具有信息安全功能的控制系統(tǒng)展望課件

1、具有信息安全功能的控制系統(tǒng)展望北京和利時(shí)系統(tǒng)工程有限公司技術(shù)中心 王弢 2015年12月10日主要內(nèi)容現(xiàn)有的方案我們的目標(biāo)目前的探索展望12334現(xiàn)有的方案現(xiàn)有的工業(yè)控制系統(tǒng)防護(hù)主要體現(xiàn)在外加安全組件，均屬于被動(dòng)防御。我們的目標(biāo)被動(dòng)防御防火墻防病毒軟件審計(jì)及入侵檢測。主動(dòng)防御數(shù)字證書對稱與非對稱加密可信計(jì)算虛擬化安全管控的融合聯(lián)動(dòng)蜜罐工業(yè)云與大數(shù)據(jù)分析。基于主動(dòng)防御理念的具有信息安全功能的工業(yè)控制系統(tǒng)我們的目標(biāo) 防御未授權(quán)訪問；1 防御非法的系統(tǒng)篡改；2防御通信數(shù)據(jù)被篡改、重放、截獲。3。4目前的探索部分控制系統(tǒng)廠商采用的具有信息安全功能的通信協(xié)議SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)v3SNMPv3協(xié)

2、議是SNMP協(xié)議的加密版本，使用對稱加密算法傳送網(wǎng)絡(luò)分析信息以免遭竊聽。HTTPSHTTPS具有SSL安全協(xié)議使用非對稱加密的方式構(gòu)建安全通信關(guān)系并協(xié)商對稱通信密鑰，通信過程為全密文，用以保障Web訪問的全程安全。FTPS用于加密傳輸文件，同樣通過內(nèi)嵌SSL安全協(xié)議的方式。1. 控制器的防御部分控制系統(tǒng)廠商所做的工作控制器基于賬號口令等簡單方式的身份鑒別支持HTTPS安全協(xié)議進(jìn)行遠(yuǎn)程診斷支持FTPS安全協(xié)議進(jìn)行加密文件傳送目前的探索部分關(guān)鍵信息的密文存儲支持SNMP v3協(xié)議進(jìn)行網(wǎng)絡(luò)管理2. 基于網(wǎng)絡(luò)設(shè)備的防御使用交換機(jī)實(shí)現(xiàn)進(jìn)行接入名單控制、設(shè)備認(rèn)證使用交換機(jī)進(jìn)行編程控制部分控制系統(tǒng)廠商所做的

3、工作使用交換機(jī)實(shí)現(xiàn)數(shù)據(jù)加密等安全功能，如SSH、SNMPv3和HTTPS等目前的探索部分工控系統(tǒng)采用的主動(dòng)防御技術(shù) 證書管控平臺 上位機(jī)信息安全單元 下位機(jī)信息安全單元 密鑰管理服務(wù)器 可信PLC 展望證書管控平臺部分工控系統(tǒng)采用的主動(dòng)防御技術(shù)：數(shù)字證書證書管控平臺對于控制系統(tǒng)為離線過程。RA中心位于用戶現(xiàn)場，進(jìn)行數(shù)字證書請求生成，管理，下發(fā)的工作。根CA中心處理RA發(fā)出的證書請求并生成證書，下發(fā)至RA中心（加密的遠(yuǎn)程傳輸）。展望部分工控系統(tǒng)采用的主動(dòng)防御技術(shù)：對稱與非對稱加密展望非對稱加密算法非對稱加密具有公鑰和私鑰兩組不同密鑰，使用公鑰加密并通過私鑰解密最大程度保護(hù)數(shù)據(jù)安全，算法復(fù)雜耗時(shí)較

4、大。主要用于數(shù)字證書的身份校驗(yàn)以及對稱密鑰的傳輸?shù)劝踩墑e較高的工作。常用算法有：國際RSA、DSA和國密SM2等。對稱加密算法對稱加密只有一組密鑰，加密的安全性幾大部分取決于密鑰長度。對稱加密算法是數(shù)據(jù)加密交互中最常使用的通用算法。常用算法有：國際AES、3DES和國密SM4等。工程師站通信建立安全通道后的通信均為密文。通過數(shù)字證書首先驗(yàn)證合法身份，并通過非對稱加密方式3次協(xié)商通信對稱密鑰。安全的工程師站采用安全級別較高的“挑戰(zhàn)應(yīng)答式”通信方式，使用握手機(jī)制建立安全通道，使用隨機(jī)對稱密鑰加密通信數(shù)據(jù)充分保證數(shù)據(jù)安全。部分工控系統(tǒng)采用的主動(dòng)防御技術(shù)：對稱與非對稱加密展望操作員站通信實(shí)際加密通信

5、的對稱密鑰由存儲的密鑰“種子”和隨機(jī)生成的隨機(jī)數(shù)共同組成。密鑰“種子”由密鑰服務(wù)器管理并保證每條通信鏈的種子是唯一的。操作員站通信機(jī)制采用密鑰服務(wù)器下發(fā)給各個(gè)通信鏈上的設(shè)備密鑰“種子”，通信過程由密鑰“種子”加隨機(jī)數(shù)雜揉生成唯一對稱密鑰的方式進(jìn)行密文通信。展望部分工控系統(tǒng)采用的主動(dòng)防御技術(shù)：對稱與非對稱加密部分工控系統(tǒng)采用的主動(dòng)防御技術(shù)：對稱與非對稱加密主控部分可為傳統(tǒng)控制器也可以使用更安全的可信PLC。為保障下發(fā)的密鑰安全，對稱密鑰相關(guān)的下發(fā)均使用非對稱加密算法并配合數(shù)字證書驗(yàn)證合法身份。密鑰服務(wù)器管理數(shù)據(jù)加密所需要的對稱密鑰種子，種子文件用來生成唯一的對稱密鑰保障數(shù)據(jù)安全。展望操作員站的秘鑰管理技術(shù)難點(diǎn)：工業(yè)應(yīng)用具有高實(shí)時(shí)性的特點(diǎn)，要求傳輸達(dá)到幾個(gè)毫秒，對于數(shù)據(jù)加解密的運(yùn)算能力要求較高。實(shí)現(xiàn)加解密、隨機(jī)數(shù)發(fā)生器、密鑰存儲器、算法加速器等子模塊功能。安全通信模塊采用常規(guī)接口作為控制器的加密通信模塊與控制器連接并完成加解密數(shù)據(jù)傳輸。部分工控系統(tǒng)采用的主動(dòng)防御技術(shù)：對稱與非對稱加密展望安全通信模塊部分工控系統(tǒng)采用的主動(dòng)防御技術(shù)：嵌入式設(shè)備的可信計(jì)算采用可信計(jì)算技術(shù)，建立可信鏈，實(shí)現(xiàn)PLC的安全啟動(dòng)和安全運(yùn)行，及時(shí)發(fā)現(xiàn)異常代碼，解決攻擊者通過已知和未知漏洞向PLC中植入惡意攻擊代碼的問題。PLCI/O擴(kuò)展接口通信接口存儲器用戶程序系統(tǒng)程序輸入接口CPU電源輸出接口按鈕行