基于“零信任”的工控终端安全设计解决方案

基于“零信任”的工控终端安全设计

2026年6月26日目录0102“零信任”概念及框架终端安全防护应用03终端准入应用04终端安全运营零信任架构是一种端到端的网络安全体系，包含身份、凭据、访问管理、操作、终端、运行环境与关联基础设施。零信任架构提供了相关概念、思路和组件关系的集合，旨在消除在信息系统和服务中实施精准访问策略的不确定性。零信任架构定义：NIST《零信任架构》TLSTLSTLS外部平台接口调用用户终端业务访问物联设备边缘接入可信API代理数据区可信应用代理零信任动态可信访问控制区用户区可信访问控制台智能身份平台智能身份分析系统终端感知网络感知信任评估身份权限动态授权访问代理感知认证零信任通用参考架构基于“零信任”的终端安全能力办公用户业务用户监管用户

外包第三方12运维用户开发用户数据隔离能力说明：PC沙箱容器：网络、进程、存储隔离，实现远程访问的细粒度应用管控。移动端沙箱：个人与工作空间加密隔离，实现移动数据访问的安全防护。云桌面：可结合用户现有云桌面，访问高敏应用。效果按照不同场景要求，实现终端数据隔离防护，综合应用沙箱、云桌面、加密、管控等技术手段，保障远程访问过程中的数据安全。统一业务入口能力说明：使用安全可信浏览器对B/S业务系统访问入口进行安全保护，采用加密信道，满足安全要求；同时支持SM2/SM3/SM4国密算法，国密协议自动识别。效果：支持信创/国密场景的远程访问接入，同时兼容老旧IE和Flash插件等特殊需求的应用，保证应用访问安全、可用、合规。终端环境感知与基础安全能力说明：通过PC客户端或移动端SDK方式实现终端安全与环境感知能力。环境感知能力可以提供物理环境感知、应用环境感知、系统环境感知、终端风险评估能力；终端基础能力包括杀软、漏洞补丁、准入等能力。效果：收集用户访问的环境信息，感知安全风险，实时阻止风险访问；提供终端基础安全保障能力，确保业务安全访问。办公用户运维用户开发测试

124物联网终端最终用户3环境感知+统一入口+数据隔离环境感知+基础安全+统一入口环境感知+基础安全+数据隔离环境感知+基础安全统一入口+数据隔离准入（基础安全）互联网内网专网杀毒漏洞补丁准入桌面管控终端基础安全安全沙箱安全存储安全桌面终端数据隔离终端环境感知网址安全检测统一业务入口插件安全分发国密访问浏览器管控目录0102“零信任”概念及框架终端安全防护应用03终端准入应用04终端安全运营工业主机是信息世界通往物理世界的“大门”OR未来之门?黑客之门?信息世界物理世界工业主机工业主机工业主机系统软件易获取，系统老旧漏洞多，生命周期长，补丁难度大，成为攻击者首选目标工业主机遭受“永恒之蓝”攻击，损失严重2017.052018.072018.10某汽车模具厂，停产某冷轧钢板厂，停产某炼钢厂，停产工业主机安全管理痛点补丁打不上漏洞百出担心影响生产不想打主机不联网无法升级系统老旧无补丁可打病毒杀不完带病运行硬件配置太低装不上杀毒软件无法升级杀毒软件病毒库老旧担心误杀工业软件，干脆不装资产查不清暗藏隐患工业主机家底不清楚资产配置分布不可视整体安全隐患不了解为什么传统杀毒软件不适用工业主机防护低配硬件支持老旧系统兼容适配工业软件无需联网升级三种模式，一键切换硬件要求高老旧系统不兼容误杀工业软件风险联网升级病毒库实时监控影响生产工业主机防护传统杀毒软件VS工业主机全生命周期安全防护体系安装安装前：感染型病毒自动检测白名单部署前：病毒全盘扫描病毒处理监控风险管理资产管理配置管理用户管理运行入口、运行、扩散拦截漏洞防御白名单管控外设管控白名单管理全盘扫描、一键追加信任列表、扫描例外安装追踪白名单工作模式告警模式防护模式关闭模式关卡式病毒拦截主机加固网络防护病毒扫描工业主机安全防护系统现场设备层/L0操作员站车间1操作员站车间2企业网络层/L4生产管理层/L3过程监控层/L2现场控制层/L1历史数据库工程师站控制中心OPCMES打印机EmailWebOAINTERNET控制器/PLC控制器/PLC工业主机防护控制中心安全策略下发主机日志上传装得上，防得住，查得清，管得了白名单管控机制，为工业生产打造纯净运行环境资产自动识别，维护完整工业主机资产清单集中配置管理，全网工业主机统一配置策略关卡式病毒拦截，全方位避免工业主机带毒运行主机加固机制，提升工业软件核心参数的访问权限功能体系白名单管控病毒扫描主机加固资产管理漏洞防御外设管控网络防护集中管理白名单管控机制，防止恶意程序运行扫描全盘扫描重新扫描扫描例外

