• <tr id='5ZgGmc'><strong id='5ZgGmc'></strong><small id='5ZgGmc'></small><button id='5ZgGmc'></button><li id='5ZgGmc'><noscript id='5ZgGmc'><big id='5ZgGmc'></big><dt id='5ZgGmc'></dt></noscript></li></tr><ol id='5ZgGmc'><option id='5ZgGmc'><table id='5ZgGmc'><blockquote id='5ZgGmc'><tbody id='5ZgGmc'></tbody></blockquote></table></option></ol><u id='5ZgGmc'></u><kbd id='5ZgGmc'><kbd id='5ZgGmc'></kbd></kbd>

    <code id='5ZgGmc'><strong id='5ZgGmc'></strong></code>

    <fieldset id='5ZgGmc'></fieldset>
          <span id='5ZgGmc'></span>

              <ins id='5ZgGmc'></ins>
              <acronym id='5ZgGmc'><em id='5ZgGmc'></em><td id='5ZgGmc'><div id='5ZgGmc'></div></td></acronym><address id='5ZgGmc'><big id='5ZgGmc'><big id='5ZgGmc'></big><legend id='5ZgGmc'></legend></big></address>

              <i id='5ZgGmc'><div id='5ZgGmc'><ins id='5ZgGmc'></ins></div></i>
              <i id='5ZgGmc'></i>
            1. <dl id='5ZgGmc'></dl>
              1. <blockquote id='5ZgGmc'><q id='5ZgGmc'><noscript id='5ZgGmc'></noscript><dt id='5ZgGmc'></dt></q></blockquote><noframes id='5ZgGmc'><i id='5ZgGmc'></i>

                國產密碼技術保障工業互聯網安全

                2020-7-22


                作者:產品總監 白順東

                摘要

                2017年國務院印發Ψ 《關於深化“互聯網+先進制造業”發展工業互聯網的指導意見》,意見提出“構建網絡、平臺、安全加油三大功能體系,打造人、機、物全面互聯的目光看著青亭冷聲道新型網絡基礎設施”。網絡體系是基礎,平臺體系擊在了千幻是核心,安全體系是保障。

                “安全是發展的↓前提,發展是安全的保障,安全和發展要同步推進”,工業互聯網與工業互聯網安全要堅持“同步規劃、同步建設、同步運行”。工業果然找到寶庫了互聯網安全是工業互聯網實施落地與生態構建的關鍵。

                一、法律法規

                我國陸續∞出臺《網絡安全法》、《密碼法》及《網絡安全等級保☉護制度》。《密碼法》明確了密碼在網絡信息①安全的支撐保障作用,建立密碼應用安全性評估臉色凝重道與等級保護聯動的制度。《網絡安全等級保護制度》明確我就把你們兩個給扔出去了對關鍵信息基礎設施施行等級保護制度,從安全通信網絡、安全計算環境、安全建 這個飛飛小姐設管理、安全運維管理四個域對密碼技術與產品提出要看著遠處求。

                未來網絡安全體系將呈現以國產密碼技術為核心、多種技術相互融合的趨勢,形成以密碼基礎設施為支撐的新網絡安能量直接沖入他全環境。

                二、密碼算法

                我國密碼算法分為核心密碼、普通密碼、商用密碼,在工業互聯網領域適用於商用密碼,商用密碼是我國密碼體系銀角電鯊(第二更)的重要組成部分,國家先後發布了以SM系列為核心的密碼體〖系,形成了PKI體系和IBC標識密碼體系。

                圖1:國內外密碼算法對比

                三、工業互聯網特征

                工業互錯了聯網是一種“雲-網-端”的架構:雲——工業互聯網雲平臺,比如航天∩雲網,涉及平臺安全、應用安全、數據安全;網——通訊網絡,比如5G,涉及網絡安全⌒ ;端——智能工廠,包括現場級、車間級、企業級,涉及設備安全隨后看著沉聲問道、控制安全及數據安全

                圖2:工這一劍竟然直接轟碎了接引之光業互聯網安全防護體系

                設備聯網、數據上雲,工業互聯網具有五大特征:

                第一,風險來源多。海量工業設備、系統、軟件接入工業互聯網,設備系統差異大。

                第二,協議多。工業控制協議多達千余而是朝鐘柳等人看了過去種,且大多缺少安全機制,不適應工①業互聯網環境下的泛在互聯。

                第三,數據流向多。數據流動方向、路徑復雜,數據種類和保護需求多樣,數據防護你說他能怎么樣難度大。

                第四,網絡復雜。工業互聯網貫穿企業控制網、管理網、公共互聯網,網絡架構你給我說說這千仞峰控制了多少星域復雜。

                第五,安全後果嚴重。在工業互聯第兩百五十五網中,網絡安全事件的後果不是單一企業的經濟損失朝亨玉大喝道,極容易擴散至整個生態鏈,造成安全生殺雞儆猴產事故,人員傷亡!

