1零信任安全簡介

云計算、大數據、物聯網和移動互聯網時代，網絡安全邊界逐漸瓦解，內外部威脅愈演愈烈，傳統的邊界安全難以應對，零信任安全應運而生。

零信任安全代表了新一代網絡安全防護理念，并非指某種單一的安全技術或產品，其目標是為了降低資源訪問過程中的安全風險，防止在未經授權情況下的資源訪問，其關鍵是打破信任和網絡位置的默認綁定關系。

圖1、NIST零信任安全框架圖

在零信任安全理念下，網絡位置不再決定訪問權限，在訪問被允許之前，所有訪問主體都需要經過身份認證和授權。身份認證不再僅僅針對用戶，還將對終端設備、應用軟件等多種身份進行多維度、關聯性的識別和認證，并且在訪問過程中可以根據需要，多次發起身份認證。授權決策不再僅僅基于網絡位置、用戶角色或屬性等傳統靜態訪問控制模型，而是通過持續的安全監測和信任評估，進行動態、細粒度的授權。

2零信任成功應用于IT安全

圖2、IT數據中心的南北向和東西向流量

零信任安全架構已經成功地應用到IT安全領域，成功解決了IT數據中心南北向和東西向安全防護的痛點。當前零信任的落地技術主要有三個：軟件定義邊界(Software Defined Perimeter，簡稱SDP)、身份識別與訪問管理(Identity and Access Management，簡稱IAM)和微隔離(Micro Segmentation，簡稱MSG)。SDP和IAM的技術結合，解決了企業遠程安全辦公、遠程安全運維和遠程安全研發的網絡安全和數據安全問題，也解決了數據中心南北向網絡隱身、身份認證和訪問控制的難題。MSG技術，解決了數據中心東西向流量可視化、訪問控制和策略自適應的難題。

表1、國外零信任SaaS的典型企業

SDP是由國際云安全聯盟CSA于2013年提出的基于零信任理念的新一代網絡安全技術架構。SDP以預認證和預授權作為它的兩個基本支柱。通過在單數據包到達目標服務器之前對用戶和設備進行身份驗證和授權，SDP可以在網絡層上執行最小權限原則，可以顯著地縮小攻擊面。

圖3、基于SDP的南北向安全防護

SDP架構由客戶端、安全網關和控制中心三個主要組件組成。客戶端和安全網關之間的連接是通過控制中心與安全控制通道的信息交互來管理的。該結構使得控制平面與數據平面保持分離，以便實現完全可擴展的安全系統。此外，SDP架構的所有組件都可以集群部署，用于擴容或提高系統穩定運行時間。

微隔離的概念最早由VMware在發布NSX產品時正式提出。從2016年開始，微隔離項目連續3年被評為全球十大安全項目之一，并在2018年的 《Hype Cycle for Threat-Facing Technologies》(威脅應對技術成熟度曲線)中首次超過下一代防火墻(NGFW)。

圖4、微隔離技術的領先者illumio產品的東西向流量可視化

微隔離是在數據中心和云平臺中以創建安全區域的方式，隔離工作流，并對其進行單獨保護，目的是讓網絡安全更具粒度化。微隔離是一種能夠識別和管理數據中心與云平臺內部流量的隔離技術。對于微隔離，其核心是對全部東西向流量的可視化識別與訪問控制。微隔離是一種典型的軟件定義安全結構。它的策略是由一個統一的計算平臺來計算的，而且需要根據虛擬化環境的變化，做實時的自適應策略重算。

當前比較流行的SDP和微隔離技術，均是典型的軟件定義安全的技術。以零信任技術為核心的安全產品，正在越來越多地應用到IT安全的各個領域。

3零信任是否適用于OT安全?

零信任安全架構在IT安全領域取得成功后，是否適用于OT安全?在回答這個問題之前，我們先分析下國內外OT安全的當前現狀和新探索。

3.1、國內OT安全現狀及思考

國內的OT安全市場當前以白名單理念為主，產品和解決方案主要圍繞等保2.0，以“一個中心、三重防御”為思路，產品主要包括：工控主機衛士、工業防火墻、工業網閘、工業監測審計系統、統一安全管理平臺等。在國內，零信任安全架構尚未應用到OT安全領域，假設在白名單產品的基礎上應用零信任安全架構，安全產品將獲得哪些提升?下表將探討零信任安全架構如何應用于OT安全產品。

