这与IIC IIRA模型中描述的“功能域”和“观点”不谋而合(图2)。

图2：IIC功能域和观点描述

为了理解如何为两种机制更有效地提供**基础，*好的方式是说明这两种归纳结果代表了传统上各自为政的资讯技术(IT)和操作技术(OT)的融合。传统的OT包含利用隔离形成的内建**性，而IT**专注于保护企业资产。将二者结合在一起时，将会暴露出两种系统的**问题，因为融合相当于提供了一种潜在的方式存取各自较疏忽之处。

因此，很显然地，不管两种架构之间存在什么样的差异和相似性，两个域彼此之间的隔离是任何相容性建置的一个重要特性。尤其是资料的划分极其重要，目的在于让资料只保留给知情的一方存取。

专为控制和限制存取资讯的**中介韧体解决方案，显然在这样的系统中扮演着潜在的角色。但他们只是复杂软体阶层中的一个元件，如果建置在不够**的基础设施上，那么它们所提供的任何保护会立即失效。值得争论的是，IT领域中盛行的复杂、单一软体堆叠由于原本具有较大的攻击面，在应用到OT领域时将无法提供需要的**等级。换句话说，建置任何可行的解决方案都需要**且无需绕行的基础，以支援中介软体提供的隔离作用。

也许关键点是，资料是使得IIoT成功且**工作的推手。这意味着系统中固有的价值是在端点创造的——无论是会计的资料库还是感测器的温度读数。因此，确保它们尽可能**是十分合理的想法。

为了不牺牲这些不同的资料来源，IIoT的基础必须为OT提供确定的**性、弹性和可靠性，而且必须提升受保护的隐私和**等级，以保护整合方案的IT侧。相反地，IT侧必须确保改善弹性和**等级，以搭配其在隐私性、**性和可靠性等方面的良好记录。

如果所有这些互连系统都从头开始设计，而且设计时考虑到这种连线性，那么所有的目的都可以达成。但很显然这并不是实用性主张！更好的建议是透过基于隔离核心的闸道来保护端点本身。

隔离核心

虽然这种方法所根据的原则对于工业领域来说还比较新，但在其它领域已经非常成熟了。隔离核心用于保护政府通讯系统的机密资讯已经有近10年的时间了，所以非常值得借鉴这种学术性理论的成功之道。

隔离核心的概念*早是John Rushby在1981年提出来的，他认为，“应该将硬体和软体结合在一起，以便在共同的实体资源上实现多种功能，而不至于发生有害的相互干扰。”这种方法的优点确实令人信服，以致于隔离核心的原则形成了多级独立**(MILS)计画的基础。

同样地，在30年前，Saltzer和Schroeder就建议“系统的每个程式和每个使用者都应该使用完成任务所需的*小权限进行操作”。这种简单而又常用的“*小权限”(least privilege)原则在重要性不同的应用彼此紧密执行时变得势在必行。

因此，隔离核心和*小权限的概念着重于模组化的优势，前者重点在于资源，后者则强调系统功能——这是Levin、Irvine和Nguyen在其“隔离核心中的*小权限”一文中提出这两个概念融合时所强调的要点。

图3：在隔离核心模组上叠加*小权限原则，可根据主体与资源**地形成流程控制

图4显示在隔离核心“区块”(block)上叠加*小特权“主体”(主动的、可执行的实体)和“资源”，显示可根据主体与资源支援流程控制。

图4：简化隔离核心的实际应用

硬体虚拟化

虽然隔离核心和*小权限的原则早已建立，但早期的建置试图依赖于软体虚拟化层，这通常会导致性能不稳，而且无法支援即时应用。虚拟化曾经在企业领域的流行之势不可挡，使得晶片设计公司(包括Intel、AMD和ARM)不断地增加每个CPU上的核心数量，并在硬体中建置对于虚拟化的先进支援。从那时起，隔离核心才从只是一种纯理论想法转变成一种真正实用的方法。

市场上有几种嵌入式虚拟机管理程式(hypervisor)产品，致力于在修订后的作业系统(OS)架构上达到类似的目标。然而，为了使隔离核心的**认证达到*佳化，必须部署*小权限原则，以尽量减小受信赖运算基础(TCB)及其表面攻击，从而*佳化闸道提供的保护。

隔离核心的实用性

考虑到实用性，以用于产生生产资料的机床为例(图5)。这些资料必须透过云端与待命的工厂工程师共用。在此例中的云端面主体可能是一个通用的作业系统，例如Windows或Linux。也许这种作业系统容易受到自称骇客者的攻击。但重要的是骇客不能存取工厂面的主体——也许是一个即时作业系统(RTOS)或裸金属应用——即使云端面的主体受到威胁。依照*小权限原则建置的隔离核心具有几个关键属性，可以在这种场合得到*佳化的结果。

快速　为了获得接近原有的性能，隔离核心必须导入尽可能少的开销，并尽量发挥硬体的虚拟化功能。

轻量　确保诸如驱动程式、I/O和流程管理等作业系统功能由专案所接管，隔离核心将变得非常轻量，而且较不容易受到攻击。

实用　隔离核心将透过向主体提交“虚拟主机板”以支援传统软体的重复利用，从而使这些主体的安装和执行像原有的一样。

**　静态配置可以确保隔离核心在完成搭建和部署后不再变化，并具有*佳的小攻击面。

物联网端点

我们很容易就能瞭解如何在简单的机床范例(图4)中建立原则，而这也可应用于保护IoT端点。图5说明了任意数量的资料来源和IT世界之间的介面如何受到基于隔离核心的IoT闸道保护。

图5：利用隔离核心保护IoT端点

在这种场合中，工厂面对“受信任主体”的原则可进一步扩展，以支援平台配置管理、监测与分析等服务，以及支援闲时资料(DAR)和移动资料(DIM)的裸金属**服务(如加密)。**启动技术确保了闸道在启动时不至于较执行时更易于受到攻击。

图6：IoT端点面临的IISF威胁和弱点

此外，利用经验证的隔离核心技术，所开发的IoT闸道可为基于IIRA或RAMI 4.0的相容性解决方案提供了理想的基础，因为它具有**认证、使用效率高，更实际的是，它能够支援传统软体。