工控核心區內嵌認證邊界保護技術

2019-11-30 10:13

工控核心區內嵌認證邊界保護技術及產業化狀況匯報材料

 

工控系統在涉及控制過程直接相關區域網絡安全防護基本處于空白狀態，網絡區域隔離設備一旦突破，工控系統將全面失守。北信源首創提出了工控系統核心區保護的概念，并基于工控核心區保護理念發明了“內嵌認證”等四項技術，該技術與工控交換機結合研發了適用于工控系統核心區網絡安全防護的“邊界認證機”，已經在多個涉及關鍵信息基礎設施的行業用戶應用取得了可喜的進展，在應用實踐的基礎上北信源總結創立了“工控系統網絡安全理論要點”。工控系統核心區防護概念、理論和防護技術方法已經在石化行業的工控安全防護標準草案中落地。北信源工控系統核心區保護方案得到國家隊和行業合作伙伴的認可，正就國產安全PLC和國產安全打印機以邊界認證機為核心開展聯合研發，力求實現工控系統關鍵組件的內嵌認證功能，進而實現全部組件內嵌認證的完整工控安全解決方案；目前關鍵技術問題基本解決，預計明年上半年可望完成，以邊界認證機+安全PLC+安全打印機+安全主機的完全國產化工控安全環境即將形成。從宏觀來看，基于“內嵌認證”技術的工控系統核心區防護方案，為工控系統提供了建立第二道防線的方法，為縱深防御理念的落地實施開拓了新路徑。

 

北信源“邊界認證機”融合了內嵌認證、安全策略、專屬端口管理、全數據輸出等安全功能，將單純的網絡通信設備（工控交換機）轉變為通訊安全一體化設備。內嵌認證技術將傳統認證服務嵌入工控交換機內部，使認證服務在網絡邊緣實現；將非對稱算法引入認證服務，基于國密算法SM2的“邊界認證機”實現了完全的自主可控；安全PLC和安全打印機基于國密安全芯片實現內嵌認證，主機類設備基于國產密碼組件實現內嵌認證，為實現完全自主可控的工控安全環境提供了技術支撐。內嵌認證技術除采用國密算法外，還研發了支持多種接入設備實現認證和準入的接入認證協議（AAP，Access Authenitication Protocol），研發了支持多臺“邊界認證機”組網環境下實現認證和準入管理的認證數據同步協議（ADSP，Authenitication Data Synchronization Protocol）。