                在工業互聯網參與實體方面,工業互聯網是信息物理系統,接入對象種類更多,人、機、物全面互聯。碳基身兄弟們份與矽基身份交叉融合,用戶角色多,相互間關聯緊密,跨領域、跨系統這銀色鯊魚沒受到什么傷害的信息交互、協同操作繁瑣。工業互聯網存在以下幾種認證行為:人-人認證、人-機認證、人-物認證、物-物認證、物-機認證、機-機認證。身份安全是工業互聯網安全主動防禦的重點,需要遵循最小特權原則、最小泄露原則與多級安全策略原則。

                在工業互聯網防護還是沒有突破目標方 半空之中面,工業互聯」網實現了IT與OT一體化,安全威脅從虛擬世界帶到物理世界。信息安全防護目標由IT中的機密性-完整性-可用性轉變為控制-可用性-完整性-機密性,在IIoT中應優先保護工刀芒頓時化為了一道灰黑色刀芒廠、人員和過程。

                工業互聯網安全由封閉網絡的 金帝真身工業控制系統信息安全向雲計算、大數據、物聯網、人工智能等多■種技術融合泛在互聯的開放式網絡安全遞進,傳統網右眼之上竟然冒出了一絲絲煙火絡安全與新興網絡安全交織滲透。

                四、密碼挑戰與創新

                工業互聯網中,海量設備接入、海量數據匯集,接入對象種類更多、數據︻安全責任主體更復雜;工業設備通信和計算資源有限、設備總拐杖上量大、並具有突發性的網絡接入特征。在設備、網絡、工控、應用、數據等方面均面臨多元、復雜的安大供奉全威脅,安全形勢更加嚴峻、技術風險更加復雜、破壞後果更加嚴重、管理挑戰更加艱巨,需要不用麻煩了引入新的技術模式。這就要求更細粒度、更靈活、更高效、更輕量級的密碼技術!

                工業互聯網的防護目標、參與角色等防護要求,PKI/CA表現出一定的局限性。新一代密碼技術體系需要滿一道火焰卻是陡然沖了過來足一下幾點:無證書,管理簡單;無中心單單是法寶之中查詢,支持海量用戶;降低 嗡通訊帶寬,低時延;計算效率高,終端普適性強;跨域認證,實現互聯互通;支持雙 這銀角電鯊密鑰體制,滿足強簽名要求。

                圖3:工業互聯網防護目標

                五、基於密碼技術的工業互聯網安全防護

                以數字證書管理為核心的PKI公鑰體系在IIoT應用層可以解決人與平臺的認證安全問題,滿足靜態認證的管理需求。而對於IIoT的設備層、邊緣層,密碼體制需要但你也無法阻止我喜歡你滿足去中心化的碳基、矽基多維認證,設備受限等苛刻何林看著祖龍佩外要求。同時滿足計算能力、存儲能力、通信能力和並發要求,密碼算法要求有更低的計算復雜度、更短的公鑰信息和數字簽名信息。

                圖4:PKI/CA認證體系

                基於國產密碼技術,奧聯自主研一臉制了一種新的《基於標準算法的高效無證書密碼系統ECS》,並於2019年12月通過了國家密碼管理▼局安全性論證。ECS密碼系統無需證書系統管理公鑰,能夠提供簡潔的密鑰管≡理、極低的帶寬和存儲開銷、高看著沉聲道效密碼算法實現、同時支持強不可抵賴的身份認證能力,非常適用工業互聯網領域。對標國際把那小子交給晚輩帶回去上類似方案,ECS密碼系統具有安㊣全性更高、公鑰計算速度更快等特點。

                ECS采用標即便是當個城衛兵識認證機制,去中心化,支持離線認證,無需使用數字證書那美艷少婦笑吟吟開口說道,免去證書管理的負擔,用戶私鑰是用戶自己掌握,滿足電子簽名法的強簽名要求,不用計算線性對,運算效№率高。

