即服務(Infrastructure as a Service,IaaS)、平台即服務(Platform as a Service,PaaS)、軟件即服務(Software as a Service,SaaS)、邊緣等各層次的安全分析和處置。將採用開放式可插拔架構,構建雲端安全檢測服務,通過插入新的檢測模塊擴展安全檢測能力,保證平台應對新出現的安全威脅。形成一個可擴展的風險診斷和研判公共服務,通過定義動態風險策略引入新的風險診斷和研判能力,定義工業互聯網安全體系的標準化基準。結合該體系下安全規範和服務規範建設,構建良性可持續發展的安全生態體系,以達到覆蓋不同行業下企業安全建設的個性化訴求。

3

身份與訪問控制體系建設內容

通過對用戶身份和訪問控制體系的建設,在企業內部實現集中統一的用戶身份治理機制,結合安全檢測、風險診斷、動態權限等服務,為企業的工業生產活動提供安全保障。
3.1 工業領域各企業用戶身份治理需求多樣性
隨着近年來對工控安全的深入研究,研究人員發現工業信息安全漏洞、事件層出不窮,安全形勢日趨嚴峻。2020 年,國家工業信息安全發展研究中心抽樣研判工業信息安全風險近800 個,涉及製造、交通、市政等多個重點行業,如圖 4 所示。研究發現,工業控制系統和工業信息系統中存在受攻擊面大、漏洞利用難度低等問題。
圖 4 2020 年中國工業信息安全風險行業分布(數據來源:國家工業信息安全發展研究中心)
面向行業複雜性帶來的企業多樣化需求,工業互聯網企業身份與訪問控制支撐體系建設需要覆蓋工業互聯網整體安全要求。(1)貫徹國家關於「自主可控和安全可靠」的要求。深入貫徹國家有關國產化和安可工程的相關規定,確保密碼算法、硬件設備和軟件應用等關鍵基礎設施在研發、生產、升級和維護等各環節全過程的自主可控。(2)提供滿足共性和個性化需求的服務化安全保障能力。根據工業企業類型和用戶訪問控制需求不同、訪問者對身份管理和訪問控制的接受程度不同的需求,支持面向企業提供定製化安全服務。以動態風險識別為基礎,對應用訪問的行為進行精細化訪問控制,將人、設備、服務和應用的身份統一抽象成實體身份,通過實體身份的屬性進行認證和授權 。(3)建設覆蓋應用訪問全過程的縱深安全防禦體系,包括安全數據的多源化採集、流程化處理、異構化存儲、智能化應用等全生命周期的安全防護措施。(4)建設以大數據驅動為核心的安全運行管理體系。利用大數據技術,匯聚網絡安全數據,建立安全數據分析中心和安全智慧控制中心,提升內外部風險感知能力、協同安全防護能力、攻擊檢測分析能力、違規行為發現能力、應急事件響應能力和態勢感知預警能力。
3.2 實現多層次安全風險要素的集中分析和處置
實現 IaaS 層、PaaS 層、SaaS 層和邊緣層 4層防護建設。在公共服務中心的風險檢測、動態分析、主客體管理、訪問控制和權限管理等能力的基礎上,增強多層次的安全管理。(1)定義 IaaS 層包括雲主機、雲網絡、虛擬化操作系統、物理主機、物理網絡、物理設備和雲存儲等安全規則,通過運行日誌、agent、接口方式收集風險相關信息。根據安全規則以及安全風險等級,下發處置指令,如通知、警告、斷開網絡、收回訪問權限和使用權限等。(2)定義 PaaS 層包括雲數據庫存儲服務、文件存儲服務、容器服務、API 服務等安全規則,通過運行日誌、agent、接口方式收集風險相關信息。根據安全規則以及安全風險等級,下發處置指令,如通知、警告、收回 API 與數據訪問權限和使用權限等。(3)定義 SaaS 層包括 SaaS 應用、App 等安全規則,通過運行日誌、agent、接口方式收集風險相關信息。根據安全規則以及安全風險等級,下發處置指令,如通知、警告、收回 API與數據訪問權限和使用權限等。(4)定義邊緣層包括智能傳感器與邊緣網關等安全規則,通過運行日誌、agent、接口方式收集風險相關信息。根據安全規則以及安全風險等級,下發計算策略、下發計算能力、下發控制指令,如通知、警告、收回設備權限或停用設備等。
3.3 建設雲端企業安全檢測評估服務
建設雲端企業安全檢測評估服務包括安全風險特徵庫和情報庫的建設,利用安全檢測工具,實時動態更新安全風險特徵庫,為雲端企業提供風險診斷與研判公共服務。(1)建立安全風險特徵庫。定義安全基線、安全風險特徵庫。(2)建立風險情報庫。根據安全威脅情報信息,更新風險威脅情報庫,並輸入安全風險特徵庫中。(3)利用安全檢測工具。將檢測結果輸入安全風險特徵庫中,如跨站點腳本攻擊、注入式攻擊、失效的訪問控制、緩存溢出問題等工具化服務。(4)提供風險診斷與研判公共服務。將安全風險收集到安全風險特徵庫中,對使用情況進行動態分析,基於深度機器學習等方式對安全狀態和安全事件等信息進行實時分析和研判,並依據風險等級處理規則,下發處置指令,如通知、警告、處置等。在出現較大安全風險時,平台能實現大範圍的自動化處置能力,避免造成損失。
3.4 建設風險診斷與研判公共服務
風險診斷與研判建設在數據安全基礎之上,設置用戶及應用對數據的使用範圍、使用規則、控制規則,並依據風險指令自動更新網關控制策略。以最小化原則設置應用數據和「是否可見」「是否可用」「哪些能用」以及「什麼情況下能用」等屬性。根據不同應用、不同企業需求,支持從用戶類型、終端類型、網絡類型及訪問資源重要等級等多維度考慮,搭建風險模型。搭建企業基於身份的持續信任評估能力,識別異常訪問行為和風險訪問環境,基於風險評估引擎,通過對用戶認證、用戶操作、終端環境變化、位置、設備指紋和時間等數據序列的採集分析和風險評估,按照風險評估結果,可以進行阻斷、二次增強認證等自動干預,並自動為用戶提示認證警告等抵制風險的措施 。
