【技术实现步骤摘要】
工业互联网零信任访问控制系统
[0001]本专利技术属于网络安全
,尤其涉及一种工业互联网零信任访问控制系统
。
技术介绍
[0002]传统工业控制系统采用工业防火墙和工业网闸等安全设备将工业控制网络与企业网络和互联网隔离起来,建立安全防护边界
。
随着云计算
、
大数据
、
物联网
、
人工智能等信息技术的发展,企业为了提高生产效率,工业控制系统内部生产数据与外界网络的交互需求增加,工控网络的内外边界逐渐模糊
。
[0003]工业互联网是新一代信息通信网络技术与工业制造深度融合的产物,通过人机物的安全可靠智联,实现生产全要素
、
全产业链
、
全价值链的全面互联与高效协同,推动制造业生产方式和企业形态根本性变革
。
海量工业终端的接入也会增加工业互联网的暴露面,一旦有终端设备被来自互联网的攻击者攻陷,整个工业互联网的资源和数据易遭受横向移动攻击而陷入巨大的安全风险
。>[0004]因此,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种工业互联网零信任访问控制系统,其特征在于,包括:异常检测系统,设置在企业的各边缘区,用于实时检测所在边缘区的异常访问情况得到该边缘区的实时异常检测结果;企业零信任策略决策点,用于基于所在企业各边缘区的实时异常检测结果确定该企业用户对该企业内边缘区资源的第一访问控制策略;云平台零信任策略决策点,用于基于各企业对应的各边缘区的实时异常检测结果确定用户对不同企业的各边缘区资源的第二访问控制策略;零信任策略执行点,设置在企业的边缘区,用于代理其所在边缘区用户对同企业资源或非同企业资源发起访问请求以及基于所述第一访问控制策略或第二访问控制策略执行同企业用户或非同企业用户对其所在边缘区资源的访问控制
。2.
根据权利要求1所述的零信任访问控制系统,其特征在于,所述企业零信任策略决策点和所述云平台零信任策略决策点,均包括策略引擎和策略管理器:所述策略引擎用于评估访问用户的可信度,基于所述实时异常检测结果和所述访问用户的可信度动态制定相应的第一或第二访问控制策略;所述策略管理器用于基于所述第一或第二访问控制策略管理访问用户的访问凭证以及管理访问用户与被访问资源间的通信
。3.
根据权利要求2所述的零信任访问控制系统,其特征在于,所述策略管理器包括凭证生成模块和通信管理模块:所述凭证生成模块用于为第一或第二访问控制策略所同意访问资源的用户生成用于与被访问资源通信的身份凭证;所述通信管理模块用于基于第一或第二访问控制策略,通知用户所在边缘区的零信任策略执行点与资源所在边缘区的零信任决策点在同意或拒绝访问请求后建立或拒绝通信,以及在通信过程中第一或第二访问控制策略的动态决策为拒绝访问请求时断开通信
。4.
根据权利要求3所述的零信任访问控制系统,其特征在于,所述策略引擎包括可信评估模块和动态决策模块;所述评估模块用于基于所述访问用户身份
、
所述访问用户行为和所述访问用户所在边缘区的环境安全性评估所述访问用户的可信度;所述动态决策模块用于基于所述实时异常检测结果和所述访问用户的可信度动态制定相应的第一或第二访问控制策略
。5.
根据权利要求4所述的零信任访问控制系统,其特征在于,所述基于所述访问用户身份
、
所述访问用户行为和所述访问用户所在边缘区的环境安全性评估所述访问用户的可信度,包括:确定所述访问用户身份
、
所述访问用户行为
、
所述访问用户所在边缘区的环境安全性相关的定性评估指标和定量评估指标;将所述定性评估指标转换为相应的第一定量评估指标;归一化处理所有所述定量评估指标的值和所述第一定量评估...
【专利技术属性】
技术研发人员:王斐,任磊,王雅哲,孔宇升,赖李媛君,
申请(专利权)人:北京中关村实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。