CN116015930B - 基于工业互联网的零信任接入安全管理系统 - Google Patents
基于工业互联网的零信任接入安全管理系统 Download PDFInfo
- Publication number
- CN116015930B CN116015930B CN202211721428.6A CN202211721428A CN116015930B CN 116015930 B CN116015930 B CN 116015930B CN 202211721428 A CN202211721428 A CN 202211721428A CN 116015930 B CN116015930 B CN 116015930B
- Authority
- CN
- China
- Prior art keywords
- access
- industrial control
- user
- industrial
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006399 behavior Effects 0.000 claims abstract description 5
- 238000007726 management method Methods 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 6
- 238000012550 audit Methods 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 3
- 238000009472 formulation Methods 0.000 description 9
- 239000000203 mixture Substances 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及信息安全领域,具体涉及一种基于工业互联网的零信任接入安全管理系统,极大地降低了工控资源暴露的风险。本发明基于工业互联网的零信任接入安全管理系统,包括:访问控制服务台,用于制定访问策略制与执行访问策略;零信任网关,用于提供接入用户的网络通道,用户通过安全认证后,请求访问控制服务台;以及提供协议代理,实现工控资源隐身;信任代理,用于获取用户的操作行为,以及采集工控主机当前设备的相关参数,为访问控制服务台提供数据输入;信任连接器,用于连接工控设备,执行工控设备的访问指令。本发明适用于对工业互联网的零信任接入安全管理。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种基于工业互联网的零信任接入安全管理系统。
背景技术
行业主流的远程桌面解决方案,分为两种实现模式。一种为第三方服务商提供的单独服务,需要在有访问需求的用户侧电脑系统安装一个桌面应用,用户点击桌面应用,登录第三方后台相应的云服务,同时工厂也需要连接第三方云服务,将需要维护的工控资源映射至同样的第三方云服务。云服务提供到工厂资源的访问链路,实际上接入用户是通过第三方云服务访问工控资源,工厂使用远程桌面意味着将接受其当前基于云服务的安全措施。另一种方案,需要工厂预先在工控机开启远程登录功能,并设置相应的远程登录账号与密码,同样地,接入用户通过自己电脑的远程桌面功能,利用工厂业务员给予的用户名和密码即可登录工控机,意味着用户登陆以后可访问工控机上所有应用及数据。
另一种主流的VPN解决方案,接入用户通过安装桌面专属应用,利用通过公司授权的用户名及密码,即可实现登录工控内网的目的,进入内网后,用户可看到内网的工控资源,并进行操作。
当前的两种主流解决方案,都以搭建互联网与工控内网的安全通路为主要目的,但是不侧重于访问资源的授权管理,因此在工控资源暴露、面向资源的细粒度授权等方面存在安全风险。
发明内容
本发明的目的是提供一种基于工业互联网的零信任接入安全管理系统,极大地降低了工控资源暴露的风险。
本发明采取如下技术方案实现上述目的,基于工业互联网的零信任接入安全管理系统,包括:
访问控制服务台,用于制定访问策略制与执行访问策略;
零信任网关,用于提供接入用户的网络通道,用户通过安全认证后,请求访问控制服务台;以及提供协议代理,实现工控资源隐身;
信任代理,用于获取用户的操作行为,环境参数以及采集工控主机当前设备的相关参数,为访问控制服务台提供数据输入;
可信连接器,用于连接工控设备,执行面向工控设备的访问指令。
进一步的是,所述访问策略采用基于属性的策略制定方式,属性包括访问主体、访问客体、环境。
所述制定访问策略具体包括:通过约束属性取值实现访问策略的制定。
进一步的是,执行访问策略具体包括:根据定制访问策略的时间先后顺序进行优先级排序,最新制定策略最先执行,运行至有确定的结果输出则停止。
进一步的是,提供协议代理,实现工控资源隐身具体包括:
通过加载工厂网络协议,对互联网只暴露零信任网关的IP地址,所有的访问链接至零信任网关,由零信任网关进行内网资源转接,从而实现工控资源隐身。
进一步的是,所述相关参数包括运行参数、安全参数以及设备状态参数。
进一步的是,连接工控设备具体包括:串联连接工控设备与并联连接工控设备。
进一步的是,串联连接工控设备的方式能够根据决策指令实时阻止对工控设备的非法访问。
进一步的是,一对一的串联模式能够阻止用户接入后由第一工控设备向第二工控设备的移动。
进一步的是,并联连接工控设备的方式用于对工控设备一对多的控制,不阻断访问操作。
本发明的有益效果为:
本发明可有效弥补当前工业互联网领域两种主流的远程办公接入方式远程桌面、VPN存在的安全风险及问题:通过先认证后接入的方式,实现接入用户的可见即可访问,全面规避资源过度暴露的风险;通过贴近资源侧的可信连接器,实现面向资源的非法访问的及时阻断,及用户接入后的东西向移动管控;通过面向工控资源的策略制定,可规避传统角色访问控制带来角色增多管理成本增加的缺点;最后本系统提供灵活的功能组件形态定义,应用工厂可根据具体的工厂网络部署,选择功能组件的软硬件灵活组合方式。