表2、零信任安全架構應用于OT安全產品的思考

3.2、國外OT安全現狀及新探索

國外的OT安全市場當前百家爭鳴，包括但不限于：專注白名單的工業防火墻，專注物理上單向傳輸的工業網閘，專注工業流量全面可視化的下一代防火墻，基于零信任架構的工控安全解決方案等。

表3、國外OT安全的典型企業和產品

3.2.1、思科零信任OT解決方案

本文重點關注OT安全的新探索，思科基于零信任架構的工控安全解決方案。

圖5、思科基于零信任架構的工控安全解決方案

思科零信任工控安全解決方案的組件如下表所示，主要包括：思科工業交換機和路由器及運行在上面的Cyber Vision傳感器、Cyber Vision中心、ISE身份服務引擎、Secure X安全編排引擎、思科工業防火墻、思科DNA中心。

表4、思科零信任工控安全解決方案的組件

OT網絡的零信任之路如下：

第1步：識別端點并建立初始信任

Cyber Vision傳感器嵌入網絡設備(交換機、路由器和網關)，收集流經工業基礎設施的數據包 。該傳感器結合使用被動和主動發現技術，利用工業協議的先進知識，通過深度數據包檢測，對數據包有效載荷進行解碼和分析。Cyber Vision能夠分析每個端點，詳細描述其與其他端點和資源的交互，并構建資產清單。

圖6、Cyber Vision中心從網絡中收集數據

Cyber Vision傳感器易于在OT網絡中部署，因為它們在思科工業網絡基礎設施上作為軟件運行，不需要單獨的設備，但如果OT網絡由無法運行傳感器的設備組成，則可以使用專用設備。傳感器將有關連接端點的數據發送到被稱為Cyber Vision Center的中央儀表板中，該儀表板可以幫助用戶以類似地圖的格式，可視化每個端點及其與其他端點的交互。該地圖視圖對于OT團隊根據實際的工業過程邏輯對端點進行分組特別有用，因此它可以根據不同的組與組之間的通信來構建策略。

第2步：定義和驗證訪問策略

在網絡中定義有效的訪問策略需要IT和OT團隊之間的協作。

ISA99/IEC 62443工業網絡安全標準將區域定義為具有類似安全要求、清晰物理邊界和需要相互對話的設備組。例如，汽車工廠可能有一條焊接生產線和一條噴漆生產線。焊接設備沒有理由需要與油漆車間的設備交互。如果一個區域內的設備受到感染，將每個設備放置在自己的區域內可以限制任何損壞。如果不同區域的設備確實需要相互通信，則管道定義了允許的有限交互。訪問策略將OT網絡中的區域和管道形式化。

Cyber Vision可以直接與ISE集成。一旦OT管理員在Cyber Vision中對資產進行分組，該信息將自動與ISE共享。ISE可以利用資產詳細信息和分組來確定必須應用的安全策略。可以將端點分配到適當的區域，并使用可擴展組標簽標記其通信，該標簽使網絡設備能夠定義和實施適當的訪問策略。

第3步：驗證合規性策略

在執行策略之前，需要對其進行驗證。DNA Center提供了一個儀表板，用于可視化從ISE學習到的組之間的交互。DNA Center還為每個交互提供了詳細信息，如應用程序、協議、端口號等。有了這些信息，用戶可以根據需要調整定義的策略，以確保它們不會妨礙任何合法的交互。

圖7、DNA中心提供組間流量的可視化映射

第4步：通過網絡分段加強信任

一旦策略得到驗證，用戶可以使用易用的矩陣在DNA Center或ISE中編寫它們，其中每個單元定義了源和目標組之間允許的通信。在該矩陣中，同一區域內的端點可以彼此自由交互，但不能與其他區域中的端點交互。例如，雖然制造車間區域中的端點可以相互通信，但它們不能與焊接車間區域中的端點通信。每個分區中的端點可以與制造執行系統通信，但僅受管道定義的約束。

圖8、DNA中心使用矩陣定義策略

定義的策略現在發送給ISE，ISE依次配置工業交換機和路由器，以根據連接到該端口的端點的情況，對其每個端口強制執行策略限制。應用這些策略對網絡進行分段，使每個分區都受到保護，分區之間的通信通過定義的管道得到嚴格控制。

