工业互联网密码应用解决方案

1.     概述

   
   

当前工业互联网安全威胁复杂多样，产业基础还尚显薄弱，面临较大的安全挑战。密码技术作为保护网络安全的核心技术和基础支撑，我们基于密码技术提出工业互联网安全解决方案，构建纵深防御整体密码应用体系，确保工业系统业务安全可控。

2.    需求分析

工业互联网安全需求主要包括：对适配工业现场环境、低功耗模式等工业系统端级别设备与访问用户身份认证的需求；对系统中不同网络速率和连接要求的通信网络的传输认证和传输加密要求；对于关键工艺参数等敏感数据的存储安全需求；针对不同安全等级区域边界访问隔离建立横向或纵向密码隔离。本解决方案适用于需要此类需求的项目。

3.    方案架构

针对工业系统存在的安全问题，兼顾安全需求及技术实现路线，在现场控制层、过程监控层、生产管理层等进行密码安全加固，基于密码应用需求理解，以典型SCADA系统为例，设计工业互联网系统密码应用安全防护架构。

 3.1 技术架构

结合等保2.0对工业系统安全扩展要求，对工业企业的安全计算环境、安全区域边界、安全通信网络等主要安全需求，形成工业互联网密码应用整体技术方案，技术架构如下图所示。

3.2 产品部署图

安全设备部署方式如下图所示：

以嵌入式安全模块、工控密码网关、中心密码网关、安全认证网关、安全隔离网关等密码产品为载体，配合密钥管理与证书管理子系统等平台支撑，为工业控制系统提供全方位的安全保障。既可针对终端控制设备，提供支持内嵌式硬件密码模块、工控密码网关等，实现现场控制层工控协议密码安全；也可针对中心侧提供中心密码网关实现网络传输密码安全保障，对中心的业务服务器提供调用式服务器密码机，用于组态应用软件的业务机密性、完整性、不可否认性保护。以安全认证网关实现控制系统不同角色用户的身份鉴别和授权访问，同时可提供密码安全隔离设备，实现边界的受控访问与数据安全防护。

3.3 主要功能

-实现现场控制层和过程监控层设备之间的身份认证。

-实现现场控制层设备数据机密性和完整性保护。

-实现过程监控层海量终端接入和数据加密保护。

-实现过程监控层与生产管理层之间的正反向隔离传输保护。

4.    方案特色

符合安全等级保护2.0新要求

构建基于纵深防御整体密码安全防护体系

适配多种应用场景、实用性强

5.    适用领域

该系统可为装备制造、原材料生产、电子制造、航空航天、化工等重点行业提供“工业设备安全、工业主机安全、工业生产网络与管理网络安全、工业数据安全”的安全综合防护平台。与入侵检测、智能分析、态势感知、指挥调度等其他业务能力结合的多层次纵深防御体系已得到既有项目有效验证，可为工业互联网实际应用提供无感密码安全防护。