安全性¶
EnOS Edge 作为 EnOS 的一部分,完全遵循 EnOS 的安全标准和统一防护规则,从以下几个方面实现安全性控制:
接入安全
硬件设备安全
通信安全
安全扫描与认证
权限控制
接入安全¶
EnOS Edge 接入 EnOS 时,支持以下认证方式,以保证设备唯一且身份合法:
基于密钥的单向认证:
静态认证:每台设备烧录自己的三元组(Product Key、Device Key 和 Device Secret)。设备使用烧录好的三元组进行认证,通过之后即完成接入。
动态认证:设备使用 Product Key、Product Secret 和 Device Key 尝试认证接入,通过认证之后,EnOS 返回 Device Secret 给设备。在之后的接入过程中,设备就使用三元组进行认证。
基于证书的双向认证:提供 X.509 证书服务,对 EnOS Edge 和 IoT 平台之间的所有通信会话强制执行基于 X.509 证书的双向身份验证。
硬件设备安全¶
EnOS Edge支持使用Trusted Platform Module (TPM)进行加密,安全地存储客户端证书、密钥。 由TPM芯片生成的rsa公私钥,私钥存放于TPM芯片中,私钥的标记和公钥存放于rsa.tss文件中,私钥永远无法从TPM芯片取出,只有利用本机的TPM芯片配合rsa.tss文件才能对加密的文件进行解密,具有极高的安全性。
同时,支持网闸的部署。并通过物理隔离和协议转换的方式,从硬件和软件两方面进行严格的单向传输控制。
通信安全¶
EnOS Edge支持多种标准的工业通信协议,绝大多数工业协议在设计上保证了数据和通信的安全性,包括但不限于DDS协议,OPC协议等。
OT网络与云端IT网络之间通过专用的防火墙连接,通过自定义防火墙策略及网络访问控制策略(Network Access Control)实现对于OT网络内设备及数据的防护。
同时支持VPN(Virtual Private Network)技术,利用公共网络建立虚拟私有网络,对数据进行加密从而保障数据安全。
安全扫描与认证¶
EnOS Edge具有绿盟安全扫描报告。并使用了Nessus对系统接口、配置等方面进行了安全扫描。
同时,EnOS Edge也使用了Sonar、Fortify进行了静态代码安全扫描。
权限控制¶
基于RBAC(Role-Based Access Control)思想设计,利用角色绑定权限、人员绑定角色,通过多对多关系授权管理,实现功能使用、数据访问的授权安全管理。
账号唯一:基于账号生成规则给每个系统用户生成全局唯一标识
访问权限控制:通过权限管理系统管理角色、用户,实现功能和数据的安全访问