久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1 方案背景與目標

能源、電力、石化和交通等行業(yè)的工業(yè)控制系統(tǒng)構成了國家的關鍵基礎設施。在這些系統(tǒng)中，DCS（分布式控制系統(tǒng)）和PLC（可編程邏輯控制器）等系統(tǒng)和單元扮演著中樞角色。它們根據(jù)企業(yè)的運行邏輯，負責控制各種執(zhí)行部件，精確采集數(shù)據(jù)，并正確發(fā)出控制指令，從而對數(shù)據(jù)進行分析和判斷。

傳統(tǒng)工控系統(tǒng)存在設計之初大多未考慮安全特性，打補丁式的防病毒手段使得工具更新困難、維護復雜，成本居高不下；傳統(tǒng)安防系統(tǒng)無法深入到工控系統(tǒng)內(nèi)部、邊界防護無法實現(xiàn)縱深防御效果等缺陷，導致工控系統(tǒng)常年遭受惡意攻擊而束手無策，危害工控系統(tǒng)導致的經(jīng)濟和社會事件層出不窮?；诖耍w騰攜手高鴻信安，面向全行業(yè)工控場景，聯(lián)合打造了 基于飛騰騰瓏 E2000 內(nèi)置 TCM/TPCM 作為可信根的自主可信計算解決方案，可保證系統(tǒng)安全穩(wěn)定運行，旨在為工控系統(tǒng)構建更加穩(wěn)定、快捷的主動免疫式可信安全防護體系建設方案。

2 方案詳細介紹

本方案基于飛騰騰瓏 E2000網(wǎng)安版CPU 內(nèi)置物理 TCM/TPCM，采用高鴻信安可信計算技術、操作系統(tǒng)安全技術等對工控系統(tǒng)進行可信安全增強，構建主動免疫式可信安全防護體系架構。

飛騰CPU內(nèi)置物理 TCM/TPCM 擔任可信根的角色，其中內(nèi)置TCM滿足GM/T 0012 可信密碼模塊要求，它是一個含有密碼運算部件和存儲部件的處理器核，通過密鑰技術、硬件訪問控制技術和存儲加密等技術保證系統(tǒng)和數(shù)據(jù)的信任狀態(tài)。基于可信根，采用國密算法，對設備的系統(tǒng)引導程序（固件、操作系統(tǒng)加載程序等）、系統(tǒng)程序（操作系統(tǒng)內(nèi)核等）、重要配置參數(shù)、應用等進行完整性校驗，包括靜態(tài)驗證和動態(tài)驗證兩種，前者主要在設備啟動過程中和靜態(tài)存儲階段進行，后者主要在應用程序執(zhí)行環(huán)節(jié)進行，當檢測到完整性發(fā)生變化時，證明設備可信性遭到破壞，進行報警，結合可信網(wǎng)絡連接技術，將相關審計記錄安全的上報給可信管理平臺。

本方案提供的主動防御功能貫穿了處理器、主板硬件、固件、操作系統(tǒng)、應用、可信管理平臺，形成可信安全閉環(huán)，能夠有效應對各種新型和未知的漏洞、病毒、木馬攻擊，保護工控客戶信息免受侵害。

方案架構：

圖1:基于飛騰騰瓏 E2000Q 內(nèi)置TCM的TPCM可信工控系統(tǒng)方案

關鍵功能：

硬件層：采用內(nèi)置TCM/TPCM可信根的飛騰CPU以及可信增強的固件，確保信任起點的可信性以及信任鏈的建立，實現(xiàn)對系統(tǒng)引導程序、系統(tǒng)程序進行可信驗證的功能。

系統(tǒng)層：部署高鴻信安可信軟件基，實現(xiàn)系統(tǒng)可信啟動、應用靜態(tài)可信驗證、進程動態(tài)可信驗證等可信功能和應用程序白名單、進程保護、應用訪問控制等其他防護功能。

應用層：通過系統(tǒng)層高鴻信安可信軟件基提供的可信防護能力及安全服務接口，結合定制化的策略管理，為應用程序提供靜態(tài)、運行態(tài)等全生命周期的保護。

管理層：通過可信管理平臺實現(xiàn)可信狀態(tài)管理、策略管理、可信告警/審計匯集等功能，對工控系統(tǒng)各類終端進行統(tǒng)一管理。

3 代表性及推廣價值

應用場景：

本方案可廣泛應用到如以下工控系統(tǒng)（不限于）：

方案優(yōu)勢：

實施效果：

飛騰攜手高鴻信安打造的自主可信計算聯(lián)合解決方案，可以有效彌補傳統(tǒng)工控系統(tǒng)設計之初缺乏的安全特性，拋開打補丁式的防病毒手段，避免不停升級漏洞和病毒庫，深入到工控系統(tǒng)內(nèi)部，實現(xiàn)縱深防御。

本方案開創(chuàng)性的解決了工控行業(yè)落地過程中遇到的諸多難題：如基于傳統(tǒng)可信芯片方案的產(chǎn)業(yè)鏈長、工程化難度大、生態(tài)復雜、項目適配周期長，可信計算性能受限，工作環(huán)境苛刻，主板資源受限等缺陷，為工控系統(tǒng)構建更加穩(wěn)定、快捷的主動免疫式可信安全防護體系，提供了切實可行的解決途徑。