一��、背景概述
隨著數(shù)據(jù)安全上升到國家安全高度����,近年來國家有關機關和監(jiān)管機構(gòu)站在國家安全和長遠戰(zhàn)略的高度提出了推動國密算法應用實施�、加強行業(yè)安全可控的要求。擺脫對國外技術和產(chǎn)品的過度依賴��,建設行業(yè)網(wǎng)絡安全環(huán)境���,增強我國行業(yè)信息系統(tǒng)的”安全可控”能力�����,有利于保護國家信息安全���。
我國近年來推出一系列政策強調(diào)對密碼的應用����,尤其《密碼法》在2020年逐步實施�����,要求關鍵系統(tǒng)運營者開展密碼應用安全性評估�。各類信息系統(tǒng)通過密評已經(jīng)成為剛需����。此外2024年2月,工信部印發(fā)《工業(yè)領域數(shù)據(jù)安全能力提升實施方案(2024—2026年)》����,以分步驟、有重點地指導各方扎實推進工業(yè)領域數(shù)據(jù)安全工作。該方案是指導未來三年工業(yè)領域數(shù)據(jù)安全工作的綱領性規(guī)劃文件�,以“到2026年底基本建立工業(yè)領域數(shù)據(jù)安全保障體系”為總體目標�����。數(shù)據(jù)加密以及加密算法的選擇顯得尤為重要。
二、2024年上半年全球重大數(shù)據(jù)泄露事件
僅在2024年上半年����,數(shù)據(jù)泄露事件頻發(fā)���,規(guī)模之大�����、影響之廣,堪稱史無前例�����。從電信巨頭到醫(yī)療IT領袖��,從金融機構(gòu)到云存儲服務商���,無一不遭受了嚴重的數(shù)據(jù)安全挑戰(zhàn)���。這些數(shù)字風暴震撼了業(yè)界����,更是引發(fā)了全社會對數(shù)據(jù)保護問題的深刻反思。
美國電信巨頭AT&T��,其客戶數(shù)據(jù)在第三方AI數(shù)據(jù)云平臺發(fā)生大規(guī)模泄露�����,超過1億條用戶數(shù)據(jù)被黑客獲取。涉及幾乎所有AT&T移動客戶的通話和短信記錄,近半個美國的個人隱私面臨威脅。
戴爾約4900萬客戶信息遭泄露���。戴爾門戶網(wǎng)站遭黑客入侵,客戶姓名、地址及訂單詳情等信息被竊取�����。
全球范圍內(nèi)最大的銀行之一桑坦德銀行發(fā)生數(shù)據(jù)泄露事件��,因第三方服務商數(shù)據(jù)庫被非法訪問���,導致其西班牙����、智利�����、烏拉圭客戶和員工受到影響���。
三���、標準要求
在通信網(wǎng)絡中常常使用VPN隧道來構(gòu)建安全通道���,對數(shù)據(jù)進行加密傳輸���,已達到保護數(shù)據(jù)安全的作用。常規(guī)的IPSecVPN網(wǎng)關采用的都是國際加密算法�,隨著國家推動國密算法的應用實施���,于之相對應的IPSec網(wǎng)關國密標準也在2024年進行了更新��,IPSecVPN密碼產(chǎn)品類要求就包括《GM/T0022-2023 IPSec VPN技術規(guī)范》、《GM/T 0023-2023 IPSec VPN網(wǎng)關產(chǎn)品規(guī)范》���,其中GM/T 0022主要是對IPSec VPN的技術協(xié)議、產(chǎn)品管理和檢測進行了規(guī)定�����,而GM/T 0023則是對IPSec網(wǎng)關產(chǎn)品的功能��、硬件�、軟件和密碼算法��、密鑰管理�、安全性要求等進行規(guī)定�。
GM/T 0022-2023,IPSec VPN技術規(guī)范摘要
(1)密碼算法-非對稱密碼算法(SM2橢圓曲線密碼算法�����,用于實體驗證��、數(shù)字簽名和數(shù)字信封)�����、對稱密碼算法(SM4分組密碼算法,用于密鑰交換數(shù)據(jù)和報文數(shù)據(jù)的加密保護����,工作模式支持CBC或GCM模式)���、密碼雜湊算法(SM3��,用于完整性校驗)、隨機數(shù)生成����。
