1、,具有信息安全功能的控制系统展望,北京和利时系统工程有限公司技术中心 王弢,2015年12月10日,主要内容,1,2,3,3,4,现有的方案,现有的工业控制系统防护主要体现在外加安全组件,均属于被动防御。,我们的目标,基于主动防御理念的具有信息安全功能的工业控制系统,我们的目标,防御未授权访问;,防御非法的系统篡改;,防御通信数据被篡改、重放、截获。,。,目前的探索,部分控制系统厂商采用的具有信息安全功能的通信协议,1. 控制器的防御,部分控制系统厂商所做的工作,控制器基于账号口令等简单方式的身份鉴别,支持HTTPS安全协议进行远程诊断,支持FTPS安全协议进行加密文件传送,目前的探索,部分关
2、键信息的密文存储,支持SNMP v3协议进行网络管理,2. 基于网络设备的防御,使用交换机实现进行接入名单控制、设备认证,使用交换机进行编程控制,部分控制系统厂商所做的工作,使用交换机实现数据加密等安全功能,如SSH、SNMPv3和HTTPS等,目前的探索,部分工控系统采用的主动防御技术,证书管控平台,上位机信息安全单元,下位机信息安全单元,密钥管理服务器,可信PLC,展望,证书管控平台,部分工控系统采用的主动防御技术:数字证书,证书管控平台对于控制系统为离线过程。,RA中心位于用户现场,进行数字证书请求生成,管理,下发的工作。,根CA中心处理RA发出的证书请求并生成证书,下发至RA中心(加密
3、的远程传输)。,展望,部分工控系统采用的主动防御技术:对称与非对称加密,展望,工程师站通信,建立安全通道后的通信均为密文。,通过数字证书首先验证合法身份,并通过非对称加密方式3次协商通信对称密钥。,安全的工程师站采用安全级别较高的“挑战应答式”通信方式,使用握手机制建立安全通道,使用随机对称密钥加密通信数据充分保证数据安全。,部分工控系统采用的主动防御技术:对称与非对称加密,展望,操作员站通信,实际加密通信的对称密钥由存储的密钥“种子”和随机生成的随机数共同组成。,密钥“种子”由密钥服务器管理并保证每条通信链的种子是唯一的。,操作员站通信机制采用密钥服务器下发给各个通信链上的设备密钥“种子”,
4、通信过程由密钥“种子”加随机数杂揉生成唯一对称密钥的方式进行密文通信。,展望,部分工控系统采用的主动防御技术:对称与非对称加密,部分工控系统采用的主动防御技术:对称与非对称加密,主控部分可为传统控制器也可以使用更安全的可信PLC。,为保障下发的密钥安全,对称密钥相关的下发均使用非对称加密算法并配合数字证书验证合法身份。,密钥服务器管理数据加密所需要的对称密钥种子,种子文件用来生成唯一的对称密钥保障数据安全。,展望,操作员站的秘钥管理,技术难点:工业应用具有高实时性的特点,要求传输达到几个毫秒,对于数据加解密的运算能力要求较高。,实现加解密、随机数发生器、密钥存储器、算法加速器等子模块功能。,安全通信模块采用常规接口作为控制器的加密通信模块与控制器连接并完成加解密数据传输。,部分工控系统采用的主动防御技术:对称与非对称加密,展望,安全通信模块,部分工控系统采用的主动防御技术:嵌入式设备的可信计算,采用可信计算技术,建立可信链,实现PLC的安全启动和安全运行,及时发现异常代码,解决攻击者通过已知和未知漏洞向PLC中植入恶意攻击代码的问题。,PLC,通信接口,存储器,用户程序,系统程序,电源,按钮,行程开关,触点,指示灯,电磁线圈,电磁阀,传统PLC,展望,谢谢大家!,