部署告警模式防护模式关闭模式告警提示日志审计

追加追加目录追加文件信任目录信任文件安装追踪父子进程

应用白名单增加、删除生效三重关卡拦截，全方位病毒防护扩散拦截“永恒之蓝”超前防御，防蓝屏外设管控，防止非授权外设引入病毒注册授权审计入口拦截一键设置白名单，无需升级关闭告警防护三种模式一键切换，保障生产连续性运行拦截网络防护，主机中毒后防止扩散日志审计，溯源攻击主机和恶意程序白名单漏洞防御日志IP端口应用程序溯源主机恶意软件外设管控，保障外设接入安全外设安全接入TIP工业主机普通U盘、移动硬盘单个ID注册机制只读、读写、禁用三种权限安全U盘固件层面实现关键安全机制安全U盘与主机防护双向绑定只读、读写、禁用三种权限其他外设无线网卡、蓝牙禁用、启用违规报警与日志审计违规报警与日志审计光驱禁用、启用手机/PAD接入禁用、启用存储卡接入禁用、启用并口、串口禁用、启用主机加固，提升工业软件核心参数的访问权限目录、文件不允许删除目录、文件内容不允许修改目录、文件不允许重命名核心工艺参数文件注册表项不允许新建注册表项、值不允许删除、修改注册表项、值不允许重命名例外进程访问资产自动发现，轻松维护全网工业主机清单跟踪回溯实时监控精准识别资产自动识别资产自助登记基于组织架构的资产风险管控系统信息、硬件信息部门、工号、设备编号准确定位风险主机工业主机集中管理，降低运维成本总部、分部、厂区统一管理全网统一策略全网主机风险统一展示与分析级联管理灵活部署模块灵活设置权限灵活配置页面灵活扫描时间灵活配置HMIOPCServer数据库DNC日志上报资产上报策略下发任务下发日志上报资产上报策略下发任务下发上位机生产线1上位机生产线2配置策略下发日志汇总分析资产汇总分析主机风险展示集中管理支持LDAP导入支持Syslog工业安全管理与分析系统（IMAS）联动分析联动分析级联工业主机防护控制中心（下级）工业主机防护控制中心（上级）目录0102“零信任”概念及框架终端安全防护应用03终端准入应用04终端安全运营工控终端安全准入管控思路前端资产识别

生产专网中都有什么样的设备？这些设备在什么位置？被谁使用？设备是否在线？……前端合规评估

设备是否开启了不必要的端口？是否使用了默认口令？是否被其他设备仿冒替换？……前端行为分析是否有反向访问的行为？是否有异常控制行为？是否跨系统读取或传参行为？……异常风险感知

生产网络中是否存在黑客进行攻击前的扫描行为？是否有人在对终端进行弱口令爆破？网络中是否有设备在进行网络攻击？网络中是否有设备已被黑客组织攻击而失陷？……设备接入控制

