工控核心区内嵌认证边界保护技术
2019-11-30 10:13
工控核心区内嵌认证边界保护技术及产业化状况汇报材料
工控系统在涉及控制过程直接相关区域网络安全防护基本处于空白状态,网络区域隔离设备一旦突破,工控系统将全面失守。北信源首创提出了工控系统核心区保护的概念,并基于工控核心区保护理念发明了“内嵌认证”等四项技术,该技术与工控交换机结合研发了适用于工控系统核心区网络安全防护的“边界认证机”,已经在多个涉及关键信息基础设施的行业用户应用取得了可喜的进展,在应用实践的基础上北信源总结创立了“工控系统网络安全理论要点”。工控系统核心区防护概念、理论和防护技术方法已经在石化行业的工控安全防护标准草案中落地。北信源工控系统核心区保护方案得到国家队和行业合作伙伴的认可,正就国产安全PLC和国产安全打印机以边界认证机为核心开展联合研发,力求实现工控系统关键组件的内嵌认证功能,进而实现全部组件内嵌认证的完整工控安全解决方案;目前关键技术问题基本解决,预计明年上半年可望完成,以边界认证机+安全PLC+安全打印机+安全主机的完全国产化工控安全环境即将形成。从宏观来看,基于“内嵌认证”技术的工控系统核心区防护方案,为工控系统提供了建立第二道防线的方法,为纵深防御理念的落地实施开拓了新路径。
北信源“边界认证机”融合了内嵌认证、安全策略、专属端口管理、全数据输出等安全功能,将单纯的网络通信设备(工控交换机)转变为通讯安全一体化设备。内嵌认证技术将传统认证服务嵌入工控交换机内部,使认证服务在网络边缘实现;将非对称算法引入认证服务,基于国密算法SM2的“边界认证机”实现了完全的自主可控;安全PLC和安全打印机基于国密安全芯片实现内嵌认证,主机类设备基于国产密码组件实现内嵌认证,为实现完全自主可控的工控安全环境提供了技术支撑。内嵌认证技术除采用国密算法外,还研发了支持多种接入设备实现认证和准入的接入认证协议(AAP,Access Authenitication Protocol),研发了支持多台“边界认证机”组网环境下实现认证和准入管理的认证数据同步协议(ADSP,Authenitication Data Synchronization Protocol)。