某新型智能制造企业IT/OT融合后的攻击面迅速扩大，新厂房车间的扩建、新生产线的建立、全新的机台设备引入、新的业务模式、生产管理系统……打通了IT与OT的边界，然而部分工业系统仍然具有高风险漏洞，但全网无工业安全防护设备。

同时，影子IT现象也让生产网存在“暗”流量问题，无法满足合规要求，生产网内流量无法可视化，出现异常故障排查非常困难，车间内终端存在线路错误的风险，还有VLAN运维难度大等问题，影响生产，威胁通过VPN向其他区域的工厂蔓延，造成更大范围的危害，但威胁移除的周期却难把控。

Fortinet为其构建基于ZTNA理念的OT网络安全方案。

首先，实现车间和人员的每终端隔离(ZTNA MSG)，Fortinet的工业安全防火墙FortiGate+100多台的FortiSwitch不但实现了生产网开箱即用简易型的物联网NAC，能够识别接入设备，根据接入设备的类型/身份认证/标签等应用不同的策略，而且提供最强大最细腻的微隔离，杜绝了威胁的横向移动纵向传播，FortiSwitch安全交换机支持MRP协议，实现PCN网络的快速故障恢复。

另外，在微隔离之上通过在2.5层、3.5层部署工业防火墙识别工业协议流量，进行细颗粒度的协议消息识别(“信令级别”)，包括消息和参数级别的策略控制。

第三，建立人员和设备的IAM系统，为生产车间的设备在FortiAuthenticator上建立账号，当设备接入网络时，根据FortiAuthenticator上账号信息(MAC地址)来认证设备并分类到不同的VLAN中，解决了大量的机台设备、IIoT设备接入的风险控制问题。

第四，实现用户的双因素认证，让用户远程接入、远程设备维护更安全。当用户离开办公园区，通过FortiToken实现多因素认证，有效避免账号泄密带来的风险。动态令牌技术实现随时随地安全登录，满足员工账号管理安全，为员工随时随地办公创造安全环境。

此外，Fortinet还为客户以FortiMail为核心建立邮件安全防护体系，有效过滤钓鱼、病毒、垃圾邮件，同时对关键业务邮件、供应商邮件采用了IBE-S/MIME模式加密。

最后，建立IT/OT融合的安全自动化运维系统，通过部署全面集成OT功能的FortiAnalyzer+ FortiSIEM平台，实现OT网络的可视化、OT UEBA和异常分析、IT/OT融合的安全自动化运营，缩短安全事件的闭环处理周期。

Fortinet 完整的OT安全解决方案能力真正做到了覆盖OT网络安全建设中“设备-网络-主机-协议-数据”的整个路径，其能力更是在OT安全、ZTNA等领域获得了Gartner, Westlands, Forrester等国际权威咨询机构的专业认可。

资料来源于网络，详情请点击：

网络访问控制NAC（https://www.fortinet.com/cn/products/network-access-control）

FortiExtender 蜂窝网关（https://www.fortinet.com/cn/products/wireless-wan-fortiextender）