工业物联网中IAM的区别性特征有哪些

工业物联网中IAM的区别性特征有以下这些：

• 工业物联网端点的多样性：IIoT部署包括需要唯一标识和验证的各种端点，包括占用资源少、通常被部署在远端以及通常是电池供电的现场设备，如连接的传感器、油泵以及执行器。这些设备与物理环境交互，易受物理环境访问和篡改的影响。在这些端点中，处于较高端的是服务器和网关，它们具有高内存和较强的处理能力，通常位于保证物理安全的数据中心设施中。

• 关于资源受限和棕地的考虑：处于低端的工业微控制器和物联网传感器会受到内存和其他资源的限制。为了确定用于管理设备标识的加密框架，我们必须考虑端点的内存和计算能力。非对称加密算法通常会消耗大量计算能力、内存和电力资源，而某些基于对称加密的技术能够以更低的计算和功耗成本提供相互的身份认证。

• 物理安全性和可靠性：网络物理系统的完整性会对系统可靠性以及环境和人类安全产生直接影响。与IT基础设施不同，恶意端点可能在OT设置中产生灾难性的影响。有些数据也可能导致严重后果，例如，来自欺骗性传感器的数据，或者来自欺骗性的或受控的PLC的控制命令。

• 自治和可扩展性：在企业IT网络中，端点（笔记本电脑、移动设备等）可以通过与员工关联的公司凭据（如用户名和密码、令牌或者生物识别）来识别。在自治的M2M世界中，设备端点必须通过不需要人工交互的方式进行身份识别，这些标识符包括射频识别（RFID）、对称密钥、X.509证书或者烧录在基于硬件信任根保险丝中的公钥。

• 缺少事件记录：传统工业设备通常不生成用于报告的日志式数据，在ICS和SCADA系统中，通常并不维护事件事务历史数据。历史记录数据包括处理历史记录，但它更多的是跟踪控制器命令输出（如阀门打开/关闭），这不是设备可见性所需的事件日志式的历史记录。与账户相关的事件监控是IAM不可或缺的一部分，任何恶意或错误的活动或者功能异常都需要被及时标记。该领域需要进一步创新和强化。

• 基于风险的访问控制策略：实现身份识别和访问控制可能代价高昂，这就是“通过评估和优先考虑威胁来使IAM战略与风险水平保持一致”十分重要的原因。工业事故中的威胁对象有更大的动机和更多的资金，因此小型智能风电场的身份违规风险可能远低于智能城市能源网。IIoT部署架构通常要确定边缘地和云的边界。在使用公共数据中心和云提供商（如AWS和Microsoft Azure）的情况下，云提供商可能已经拥有共享安全模型，并且其中也考虑了部分管理身份识别和访问控制。