大连理工计算机控制工程有限公司.PPT

* * * * * * * * * * * * * 具有信息安全功能的控制系统展望 北京和利时系统工程有限公司技术中心 王弢 2015年12月10日 主要内容 1 2 3 3 4 现有的方案 现有的工业控制系统防护主要体现在外加安全组件，均属于被动防御。 我们的目标 基于主动防御理念的具有信息安全功能的工业控制系统 我们的目标 1 2 3 4 目前的探索 部分控制系统厂商采用的具有信息安全功能的通信协议 1. 控制器的防御 部分控制系统厂商所做的工作 控制器基于账号口令等简单方式的身份鉴别 支持HTTPS安全协议进行远程诊断 支持FTPS安全协议进行加密文件传送 目前的探索 部分关键信息的密文存储 支持SNMP v3协议进行网络管理 2. 基于网络设备的防御 使用交换机实现进行接入名单控制、设备认证 使用交换机进行编程控制 部分控制系统厂商所做的工作 使用交换机实现数据加密等安全功能，如SSH、SNMPv3和HTTPS等 目前的探索 部分工控系统采用的主动防御技术 展望 证书管控平台 部分工控系统采用的主动防御技术：数字证书 证书管控平台对于控制系统为离线过程。 RA中心位于用户现场，进行数字证书请求生成，管理，下发的工作。 根CA中心处理RA发出的证书请求并生成证书，下发至RA中心（加密的远程传输）。 展望 部分工控系统采用的主动防御技术：对称与非对称加密 展望 工程师站通信 建立安全通道后的通信均为密文。 通过数字证书首先验证合法身份，并通过非对称加密方式3次协商通信对称密钥。 安全的工程师站采用安全级别较高的“挑战应答式”通信方式，使用握手机制建立安全通道，使用随机对称密钥加密通信数据充分保证数据安全。 部分工控系统采用的主动防御技术：对称与非对称加密 展望 * * * * * * * * * * * * *