工业互联网IoT物联网设备网络接入认证安全最佳实践

制造业数字化转型过程中，产线物联网（IoT）设备、工控机的引入极大提高了生产效率的同时，也埋下了不容忽视的安全隐患。尤其制造业已成为勒索软件攻击的重灾区，利用物联网设备漏洞进行恶意攻击的事件不胜枚举，如2018年台积电遭遇WannaCry勒索事件，2021年5月美国最大的成品油管道运营商Colonial
Pipeline受勒索攻击致输油管道瘫痪事件。为保障产线业务持久稳定，企业应加强对工业互联网中IoT设备、工控终端的接入管控。

一次认证事故引起CIO对产线设备接入认证的重视

某电器龙头企业为保障公司内网安全，在办公部门采用802.1X接入认证方式。不久前，一次接入认证事故导致全体办公人员无法入网。CIO（信息安全负责人）考虑到生产线的设备如果出现认证事故，连不了网，生产中断，将会给公司造成重大财产损失。因此，生产网放弃使用802.1X接入认证，以业务连续性为第一准绳。

生产网内有大量IoT物联网设备、工控机，如PDA（手持终端）、机械臂、监控摄像头等，类型复杂、数量众多，甚至安全管理人员对于生产网的IoT资产清单也不十分清楚。单纯依赖手动管理设备的MAC地址做接入认证，并不是一个智能和高效的方法。

如果依赖网络设备自带的MAB认证，难点在于：

• 审计难： 只有MAC地址，没有其他信息；
• 一刀切： 只能放行或不放行，无法叠加其他策略；
• 维护难： 手动录入，手动管理。

是否有更适合产线/工业互联网IoT设备的网络准入方案，来保障产线的业务连续性？

超轻量终端准入方案，无Agent部署护航业务连续

![180ea4f5973722adf1ec1c5c58c671b2.jpeg](https://img-
blog.csdnimg.cn/img_convert/180ea4f5973722adf1ec1c5c58c671b2.jpeg)

![9cda6cded718cf35c3bf86773006bd61.jpeg](https://img-
blog.csdnimg.cn/img_convert/9cda6cded718cf35c3bf86773006bd61.jpeg)

宁盾泛终端敏捷准入产品针对制造业特有的网络环境和客户需求，提供了针对性的解决方案： 超轻量准入无Agent部署方案
。这一方案采用旁路镜像部署，无需安装任何Agent。产线设备的网络接入采用MAB认证方式，超轻量准入方案通过智能设备指纹及策略实现IoT设备的
自动发现和加白 ，摒弃了传统手动录入、管理的流程，大大提升管理水平。

![bf06515bb1cf4fcd7cd22337b4669471.jpeg](https://img-
blog.csdnimg.cn/img_convert/bf06515bb1cf4fcd7cd22337b4669471.jpeg)

此外，超轻量准入方案提供了灵活的自定义策略，在 低代码策略引擎
的加持下，过去的命令代码场景已经转变为一分钟即可设置出多条策略，简单易上手，灵活匹配各类生产、办公、研发环境准入需求。利用叠加策略绑定设备与厂商、类型等对应关系，还可以用来
防止恶意仿冒MAC地址 的行为，确保在网IoT设备的安全。

使用超轻量终端准入方案，让在网IoT资产可视化，为运维管理减少手动操作流程，让管理更加智能高效，管控措施更加柔性灵活，既满足了客户对于网络安全和业务连续性的要求，也超预期底降低了客户的部署和实施成本，真正做到了
降本、提效、安全 。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。