关于OT & IIOT系统远程访问的零信任安全

什么是OT & IIOT？—— 工业领域的“操作基石”与“智能升级”

在工业数字化转型的浪潮中，OT（运营技术）与IIoT（工业物联网）是两个核心概念。前者是工业生产的“神经中枢”，后者是驱动智能升级的“数字引擎”，二者共同构建了现代工业的技术底座。

运营技术

OT，Operational Technology 即运营技术，专注于工业生产过程的实时检测与控制，通过硬件与软件的协同，实现对物理世界的精准干预。它不同于IT（信息技术）的信息处理属性，OT更强调操作层面的即时性和可靠性，直接作用于工业设备的运行状态和生产流程的稳定性。其核心构成分为两层，分别是硬件层和软件层。

·硬件层：包括传感器（实时采集温度、压力等物理数据）、执行器（如驱动器、阀门等控制设备）、工业控制器及各类专用机器设备。

·软件层：数据采集与监控系统、工业控制系统以及人机界面，用于实现设备联动、流程调度和异常响应。

工业物联网

IIOT，Industrial Internet of Things 即工业物联网，是物联网技术在工业领域的垂直应用。它通过传感器、通信网络与云计算，将工业设备、系统、人员甚至产品连接成一个有机整体，实现数据的全面采集、传输、分析与反馈，最终赋能工业场景的智能化决策，以增强故障排除和维护能力、提高效率、降低成本并提升安全性。

OT安全：工业系统的 “生命线”—— 从物理隔离到数字互联的安全重构

一、OT安全的核心价值：守护物理世界的安全底线

OT系统直接控制工业设备的运行状态，其安全体现为对“物理世界实时操作”的绝对可靠保障，这与IT系统（侧重数据存储与处理）的安全需求存在本质差异：

1

生产安全的“最后一道防线”

OT系统控制着工业流程的关键执行环节，OT安全失效的直接后果不仅是数据丢失，更可能是物理设备损毁、生产事故或人员伤亡，其影响远超 IT 系统安全事件。比如：

● 电力系统中，恶意攻击可能导致变电站跳闸，引发区域性停电；

● 智能制造产线中，逻辑控制器被植入恶意代码，可能造成机械臂失控损坏工件甚至伤及人员。

2

业务连续性的核心保障

传统制造业依赖OT系统的7×24小时稳定运行。例如：2021 年美国 Colonial Pipeline 因燃油调度系统遭勒索软件攻击停运，直接导致东海岸燃油供应危机，正是 OT 系统中断对关键基础设施影响的典型案例。

3

物理资产的“数字铠甲”

工业设备（如燃气轮机、精密机床）往往价值高昂且替换周期长。OT系统若被攻击篡改控制逻辑，可能导致设备长期过载、异常磨损甚至不可逆损坏。

4

供应链安全的“隐形枢纽”

现代工业供应链高度依赖OT系统的协同。某家零部件厂商的OT系统被植入“逻辑炸弹”，可能在某特定条件下（如订单突增）触发产线停机，进而导致整条供应链瘫痪。

二、传统边界安全的失效：OT网络安全挑战的特殊性

传统OT环境依赖物理隔离（如网闸、单向传输）和简单边界防护（防火墙、VPN），但数字化转型打破了这一安全范式，暴露三个核心矛盾：

1

从“物理隔离”到“攻击面扩张”的防御失效

传统方案的假设崩溃：物理隔离层被视为OT安全的“黄金法则”，但IIoT时代，OT系统需要接入传感器、工业云、移动终端等，甚至通过5G实现无线互联，攻击面从“封闭孤岛”变为“开放网络”。

VPN的固有缺陷：

● 传统VPN基于“内网即可信”的假设，一旦攻击者窃取账户凭证（如通过钓鱼攻击），即可获得不受限制的内网访问权限。

● OT系统常用的工业协议缺乏原生安全认证，VPN无法解析其内容，导致恶意代码可伪装成正常置空指令穿透边界。

2

实时性与安全性的天然冲突

OT系统对数据传输延迟极为敏感（如毫秒级控制指令），而传统IT安全方案（如深度包检测、入侵检测系统）可能引入不可接受的延迟，导致控制失效。

3

设备“先天性”安全短板

大量运行中的OT设备（如10年以上的PLC）未内置加密模块或身份认证机制，甚至使用硬编码密码，成为攻击突破口。工业控制系统追求稳定性，频繁升级可能引发兼容性问题。

OT安全新范式：从边界防御到“零信任”内生安全

当前，面向OT环境的零信任安全远程访问主流解决方案，主要是为保护在非受信网络上访问受信网络的场景设计，为用户提供凭据管理、安全远程访问、实时会话监控、文件传输和数据泄露保护，以及基Web的防病毒扫描等能力等。这些能力降低由组织外远程用户引发的网络安全风险，全面保护OT环境安全。方案基于云架构，使用户能够从现场位置、工厂车间或其它任何地方可以快速、安全、可靠地连接到OT或IIoT设备，且无需在OT设备上安装客户端。

无代理的安全远程访问

无需部署终端代理，通过 Web 浏览器扩展程序，提供丰富的管理方式和安全性。这一优势可实现对远程用户威胁的全面可见性和保护。定期更换并管理密钥和凭据，设置自动化任务，并快速启用会话记录和录制。直观的操作面板和用户管理功能，提供强大的远程访问控制能力。超前处理访问审批请求，自定义审批流程，并控制密码更改和身份验证。

秘钥和凭证管理

简单安全地管理并定期更换整个网络中的资产密钥和凭据

会话监控和记录

监控会话活动，防范内部威胁和安全违规行为

基于 Web 的防病毒功能

基于内容检查防范文件威胁，增强远程用户的安全性

防数据泄漏

基于文件类型、大小或水印，控制对敏感文件的访问

1.用户通过浏览器登录到远程访问系统门户

2.用户通过身份验证和授权，在门户中看到授权的控制台

3.远程访问系统部署在OT环境中，RDP/SSH/VNC端口隐藏

4.用户请求一个隔离的RDP/SSH/VNC会话到OT系统，根据用户的安全和访问策略，在用户和OT设备之间启动RDP/SSH/VNC连接，避免远程用户和OT系统之间直接建立网络连接。

OT和IIoT零信任安全方案优势

降低攻击面：

通过消除暴露端口的需要，使OT和IIoT系统对攻击者不可见，且用户和OT系统从不在同一网络上连接，防止恶意软件和勒索软件攻击的传播。

提升工作效率：

通过零信任远程访问方案，使用户能够快速连接OT设备，最小化停机时间，并消除通过传统VPN产品进行慢速、维护成本高的问题。

提供卓越的用户体验：

用户可以从他们的网络浏览器进行无客户端访问，这使得远程工作人员和第三方供应商和承包商能够轻松访问OT系统，而无需传统VPN。

通过治理控制降低风险：

基于云的会话记录、流媒体回放、会话监控和引导访问确保对第三方远程访问会话进行全面监督和控制。

审核编辑 黄宇