来源 :信安世纪2022-06-21
工业互联网是新一代信息通信技术与工业经济深度融合的应用模式,通过人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,以网络为基础、平台为中枢、数据为要素、安全为保障,为工业乃至产业数字化、网络化、智能化发展提供了实现途径,是第四次工业革命的重要基石。
数控系统是智能制造的核心关键系统,是实现数字化工厂、数字化工业制造基础。集成感知、控制、智能和网联化等功能于一身是现代数控系统的主要建设方向,但随之而来的原有系统中的各种病毒、木马等攻击正在快速向数控系统渗透,信息安全事件呈逐年上升的趋势,因此迫切需要从数控系统最基础、最低层构建安全机制和形成安全能力。
INFOSEC
信安世纪以数控系统为落点,遵循GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》标准,立足于成熟的商用密码技术,构建了工业互联网数控系统安全解决方案,通过以身份认证、授权保密、数据保护、环境可信等基础性安全机制,构建起数控系统的内生本质安全。本方案由云端密码服务平台、数控系统基础安全防护、商密安全增强数控系统和商密安全增强机器人控制系统几个主要模块组成,将密码技术充分应用到数控系统的开发、集成和应用之中,有效解决数控系统目前面临的“缺加密少认证、无防护、弱授权”等问题。
#01
方案总体架构
信安世纪工业互联网数控系统安全解决方案以PKI基础设施为整体数控安全体系信任源点,通过商用密码技术实现数控系统数据安全传输、数控设备身份鉴别、业务管控等一系列的安全建设,由PKI基础设施、应用支撑平台、生产厂商、终端用户、移动终端五大版块组成密码应用技术框架,为应用支持平台提供数据完整性保护、数据加解密服务、移动安全传输、安全认证等密码安全支撑服务,业务数据交互通过SSL安全网关建立安全传输通道,保障业务数据交互安全性。
解决方案总体架构
#02
方案核心功能
构建完善的数字认证体系
通过建立数字认证体系,将数控厂商涉及的设备、人员、合作伙伴等纳入安全管理体系,以保障整个系统的安全性。
数控厂商PKI/CA信任体系基于国产密码算法构建,采用根CA、运营CA、二级认证体系,根CA是整个信任体系的源点,用于签发数控厂商运营CA证书,数控厂商运营CA面向数控设备、机器人、合作伙伴、机床厂、大型集成商、终端、移动终端等提供数字证书服务。通过数字证书标识终端实体的唯一身份,实现安全认证。
布局坚实的应用安全体系
数控系统应用安全建设主要利用密码技术,从最底层、最初状态建立设备身份认证、授权保密、数据保护、环境可信等基础安全机制,从而构建起数控系统的内生本质安全。应用安全建设主要以证书状态查询、数据签名验签、对称密钥管理、统一身份认证系统、SSL应用安全网关、SDK安全模块建设等密码应用安全服务实现。
数控系统应用支持平台通过部署统一身份认证系统,实现应用支持平台应用安全、身份认证、权限管控、访问控制等安全认证机制,通过密码安全设备实现终端用户、数控机床与应用支持平台之间的数据安全交互。
打造便捷、合规的移动端安全体系
随着人们对手机等智能终端的利用越来越高,在数控系统领域中智能终端的功能角色也越来越重要。鉴于传统智能手机不具备安全存储、使用数字证书等功能,可通过构建空中发证书系统,结合PKI技术实现智能终端的数字证书应用体系建设,以满足多种应用场景下数控系统的安全密码应用。
数控系统下移动安全建设可通过SDK密码安全模块集成到数控应用APP中,以深度接口集成实现APP的密码应用安全能力,实现移动端身份鉴别、数据加解密、数据签名等密码安全服务。