工业互联网IoT物联网设备网络接入认证安全最佳实践

制造业数字化转型过程中，产线物联网（IoT）设备、工控机的引入极大提高了生产效率的同时，也埋下了不容忽视的安全隐患。尤其制造业已成为勒索软件攻击的重灾区，利用物联网设备漏洞进行恶意攻击的事件不胜枚举，如2018年台积电遭遇WannaCry勒索事件，2021年5月美国最大的成品油管道运营商Colonial Pipeline受勒索攻击致输油管道瘫痪事件。为保障产线业务持久稳定，企业应加强对工业互联网中IoT设备、工控终端的接入管控。

一次认证事故引起CIO对产线设备接入认证的重视

某电器龙头企业为保障公司内网安全，在办公部门采用802.1X接入认证方式。不久前，一次接入认证事故导致全体办公人员无法入网。CIO（信息安全负责人）考虑到生产线的设备如果出现认证事故，连不了网，生产中断，将会给公司造成重大财产损失。因此，生产网放弃使用802.1X接入认证，以业务连续性为第一准绳。

生产网内有大量IoT物联网设备、工控机，如PDA（手持终端）、机械臂、监控摄像头等，类型复杂、数量众多，甚至安全管理人员对于生产网的IoT资产清单也不十分清楚。单纯依赖手动管理设备的MAC地址做接入认证，并不是一个智能和高效的方法。

如果依赖网络设备自带的MAB认证，难点在于：

• 审计难：只有MAC地址，没有其他信息；
• 一刀切：只能放行或不放行，无法叠加其他策略；
• 维护难：手动录入，手动管理。

是否有更适合产线/工业互联网IoT设备的网络准入方案，来保障产线的业务连续性？

超轻量终端准入方案，无Agent部署护航业务连续

宁盾泛终端敏捷准入产品针对制造业特有的网络环境和客户需求，提供了针对性的解决方案：超轻量准入无Agent部署方案。这一方案采用旁路镜像部署，无需安装任何Agent。产线设备的网络接入采用MAB认证方式，超轻量准入方案通过智能设备指纹及策略实现IoT设备的自动发现和加白，摒弃了传统手动录入、管理的流程，大大提升管理水平。

此外，超轻量准入方案提供了灵活的自定义策略，在低代码策略引擎的加持下，过去的命令代码场景已经转变为一分钟即可设置出多条策略，简单易上手，灵活匹配各类生产、办公、研发环境准入需求。利用叠加策略绑定设备与厂商、类型等对应关系，还可以用来防止恶意仿冒MAC地址的行为，确保在网IoT设备的安全。

使用超轻量终端准入方案，让在网IoT资产可视化，为运维管理减少手动操作流程，让管理更加智能高效，管控措施更加柔性灵活，既满足了客户对于网络安全和业务连续性的要求，也超预期底降低了客户的部署和实施成本，真正做到了降本、提效、安全。