点对点加密在工控安全领域的应用

1

技术背景

当前，以移动互联网、云计算、大数据、物联网和人工智能等为代表的新一代信息技术与制造技术加速融合，打破了工业控制网络原有的固化的封闭状态，越来越多的网络安全隐患被带入了工业控制领域，威胁不断加剧。

我国工业正处在转型升级关键阶段，网络信息安全已提升至国家安全战略高度。2017年6月1日起正式实施的《中华人民共和国网络安全法》，对关键信息基础设施的运行安全也提出了更高的要求。

对于工控系统中边界和区域防护，采用工业防火墙可以有效解决。不过对于热力，燃气，电力等很多行业存在的数据采集终端到业务管控区域之间存在长距离传输的情况，单纯的边界和区域防护不一定能完全覆盖从生产现场(例如现场RTU)到业务管控区域之间明文数据长距离传输的每一个环节，可能存在生产数据在长距离传输过程中，被窃听或者恶意篡改的风险。因此，安全防护结合点对点加密技术作为一种很好的解决方案得到了很好的应用。

2

技术方案

基于工业防火墙的安全防护，多采用针对工控协议的深度解析和还原，结合每个行业具体的业务特点，对其所防护的区域进行各种安全防护。在对报文进行深度解析过程中，需要对报文进行重新封装；因此可以在对报文重新封装过程中，利用点对点的加密技术，对生产数据报文进行加密，这样可以做到重新封装之后的报文，在传输过程中，避免被窃听或者恶意篡改，保障传输中的数据安全。另外，因为现场数据中，可能存在大量非生产数据报文，比如广播，组播甚至音视频流等，此类报文无需进行加密，避免多余的性能消耗。因此，基于协议深度解析的按需点对点分流加密是一种安全高效的防护方案。

该方案简要描述如下：

如上图所示：采用通道加密技术和协议深度解析技术结合，建立明文和密文双通道，经过对数据包的深度解析，对配置需要加密的IP和端口等做匹配，把需要加密的数据放到加密通道，不需要加密的数据走明文通道，在达到对指定生产数据加密的同时，规避了全流量加密的各种缺点。

3

部署方案

现场逻辑部署方案如下：

在生产现场区域和管理区域各部署一台加密防护设备，可以保护各自区域的同时，还可以保证业务数据在互联网中传输的安全性。

4

总结

基于协议深度解析结合点对点分流加密的方案（加密防护设备），可以有效解决工业生产中既需要进行区域防护，又需要进行对业务数据进行传输防护的场景，在很多行业中会有比较广泛的应用。