工控核心區(qū)內(nèi)嵌認(rèn)證邊界保護(hù)技術(shù)

2019-11-30 10:13

工控核心區(qū)內(nèi)嵌認(rèn)證邊界保護(hù)技術(shù)及產(chǎn)業(yè)化狀況匯報材料

 

工控系統(tǒng)在涉及控制過程直接相關(guān)區(qū)域網(wǎng)絡(luò)安全防護(hù)基本處于空白狀態(tài)，網(wǎng)絡(luò)區(qū)域隔離設(shè)備一旦突破，工控系統(tǒng)將全面失守。北信源首創(chuàng)提出了工控系統(tǒng)核心區(qū)保護(hù)的概念，并基于工控核心區(qū)保護(hù)理念發(fā)明了“內(nèi)嵌認(rèn)證”等四項技術(shù)，該技術(shù)與工控交換機(jī)結(jié)合研發(fā)了適用于工控系統(tǒng)核心區(qū)網(wǎng)絡(luò)安全防護(hù)的“邊界認(rèn)證機(jī)”，已經(jīng)在多個涉及關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)用戶應(yīng)用取得了可喜的進(jìn)展，在應(yīng)用實(shí)踐的基礎(chǔ)上北信源總結(jié)創(chuàng)立了“工控系統(tǒng)網(wǎng)絡(luò)安全理論要點(diǎn)”。工控系統(tǒng)核心區(qū)防護(hù)概念、理論和防護(hù)技術(shù)方法已經(jīng)在石化行業(yè)的工控安全防護(hù)標(biāo)準(zhǔn)草案中落地。北信源工控系統(tǒng)核心區(qū)保護(hù)方案得到國家隊和行業(yè)合作伙伴的認(rèn)可，正就國產(chǎn)安全PLC和國產(chǎn)安全打印機(jī)以邊界認(rèn)證機(jī)為核心開展聯(lián)合研發(fā)，力求實(shí)現(xiàn)工控系統(tǒng)關(guān)鍵組件的內(nèi)嵌認(rèn)證功能，進(jìn)而實(shí)現(xiàn)全部組件內(nèi)嵌認(rèn)證的完整工控安全解決方案；目前關(guān)鍵技術(shù)問題基本解決，預(yù)計明年上半年可望完成，以邊界認(rèn)證機(jī)+安全PLC+安全打印機(jī)+安全主機(jī)的完全國產(chǎn)化工控安全環(huán)境即將形成。從宏觀來看，基于“內(nèi)嵌認(rèn)證”技術(shù)的工控系統(tǒng)核心區(qū)防護(hù)方案，為工控系統(tǒng)提供了建立第二道防線的方法，為縱深防御理念的落地實(shí)施開拓了新路徑。

 

北信源“邊界認(rèn)證機(jī)”融合了內(nèi)嵌認(rèn)證、安全策略、專屬端口管理、全數(shù)據(jù)輸出等安全功能，將單純的網(wǎng)絡(luò)通信設(shè)備（工控交換機(jī)）轉(zhuǎn)變?yōu)橥ㄓ嵃踩惑w化設(shè)備。內(nèi)嵌認(rèn)證技術(shù)將傳統(tǒng)認(rèn)證服務(wù)嵌入工控交換機(jī)內(nèi)部，使認(rèn)證服務(wù)在網(wǎng)絡(luò)邊緣實(shí)現(xiàn)；將非對稱算法引入認(rèn)證服務(wù)，基于國密算法SM2的“邊界認(rèn)證機(jī)”實(shí)現(xiàn)了完全的自主可控；安全PLC和安全打印機(jī)基于國密安全芯片實(shí)現(xiàn)內(nèi)嵌認(rèn)證，主機(jī)類設(shè)備基于國產(chǎn)密碼組件實(shí)現(xiàn)內(nèi)嵌認(rèn)證，為實(shí)現(xiàn)完全自主可控的工控安全環(huán)境提供了技術(shù)支撐。內(nèi)嵌認(rèn)證技術(shù)除采用國密算法外，還研發(fā)了支持多種接入設(shè)備實(shí)現(xiàn)認(rèn)證和準(zhǔn)入的接入認(rèn)證協(xié)議（AAP，Access Authenitication Protocol），研發(fā)了支持多臺“邊界認(rèn)證機(jī)”組網(wǎng)環(huán)境下實(shí)現(xiàn)認(rèn)證和準(zhǔn)入管理的認(rèn)證數(shù)據(jù)同步協(xié)議（ADSP，Authenitication Data Synchronization Protocol）。