附图说明
图1为本发明实施例提供的基于工业互联网的零信任接入安全管理系统结构框图;
图2为本发明实施例提供的零信任接入安全管理系统工作流程图;
图3为本发明实施例提供的零信任接入安全管理系统应用部署示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明基于零信任的安全理念,遵循先认证后链接的接入模式,提出面向工控资源的接入安全管理系统,与传统的基于角色的访问控制有本质区别:基于角色的访问控制需要根据不同的安全需求设定不同的用户角色,再设定用户角色的基础上制定不同的访问策略。在工厂资源不断增多的情况下,需要设定的用户角色数量、访问策略数量成倍增长,带来策略管理与角色管理的困难。本发明提供的面向资源的接入安全管理系统,业务管理员只需设定必要的用户角色,以工控资源为出发点,根据业务需求,可以先制定不同的访问规则,再根据实际情况分配至不同的角色,也可以进行规则组合,形成策略,这样,同一用户角色可同时拥有面向不同的资源的多种访问权限,最后通过赋予自然人不同的用户角色而继承拥有不同的访问策略,极大程度上减少了了用户名与访问策略的激增。
基于上述原理,本发明提供一种基于工业互联网的零信任接入安全管理系统,如图1所示,包括:
访问控制服务台,负责访问策略制定、存储与执行三大主要功能。访问策略制定采用基于属性的策略制定方式,属性包括访问主体、访问客体、环境等所具备的特征变量,以三元集合<主体,客体,环境>表示,通过约束属性取值实现访问策略的制定,比如:
(主体.供应商==客体.供应商)&&(客体.所在产线==产线2)&&(时间==7:00-12:00)
形成一条访问规则,可根据业务需求制定多条业务规则,存存储于规则库。如果有一位用户需要访问多个工厂资源,即可以将符合业务需求的规则进行组合,形成安全策略赋予用户。比如,一条安全策略的格式如下:
{Rule1&&Rule2||Rule3}==Policy
策略执行可以根据业务需求制定相应的执行逻辑,根据制定时间先后进行优先级排序,最新制定的策略最先执行,运行至有确定的结果输出即停止,确定的结果可以是肯定,也可以是否定。
零信任网关,提供接入用户的网络通道,一方面可提供协议代理,实现工控资源隐身;一方面负责访问控制台输出的决策命令的执行。本系统基于Windows系统自带的远程桌面功能,基于此功能建立安全增强通道,支持多模认证,可与现有的用户认证系统相结合,实现用户授权前的身份安全认证。通过加载工厂主流网络协议,如http\ftp\modbus等,对互联网只暴露零信任网关的IP地址,所有的访问链接至本网关,由本网关进行内网资源转接,从而实现内网资源隐身。用户通过安全认证后,即将访问请求链接至访问控制服务,等待服务的决策结果,从而执行访问链路打开或者关闭的操作。
信任代理agent,提供用户行为监控、环境参数、设备运行参数感知及决策指令执行,主要安装于工控主机,当用户进入内网后,可进行操作行为的捕捉,为后续审计提供可靠数据。同时进行工控主机当前设备运行参数、安全参数、设备状态参数等的收集,为访问控制服务台提供数据输入,进而工厂安全管理员可优化访问策略。最后,由于agent的安装位置,可根据访问控制服务台的决策指令,支持系统应用级的访问执行。
可信连接器,提供最贴近工控设备的访问指令执行,本系统提供面向单个工控设备PLC(Programmable Logic Controller,可编程逻辑控制器)等的策略制定,根据工控设备安全等级要求,可信连接器与工控设备有两种连接模式,一种是串联,一种是并联。串联可根据决策指令实时阻止对单个工控设备的非法访问,且一对一的连接模式,可有效阻止用户接入后由工控设备A向工控设备B的违规移动,因为可信连接器只开启针对工控设备A的网络通路。并联是以旁路的模式,支持一对多的连接模式,实现访问操作的审计,及时进行报警,但不阻断访问操作。
本实施例提供的基于工业互联网的零信任接入安全管理系统,其中可信agent是软件模式,可部署于工厂相应的服务器或主机;可信连接器是硬件模式,通过串联可支持与工控设备一对一的连接与控制,通过并联可实现对工控设备一对多的控制。根据工厂的网络设施情况,本实施例提供如图3所示的应用部署示意图。
在本系统的启用过程中,主体上分为工厂安全管理员与接入用户两种维度进行说明,工作流程如图2所示:
作为工厂安全管理员,通过访问控制服务台进行访问规则的制定,形成规则库,在此过程中不必关心用户角色等,只需关注主体、客体的属性参数取值即可;并预先设定几个开发的用户名和密码;进一步通过线下或安全邮件的模式将用户名+密码发送给接入用户;
作为接入用户,利用预先得到用户名+密码登录零信任网关,零信任网关会提取用户所带的角色名、供应商、时间等属性值,请求访问控制服务台,通过工厂业务员预先设定的规则进行可展示工控资源的筛选并展示;当用户进一步点击展示出的某个工控资源,零信任网关再次提取用户属性、资源属性请求访问控制台,等待决策结果,若结果为否即断开连接,若结果为是即打开链路;
同时零信任网关将主体、客体属性下发给连接的可信连接器,可信连接器提取工控资源的网络IP,再次请求访问控制服务台,等待决策结果,若结果为否即断开连接,若结果为是即打开链路,可实现针对工控资源的一对一访问控制。
综上所述,本发明所提供的基于工业互联网的零信任接入安全管理系统,可有效弥补当前工业互联网领域两种主流的远程办公接入方式远程桌面、VPN存在的安全风险及问题:通过先认证后接入的方式,实现接入用户的可见即可访问,全面规避资源过度暴露的风险;通过贴近资源侧的可信连接器,实现面向资源的非法访问的及时阻断,及用户接入后的东西向移动管控;通过面向工控资源的策略制定,可规避传统角色访问控制带来角色增多管理成本增加的缺点;最后本系统提供灵活的功能组件形态定义,应用工厂可根据具体的工厂网络部署,选择功能组件的软硬件灵活组合方式。