3.5 建設用戶動態權限保護
公共服務從用戶的身份管理、訪問控制、權限管理和應用管理等維度進行監督與管控,實現用戶使用風險研判結果動態處置能力。為參與到工業互聯網中的人、物、應用、服務等各類訪問主體提供身份管理、訪問控制、權限管理等能力 。(1)用戶身份管理。用戶身份主體定義與特徵定義,如用戶管理員、分級管理員、企業員工等身份定義。(2)用戶訪問控制。用戶訪問範圍定義,如企業內財務部員工能訪問財務系統、人事系統等訪問規則,按照不同的員工標籤設置規則。(3)用戶權限管理。用戶權限定義,如企業內財務主管能訪問財務系統所有功能模塊和數據,財務專員只能訪問部分功能模塊和部分數據。(4)用戶應用管理。用戶使用系統範圍定義,如企業以公司名義購買雲服務或設施,設置應用可見範圍,並維護用戶對應用的訪問範圍。①接入網關。設置用戶對雲平台和設施的訪問範圍,並依據風險指令自動更新網關控制策略。實現用戶在不同網絡環境、設備環境下使用應用防護、身份認證防護、傳輸加密防護等功能。② API 服務網關。設置用戶及應用對 API的使用範圍、使用規則、控制規則,並依據風險指令自動更新網關控制策略。以最小化原則設置 API「是否可見」「是否可用」「哪些能用」和「什麼情況下能用」等屬性。(5)使用風險研判結果動態處置用戶權限與訪問。當用戶訪問和被訪問資源出現安全風險時,根據風險研判結果,下發處置指令,如通知、警告、回收權限(包括部分權限)、阻斷訪問等。
3.6 建設應急處置公共服務
為用戶身份管理和認證服務提供應急處理機制、操作取證和總結服務。集中的用戶身份和訪問控制系統提供了統一的管理和認證門戶,也成為所有集成應用的唯一入口,需要做好相應的應急預案和處理措施,以及用戶行為日誌記錄,為應用取證和總結提供相應的支持。(1)構建應急預案。對安全事件定級定策略,根據不同的安全事件等級設置不同的響應策略,針對緊急安全事件,啟用應急預案。如病毒木馬高發、重大安全情報發布、重大安全事故等。(2)定義應急安全處理策略。支持手動、自動等靈活的處理方式,根據動態風險策略下發的風險評估或通知,啟用應急預案。依據動態風險策略配置規則,完成某些自動化風險的處理。(3)取證和總結。應急處置後,根據需要進行安全事件取證、復盤、總結與完善。
3.7 開放性設計抵禦主要安全威脅
定義開放性服務方式。通過第三方服務和風險數據接入的擴展能力,不斷完善具有針對性的風險識別和檢測服務,完善風險特徵庫和抵禦能力。包括引入其他殺毒工具、漏洞掃描工具、專殺工具等方式,並將其封裝為新的服務能力,獲取更多風險情報。提供「端」(包括 PC 端和移動端)風險情報收集能力,根據「端」風險情況執行對應的風險處置策略。各類平台或企業可按需選用。
3.8 可定製性的安全能力建設
提供可定製化擴展的安全組件建設能力。通過 API 服務網關使企業內外部系統間相互安全調用得到有效治理,為工業互聯網身份與訪問控制系統提供「原子級」(API 接口)安全公共服務能力整合、聚合、分裂、重組等業務編排的能力。利用負載均衡、限流、降級、熔斷、容錯、審計等統一治理能力,使各企業信息系統群的健壯性得到有效提升。(1)API 服務網關。讓服務的消費者(系統)將 API 能力便捷地整合到自己的應用中,促進企業新的服務生態建設。為服務的消費者提供授權鑒權、API 通用訪問控制、API 敏感數據訪問控制、流量控制、熔斷控制、IP 黑白名單控制、時間訪問控制、日誌審計等急需的重點功能,合理開放與應用 API 且整體需滿足信創合規的要求,支撐國產化網關底層和算法的需要。兼容不同應用系統的多種形式的開發接口,支持應對大規模並發流量,對 API 調用過程進行統計分析,清晰展示各應用系統調用關係。為不同的消費者配置不同的訪問範圍策略,使 API敏感數據訪問得到有效控制。(2)安全接入網關。從用戶角度出發,無論用戶身在何地、何時訪問、訪問企業什麼資源,都能夠非常靈活的受到保護。通過安全網關提供具有應用防護、身份認證機制、安全防護機制的安全架構支撐,支持隱藏企業應用系統的真實訪問地址,實現零接觸訪問,杜絕應用暴露帶來的安全風險。安全接入網關對用戶訪問採取「先鑒權(認證和授權)、後連接、再訪問」的方式,實現端到端可信訪問企業資源,建立設備信任、用戶信任、流量信任、應用信任的「端到端」信任鏈解決方案,通過相互傳輸層安全協議(Mutual Transport Layer Security,MTLS) 雙向加密應用請求,實現應用級傳輸安全,解決了虛擬專用網 絡(Virtual Private Network,VPN) 建 立 鏈 路帶來的網絡資源浪費的問題。為應用級安全接入、遠程辦公提供安全保障。
3.9 建立安全規範和服務規範
為保障整個身份與訪問控制體系建設、支撐平台的平穩運行,需建立完整的安全制度,明確平台安全部門、業務部門、企業用戶的職責等。(1)安全規範。安全規範包含政策性依據,明確安全部門、業務部門、最終用戶的職責權限,包括可見範圍、適應範圍、權利和責任等。出台支撐平台的管理標準,如行業用戶屬性標準、使用規則、使用內容和管理方式等,包括制定雲端安全檢測評估服務、基於公共服務的運維管理和考核方法等指導性文件。(2)服務規範。應形成與企業用戶管理系統對應的「應用接入和集成規範」「賬號管理流程和辦法」「安全標準和接口規範」和「系統運維管理制度」「組織機構管理規範」等,保障整個支撐平台的易用性和安全性。

