工业互联网密码应用方案
2020-10-21
工业互联网安全事关国家战略安全,正成为全球新一轮科技和产业革命的竞争高地,但当前国内工业互联网安全发展存在着短板,尤其是数据安全防护能力亟待提升;且安全认证机制、访问控制手段等安全防护力度不足,网络易受到黑客的APT攻击、拒绝服务攻击等,导致办公内网、工厂内外网、标识解析系统、边缘计算设备等之间信道的隐私数据泄露;边缘计算的安全防护能力薄弱,设备在接入工业互联网平台时,如果不使用密码手段进行身份鉴别,则不能确保数据来源于真实的设备;工业互联网平台汇集和处理大量的敏感数据、隐私数据等,从数据的采集、传输、存储、交换、处理、使用到销毁的全生命流程都面临窃听、篡改的威胁。
采用国产密码技术作为保护网络安全的核心技术和基础支撑,构建纵深防御整体密码应用体系,确保工业系统业务安全可控,通过密码及时解决工业现场环境、低功耗模式等工业系统端级别设备与访问用户身份认证的需求、解决系统中不同网络速率和连接要求的通信网络的传输认证和传输加密要求、解决关键工艺参数等敏感数据的存储安全需求以及解决不同安全等级区域边界访问隔离建立横向或纵向密码隔离。当前工业互联网安全威胁复杂多样,产业基础还尚显薄弱,面临较大的安全挑战。密码技术作为保护网络安全的核心技术和基础支撑,提出工业互联网安全解决方案,构建纵深防御整体密码应用体系,确保工业系统业务安全可控。
针对工业系统存在的安全问题,兼顾安全需求及技术实现路线,在现场控制层、服务层、生产统一管理层等进行密码安全加固,基于国产密码安全服务保障体系设计工业互联网系统密码应用安全防护架构,结合密评和等保2.0对工业系统安全扩展要求,对工业企业的安全计算环境、安全区域边界、安全通信网络等主要安全需求,形成工业互联网密码应用整体技术方案,技术架构如图1所示。
图1: 工业互联网密码应用技术架构图
工业互联网密码应用解决方案主要提供如下功能服务:
l 符合安全等级保护2.0新要求
l 构建基于纵深防御整体密码安全防护体系
l 适配多种应用场景、实用性强
l 实现现场控制层和服务区设备之间的身份认证。
l 实现现场控制层设备数据机密性和完整性保护。
l 实现过程监控层海量终端接入和数据加密保护。
l 实现服务区与统一管理层间的正反向隔离传输保护
工业互联网密码应用解决方案安全设备部署方式如图2所示:
图2:工业互联网密码应用部署方式
以Iot密码模块、Iot安全网关、中心安全网关、身份认证服务器、签名验签服务器、服务器密码机及电子签章系统组成,为工业控制系统提供全方位的安全保障。既可针对终端控制设备,提供支持Iot安全模块,实现现场控制层工控协议密码安全;也可针对中心侧提供安全网关实现网络传输密码安全保障,对中心的业务服务器提供服务器密码机和签名验签服务器,用于组态应用软件的业务机密性、完整性、不可否认性保护。
该系统可为装备制造、原材料生产、电子制造、航空航天、化工等重点行业提供“工业设备安全、工业主机安全、工业生产网络与管理网络安全、工业数据安全”的安全综合防护平台。与入侵检测、智能分析、态势感知、指挥调度等其他业务能力结合的多层次纵深防御体系已得到既有项目有效验证,可为工业互联网实际应用提供无感密码安全防护。