定義、驗證和強制執行訪問規則的過程使OT能夠控制其安全標準。一旦實現了這個過程，添加新的端點和根據需求變化修改策略就變得很容易了。例如，如果未來需要在生產車間和裝配線之間進行某些通信，則可以在策略矩陣中定義新策略，并輕松地重新配置基礎設施。

第5步：不斷驗證信任

Cyber Vision不斷評估連接端點的安全狀況。它會自動計算每個端點的風險評分，以幫助安全管理員主動限制對工業過程的威脅。風險評分是威脅的可能性及其潛在影響的乘積，其中可能性取決于資產類型、漏洞和對外部 IP 地址的暴露，影響取決于資產類型及其對工業過程的重要性。

匯總各個風險評分以評估工業區的安全狀況，并更容易確定糾正措施的優先級，例如應用漏洞補丁或安裝工業防火墻，從而確保工業端點的安全。

圖9、Cyber Vision根據其潛在影響和發生的可能性評估風險

但是，即使將風險保持在最低水平并且正確執行了訪問策略，后續攻擊也有可能突破區域，感染SCADA、PLC和HMI等控制系統。此類感染可能導致這些控制器對工業設備的控制行為發生改變，導致生產質量問題、停產，甚至損壞機器和生產基礎設施。因此，必須持續監控所有此類控制器，以發現任何可能表明它們已被入侵的異常行為的跡象。Cyber Vision 分析所有工業通信內容，并使用先進的基線引擎跟蹤異常行為。

第6步：降低風險

IT有兩種方法來處理端點中已識別的風險。它們可以通過降低其訪問權限或關閉它所連接的交換機端口來有效地將端點從網絡中刪除。這些方法可能適用于有問題的打印機或電子郵件服務，可以使它們在修復時暫時脫機，但在OT中顯然不是一個選項，因為機器不能簡單地停在其軌道上。減輕工業環境中已識別的威脅需要IT和OT安全團隊之間的密切合作。

雖然需要根據威脅的影響來評估對每個威脅的適當響應，但 IT 和 OT 團隊應事先制定一份行動手冊，在發現漏洞時立即執行。緩解決策可能超出了工具的能力，因此必須建立關鍵決策的指揮鏈。例如要將需要停止生產的情況以及相關責任人記錄在案。

SecureX提供了一種單一平臺的安全方法。它與關鍵安全工具集成，并在這些工具之間提供所需的編排，以執行用戶定義的工作流。

3.2.2、思科零信任OT解決方案的分析

思科的零信任OT解決方案，結合了思科工業交換機、工業路由器等網絡設備，將Cyber Vision傳感器嵌入網絡設備，實現了對端點和端點之間資源交互的實時跟蹤，并構建了資產清單。傳感器將有關連接端點的數據發送到Cyber Vision中心。借鑒IEC 62443，在Cyber Vision中心，訪問策略將OT網絡中的區域和管道形式化 ，資產放置在區域內，跨區域之間的通信通過管道連接。Cyber Vision可以直接與ISE集成，ISE可以利用資產詳細信息和分組來確定必須應用的安全策略。在執行策略之前，可以使用DNA中心的儀表板對安全策略進行驗證，該儀表板用于可視化ISE學習到的分組之間的交互。策略驗證后，用戶可以在DNA中心使用矩陣定義安全策略。定義的策略發送給ISE，ISE依次配置工業交換機和路由器，對網絡設備上的每個端口強制執行策略限制。應用安全策略對網絡進行分段，保護每個分區，分區之間的通信通過管道嚴格管控。Cyber Vision不斷評估連接端點的安全狀況，自動計算每個端點的風險評分，以幫助安全管理員主動限制對工業過程的威脅。最后，利用SecureX進行安全策略編排，類似于SOAR，降低OT環境中的風險。

思科的零信任OT解決方案，利用網絡設備作為安全分區的邊界，分區之間的通信通過管道嚴格管控，網絡設備上配置傳感器，學習端點和端點之間的交互，便于自適應安全策略的生成和用戶的驗證。這種方案設計很巧妙，可以理解為基于網絡設備的微隔離技術，而非IT領域的基于端點的微隔離技術。

表5、思科零信任工控安全解決方案的優劣勢分析

4零信任成功應用于IOT安全

物聯網應用系統模型，包括三部分：服務端系統、終端系統和通信網絡。物聯網安全風險主要集中在服務端、終端和通信網絡三個方面。

圖10、物聯網應用系統模型

(引用自中國信通院《物聯網安全白皮書》)