4

結 語

工業互聯網用戶身份與訪問控制體系的建設,是建立在政府統籌規劃、企業自願接入的基礎上,配套出台具體的安全規範與服務規範,覆蓋 IaaS 層、PaaS 層、SaaS 層、邊緣層 4 層安全防護體系的支撐平台。融合新一代應用風險評估技術、用戶動態權限控制機制、數據保護公共服務、各實體全生命周期的身份安全管理、智能風險診斷與研判等功能,為工業企業提供全方位、多層次安全防護。同時利用安全接入網關、API 網關等安全組件,在系統入口或功能入口處開展保護措施,針對企業系統侵入行為,簡單的配置就可以將平台的安全防護能力賦予到企業應用系統中。
整個體系建設支持雲平台架構,有效滿足雲服務模式,支撐平台搭建成功,可同時為雲上所有企業提供安全服務,為參與工業互聯網的企業用戶、設備、應用、服務等各訪問主體提供身份與訪問的綜合管控,為企業生產安全提供保障。在搭建體系過程中,基於威脅信息源的端安全檢測評估技術、多因素的風險診斷與研判等難點值得進一步探索與研究。比如,如何完善除用戶 IP 規則、密碼規則、設備規則、地址規則等因素外的風險模型;如何開展基於對用戶認證趨勢、訪問趨勢等多維度歷史信息合理輸出評估風險的判定結果;在安全規範與服務規範的建設過程中,如何結合工業領域、行業特色、企業實施範圍等因素制定合理的政企職責分工、安全管理制度、運維管理辦法等,基於上述問題可開展進一步課題研究。

引用本文:呂波 . 工業互聯網企業身份與訪問控制課題研究與探索 [J]. 信息安全與通信保密 ,2022(2):99-108.

作者簡介 >>>
呂 波,男,碩士,高級工程師,主要研究方向為能源行業網絡安全。

選自《信息安全與通信保密》2022年第2期(為便於排版,已省去參考文獻)

商務合作|開白轉載|媒體交流|理事服務
請聯繫:15710013727(微信同號)
《信息安全與通信保密》雜誌投稿
聯繫電話:13391516229(微信同號)
郵箱:xxaqtgxt@163.com
《通信技術》雜誌投稿
聯繫電話:15198220331(微信同號)
郵箱:txjstgyx@163.com

謝謝您的「分享|點讚|在看 」一鍵三連
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()