Claims (5)
1.基于工业互联网的零信任接入安全管理系统,其特征在于,包括:
访问控制服务台,用于制定访问策略与执行访问策略;
零信任网关,用于提供接入用户的网络通道,用户通过安全认证后,提取用户所带的角色名、供应商和时间属性值,请求访问控制服务台,当用户选择某个工控资源后,零信任网关再次提取用户属性、资源属性请求访问控制台,等待决策结果,若结果为否即断开连接,若结果为是即打开链路;以及,用于通过加载工厂网络协议,对互联网只暴露零信任网关的IP地址,所有的访问链接至零信任网关,由零信任网关进行内网资源转接,从而实现工控资源隐身;
信任代理,用于获取用户的操作行为,环境参数以及采集工控主机当前设备的相关参数,为访问控制服务台提供数据输入;
可信连接器,用于连接工控设备,执行面向工控设备的访问指令;所述连接工控设备具体包括:串联连接工控设备与并联连接工控设备,其中,串联连接工控设备的方式能够根据决策指令实时阻止对工控设备的非法访问,且,一对一的串联模式能够阻止用户接入后由第一工控设备向第二工控设备的移动;并联连接工控设备的方式用于对工控设备一对多的控制,实现安全审计但不阻断访问操作。
2.根据权利要求1所述的基于工业互联网的零信任接入安全管理系统,其特征在于,所述访问策略采用基于属性的策略制定方式,属性包括访问主体、访问客体、环境。
3.根据权利要求2所述的基于工业互联网的零信任接入安全管理系统,其特征在于,所述制定访问策略具体包括:通过约束属性取值实现访问策略的制定。
4.根据权利要求1所述的基于工业互联网的零信任接入安全管理系统,其特征在于,执行访问策略具体包括:根据定制访问策略的时间先后顺序进行优先级排序,最新制定策略最先执行,运行至有确定的结果输出则停止。
5.根据权利要求1所述的基于工业互联网的零信任接入安全管理系统,其特征在于,所述相关参数包括运行参数、安全参数以及设备状态参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211721428.6A CN116015930B (zh) | 2022-12-30 | 2022-12-30 | 基于工业互联网的零信任接入安全管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211721428.6A CN116015930B (zh) | 2022-12-30 | 2022-12-30 | 基于工业互联网的零信任接入安全管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116015930A CN116015930A (zh) | 2023-04-25 |
| CN116015930B true CN116015930B (zh) | 2024-05-28 |
Family
ID=86020609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211721428.6A Active CN116015930B (zh) | 2022-12-30 | 2022-12-30 | 基于工业互联网的零信任接入安全管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015930B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070600A (zh) * | 2021-11-11 | 2022-02-18 | 上海电气集团数字科技有限公司 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
| CN114338701A (zh) * | 2021-12-29 | 2022-04-12 | 四川启睿克科技有限公司 | 基于区块链的物联网零信任系统及访问方法 |
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114915534A (zh) * | 2022-04-22 | 2022-08-16 | 中国人民解放军战略支援部队信息工程大学 | 面向信任增强的网络部署架构及其网络访问方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100496025C (zh) * | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
| US10505982B2 (en) * | 2015-10-23 | 2019-12-10 | Oracle International Corporation | Managing security agents in a distributed environment |
-
2022
- 2022-12-30 CN CN202211721428.6A patent/CN116015930B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070600A (zh) * | 2021-11-11 | 2022-02-18 | 上海电气集团数字科技有限公司 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
| CN114338701A (zh) * | 2021-12-29 | 2022-04-12 | 四川启睿克科技有限公司 | 基于区块链的物联网零信任系统及访问方法 |