对违规接入网络的设备和发现的异常设备采用多种准入进行控制，阻止非法设备入网，对异常行为及时告警与处置，减少影响面资产识别合规评估风险感知接入控制工控终端安全准入应用及时发现终端接入事件，通过主动扫描及联动网络设施手段获取设备详细属性信息及网络接入位置提供设备指纹级身份认证机制，确定接入的唯一性，并结合设备资产登记授权信息，方便管理员对接入设备的身份的审核持续进行设备的合规检查及仿冒替换监测，及时发现网络里的异常终端通过主动探测、实时分析网络中的设备流量协议，端口、状态等，发现网络中的设备风险和接入风险事件及变化情况针对违规终端/设备/主机，提供多种形式的告警/网络阻断/隔离等能力，限制安全事件影响范围针对入网设备，依据最小权限原则分配设备的网络访问权限配置资产发现识别身份认证合规检查风险感知异常处置访问控制生产网终端安全统一管理生产网接入安全统一管理核心交换工控设备用户与管理数据与管理平台1设备发现2345接入拓扑仿冒发现前端准入安全检测5威胁感知6异常告警视频设备发现与定位接入发现采用多种技术，及时发现设备接入周期主动扫描、被动监听入网点对点扫描镜像流量监测子网内广播监听交换机SNMP发现设备识别多种设备识别技术获取设备信息：工控协议扫描厂商协议扫描通用指纹扫描及匹配流量分析网络定位多种手段扫描网络内交换机信息获取网络拓扑，监测链路连接状态定位设备网络接入位置异常时，联动交换机端口，隔离风险终端深度识别快速发现连接到网络的设备已经连接的设备的属性信息定位设备的接入位置及拓扑可视化设备资产分析梳理系统类型网卡厂商设备厂商设备类型工控协议A-B、GE、欧姆龙、AEG、西门子、TE、霍尼韦尔······OPC、S7、Modbus、IEC104、DNP3、FINS、BACNet······入网控制流程前端设备入网前首先要经历认证、授权后，才能正常进行数据传输和信令交互。在正常业务交互过程，控制平台会通过内容感知、终端识别等技术，实时掌握内网终端数和终端类型，并可根据设备指纹、MAC白名单、IP白名单、类型白名单、协议白名单等方式，允许白名单里的合法设备接入，禁止非法设备的接入，一旦有非法接入行为及时发现并预警。6.数据流、信令工控平台视频平台设备指纹级认证，严防仿冒接入终端上线后，控制平台会为每一个管控的终端自动建立指纹基线，当有非法终端仿冒接入生产专网中，控制平台会迅速发现并通过制定安全策略等方式进行预警并处置有效阻止恶意终端克隆IP+MAC接入生产专网的行为。IPMACOSTYPEServicePortUUID…智能学习，基于设备类型的指纹，入网检查指纹并持续监控指纹动态工控业务模型终端合规检查，隔离风险设备丰富的终端合规检查方案，当检测到接入有异常及时预警，并可根据策略进行双向阻断或隔离处置,实时检测设备异常情况。1、非法仿冒前端设备接入网络，预警并隔离2、检查终端是否开启了异常或高危开放端口3、终端是否存在默认的弱口令4、检查终端因带宽不足导致的传输率下降的情况5、检查终端异常数据占用带宽的情况6、检查工控专有协议或GB/28181等国标协议的终端入网7、实时在线和离线状态检测9、检查IP、MAC基准信息，如被篡改进行预警并及时处置10、终端是否从NAT环境接入，对从NAT环境接入的终端及时告警或阻断11、终端是否发生跨网外联情况，对非法外联的终端及时告警或隔离仿冒发现高危端口弱口令检查异常行为在线/离线状态协议检查协议标准检查IP/MAC绑定检查NAT/网中网违规外联设备定位及网络连接看得见1交换机面板/端口状态23456交换机下接终端/设备网络设备连接拓扑网络设备和终端连接关系设备接入定位及事件预警设备Path路径追踪设备IP地址可视化管理全局IP图形化呈现IP已使用、未使用、占用情况是否安装客户端IP下使用的设备信息IP/MAC绑定关系Ip冲突检测接入风险可视化，安全看得见工业互联网泛终端安全实时监控平台分为三块展示区域，分别展示全网资产发现情况、全网前端设备安全合规情况、合规趋势及异常告警信息最左侧为设备安全合规现状与分布等信息、中间区域全网资产展示区域，右侧为终端事件告警信息栏实时推送网络内发现的前端设备违规事件及终端网络事件，方便管理员第一时间响应异常情况及设备离线事件目录0102“零信任”概念及框架终端安全防护应用03终端准入应用04终端安全运营能够展示终端操作系统资产版本和硬件资产概况支持对终端操作系统版本、操作系统激活、未激活操作系统排行、资产未登记部门排行、软件安装、资产登记趋势、计算机品牌、CPU、内存、硬盘等资产数据进行统计展示。支持适配国产化操作系统。终端资产概况终端漏洞概况能够全面展示全网终端的漏洞方面的安全态势。支持全部漏洞以及高危漏洞的筛选，以方便针对重点漏洞进行数据统计。支持云端数据更新，第一时间了解最新漏洞做出对应的安全决策准备。支持级联与分组的双视图切换，从不