新闻详情
新闻搜索
飞塔 精彩回顾丨用ZTNA的思维进行OT安全建设 四川 成都 科汇科技 IT服务商
制造业从自动化到数字化、智能化,已经迈入工业互联网时代,此背景下的OT网络安全建设面临着全面的挑战。尤其当万物互联打破了传统的普渡模型分层限制,网络边界已经无法像过去那样内外清晰区分。正因如此,OT网络安全建设该何去何从?在Fortinet“垂直行业网络安全案例直播讲座”第二期中,Fortinet华南区技术总监玉文锋通过实际案例,展示了建设原则与方法。
业互联网时代OT安全面临四大新挑战
首先,工业互联网的创新业务模式使得云计算、SaaS应用在智能化生产中被大量运用(如柔性生产、订单驱动、用户定制、生产即服务等),更有5G、WiFi6等新型的网络接入,打破了传统的普渡模型分层限制,形成了云管-IoT-监控深度集成的闭环体系,对OT网络安全建设带来新的挑战。
其次,制造业数字化转型的核心——IoT/IIoT迅速扩大了企业网络的攻击平面,也带来了巨大的安全挑战:例如,物联网设备被攻陷后可能导致威胁的横向移动、物联网设备身份验证泄露会造成未经授权的设备登录网络窃取数据,并导致勒索软件、DDoS攻击、欺诈邮件等威胁频发。
第三,边缘计算带来了网络安全性能挑战,边缘计算需要数据上行、指令下行、即时响应等,还需要对数据在边缘层进行即时分析,这种边缘交互,不但要对边缘层海量现场设备、数据进行编排,还要针对边缘层内的软硬件系统的全生命周期的运维管理,网络流量远超传统,网络安全处理能力相应受到严峻挑战。
最后,以灯塔工厂为代表的数字化创新带来的挑战,灯塔工厂大量使用新技术、IIoT设备与工业新协议、5G MES、5G机器视觉AI质量检测,以及更加智能化的昂贵机台越来越多,开放的新技术以及越来越多的设备对网络稳定性和网络安全有着更加苛刻的要求。
“一个原则”“全面能力”“一个方法”
一个原则
工业互联网时代,应对新的网络安全威胁形势,OT网络安全建设首先要遵循一个原则,即CIA倒置原则。从OT客户角度来看,生产的持续性、稳定性、不中断性是压倒一切的,这与信息安全领域“CIA”安全模型的优先顺序完全相反,IT网络安全对机密性有着较高的要求,而OT安全最在意的是可用性。
全面能力
其次是要打造全面的安全能力。工业互联网体系庞大,覆盖了IT/OT,相应的安全能力要覆盖从 IT网络到OT网络整个链条,从设备到网络到主机到数据到协议等全体系,需要借助普渡模型的层次化思维,建立起一个纵深防御体系。
一个方法
第三是采用零信任的方法。传统的“信任”理念网络安全思维已经无法应对工业互联网这种庞大、多变的体系,因其不但边缘难以定义,随时随地还会有新的“边缘”出现,一切变得“不可信”。只有基于零信任的方法进行细致的安全域以及普渡分层划分,借助安全身份认证的措施,把不可信的访问主体变成可信访问,才能扭转局面。
真实案例:基于零信任的OT安全建设
玉文锋通过实际案例分享了如何进行基于ZTNA的OT安全建设:
Fortinet为其构建基于ZTNA理念的OT网络安全方案。
首先,实现车间和人员的每终端隔离(ZTNA MSG),Fortinet的工业安全防火墙FortiGate+100多台的FortiSwitch不但实现了生产网开箱即用简易型的物联网NAC,能够识别接入设备,根据接入设备的类型/身份认证/标签等应用不同的策略,而且提供最强大最细腻的微隔离,杜绝了威胁的横向移动纵向传播,FortiSwitch安全交换机支持MRP协议,实现PCN网络的快速故障恢复。
另外,在微隔离之上通过在2.5层、3.5层部署工业防火墙识别工业协议流量,进行细颗粒度的协议消息识别(“信令级别”),包括消息和参数级别的策略控制。
第三,建立人员和设备的IAM系统,为生产车间的设备在FortiAuthenticator上建立账号,当设备接入网络时,根据FortiAuthenticator上账号信息(MAC地址)来认证设备并分类到不同的VLAN中,解决了大量的机台设备、IIoT设备接入的风险控制问题。
第四,实现用户的双因素认证,让用户远程接入、远程设备维护更安全。当用户离开办公园区,通过FortiToken实现多因素认证,有效避免账号泄密带来的风险。动态令牌技术实现随时随地安全登录,满足员工账号管理安全,为员工随时随地办公创造安全环境。
此外,Fortinet还为客户以FortiMail为核心建立邮件安全防护体系,有效过滤钓鱼、病毒、垃圾邮件,同时对关键业务邮件、供应商邮件采用了IBE-S/MIME模式加密。
最后,建立IT/OT融合的安全自动化运维系统,通过部署全面集成OT功能的FortiAnalyzer+ FortiSIEM平台,实现OT网络的可视化、OT UEBA和异常分析、IT/OT融合的安全自动化运营,缩短安全事件的闭环处理周期。
IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新 以更低的复杂性提供业内的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应,Fortinet 安全运营解决方案,早期检测和防御(EDP)解决方案,集中分析和自动化响应(CARA)解决方案
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、高级威胁检测、事件分析溯源
飞塔防火墙, 飞塔防火墙官网, 飞塔信息, 防特网 fortnet,飞塔公司, 防特网 飞塔信息科技有限公司 飞塔是哪个国家的, 飞塔官网,飞塔防火墙配置手册, 飞塔防火墙配置, 飞塔sdwan, 防特网信息科技(北京)有限公司
防特网股票,
防特网股票代码, 防特网怎么样, 防特网待遇, 防特网招聘,防特网信息科技(北京)有限公司上海分公司 防特网信息科技(北京)有限公司 官网