1)物聯網服務端安全風險

1、服務端存儲大量用戶數據，易成為攻擊焦點;

2、服務端多數部署于云平臺之上，南北向業務API接口開放、應用邏輯多樣，容易引入風險;

3、云平臺主要采用虛擬化和容器技術，東西向存在內網滲透風險。

2)物聯網終端安全風險

1、終端自身安全風險，存在口令被破解、設備被入侵、惡意軟件感染等風險;

2、終端網絡接入風險，終端多處于邊緣側，存在設備假冒、非法設備接入等風險;

3、終端數據安全風險，存在隱私數據泄露、數據被竊取等風險;

4、終端生產安全風險，存在數據被篡改、服務中斷等風險。

3)物聯網通信網絡安全風險

1、通信網絡未加密，存在數據被竊聽、數據被篡改等風險;

2、通信網絡非授權接入，存在非法接入、網絡劫持等風險;

3、通信網絡易受到拒絕服務攻擊等風險。

SDP技術用于解決南北向的安全問題，結合物聯網云-管-邊-端的體系結構，可以通過可信終端接入、可信鏈路傳輸、可信資源權限、持續信任評估和動態訪問控制等方式解決南北向的安全隱患。微隔離技術用于解決東西向的安全問題，可以解決物聯網云平臺內部的東西向安全隱患。

國外安全企業已經將零信任安全架構成功地應用于IOT安全。下表列舉了國外零信任IOT安全的典型企業，下面本節將重點分析典型案例。

表6、國外零信任IOT安全的典型企業

4.1、亞馬遜AWS的IOT安全

圖11、AWS IOT安架構

AWS物聯網通過以下七條原則幫助用戶采用基于NIST 800-207的零信任架構。

1)所有數據源和計算服務都是資源。

AWS將客戶的數據源和計算服務作為資源建模。AWS IoT Core和AWS IoT Greengrass是包含客戶資源的服務，物聯網設備需要安全調用這些服務。每個連接的設備必須具有與物聯網服務交互的憑據，所有進出的流量都使用TLS安全傳輸。

2)無論網絡位置如何，所有通信都是安全的。

通過使用TLS認證和授權API調用，設備和云服務之間的所有通信都受到保護。當設備連接到其他設備或云服務時，它必須通過使用 X.509 證書、安全令牌和自定義授權人等主體進行身份驗證來建立信任。除了身份認證外，零信任還需要在連接到AWS IoT Core后控制設備操作的最小訪問權限。

AWS提供設備軟件以允許物聯網設備安全地連接到云中的其他設備和服務。AWS IoT Greengrass 對本地和云通信的設備數據進行身份驗證和加密。FreeRTOS 支持 TLS 1.2 以實現安全通信，并支持 PKCS #11 以用于保護存儲憑據的加密元素。

3)在每個會話的基礎上授予對單個企業資源的訪問權限，并在授予訪問權限之前使用最小權限評估信任。

AWS物聯網服務和API調用基于每個會話授予對資源的訪問權限。物聯網設備必須通過 AWS IoT Core 進行身份驗證并獲得授權，然后才能執行操作。每次設備連接到 AWS IoT Core 時，它都會出示其設備證書或自定義授權人以通過身份驗證。在這個過程中，物聯網策略被強制檢查，設備是否被授權訪問它所請求的資源，并且該授權僅對當前會話有效。下次設備連接時，它會執行相同的步驟。

4)對資源的訪問由動態策略確定，包括客戶端身份、應用程序和服務以及請求資產的健康狀況，所有這些都可能包括其他行為和環境屬性。

零信任的核心原則是在進行風險評估以及可接受行為獲得批準之前，不應授予任何設備訪問其他設備和應用程序的權限。這一原則完全適用于物聯網設備，因為它們本質上具有有限、穩定和可預測的行為特點，并且可以使用它們的行為來衡量設備的健康狀況。

一旦確定，每個物聯網設備都應在被授予訪問網絡中其它設備和應用程序的權限之前，根據基線行為進行驗證。可以使用AWS IoT Device Shadow服務檢測設備的狀態，并且可以使用AWS IoT Device Defender檢測設備異常。AWS IoT Device Defender使用規則檢測和機器學習檢測功能來確定設備的正常行為以及與基線的任何潛在偏差。當檢測到異常時，可以根據策略以有限的權限隔離設備，或者禁止它連接到AWS IoT Core。

