今日頭條
官方微信
官方抖音
資訊頻道1 方案背景與目標(biāo)
能源、電力、石化和交通等行業(yè)的工業(yè)控制系統(tǒng)構(gòu)成了國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施。在這些系統(tǒng)中,DCS(分布式控制系統(tǒng))和PLC(可編程邏輯控制器)等系統(tǒng)和單元扮演著中樞角色。它們根據(jù)企業(yè)的運(yùn)行邏輯,負(fù)責(zé)控制各種執(zhí)行部件,精確采集數(shù)據(jù),并正確發(fā)出控制指令,從而對(duì)數(shù)據(jù)進(jìn)行分析和判斷。
傳統(tǒng)工控系統(tǒng)存在設(shè)計(jì)之初大多未考慮安全特性,打補(bǔ)丁式的防病毒手段使得工具更新困難、維護(hù)復(fù)雜,成本居高不下;傳統(tǒng)安防系統(tǒng)無(wú)法深入到工控系統(tǒng)內(nèi)部、邊界防護(hù)無(wú)法實(shí)現(xiàn)縱深防御效果等缺陷,導(dǎo)致工控系統(tǒng)常年遭受惡意攻擊而束手無(wú)策,危害工控系統(tǒng)導(dǎo)致的經(jīng)濟(jì)和社會(huì)事件層出不窮。基于此,飛騰攜手高鴻信安,面向全行業(yè)工控場(chǎng)景,聯(lián)合打造了 基于飛騰騰瓏 E2000 內(nèi)置 TCM/TPCM 作為可信根的自主可信計(jì)算解決方案,可保證系統(tǒng)安全穩(wěn)定運(yùn)行,旨在為工控系統(tǒng)構(gòu)建更加穩(wěn)定、快捷的主動(dòng)免疫式可信安全防護(hù)體系建設(shè)方案。
2 方案詳細(xì)介紹
本方案基于飛騰騰瓏 E2000網(wǎng)安版CPU 內(nèi)置物理 TCM/TPCM,采用高鴻信安可信計(jì)算技術(shù)、操作系統(tǒng)安全技術(shù)等對(duì)工控系統(tǒng)進(jìn)行可信安全增強(qiáng),構(gòu)建主動(dòng)免疫式可信安全防護(hù)體系架構(gòu)。
飛騰CPU內(nèi)置物理 TCM/TPCM 擔(dān)任可信根的角色,其中內(nèi)置TCM滿足GM/T 0012 可信密碼模塊要求,它是一個(gè)含有密碼運(yùn)算部件和存儲(chǔ)部件的處理器核,通過(guò)密鑰技術(shù)、硬件訪問(wèn)控制技術(shù)和存儲(chǔ)加密等技術(shù)保證系統(tǒng)和數(shù)據(jù)的信任狀態(tài)。基于可信根,采用國(guó)密算法,對(duì)設(shè)備的系統(tǒng)引導(dǎo)程序(固件、操作系統(tǒng)加載程序等)、系統(tǒng)程序(操作系統(tǒng)內(nèi)核等)、重要配置參數(shù)、應(yīng)用等進(jìn)行完整性校驗(yàn),包括靜態(tài)驗(yàn)證和動(dòng)態(tài)驗(yàn)證兩種,前者主要在設(shè)備啟動(dòng)過(guò)程中和靜態(tài)存儲(chǔ)階段進(jìn)行,后者主要在應(yīng)用程序執(zhí)行環(huán)節(jié)進(jìn)行,當(dāng)檢測(cè)到完整性發(fā)生變化時(shí),證明設(shè)備可信性遭到破壞,進(jìn)行報(bào)警,結(jié)合可信網(wǎng)絡(luò)連接技術(shù),將相關(guān)審計(jì)記錄安全的上報(bào)給可信管理平臺(tái)。
本方案提供的主動(dòng)防御功能貫穿了處理器、主板硬件、固件、操作系統(tǒng)、應(yīng)用、可信管理平臺(tái),形成可信安全閉環(huán),能夠有效應(yīng)對(duì)各種新型和未知的漏洞、病毒、木馬攻擊,保護(hù)工控客戶信息免受侵害。
方案架構(gòu):
圖1:基于飛騰騰瓏 E2000Q 內(nèi)置TCM的TPCM可信工控系統(tǒng)方案
關(guān)鍵功能:
硬件層:采用內(nèi)置TCM/TPCM可信根的飛騰CPU以及可信增強(qiáng)的固件,確保信任起點(diǎn)的可信性以及信任鏈的建立,實(shí)現(xiàn)對(duì)系統(tǒng)引導(dǎo)程序、系統(tǒng)程序進(jìn)行可信驗(yàn)證的功能。
系統(tǒng)層:部署高鴻信安可信軟件基,實(shí)現(xiàn)系統(tǒng)可信啟動(dòng)、應(yīng)用靜態(tài)可信驗(yàn)證、進(jìn)程動(dòng)態(tài)可信驗(yàn)證等可信功能和應(yīng)用程序白名單、進(jìn)程保護(hù)、應(yīng)用訪問(wèn)控制等其他防護(hù)功能。
應(yīng)用層:通過(guò)系統(tǒng)層高鴻信安可信軟件基提供的可信防護(hù)能力及安全服務(wù)接口,結(jié)合定制化的策略管理,為應(yīng)用程序提供靜態(tài)、運(yùn)行態(tài)等全生命周期的保護(hù)。
管理層:通過(guò)可信管理平臺(tái)實(shí)現(xiàn)可信狀態(tài)管理、策略管理、可信告警/審計(jì)匯集等功能,對(duì)工控系統(tǒng)各類終端進(jìn)行統(tǒng)一管理。
3 代表性及推廣價(jià)值
應(yīng)用場(chǎng)景:
本方案可廣泛應(yīng)用到如以下工控系統(tǒng)(不限于):
方案優(yōu)勢(shì):
實(shí)施效果:
飛騰攜手高鴻信安打造的自主可信計(jì)算聯(lián)合解決方案,可以有效彌補(bǔ)傳統(tǒng)工控系統(tǒng)設(shè)計(jì)之初缺乏的安全特性,拋開(kāi)打補(bǔ)丁式的防病毒手段,避免不停升級(jí)漏洞和病毒庫(kù),深入到工控系統(tǒng)內(nèi)部,實(shí)現(xiàn)縱深防御。
本方案開(kāi)創(chuàng)性的解決了工控行業(yè)落地過(guò)程中遇到的諸多難題:如基于傳統(tǒng)可信芯片方案的產(chǎn)業(yè)鏈長(zhǎng)、工程化難度大、生態(tài)復(fù)雜、項(xiàng)目適配周期長(zhǎng),可信計(jì)算性能受限,工作環(huán)境苛刻,主板資源受限等缺陷,為工控系統(tǒng)構(gòu)建更加穩(wěn)定、快捷的主動(dòng)免疫式可信安全防護(hù)體系,提供了切實(shí)可行的解決途徑。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)