国家发展改革委综合司司长袁达在吹风会上说。

2021年，全国规模以上电子信息制造业增加值比上年增长15.7%，增速创下近10年新高;软件和信息技术服务业、互联网和相关服务企业的业务收入保持了17.7%和16.9%的高增速，分别达到94994亿元和15500亿元彭博社报道称，新基建助力中国经济实现稳增长。

细分领域亮点纷呈，中国企业和研究机构在大模型、计算机视觉、机器翻译等领域取得显著技术突破。而在中国，受益于电子商务便利的不只是城市居民。据彭博社分析，今年中国计划投资基础设施建设至少达到14.8万亿元人民币。《华尔街日报》报道称，中国政府今年批准了一个大数据基础设施项目。中国政府修建的高速数据系统，不仅将促进中国对光纤技术、计算机服务器、软件、工程师和一些基础设施建设的需求，还将壮大中国的数据处理器市场。

统计测算数据显示，2012年至2021年，中国数字经济规模从11万亿元增长到超45万亿元，数字经济占GDP比重由21.6%提升至39.8%。2021年，全国规模以上电子信息制造业增加值比上年增长15.7%，增速创下近10年新高;软件和信息技术服务业、互联网和相关服务企业的业务收入保持了17.7%和16.9%的高增速，分别达到94994亿元和15500亿元。针对IOT安全防护场景，可结合物联网云-管-边-端的体系结构，融入零信任安全架构，同时结合工业互联网标识解析技术解决物联网设备可信身份认证的问题，提升物联网边缘侧、通信网络和云平台的安全防护。

2)物联网终端安全风险1、终端自身安全风险，存在口令被破解、设备被入侵、恶意软件感染等风险;2、终端网络接入风险，终端多处于边缘侧，存在设备假冒、非法设备接入等风险;3、终端数据安全风险，存在隐私数据泄露、数据被窃取等风险;4、终端生产安全风险，存在数据被篡改、服务中断等风险。零信任需要能够跨IoT、IIoT、IT和云网络，检测和响应威胁。该传感器结合使用被动和主动发现技术，利用工业协议的先进知识，通过深度数据包检测，对数据包有效载荷进行解码和分析。使用AWS物联网，通过适当的身份验证和授权授予访问权限，其中考虑了设备的运行状况。

图14、工业互联网标识解析的基本业务流程(引用自工业互联网产业联盟《工业互联网标识解析白皮书》)工业互联网标识解析，主要解决的是设备可信身份的问题，通过主动标识模组载体，为每一件产品分配一个数字身份证工业互联网标识。应用安全策略对网络进行分段，保护每个分区，分区之间的通信通过管道严格管控。

图10、物联网应用系统模型(引用自中国信通院《物联网安全白皮书》)1)物联网服务端安全风险1、服务端存储大量用户数据，易成为攻击焦点;2、服务端多数部署于云平台之上，南北向业务API接口开放、应用逻辑多样，容易引入风险;3、云平台主要采用虚拟化和容器技术，东西向存在内网渗透风险。在该矩阵中，同一区域内的端点可以彼此自由交互，但不能与其他区域中的端点交互。DNA Center提供了一个仪表板，用于可视化从ISE学习到的组之间的交互。默认情况下，零信任会拒绝物联网设备之间的访问(包括任何API调用)。

例如，虽然制造车间区域中的端点可以相互通信，但它们不能与焊接车间区域中的端点通信。Cyber Vision不断评估连接端点的安全状况，自动计算每个端点的风险评分，以帮助安全管理员主动限制对工业过程的威胁。FreeRTOS 支持 TLS 1.2 以实现安全通信，并支持 PKCS #11 以用于保护存储凭据的加密元素。工业互联网边缘侧和工业互联网平台的安全，可采用零信任安全架构，融入工业互联网云-管-边-端的体系结构，解决边缘侧终端安全接入、边缘侧访问控制、隧道加密、平台侧网络隐身、平台侧动态访问控制和持续信任评估等安全痛点。

这些方法可能适用于有问题的打印机或电子邮件服务，可以使它们在修复时暂时脱机，但在OT中显然不是一个选项，因为机器不能简单地停在其轨道上。4.3、 国外IOT零信任技术分析当前国外的IOT零信任技术分为多个流派，有以云平台安全接入为核心的云平台企业，有以现有网络设备或安全设备快速改造为核心的传统安全企业，还有以SDP技术统一南北向所有设备安全接入为核心的创新企业，详细的企业和技术对比分析如下表所示。