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114915534A (zh) * | 2022-04-22 | 2022-08-16 | 中国人民解放军战略支援部队信息工程大学 | 面向信任增强的网络部署架构及其网络访问方法 |
Non-Patent Citations (3)
| Title |
|---|
| Silafu Yiliyaer Department of Computer Science, University of Nevada Las Vegas, Las Vegas, NV, USA * |
| Yoohwan Kim.《Secure Access Service Edge: A Zero Trust Based Framework For Accessing Data Securely》.《2022 IEEE 12th Annual Computing and Communication Workshop and Conference (CCWC)》.2022,全文. * |
| 黄何,刘劼,袁辉.《基于多级属性加密的零信任访问授权控制方法研究与设计》.《工程科技Ⅱ辑》.2020,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116015930A (zh) | 2023-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107643738B (zh) | 便携式现场维护工具与过程控制仪器之间的过程控制通信 | |
| van der Knijff | Control systems/SCADA forensics, what's the difference? | |
| Weiss | Protecting industrial control systems from electronic threats | |
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| US8595831B2 (en) | Method and system for cyber security management of industrial control systems | |
| Ahmed et al. | Scada systems: Challenges for forensic investigators | |
| JP2018014104A (ja) | 携帯型フィールド保守ツールと資産管理システム間のプロセス制御通信 | |
| US11378929B2 (en) | Threat detection system for industrial controllers | |
| Munro | SCADA–A critical situation | |
| CN110262420A (zh) | 一种分布式工业控制网络安全检测系统 | |
| CN116015930B (zh) | 基于工业互联网的零信任接入安全管理系统 | |
| KR20120079972A (ko) | 지능형 통합 보안 관리 시스템 및 방법 | |
| Gilsinn et al. | Security assurance levels: a vector approach to describing security requirements | |
| CN113765780A (zh) | 一种基于物联网的便携式运维网关 | |
| Luiijf | SCADA security good practices for the drinking water sector | |
| Carr | Development of a tailored methodology and forensic toolkit for industrial control systems incident response | |
| Yusupbekov et al. | Remote access and management of plants experience during pandemics time across the world | |
| Lusk et al. | Cyber-Intrusion Auto-Response and Policy Management System (CAPMS) | |
| Rao et al. | Industrial control systems security and supervisory control and data acquisition (SCADA) | |
| George et al. | A case study of implementing cybersecurity best practices for electrical infrastructure in a refinery | |
| Mansfield-Devine | Getting to grips with IoT | |
| Weiss | Control system cyber security | |
| CN104991794A (zh) | 安卓智能终端的程序远程管理系统 | |
| CN115484174B (zh) | 基于智能识别的纳管方法、装置、设备及存储介质 | |
| Li et al. | Access control method of SDN network based on zero trust |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |