Skip to content

Zero Trust Security

EnerOS Bot edited this page Jul 5, 2026 · 1 revision

中文 | English

零信任与安全合规

维护版本:v0.51.2 | 最后更新:2026-07-06

EnerOS v0.39.0 引入零信任架构,从"边界防御"转向"永不信任,持续验证"。本页概述 trust / ids / audit / compliance 四大安全子系统;完整配置请参阅主仓库 docs/deployment.md §3.4 + ADR-0007 + docs/compliance/

四大安全子系统

┌──────────────────────────────────────────────────┐
│                  EnerOS 实例                      │
│                                                   │
│  ┌─────────────┐  ┌─────────────┐               │
│  │ eneros-trust│  │  eneros-ids │               │
│  │ CA / mTLS   │  │  基线 / IOC │               │
│  │ 证书轮转    │  │  行为分析   │               │
│  └──────┬──────┘  └──────┬──────┘               │
│         │                │                        │
│  ┌──────┴────────────────┴──────┐               │
│  │       eneros-audit           │               │
│  │  HMAC 链 + WORM 存储         │               │
│  └──────────────┬───────────────┘               │
│                 │                                 │
│  ┌──────────────┴───────────────┐               │
│  │    eneros-compliance         │               │
│  │  NERC CIP / IEC 62443 /      │               │
│  │  GDPR / PIPL / CCPA          │               │
│  └──────────────────────────────┘               │
└──────────────────────────────────────────────────┘

eneros-trust — 零信任基础

能力 说明
内部 CA 自签名根证书 + 中间 CA,签发所有服务证书
mTLS 双向认证 服务间通信强制 mTLS,客户端需提供由内部 CA 签发的有效证书
证书自动轮转 到期前 rotation_days_before_expiry(默认 30 天)自动轮转
证书撤销 CRL + OCSP 在线撤销检查
[zero_trust]
ca_cert_path = "/etc/eneros/tls/ca.crt"
ca_key_path = "/etc/eneros/tls/ca.key"
cert_dir = "/var/lib/eneros/certs"
rotation_days_before_expiry = 30
mtls_required = true

EventBus broker mTLS(需启用 mtls feature):

eneros-eventbus-broker --tls-cert /etc/eneros/tls/broker.crt \
                       --tls-key /etc/eneros/tls/broker.key \
                       --tls-ca /etc/eneros/tls/ca.crt

eneros-ids — 入侵检测

能力 说明
API 行为基线 学习每个 API 端点的正常调用模式(频率 / 参数 / 来源)
IOC 威胁情报 从 JSON 文件加载 IOC(IP / 域名 / 哈希),匹配实时流量
登录锁定 连续 lockout_threshold(默认 5)次失败后锁定 lockout_duration_secs(默认 900s)
异常告警 检测异常后上送事件总线,触发 AIOps 关联分析
[threat_detection]
enable_baseline = true
enable_ids = true
lockout_threshold = 5
lockout_duration_secs = 900
intel_file_path = "/etc/eneros/security/ioc.json"

eneros-audit — WORM 审计日志

能力 说明
WORM 存储 Linux 上 chattr +a 设置只追加属性,防篡改;非 Linux 仅日志警告
HMAC-SHA256 链 每条记录的 hash 包含前一条 hash,篡改历史导致后续校验失败
自动轮转 单文件超过 max_size_mb(默认 512)自动轮转
保留策略 默认保留 retention_days = 365
[audit]
storage_path = "/var/lib/eneros/audit"
max_size_mb = 512
retention_days = 365
hmac_secret = "<32-byte-hex-secret>"

eneros-compliance — 合规框架

标准 范围 文档
NERC CIP 北美电力系统关键基础设施保护 docs/compliance/nerc-cip.md
IEC 62443-4-1 工业自动化系统安全 SDLC docs/compliance/iec-62443-4-1-sdlc.md
IEC 62443-4-2 安全等级 SL 矩阵 docs/compliance/iec-62443-4-2-sl-matrix.md
GDPR 欧盟通用数据保护条例 v0.47.0 数据主体权利
PIPL 中国个人信息保护法 v0.47.0
CCPA 加州消费者隐私法 v0.47.0

三层防御

工具 频率 触发
静态分析 SAST(CodeQL / Semgrep) 每次 PR 严重漏洞阻塞合并
依赖审计 cargo audit 每次 PR + 每日 cron RUSTSEC 漏洞
许可证检查 cargo deny 每次 PR GPL/AGPL 拒绝

已知限制(v0.51.2)

  • IOC 威胁情报仅 JSON 文件加载,未集成威胁情报平台(如 MISP)
  • 行为基线仅 API 层,未覆盖事件总线流量
  • WORM 仅 Linux chattr +a,未支持对象存储 WORM(如 S3 Object Lock)
  • 合规报告生成需手动触发,未支持定时报告

相关文档

Clone this wiki locally