隨著我國“新基建”的深化,針對關鍵資訊基礎設施安全的防護工作成為重中之重。近幾年來,針對工業基礎設施的網路攻擊事件越來越多,造成的影響和損失也越來越大,工業安全已經成為行業面臨的刻不容緩的挑戰。
等級保護是我國網路安全工作的基礎,工業安全同樣需要嚴格遵循等保的要求。我國在2019年釋出了等級保護2.0標準,首次將物聯網、雲計算、工業控制系統等新技術新應用列入標準範圍。同時,在等保2.0標準中,強化了對可信計算技術的使用要求,把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。
作為等保2.0中新引入的安全特性,可信驗證的基本要求不僅在“安全區域邊界”部分有要求,在“安全通訊網路”和“安全計算環境”中均新增了可信驗證的要求。
天地和興可信解決方案具備在計算運算的同時進行安全防護,以密碼為基因實施身份識別、狀態度量、保密儲存等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進入系統的有害物質,相當於為網路資訊系統培育了免疫能力。
可信裝置節點雙體系架構和三重防護系統保護框架
天地和興可信解決方案所有計算節點都可基於可信根實現從開機到作業系統啟動,再到應用程式啟動的可信驗證,並在應用程式的關鍵執行環節對其執行環境進行可信驗證,主動抵禦病毒入侵行為,並將驗證結果形成審計記錄,送至管理中心。
可信主動免疫
針對工控系統環境和攻擊者在攻擊過程中破壞篡改系統環境的特點,將我國自主創新的對稱非對稱相結合的密碼體制作為免疫基因,採用主動度量技術的自免疫防禦技術,為工控業務主機系統構建可信計算節點,在TPCM支撐下,可信驗證及可信連線技術構建從節點到網路的全方位可信驗證體系,病毒和木馬“不查殺而自滅”,為工控網路系統培育免疫能力。
可信安全產品家族
天地和興工業安全可信安全產品是天地和興面向電力、石油石化、軌道交通、鋼鐵冶金、智慧製造等工業企業自主研發的採用自主可控晶片,包含可信邊界防禦、可信網路通訊防禦、可信計算環境防禦、可信管理平臺的工控安全產品家族,涵蓋了工控防火牆、工控安全審計、工業主機安全防護以及工控資訊保安監管與分析平臺。
可信解決方案亮點
1、基於主動免疫系統防禦機制,免補丁升級,免病毒、木馬查殺
採用可信免疫系統防禦機制,執行程式可信度量,阻止非授權及非預期的執行程式執行,免補丁升級,免病毒、木馬查殺,同時實現對已知/未知惡意程式碼的主動防禦。
2、透過動態度量架構,保障系統資源全生命週期的安全可信
採用動態度量技術,杜絕APT攻擊利用0day漏洞、物理擺渡等方式對系統資源進行破壞,保障系統資源全生命週期的安全可信。
3、基於TPCM提供基於國密演算法的高安全可信保障
透過TPCM晶片廠家植入在可信硬體中的演算法和秘鑰,以及整合的專用微控制器對軟體棧進行度量和驗證來確保可信,其中涉及到的密碼演算法採用自主可控的國家密碼局認定的國產商用密碼演算法(SM1、SM2、SM3、SM4等)。
4、不用改變系統現有應用,使用者使用完全透明
實施過程中不需要對系統現有應用做任何改變,對使用者使用完全透明,對使用者的使用習慣不存在任何影響,對系統性能的影響不超過3%。
5、靈活的功能控制
可以對當前裝置可信功能是否生效進行設定,支援兩種未知程式的管控方式:監測模式:策略觸發後不阻斷程式執行,只上報一條告警,該告警將成為靜態度量日誌;管控模式:出發後將阻斷相應程式的本次的執行,同時上報告警。
6、完備的審計記錄
所有的可信相關的策略都會產生響應的日誌,同時可以上報給集中管理平臺,由集中管理平臺進一步匯聚分析,從而得出更加準確的防護報告為網路的整體防護策略提供資料依據,進而部署更加精確的防護措施。
可信計算從根本上解決了工業環境的信任問題,它與安全設計、密碼應用、自主可控、工業免疫共同組成了新一代工業網路安全的治理新思路。天地和興作為新一代工業網路安全領航者,始終如一的追求“打造可信控制環境、助力網路強國戰略”的企業使命,致力與使用者建立新型夥伴關係,賦能使用者構築全面覆蓋、深度結合的工業網路安全防禦體系,滿足數字化轉型和持續創新發展的全方位需求。