这一原则完全适用于物联网设备，因为它们本质上具有有限、稳定和可预测的行为特点，并且可以使用它们的行为来衡量设备的健康状况。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型，而是通过持续的安全监测和信任评估，进行动态、细粒度的授权。

国外安全企业已经将零信任安全架构成功地应用于IOT安全。微隔离是一种典型的软件定义安全结构。一旦确定，每个物联网设备都应在被授予访问网络中其它设备和应用程序的权限之前，根据基线行为进行验证。工业互联网企业内网安全，可以采用一个中心、三重防御的理念，应用统一安全管理平台、工控主机卫士、工业防火墙和工业监测审计系统等系统，采用白名单的策略实施安全防护，未来可升级为零信任安全架构，在工业交换机、工业路由器和工业防火墙上引入零信任技术，实现分区之间的微隔离和动态访问控制。零信任控制器，提供身份认证、访问授权、持续评估和动态策略等功能。汇总各个风险评分以评估工业区的安全状况，并更容易确定纠正措施的优先级，例如应用漏洞补丁或安装工业防火墙，从而确保工业端点的安全。

以零信任技术为核心的安全产品，正在越来越多地应用到IT安全的各个领域。AWS IoT Device Defender使用规则检测和机器学习检测功能来确定设备的正常行为以及与基线的任何潜在偏差。

图1、NIST零信任安全框架图在零信任安全理念下，网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权。工业互联网标识解析的基本业务流程如下图所示。

缓解决策可能超出了工具的能力，因此必须建立关键决策的指挥链。对于微隔离，其核心是对全部东西向流量的可视化识别与访问控制。

第5步：不断验证信任Cyber Vision不断评估连接端点的安全状况。连接器与Appgate SDP完全集成，Appgate SDP是一个统一安全平台，在用户设备、服务器和非托管设备上强制执行一致的访问策略。6小结通过本文的探讨，我们认为零信任安全架构可以成功地应用于IT、OT和IOT的安全防护场景。每个分区中的端点可以与制造执行系统通信，但仅受管道定义的约束。

风险评分是威胁的可能性及其潜在影响的乘积，其中可能性取决于资产类型、漏洞和对外部 IP 地址的暴露，影响取决于资产类型及其对工业过程的重要性。可以将端点分配到适当的区域，并使用可扩展组标签标记其通信，该标签使网络设备能够定义和实施适当的访问策略。

7)企业尽可能多地收集有关资产、网络基础设施和通信的当前状态信息，用于改善其安全状况。传感器将有关连接端点的数据发送到被称为Cyber Vision Center的中央仪表板中，该仪表板可以帮助用户以类似地图的格式，可视化每个端点及其与其他端点的交互。

从2016年开始，微隔离项目连续3年被评为全球十大安全项目之一，并在2018年的 《Hype Cycle for Threat-Facing Technologies》(威胁应对技术成熟度曲线)中首次超过下一代防火墙(NGFW)。零信任安全代表了新一代网络安全防护理念，并非指某种单一的安全技术或产品，其目标是为了降低资源访问过程中的安全风险，防止在未经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系。

AWS IoT Device Defender持续审计和监控用户的物联网设备群，其可以采用的缓解措施如下：将设备放置在具有有限权限的静态对象组中;撤销权限;隔离设备;使用AWS IoT Jobs功能打补丁，并进行无线更新，以保持设备健康和合规;使用AWS IoT安全隧道功能远程连接到设备进行服务或故障排除。物联网设备必须通过 AWS IoT Core 进行身份验证并获得授权，然后才能执行操作。3零信任是否适用于OT安全?零信任安全架构在IT安全领域取得成功后，是否适用于OT安全?在回答这个问题之前，我们先分析下国内外OT安全的当前现状和新探索。图4、微隔离技术的领先者illumio产品的东西向流量可视化微隔离是在数据中心和云平台中以创建安全区域的方式，隔离工作流，并对其进行单独保护，目的是让网络安全更具粒度化。

它们可以通过降低其访问权限或关闭它所连接的交换机端口来有效地将端点从网络中删除。4)对资源的访问由动态策略确定，包括客户端身份、应用程序和服务以及请求资产的健康状况，所有这些都可能包括其他行为和环境属性。

最后，利用SecureX进行安全策略编排，类似于SOAR，降低OT环境中的风险。在国内，零信任安全架构尚未应用到OT安全领域，假设在白名单产品的基础上应用零信任安全架构，安全产品将获得哪些提升?下表将探讨零信任安全架构如何应用于OT安全产品。

例如，用户可以打开AWS IoT Device Defender审计功能来获取物联网设备的安全基线。SecureX提供了一种单一平台的安全方法。