工业互联网零信任安全应用进展与挑战
摘要
随着工业互联网在数字化转型中的核心地位日益凸显,信息技术(IT)与操作技术(OT)的深度集成正在打破传统的物理隔离模式。依赖边界防护的安全架构在面对如乌克兰电网遭攻击等高隐蔽威胁时已经显得力不从心。零信任试图纠正”边界安全等于全局安全”的固有认知,它要求对每一次访问请求进行持续验证和动态授权,而非简单依赖网络位置判断。本文先梳理研究现状,随后指出当前在数据隐私、存量设备缺陷以及人才缺口等方面面临的问题,接着论证信任量化评估模型与微分段技术的可行性,最后提出一套覆盖”云-管-边-端”的初步方案,旨在为关键基础设施安全防护提供参考。
第一章 研究现状
工业互联网整合了网络、平台和安全三大功能体系。在该体系中,安全已经不是外挂的补丁,而是保证业务连续性和资产稳定的基本条件。
零信任定义与演进
零信任概念最早由Forrester分析师John Kindervag提出,核心思路是不再根据网络位置来默认授予信任。
- 传统安全模式依赖防火墙网关建立边界。一旦边界被突破,攻击者就能在内部横行。
- 零信任将信任基础从拓扑位置转向身份属性。它从最初的分段网关模式,演变为围绕数据、应用、资产和保护表面的持续验证流程。
传统安全与零信任安全的差异
1. 信任依据:前者基于网络拓扑(内网/外网),后者基于多维身份验证。
2. 访问控制粒度:前者通常是粗粒度的静态策略,后者遵循最小特权原则进行动态调整。
3. 防护思路:前者重边界封堵,后者强调持续监测和实时验证,对每次交互进行审计。
零信任五大支柱
支柱 | 定义 | 在工业环境中的具体表现 |
身份 | 建立多维身份标识体系 | 覆盖终端ID、应用ID、用户ID、用户组ID、服务类型ID和服务实例ID |
网络 | 隔离资源与工作负载 | 利用第7层防火墙和微分段技术,对每个请求进行有效性校验 |
设备 | 保证端点安全可控 | 包括PLC、传感器、工业服务器以及资源受限的IIoT终端 |
应用与工作负载 | 监控应用间的交互行为 | 重点保护ERP和MES系统以及API接口,防止权限滥用 |
数据 | 保护数据全生命周期 | 对生产工艺参数和电网频率数据等实施分类分级和动态授权 |
虽然零信任框架为工业安全提供了理论基础,但将这套模型用在协议老旧、设备陈旧、对实时性要求高的工业现场,仍会遇到不少工程上的困难。
第二章 目前研究中存在的问题
工业互联网安全同时面临”先天不足”和”后天复杂”的挑战。在实际生产中,可用性通常优先于安全。
数据隐私与合规瓶颈
工业数据具备体量大、关联强但价值密度不均的特点。跨企业数据协作过程中,平衡知识产权保护与等保2.0或GDPR合规要求一直是个难题,业界尚未形成统一的安全计算方案。
IT与OT融合中的人才缺口
现场需要既懂Modbus、S7等工业协议又能做安全攻防的复合型人才。不少工厂至今仍存在Unauthorized接入和默认弱口令等问题。类似eBay曾因员工凭证泄露导致大规模数据泄露的案例,如果工业环境连多因素验证都不部署,电力机组或生产线面临的物理破坏风险只会更大。
存量设备安全缺陷
大量在役工控系统建于十几甚至数十年前,CPU和内存资源有限,运行厚重的加密引擎或零信任代理几乎不可能。这些旧设备成了网络中最薄弱的环节。
云化与扁平化导致边界模糊
工业平台逐步上云,传统的ISA-95金字塔结构被打破。虚拟机的迁移和IP动态分配让传统硬件防火墙失效,东西向流量无法可视化,容易引发横向渗透攻击。
这些问题说明,依赖静态防御已经不够。业界需要一套能够自适应调整的量化信任评估模型。
第三章 研究方向的可行性分析
从被动修补转向主动自适应防御,是应对零日漏洞这类未知威胁的一条现实路径。
技术可行性:信任量化评估模型
为了实现从粗粒度到细粒度的转变,有研究引入了终端信任度量公式:
T_c = Q × T_f - Σ(F_j × S_j)
其中: - T_c 表示当前信任度量值 - T_f 表示历史信任积累 - Q 是介于0和1之间的系统连续性修正参数,防止参数突变导致业务中断 - F_j 表示各类风险因素的影响程度 - S_j 表示风险实际发生的程度(取值0到1)
该公式将风险作为信任的减项,能够支持安全策略的动态调整。
架构可行性:微分段与安全代理
针对存量设备,部分方案通过部署物联网安全代理来提供一层额外防护。代理作为边缘控制平面隔开了终端和核心网,在不更换原有PLC的情况下,完成协议解析和流量过滤。
管理可行性:安全即服务(SECaaS)
将身份管理、监测审计和加解密功能抽象为云端服务流。这种做法降低了业务系统自身的安全耦合度,能比较方便地随着业务增长同步扩展。
业界在局部试点中已经取得了一些初步效果,这些初步成果为后续构建更完整的”云-管-边-端”防护方案提供了基础。
第四章 初步研究方案
本方案基于”三同步”原则,围绕控制平面与数据平面分离的思路构建框架。
总体设计
1. 边缘侧:部署物联网安全代理,负责协议转换、终端信任监测以及边缘访问控制。
2. 企业侧:部署动态授权中心,实时计算终端信任分值;同时建立统一身份管理平台,覆盖人员、资产和服务实例。
3. 平台侧:部署ZTNA代理,建立加密隧道,隐藏应用后台,实现位置无关的安全访问。
安全能力建设参考
参考滑动标尺模型,可从以下方面逐步推进:
- 结构安全:实施网络分区分域,建立资产清单和配置基线。
- 纵深防御:部署工业级EDR、应用白名单和主机加固。
- 积极防御:引入基于AI的流量审计与安全事件关联分析,识别非特征库中的异常行为。
- 威胁情报:接入外部威胁情报源,通过沙箱对恶意软件变体进行检测。
- 反制进攻:开展攻击溯源和证据固化,还原攻击链。
关键处理机制
访问请求必须执行身份校验(参考 Kipling 方法:谁、何事、何时、何地、为什么、怎么做的),并结合多因素验证。例如一名操作员试图修改PLC逻辑时,系统需要校验:操作人员身份、操作内容合规性、是否在维护窗口期内、访问路径是否异常以及是否具备该业务授权。这套流程在确认工业业务稳定性的同时,也为后续向内生安全演进预留了接口。
第五章 总结与下一步研究
零信任并不是某个产品,它更像是对传统安全思路的一次调整。最终目标是实现工业系统自身的”内生安全”,让防护能力与业务流程融合在一起。
结论
零信任架构有助于缓解IT/OT融合带来的边界失效问题。通过身份量化和最小特权访问,能够在一定程度上保障生产数据和合规审计的完整性。
下一步方向
1. 推动AI与零信任结合:研究不依赖特征库的智能分析引擎,争取实现对工业协议未知威胁的实时阻断。
2. 推动垂直行业标准落地:在电力、石油等方向推进身份标识互认,降低跨行业协作门槛。
3. 探索全生命周期信任传递:从芯片制造商到终端用户,尝试构建贯穿供应链的信任机制。
数字化转型进入深水区后,零信任架构既是一种技术选项,也是保障关键信息基础设施和维持企业竞争力的一条路径。













浙公网安备 33010602011771号