基于商用密码的内生安全工控系统

基于商用密码的内生安全工控系统技术创新，变革未来01工控系统安全可信技术体系工业网络安全威胁态势2010年伊朗核电站“震网”事件核电站延期运行2012年中东石油部门“火焰”事件网络瘫痪数据被盗2015年乌克兰电力系统“黑暗力量”事件电厂系统自动断电网络渗透情报窃取2019年委内瑞拉大停电事件随着工业互联网、云计算等技术出现，工业控制系统已逐步从封闭隔离系统演进为开放交互系统，引入了极大的信息安全隐患。电网被攻击控制系统瘫痪工控系统安全直接影响产业安全➢以PLC/DCS为代表的工业控制系统，是能源、化工、冶金等领域重大工程和装备的大脑，是实现制造业数字化、网络化、智能化的关键设备，是产业安全的基础。➢《中华人民共和国密码法》要求使用商用密码对关键信息基础设施进行保护。➢依据《中华人民共和国网络安全法》，国家互联网信息办公室会同工信部、公安部、国家认证认可监督管理委员会等部门制定了《网络关键设备和网络安全专用产品目录（第一批）》，PLC名列其中。工控系统安全威胁过程控制器PLC灯C电子眼直流伺服驱动接近传感器现场总线HMI变频驱动I/OI/O压力传感器压力调节器现场总线温度传感器电磁阀伺服阀互联网OPC客户端/服务器工作站打印机控制服务器历史数据工程师站HMI路由器路由器路由器沿用IT领域的思路，采用防火墙、补丁等手段，在阻止、隔离和脆弱性分析基础上进行安全加固。APT先进可持续攻击然而这种被动的防御方法，已很难抵挡迅猛发展的网络攻击技术及手段。各种新的和未知威胁更加剧了这种现象。一旦入侵攻击突破传统被动防御，将严重威胁到工业控制系统的安全运行，甚至造成重特大事故。需要基于内生安全技术建立涵盖控制设备安全、网络通信安全、业务流程作业安全的工控系统主动防御体系工业网络安全思考与应对和利时致力于以“自主可控、安全可信”为业务特点，实现技术和供应链的自主可控,产品和服务的安全可信,围绕“智能控制、智慧管理”的业务核心，积极打造控制的智能化和生产管理的智慧化。智能控制智慧管理安全可信自主可控和利时安全可信技术体系基于内生安全可信，在可信策略（Trustedpolicy）的指导下，针对工业控制中的实时控制行为和业务流程作业，实现贯穿设计、运行、服务全生命周期的防御（Defense）、 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 （Detection）、响应（Response）、预测（Prediction）的主动安全防御循环。工控系统安全可信关键技术基于商密的双向身份认证基于商密的数字签名020105基于商密的访问控制基于商密的通信加解密基于商密的可信计算度量0403安全可信控制器0102安全可信上位机03安全可信管理平台工控系统实时性、可靠性、分布式、嵌入式、轻量化应用优化02工控系统商密技术 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 工业控制系统商密应用方案工控系统商密应用组件商密算法库(SM2/SM3/SM4/SM9)算法软件算法IP核算法芯片双向证书认证增强身份鉴别通信链路加密可信计算度量数据存储保护安全可信工业控制系统安全可信PLC安全可信SCADA安全可信DCS安全可信工业主机指令完整性验证关键信息基础设施行业应用工业控制系统商密应用方案密码安全服务平台工业互联网商密应用方案⚫通过基于商密算法的内生安全主动免疫防护技术，与外围防护措施相结合，构建满足等保2.0三级要求的安全可信工业互联网平台。⚫平台通过安全资源池/安全组件/服务等形式，提供商密应用组件，形成覆盖“端、边、云”的安全防护体系。