5)任何資產都不是天生可信的。企業監控和衡量所有自有和相關資產的完整性和安全狀況。企業應在評估資源請求時評估資產的安全狀況。實施零信任的企業應該建立一個持續的診斷和緩解系統來監控、修補和修復設備和應用程序的安全狀況。

AWS IoT Device Defender持續審計和監控用戶的物聯網設備群，其可以采用的緩解措施如下：

將設備放置在具有有限權限的靜態對象組中;

撤銷權限;

隔離設備;

使用AWS IoT Jobs功能打補丁，并進行無線更新，以保持設備健康和合規;

使用AWS IoT安全隧道功能遠程連接到設備進行服務或故障排除。

6)所有資源認證和授權都是動態的，在允許訪問之前嚴格執行。

默認情況下，零信任會拒絕物聯網設備之間的訪問(包括任何API調用)。使用AWS物聯網，通過適當的身份驗證和授權授予訪問權限，其中考慮了設備的運行狀況。零信任需要能夠跨IoT、IIoT、IT和云網絡，檢測和響應威脅。

7)企業盡可能多地收集有關資產、網絡基礎設施和通信的當前狀態信息，用于改善其安全狀況。

使用 AWS IoT Device Defender，用戶可以使用物聯網設備數據對安全狀況進行持續改進。例如，用戶可以打開AWS IoT Device Defender審計功能來獲取物聯網設備的安全基線。然后，用戶可以添加規則檢測或機器學習檢測功能來檢測連接設備中發現的異常情況，并根據檢測到的結果進行改進。

4.2、 Cyxtera Appgate的IOT安全

圖12、Appgate IOT安全架構

Appgate 物聯網安全架構相對來說比較簡單，Appgate采用物聯網連接器接入物聯網設備。Appgate物聯網連接器利用零信任的核心原則來保護非托管設備，限制橫向移動并減少組織的攻擊面。連接器提供了對設備連接到網絡的方式和時間以及它們可以連接哪些網絡資源的精細控制。連接器與Appgate SDP完全集成，Appgate SDP是一個統一安全平臺，在用戶設備、服務器和非托管設備上強制執行一致的訪問策略。

Appgate連接器是連接物聯網設備和網絡之間的網關。Appgate連接器向Appgate控制器發出訪問請求。控制器以身份驗證質詢進行響應，然后根據用戶、環境和位置評估訪問憑據并應用訪問策略。Appgate為每個設備會話創建一個動態的“一段式”網絡。一旦建立連接，對資源的所有訪問都會從設備通過加密的網絡網關傳輸到服務器。所有訪問都通過LogServer記錄，確保有一個永久的、可審計的用戶訪問記錄。

4.3、 國外IOT零信任技術分析

當前國外的IOT零信任技術分為多個流派，有以云平臺安全接入為核心的云平臺企業，有以現有網絡設備或安全設備快速改造為核心的傳統安全企業，還有以SDP技術統一南北向所有設備安全接入為核心的創新企業，詳細的企業和技術對比分析如下表所示。

表7、國外IOT零信任技術對比分析

5零信任+工業互聯網安全

上一節我們分析了零信任技術在物聯網安全領域的成功應用，本節聚焦在工業互聯網安全領域，如何應用零信任技術解決企業的安全痛點?

5.1、零信任融入工業互聯網安全

當前工業互聯網安全主要分為三個場景，工業互聯網企業內網安全、工業互聯網邊緣側安全和工業互聯網平臺安全。

工業互聯網企業內網安全，可以采用“一個中心、三重防御”的理念，應用統一安全管理平臺、工控主機衛士、工業防火墻和工業監測審計系統等系統，采用白名單的策略實施安全防護，未來可升級為零信任安全架構，在工業交換機、工業路由器和工業防火墻上引入零信任技術，實現分區之間的微隔離和動態訪問控制。

工業互聯網邊緣側和工業互聯網平臺的安全，可采用零信任安全架構，融入工業互聯網云-管-邊-端的體系結構，解決邊緣側終端安全接入、邊緣側訪問控制、隧道加密、平臺側網絡隱身、平臺側動態訪問控制和持續信任評估等安全痛點。詳細的工業互聯網安全架構如下圖所示。