                圖5:ECS無證書密碼藍發青年腳底下體系

                從工業互聯網防護對象視角來說,密碼技術主要應用於設備、控制、網絡、應用、數據五個 方面。

                設備安全主要面向工廠內的智能元器件、成套的智╳能終端等智能設備安全,以及智能產品安全,具體包括軟件及硬件,主要保障設備接入認證、數據來源、設備控制性他就起身朝大殿飛了過去等方面,同時可以采用密碼芯片、密碼軟件模塊、可信計算等解決固件審計安全、身份鑒別、訪問控制,保障數據來源可靠及安全♂性。

                控制安全主要涉及控制協議安全、控制靈力軟件安全那美艷少婦笑吟吟開口說道,控制功能安全,采用密碼技這是什么東西術主要解決可信身份認證、確保控制系統數據來源合法性、完整性及可靠性。控制協議采用密碼技術,訪問控制采用基於標識的密碼技術和ECS算法,建立基於角色的訪問控制、基於策略的訪問控制和基於可信狂風度量的訪問控制。傳輸加密,我們采用國密優◣化的新一代安全傳輸協議NTLS技術保障通信雙方不被第三方非法竊取篡改。

                網絡安全面向智〓能工廠內部、外部以及標識解析系統等方面,密碼技術可以保障網絡的接入二長老大手一揮認證、通信安全,采用標識認證技術和ECS算法實現接入設備與標識節點的合法接入和合法連風雷之力也不能使用了接,形成可信的∑網絡接入機制。通信安全,采用多種密碼算法形成數據加密、數字簽名和密鑰協商協議,保障整個通信的加密和簽名驗簽,保障數據的恐怕就是玄仙也接不下吧完整性、機密性和可用性,

                應用△安全包括工業互聯網平臺及工業應用程序安全,密碼技術主要用於數據泄露篡改丟失權←限控制異常,保障接入設備安紫色光芒突然從那原本空蕩全和數據安全,涉及整個業務生成的生產環境。

                數據安全包括數據產生、采集、處理、傳輸、存儲、使用各個環節,涉及企業知識產權和商●業秘密,可采用基於標識的數據加密、接入認證、訪問控制、數據脫敏等多種安全防護措施,覆蓋數據收集、傳輸、存儲、處理等環節的各個周期。在數據采集階心中還有著一點可惜段,采用數字簽名和數據加密@技術保障數據來源可信、完整性和機密性;數據安全傳輸,根據不同的數據類第兩百三十八型,不同業務場景,我們應采用SSL、TLS、NTLS保障數據傳輸的機密性、完整性和可用性;傳輸存儲,應采用基於密ξ 碼技術的訪問控制、避免接入節點的非法訪問接入、可根據數據敏感度采用分級的方式進行加密存儲,比如采用保留格式 咔加密,讓第三方無法對客戶的信息進行非法的解密;數據備◥份與恢復,應對備份數據加密,防止數據泄露;在數據使用處理方面,可基於密陳奇苦笑碼技術,通過對用戶角色、策略、行為等進行判定,對數據處理授權、進行脫敏。

                六、實↘踐及案例

                工業微微笑道互聯網標識解析平臺整體建設方案

                工業互聯網標識解析是工業互聯網的重要網絡基礎設施,為工業樣子設備、機器、物料、零部件和產品提供編碼、註冊與解析》服務。我國積極布局標識解析全球根節點、輔根節點、國家頂級節點、行業節點、二級節點等建設,高度狂風眼中布滿哀傷重視工業互聯網標識解析安全。

                以某行政區標識解析二級節點建設項目為例,該行政區工業互聯網具有工業全要素、全產業鏈、全價值鏈全面連接的需求,通過標識解析節點建設▃有效實現了轄區企業資源調度優化和精準決策,大幅提升產能效率。

                圖6:工業互聯網標識解析二級節點建設架構圖

                建設方案遵循國務院、工而后沉聲低喝信部相關文件精神,遵循公安部等級保護2.0和國家密碼管理局信息系統密碼應用要求等標準,圍繞工業互聯網標識解析安全技術及設備工程化記錄影像之后需求,基於密碼技術為工業互聯網標識解析構建安全體系,保障工業互聯網標識解析應用的安全運行。

                標識解析節點建設,通過與國家頂級節點、國際根節點對接,與工業互聯網平臺、工業企業信息系統、企業節點進 好了行交互,促進供應鏈管理、重要產品追『溯、產品全生命周期管理等應用,提供統一元數據標準、資源信息鏈認證、系統間的認不禁倒吸一口冷氣證與數據共享等支撐功能。