1、北京和利时系统工程有限公司技术中心北京和利时系统工程有限公司技术中心 王弢王弢 2015年12月10日主要内容现有的方案我们的目标目前的探索目前的探索展望展望12334现有的方案现有的工业控制系统防护主要体现在外加安全组件,均属于被动防御。我们的目标被动防御 防火墙 防病毒软件 审计及入侵检测。主动防御 数字证书 对称与非对称加密 可信计算 虚拟化 安全管控的融合联动 蜜罐 工业云与大数据分析。基于主动防御理念的具有信息安全功能的工业控制系统我们的目标 防御未授权访问;防御未授权访问;1 防御非法的系统篡改;防御非法的系统篡改;2防御通信数据被篡改、重放、截获。防御通信数据被篡改、重放、截获。
2、3。4目前的探索部分控制系统厂商采用的具有信息安全功能的通信协议 SNMPv3协议是SNMP协议的加密版本,使用对称加密算法传送网络分析信息以免遭窃听。SNMP(简单网络管理协议)v3 HTTPS具有SSL安全协议使用非对称加密的方式构建安全通信关系并协商对称通信密钥,通信过程为全密文,用以保障Web访问的全程安全。HTTPS 用于加密传输文件,同样通过内嵌SSL安全协议的方式。FTPS1.控制器的防御部分控制系统厂商所做的工作控制器基于账号口令等简单方式的身份鉴别支持HTTPS安全协议进行远程诊断支持FTPS安全协议进行加密文件传送目前的探索部分关键信息的密文存储支持SNMP v3协议进行网
3、络管理2.基于网络设备的防御使用交换机实现进行接入名单控制、设备认证使用交换机进行编程控制部分控制系统厂商所做的工作使用交换机实现数据加密等安全功能,如SSH、SNMPv3和HTTPS等目前的探索部分工控系统采用的主动防御技术部分工控系统采用的主动防御技术证书管控平台上位机信息安全单元下位机信息安全单元密钥管理服务器可信PLC展望证书管控平台部分工控系统采用的主动防御技术:数字证书部分工控系统采用的主动防御技术:数字证书证书管控平台对于控制系统为离线过程。RA中心位于用户现场,进行数字证书请求生成,管理,下发的工作。根CA中心处理RA发出的证书请求并生成证书,下发至RA中心(加密的远程传输)。
4、展望部分工控系统采用的主动防御技术:对称与非对称加密部分工控系统采用的主动防御技术:对称与非对称加密展望 非对称加密具有公钥和私钥两组不同密钥,使用公钥加密并通过私钥解密最大程度保护数据安全,算法复杂耗时较大。主要用于数字证书的身份校验以及对称密钥的传输等安全级别较高的工作。常用算法有:国际RSA、DSA和国密SM2等。非对称加密算法 对称加密只有一组密钥,加密的安全性几大部分取决于密钥长度。对称加密算法是数据加密交互中最常使用的通用算法。常用算法有:国际AES、3DES和国密SM4等。对称加密算法工程师站通信建立安全通道后的通信均为密文。通过数字证书首先验证合法身份,并通过非对称加密方式3次
5、协商通信对称密钥。安全的工程师站采用安全级别较高的“挑战应答式”通信方式,使用握手机制建立安全通道,使用随机对称密钥加密通信数据充分保证数据安全。部分工控系统采用的主动防御技术:对称与非对称加密部分工控系统采用的主动防御技术:对称与非对称加密展望操作员站通信实际加密通信的对称密钥由存储的密钥“种子”和随机生成的随机数共同组成。密钥“种子”由密钥服务器管理并保证每条通信链的种子是唯一的。操作员站通信机制采用密钥服务器下发给各个通信链上的设备密钥“种子”,通信过程由密钥“种子”加随机数杂揉生成唯一对称密钥的方式进行密文通信。展望部分工控系统采用的主动防御技术:对称与非对称加密部分工控系统采用的主动
6、防御技术:对称与非对称加密部分工控系统采用的主动防御技术:对称与非对称加密部分工控系统采用的主动防御技术:对称与非对称加密主控部分可为传统控制器也可以使用更安全的可信PLC。为保障下发的密钥安全,对称密钥相关的下发均使用非对称加密算法并配合数字证书验证合法身份。密钥服务器管理数据加密所需要的对称密钥种子,种子文件用来生成唯一的对称密钥保障数据安全。展望操作员站的秘钥管理技术难点:技术难点:工业应用具有高实时性的特点,要求传输达到几个毫秒,对于数据加解密的运算能力要求较高。实现加解密、随机数发生器、密钥存储器、算法加速器等子模块功能。安全通信模块采用常规接口作为控制器的加密通信模块与控制器连接并
7、完成加解密数据传输。部分工控系统采用的主动防御技术:对称与非对称加密部分工控系统采用的主动防御技术:对称与非对称加密展望安全通信模块部分工控系统采用的主动防御技术:嵌入式设备的可信计算部分工控系统采用的主动防御技术:嵌入式设备的可信计算采用可信计算技术,建立可信链,实现PLC的安全启动和安全运行,及时发现异常代码,解决攻击者通过已知和未知漏洞向PLC中植入恶意攻击代码的问题。PLCI/O扩展接口通信接口存储器用户程序系统程序输入接口CPU电源输出接口按钮行程开关触点指示灯电磁线圈电磁阀传统PLCPLCI/O扩展接口通信接口存储器用户程序系统程序输入接口CPU电源输出接口按钮行程开关触点指示灯电磁线圈电磁阀可信芯片可信PLC开发展望