圖13、基于零信任的工業互聯網安全架構圖

安全資源層：在邊緣側部署零信任邊緣網關，通過無線和有線接入物聯網設備，通過4G或5G將數據上送到云端，提供物聯網設備準入控制、身份認證、TLS通道加密等功能，同時提供邊緣防火墻功能，保護邊緣側的物聯網終端。邊緣網關，基于安全芯片的可信根，提供可信計算環境和本體安全防護。

安全服務層：在云端部署零信任安全網關和零信任控制器，實現網絡隱身。零信任安全網關，提供身份校驗、通道加密、訪問控制和數據轉發等功能。零信任控制器，提供身份認證、訪問授權、持續評估和動態策略等功能。

安全運營層：在云端部署密碼服務平臺和安全管控平臺。密碼服務平臺提供基于PKI體系的證書和密鑰分發等功能，證書用于零信任邊緣網關等設備的TLS雙向認證，需要定期更新。安全管控平臺提供資產可視化、攻擊面分析、威脅檢測和安全基線分析等功能，輔助零信任控制器，進行動態訪問控制。

5.2、零信任融合工業互聯網標識

工業互聯網標識解析體系是工業互聯網網絡架構重要的組成部分，那么零信任安全架構是否可以結合標識解析體系提升工業互聯網安全?在回答該問題之前，本節先深入理解下工業互聯網標識解析體系。

工業互聯網標識編碼是指能夠唯一識別機器、產品等物理資源以及算法、工序等虛擬資源的身份符號;工業互聯網標識解析是指能夠根據標識編碼查詢目標對象網絡位置或者相關信息的系統裝置，對機器和物品進行唯一性的定位和信息查詢，是實現全球供應鏈系統和企業生產系統的精準對接、產品全生命周期管理和智能化服務的前提和基礎。工業互聯網標識解析的基本業務流程如下圖所示。

圖14、工業互聯網標識解析的基本業務流程

(引用自工業互聯網產業聯盟《工業互聯網標識解析白皮書》)

工業互聯網標識解析，主要解決的是設備可信身份的問題，通過主動標識模組載體，為每一件產品分配一個數字身份證“工業互聯網標識”。下表將結合工業互聯網標識解析的典型應用場景，對工業互聯網標識和零信任技術融合的優點進行探討。

表8、工業互聯網標識和零信任技術的融合分析

通過上述分析，我們認為零信任安全架構融合工業互聯網標識解析體系可以進一步保障工業互聯網安全。

6小結

通過本文的探討，我們認為零信任安全架構可以成功地應用于IT、OT和IOT的安全防護場景。

針對IT安全防護場景，企業數據中心的南北向可應用SDP技術，東西向可應用微隔離技術，企業統一身份認證可應用IAM技術，實現企業遠程安全辦公、遠程安全運維和遠程安全研發。

針對OT安全防護場景，考慮到OT的高可靠、高穩定和高性能要求，可以將零信任安全架構先應用于分區邊界的微隔離。當前流行的白名單理念是相對靜態的安全策略，一旦實施很少變動，逐步融入零信任安全理念，可實現持續信任評估和動態訪問控制，提升工控安全技術水平。

針對IOT安全防護場景，可結合物聯網云-管-邊-端的體系結構，融入零信任安全架構，同時結合工業互聯網標識解析技術解決物聯網設備可信身份認證的問題，提升物聯網邊緣側、通信網絡和云平臺的安全防護。

長揚科技作為工業互聯網安全和工控網絡安全領域的第一批踐行者，自成立以來持續深耕工業互聯網安全、工控網絡安全和“工業互聯網+安全生產”領域，為中國數字化和高質量發展提供專業可靠的安全基座。在技術創新方面，長揚科技已申請獲得專利、軟著120余項，自主研發了50余款產品，建立起一套以信創安全生態為底座安全，以工業安全靶場為能力提升手段，覆蓋工業網絡安全監測、工業網絡安全防護、工業視覺安全分析、零信任安全和數據安全的完整產品和服務體系。今年以來，長揚科技在零信任安全領域持續發力，基于 “以身份為基石、業務安全訪問、持續信任評估、動態訪問控制” 四大關鍵能力，為企業網絡構建無邊界的數據安全防護體系，為企業遠程辦公、遠程運維和遠程研發測試提供數據安全保障。此外，依托零信任架構對應云-管-邊-端的業務體系，構建工業物聯網邊緣側安全智慧管理，強化對邊緣側的安全保護，有效防護潛在威脅。