工控核心區(qū)內嵌認證邊界保護技術

2019-11-30 10:13

工控核心區(qū)內嵌認證邊界保護技術及產業(yè)化狀況匯報材料

 

工控系統(tǒng)在涉及控制過程直接相關區(qū)域網(wǎng)絡安全防護基本處于空白狀態(tài)，網(wǎng)絡區(qū)域隔離設備一旦突破，工控系統(tǒng)將全面失守。北信源首創(chuàng)提出了工控系統(tǒng)核心區(qū)保護的概念，并基于工控核心區(qū)保護理念發(fā)明了“內嵌認證”等四項技術，該技術與工控交換機結合研發(fā)了適用于工控系統(tǒng)核心區(qū)網(wǎng)絡安全防護的“邊界認證機”，已經(jīng)在多個涉及關鍵信息基礎設施的行業(yè)用戶應用取得了可喜的進展，在應用實踐的基礎上北信源總結創(chuàng)立了“工控系統(tǒng)網(wǎng)絡安全理論要點”。工控系統(tǒng)核心區(qū)防護概念、理論和防護技術方法已經(jīng)在石化行業(yè)的工控安全防護標準草案中落地。北信源工控系統(tǒng)核心區(qū)保護方案得到國家隊和行業(yè)合作伙伴的認可，正就國產安全PLC和國產安全打印機以邊界認證機為核心開展聯(lián)合研發(fā)，力求實現(xiàn)工控系統(tǒng)關鍵組件的內嵌認證功能，進而實現(xiàn)全部組件內嵌認證的完整工控安全解決方案；目前關鍵技術問題基本解決，預計明年上半年可望完成，以邊界認證機+安全PLC+安全打印機+安全主機的完全國產化工控安全環(huán)境即將形成。從宏觀來看，基于“內嵌認證”技術的工控系統(tǒng)核心區(qū)防護方案，為工控系統(tǒng)提供了建立第二道防線的方法，為縱深防御理念的落地實施開拓了新路徑。

 

北信源“邊界認證機”融合了內嵌認證、安全策略、專屬端口管理、全數(shù)據(jù)輸出等安全功能，將單純的網(wǎng)絡通信設備（工控交換機）轉變?yōu)橥ㄓ嵃踩惑w化設備。內嵌認證技術將傳統(tǒng)認證服務嵌入工控交換機內部，使認證服務在網(wǎng)絡邊緣實現(xiàn)；將非對稱算法引入認證服務，基于國密算法SM2的“邊界認證機”實現(xiàn)了完全的自主可控；安全PLC和安全打印機基于國密安全芯片實現(xiàn)內嵌認證，主機類設備基于國產密碼組件實現(xiàn)內嵌認證，為實現(xiàn)完全自主可控的工控安全環(huán)境提供了技術支撐。內嵌認證技術除采用國密算法外，還研發(fā)了支持多種接入設備實現(xiàn)認證和準入的接入認證協(xié)議（AAP，Access Authenitication Protocol），研發(fā)了支持多臺“邊界認證機”組網(wǎng)環(huán)境下實現(xiàn)認證和準入管理的認證數(shù)據(jù)同步協(xié)議（ADSP，Authenitication Data Synchronization Protocol）。