fortinet是什么公司, fortinet 防火墙, fortinet股价,飞塔防火墙, fortigate防火墙, fortinet上海办公室 fortinet防火墙配置, FORTINET待遇, FORTINET FortiGate-
方案适用机型:
机框设备:FortiGate-3500F,FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E,5144C, 超高端设备:FortiGate 6300F6301F6500F6501F 高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、fortigate2200E, fortigate2601F, FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D 中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 501E 、FortiGate 400E 、FortiGate 300E、fg-200f-bdl-811-60, FortiGate 200E 、FortiGate 100E 入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged,ice-61850,ice-61850-3,fortigate-40F,fortigate-60F,fortigate 61F,fg-601e,高级威胁防御订阅服务授权。FortiGate-100D(已停产,无法续服务,可做VPN)FortiGate-100F
fortigate rugged 30d rugged 35D,rugged 60D,ruggded 90D,
FortiGate 60E FG-60E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口)。 管理的 FortiAP 最大数量(总计/隧道)30/10
FortiGate 60E-POE FG-60E-POE 10个 GE RJ45 接口(包括8个 PoE/PoE+ 接, 2个广域网接口) 。 管理的 FortiAP 最大数量(总计/隧道)30/10
FortiWiFi 60E FWF-60E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口), 无线(802.11a/b/g/n/ac)。 管理的FortiAP最大数量(总计/隧道)30/10
FortiGate 61E FG-61E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口),128 GB SSD 板载存储。 管理的FortiAP最大数量(总计/隧道)30/10
FortiWiFi 61E FWF-61E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口), 无线(802.11a/b/g/n/ac), 128 GB SSD 板载存储。
管理的 FortiAP 最大数量(总计/隧道) 30/1
fortiswitch 工控安全交换机,FGR-30D,FGR-35d, fgr-60d, fgr-90d,
FORTianalyzer 日志与报告分析产品型号:faz-150G, faz-300F,faz-800F,faz-1000F,faz-3000G,faz-3500G,faz-3700F,
fortimanager集中管理平台产品型号:faz-200G,fax-300F,faz-1000F,fax-3000G,faz-3500G,faz-3700F,
FDC-1000F,fdc-vm
网络准入控制:fnc-ca-500c, fnc-ca-600c,fnc-ca-700c,fnc-r-650c,fnc-m-550c,
交换机switch:FS-108F-FPOE
fortiAP 无线接入点。 Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV
专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR,FortiTrust,fortigate fabric, fortiap,fortiswitch,fortisandbox,fortiai,fortideceptor,fortinac,fortisoar,fortisandbox,fortisiem
终端防御软件 FortiClient, FortiEDR端点检测和响应解决方案的威胁阻断率
安全管理解决方案 FortiClient EMS
服务区域:
四川 飞塔 Fortinet:成都 防特网飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、
广元防特网 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、
达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、
丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、
西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
飞塔自身关键词:
飞塔防火墙,飞塔官网,飞塔公司,fortigate防火墙,飞塔防火墙配置
飞塔相关关键词:
网络安全,安全SD-WAN,Fortinet FortiGate-VM,Fortinet,VPN保护,Web过滤,
网络分段,网络微分段,物联网平台保护
