CHINA HIGH-TECH INDUSTRIALIZATION ASSOCIATION
工控核心區內嵌認證邊界保護技術(shù)
2019-11-30 10:13
工控核心區內嵌認證邊界保護技術(shù)及產(chǎn)業(yè)化狀況匯報材料
工控系統在涉及控制過(guò)程直接相關(guān)區域網(wǎng)絡(luò )安全防護基本處于空白狀態(tài),網(wǎng)絡(luò )區域隔離設備一旦突破,工控系統將全面失守。北信源首創(chuàng )提出了工控系統核心區保護的概念,并基于工控核心區保護理念發(fā)明了“內嵌認證”等四項技術(shù),該技術(shù)與工控交換機結合研發(fā)了適用于工控系統核心區網(wǎng)絡(luò )安全防護的“邊界認證機”,已經(jīng)在多個(gè)涉及關(guān)鍵信息基礎設施的行業(yè)用戶(hù)應用取得了可喜的進(jìn)展,在應用實(shí)踐的基礎上北信源總結創(chuàng )立了“工控系統網(wǎng)絡(luò )安全理論要點(diǎn)”。工控系統核心區防護概念、理論和防護技術(shù)方法已經(jīng)在石化行業(yè)的工控安全防護標準草案中落地。北信源工控系統核心區保護方案得到國家隊和行業(yè)合作伙伴的認可,正就國產(chǎn)安全PLC和國產(chǎn)安全打印機以邊界認證機為核心開(kāi)展聯(lián)合研發(fā),力求實(shí)現工控系統關(guān)鍵組件的內嵌認證功能,進(jìn)而實(shí)現全部組件內嵌認證的完整工控安全解決方案;目前關(guān)鍵技術(shù)問(wèn)題基本解決,預計明年上半年可望完成,以邊界認證機+安全PLC+安全打印機+安全主機的完全國產(chǎn)化工控安全環(huán)境即將形成。從宏觀(guān)來(lái)看,基于“內嵌認證”技術(shù)的工控系統核心區防護方案,為工控系統提供了建立第二道防線(xiàn)的方法,為縱深防御理念的落地實(shí)施開(kāi)拓了新路徑。
北信源“邊界認證機”融合了內嵌認證、安全策略、專(zhuān)屬端口管理、全數據輸出等安全功能,將單純的網(wǎng)絡(luò )通信設備(工控交換機)轉變?yōu)橥ㄓ嵃踩惑w化設備。內嵌認證技術(shù)將傳統認證服務(wù)嵌入工控交換機內部,使認證服務(wù)在網(wǎng)絡(luò )邊緣實(shí)現;將非對稱(chēng)算法引入認證服務(wù),基于國密算法SM2的“邊界認證機”實(shí)現了完全的自主可控;安全PLC和安全打印機基于國密安全芯片實(shí)現內嵌認證,主機類(lèi)設備基于國產(chǎn)密碼組件實(shí)現內嵌認證,為實(shí)現完全自主可控的工控安全環(huán)境提供了技術(shù)支撐。內嵌認證技術(shù)除采用國密算法外,還研發(fā)了支持多種接入設備實(shí)現認證和準入的接入認證協(xié)議(AAP,Access Authenitication Protocol),研發(fā)了支持多臺“邊界認證機”組網(wǎng)環(huán)境下實(shí)現認證和準入管理的認證數據同步協(xié)議(ADSP,Authenitication Data Synchronization Protocol)。