工業互聯網系統保護資源受限端點安全措施有哪些

工業互聯網系統保護資源受限端點安全措施有以下這些：

• 密碼加速器和協處理器（如TPM）是專門用于安全和加密處理的獨立硬件模塊，它們由基于片上系統（SoC）設計的單個集成電路組成，所占的面積很小，這些模塊可以減輕主CPU在安全操作上的壓力，并且可以用于提高端點的處理能力和電池壽命。

• 現場可編程門陣列（FPGA）包含在許多新器件中。FPGA可在現場進行重新編程，這是長期使用的IIoT器件關注的要點。

• 通過加密算法的選擇來為較短的密鑰（強度/密鑰）提供較高的強度，是資源受限設備需要考慮的另一個因素。例如，283位的ECC密鑰等同于3072位的RSA密鑰（SYM-ECC）。然而，這只是一個例子，在選擇橢圓曲線算法時，還應考慮其他多個因素（RFC-6090）。

• 對于資源受限的端點，可以將安全功能交給安全網關來實現。

• 虛擬化是在同一物理平臺上實例化多個端點的一種選擇。在虛擬化環境中，可以用專用的虛擬機（VM）作為該平臺中所有其他端點的安全代理。

• 帶寬的限制、通信信道的可用性，以及電源和工廠維護窗口的可用性使得在資源受限的環境中應用補丁和更新變得更加困難。使用增量更新而非全部更新是解決這些困難的方式之一。在基于PKI的方案中，可以考慮使用OCSP、OCSP裝訂、短期證書（SLC）或長期證書來代替CRL。

• 在ICS/SCADA網絡中，端點包括資源受限的傳統設備，它們具有較低的計算能力和靜態配置，根本無法進行升級。

回答所涉及的環境：聯想天逸510S、Windows 10。