1.概述

当前工业互联网安全威胁复杂多样，产业基础还尚显薄弱，面临较大的安全挑战。密码技术作为保护网络安全的核心技术和基础支撑，提出工业互联网安全解决方案，构建纵深防御整体密码应用体系，确保工业系统业务安全可控。

2.需求分析

工业互联网安全需求主要包括：对适配工业现场环境、低功耗模式等工业系统端级别设备与访问用户身份认证的需求；对系统中不同网络速率和连接要求的通信网络的传输认证和传输加密要求；对于关键工艺参数等敏感数据的存储安全需求；针对不同安全等级区域边界访问隔离建立横向或纵向密码隔离。本解决方案适用于需要此类需求的项目。

3.方案架构

针对工业系统存在的安全问题，兼顾安全需求及技术实现路线，在现场控制层、过程监控层、生产管理层等进行密码安全加固，基于密码应用需求理解，以典型SCADA系统为例，设计工业互联网系统密码应用安全防护架构。

3.1 技术架构

结合等保2.0对工业系统安全扩展要求，对工业企业的安全计算环境、安全区域边界、安全通信网络等主要安全需求，形成工业互联网密码应用整体技术方案，技术架构如下图所示。

图 3 1 技术架构图

3.2 产品部署图

安全设备部署方式如下图所示：

图 3 2 产品部署图

以嵌入式安全模块、工控密码网关、中心密码网关、安全认证网关、安全隔离网关等密码产品为载体，配合密钥管理与证书管理子系统等平台支撑，为工业控制系统提供全方位的安全保障。既可针对终端控制设备，提供支持内嵌式硬件密码模块、工控密码网关等，实现现场控制层工控协议密码安全；也可针对中心侧提供中心密码网关实现网络传输密码安全保障，对中心的业务服务器提供调用式服务器密码机，用于组态应用软件的业务机密性、完整性、不可否认性保护。以安全认证网关实现控制系统不同角色用户的身份鉴别和授权访问，同时可提供密码安全隔离设备，实现边界的受控访问与数据安全防护。

功能1:实现现场控制层和过程监控层设备之间的身份认证。

功能2:实现现场控制层设备数据机密性和完整性保护。

功能3:实现过程监控层海量终端接入和数据加密保护。

功能4:实现过程监控层与生产管理层之间的正反向隔离传输保护。

3.4 主要技术指标

支持算法：SM1,SM2,SM3,SM4

认证资质：国密二级

支持5000个终端用户同时连接

网络吞吐率大于650Mbps

4.方案特色

符合安全等级保护2.0新要求

构建基于纵深防御整体密码安全防护体系

适配多种应用场景、实用性强

5.适用领域

该系统可为装备制造、原材料生产、电子制造、航空航天、化工等重点行业提供“工业设备安全、工业主机安全、工业生产网络与管理网络安全、工业数据安全”的安全综合防护平台。与入侵检测、智能分析、态势感知、指挥调度等其他业务能力结合的多层次纵深防御体系已得到既有项目有效验证，可为工业互联网实际应用提供无感密码安全防护。

6.企业分工

解决方案中涉及体系化的安全产品均可由兴唐通信科技有限公司提供；也欢迎与更多工业产品供应商、安全厂家的多种形式合作。

7.应用案例

为某国家重点水利项目建设工业系统安全解决方案。该系统已正式上线经数月正常运行，各水闸站与总部均无故障，得到了领导和专家一致好评。该系统能够在不影响业务系统正常运行的前提下满足工业安全应用需求，可用于指导工业系统安全综合防护平台广泛部署和建设。

                                 兴唐通信科技有限公司

                                  联系人：王健安        胡伟

                                  电  话：13699262399   13466362701

                                          010-62301206   010-62302004