智能制造SaaS应用应用层工业PaaS快速模建工具应用开发工具微服务＋开放接口（RESTfulAPI）模型管理分析服务开放运营数据管理数据基础设施核心基础服务通用PaaSPaaS基础环境IaaS公有云/私有云/混合云（服务器|储存|网络|虚拟化）平台层边缘层边缘服务器、接入网关现场层现场控制设备、智能传感器统一安全管理与安全运维✓安全管理✓态势感知✓应急响应✓安全审计✓实时监控✓PKI/CA✓可信接入管理✓统一身份认证✓统一权限管理应用安全：身份认证、权限管理、终端接入、加密通信、安全存储微服务安全:APIServer授权、安全通信、web防护、安全接口 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 数据安全：安全存储、访问控制、数据隔离、剩余信息保护、数据销毁安全资源池：WAF/堡垒机/漏洞扫描/数据库审计/防DDos/虚机安全/容器安全基础硬件设施与网络安全现场工控系统安全：边界隔离、主机加固、白名单、可信防护、检测审计边缘设备与数据安全：身份认证/数据网关接入安全可信PLC控制系统数据服务器安全管理中心安全操作员站（可信主机防护）安全可信PLC主控安全可信PLC主控安全操作员站（可信主机防护）安全工程师站（可信主机防护）⚫控制器：内生双体系架构，安全可信主动防护⚫上位机：双因子认证检验，实现人员操作访问控制⚫通讯：高实时通信加解密，保障对外信息交换安全基于商密算法，采用国产化设计，通过双体系可信计算架构实现主动防护，满足国家关键基础设施网络安全防护需求远程I/O远程I/O安全可信PLC控制系统可信计算环境轻量级可信计算3.0技术框架静态启动与全生命周期动态运行可信验证填补可信计算在工业嵌入式控制领域应用空白可信网络连接双向证书认证高实时通信加解密取得AchillesII级认证的首款国产大型PLC多维度安全技术集成强制访问控制双因素身份认证关键数据区保护安全可信PLC控制系统⚫可信芯片：国产TCM密码芯片提供SM系列商密算法，支持可信计算与通信加解密⚫可信度量：基于双核CPU，对系统运行进行全生命周期的无扰度量和动态监管⚫可信策略：安全可信控制器配合可信管理平台，实现安全策略配置与度量结果呈现基于商密的全生命周期可信度量基于商密算法，在启动阶段构建可信链；在运行过程中进行全生命周期动态度量启动时静态度量•双体系可信链传递•启动程序与文件度量运行时动态度量•轻量级环境度量•任务四元组度量•业务行为度量全生命周期可信防护03典型应用实践基于商密的智能城轨平台安全防护某地铁项目基于工业互联网的智能城轨综合业务平台，创新应用同时面临着众多网络安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ，包括：⚫平台安全问题⚫应用安全问题⚫数据安全问题⚫通信安全问题⚫访问安全问题⚫安全管理问题PKI/CA系统密钥管理证书管理商密算法X.509平台安全措施可信度量身份鉴别通信加密安全存储IaaS/PaaS/SaaS层⚫可信度量：基于SM3进行系统启动时静态度量与运行时动态度量，实现从IaaS层到PaaS层的可信链传递，创建可信受控平台运行环境⚫身份认证与访问控制：基于SM2/3与证书管理机制，实现安全增强的身份鉴别和访问控制⚫通信加解密：基于SM2/3/4，实现重要通信数据的加密传输，通过轻量级高实时通信加解密支持HTTPS/MQTT/OPCUA等通信协议⚫存储加解密：基于SM3/4，实现关键数据内容批量存储加解密能力基于商密的智能城轨平台安全防护12345基于商密算法的可信计算构建主动免疫内生安全机制，实现了从IaaS层、PaaS层到SaaS层的全生命周期可信度量基于商密算法的统一身份认证与访问控制服务，支撑了平台、应用和数据的访问安全基于商密算法的通信与存储过程加解密，保证了数据在传输和存储过程中的安全合规满足等保2.0三级与城轨行业 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，基于商密算法建立了“一个中心三重防护”的完整安全体系在工业互联网各层级全面应用商密算法，实现了端边云一体化防护、安全防护与城轨业务的深度融合应用情况基于商密的智能城轨平台安全防护商密技术赋能工业网络安全商密技术应用01商密技术赋能工业网络安全自动化控制•分布式控制系统DCS•可编程逻辑控制器PLC•综合监控系统SCADA•远程终端单元RTU边缘计算•边缘控制器•智能仪表04工业互联网•工业互联网平台•工业APP应用•工业物联网关03工业大数据•数据接入•访问控制•数据脱敏02工业网络安全商密推广应用平台组件行业应用战略发展提升我国商密核心技术研发与工业网络安全综合保障能力加快行业应用，增强关键信息基础设施系统安全围绕工业网络安全需求，建设基于商密的技术平台与组件THANKS