安全性

EnOS Edge作为EnOS的一部分,完全遵循EnOS的安全标准和统一防护规则,从以下EnOS Edge的接入安全、硬件设备本身安全,通信安全,证书加密,访问控制等几个方面实现安全性控制:

  • 接入安全

  • 硬件设备安全

  • 通信安全

  • 数据链路安全

  • 安全扫描与认证

  • 访问控制

接入安全

EnOS Edge接入EnOS时,支持以下认证方式,以保证设备唯一且身份合法:

  • 基于密钥的单向认证:

    • 静态认证:每台设备烧录自己的三元组(Product key、Device key和Device secret)。设备使用烧录好的三元组尝试认证,通过之后即完成接入。

    • 动态认证:设备使用Product key、product secret和device key尝试认证接入,通过认证之后,EnOS返回device secret给设备。在之后的接入过程中,设备就使用三元组进行认证。

  • 基于证书的双向认证:提供X.509证书服务,对EnOS Edge和IoT平台之间的所有通信会话强制执行基于X.509证书的双向身份验证。

硬件设备安全

EnOS Edge支持使用Trusted Platform Module (TPM)进行加密,安全地存储客户端证书、密钥。 由TPM芯片生成的rsa公私钥,私钥存放于TPM芯片中,私钥的标记和公钥存放于rsa.tss文件中,私钥永远无法从TPM芯片取出,只有利用本机的TPM芯片配合rsa.tss文件才能对加密的文件进行解密,具有极高的安全性。

同时,支持网闸的部署。并通过物理隔离和协议转换的方式,从硬件和软件两方面进行严格的单向传输控制。

通信安全

EnOS Edge支持多种标准的工业通信协议,绝大多数工业协议在设计上保证了数据和通信的安全性,包括但不限于DDS协议,OPC协议等。

OT网络与云端IT网络之间通过专用的防火墙连接,通过自定义防火墙策略及网络访问控制策略(Network Access Control)实现对于OT网络内设备及数据的防护。

同时支持VPN(Virtual Private Network)技术,利用公共网络建立虚拟私有网络,对数据进行加密从而保障数据安全。

数据链路安全

EnOS Edge监控从设备接入端到数据传输至EnOS的链路流量。当出现流量激增或陡降的情况会及时发出告警信息,从而能够及时发现设备断连或出现异常流量攻击等情况。

安全扫描与认证

EnOS Edge具有绿盟安全扫描报告。并使用了Nessus对系统接口、配置等放面进行了安全扫描。

同时,EnOS Edge也使用了Sonar、Fortify进行了静态代码安全扫描。

权限控制

基于RBAC(Role-Based Access Control)思想设计,利用角色绑定权限、人员绑定角色,通过多对多关系授权管理,实现功能使用、数据访问的授权安全管理。

  • 账号唯一:基于账号生成规则给每个系统用户生成全局唯一标识

  • 访问权限控制:通过权限管理系统管理角色、用户,实现功能和数据的安全访问