(2)密鑰類別(設備密鑰-非對稱算法使用的公私鑰對����、工作密鑰-在密鑰交換第一階段得到的密鑰����、會話密鑰-在密鑰交換第二階段得到的密鑰)。
(3)協(xié)議-密鑰交換協(xié)議(IKE���、第一階段主模式6條消息、第二階段快速模式3條消息)�、安全報文協(xié)議(鑒別頭協(xié)議AH���,協(xié)議值51�����,認證范圍包括整個IP報文,不單獨使用����;封裝安全載荷ESP�,協(xié)議值50�、和AH結(jié)合使用時不應選擇數(shù)據(jù)源鑒別服務、認證范圍大于加密范圍但都小于AH的認證范圍)����。
(4)產(chǎn)品功能要求-隨機數(shù)生成����、工作模式(隧道模式必備���、傳輸模式)�、密鑰交換(IKE一階段產(chǎn)生工作密鑰��、二階段產(chǎn)生會話密鑰)����、安全報文封裝(AH+ESP��、ESP)�����、NAT穿越(支持ESP單獨使用時NAT穿越)、實體鑒別功能(應支持數(shù)據(jù)證書方式)、抗重放攻擊��、密鑰更新��。
(5)密鑰管理-設備密鑰(簽名證書加密密鑰對能導入���、設備密鑰對按設定的安全策略更新���、安全形式備份并在需要是能夠恢復)�、工作密鑰(保存在易失性存儲器中�,更新條件立即更新、在連接斷開設備斷電時應銷毀)、會話密鑰(同工作密鑰)�����。
(6)數(shù)據(jù)管理-配置數(shù)據(jù)(所有的配置數(shù)據(jù)應保證其設備中的完整性����、可靠性�、管理員身份鑒別)、日志數(shù)據(jù)可被查看導出(操作行為、安全事件��、異常事件)
(7)人員管理-管理員應持有表征用戶身份(如證書��、公私鑰對等)信息的硬件裝置�����,與登錄口令相結(jié)合登錄系統(tǒng)����。
(8)設備管理-硬件安全(獨立的密碼部件中進行)���、軟件安全(裁剪一切不需要模塊)�、設備初始化、注冊和監(jiān)控(向管理中心注冊和接受管理中心對其運行狀態(tài)的實時監(jiān)控,通信加密和身份鑒別)��。
GM/T 0023-2023��,IPSec VPN網(wǎng)關產(chǎn)品規(guī)范摘要
(1)產(chǎn)品功能要求-包過濾(5元組決定其處理方式支持丟棄����、明文轉(zhuǎn)發(fā)和密文轉(zhuǎn)發(fā))��。
(2)遠程監(jiān)控管理-參數(shù)查詢(配置信息和日志查詢)����、狀態(tài)監(jiān)控(運行狀態(tài)�����、系統(tǒng)信息����、網(wǎng)絡流量�、是否在線�、隧道狀態(tài)實時查詢)、遠程控制(重啟���、故障診斷、功能關閉啟動等)����、時間同步�。
(3)硬件要求-對外接口(至少2個工作網(wǎng)口)�,支持雙臂(串接方式1進1出)和單臂(1個網(wǎng)絡接口旁路接入)、密碼部件(通過商密檢測認證的密碼模塊或安全芯片)�、隨機數(shù)發(fā)生器(至少采用2個獨立的物理噪聲源芯片實現(xiàn))����。
四�、博智工業(yè)互聯(lián)網(wǎng)安全網(wǎng)關應用
博智工業(yè)互聯(lián)網(wǎng)安全網(wǎng)關遵循上述國密標準,具備以下優(yōu)點:
先進防護機制��,精準阻斷威脅:采用加密通信協(xié)議�、芯片級加密技術、國家密碼管理局認證的國密算法(SM1��、SM2�、SM3、SM4)���,以及工控協(xié)議深度解析與入侵防御系統(tǒng)等尖端技術,實現(xiàn)區(qū)域間的高效隔離與潛在威脅的即時阻斷�����,確保工業(yè)網(wǎng)絡環(huán)境的純凈與安全�����。
國密算法與芯片加密���,雙重保障:遵循國家商用密碼技術標準,將國密算法與高性能加密芯片深度融合���,不僅提升了數(shù)據(jù)加密的強度和效率,更在身份認證與通信鏈路加密方面達到了前所未有的安全高度�,為用戶數(shù)據(jù)傳輸構(gòu)建了一條無懈可擊的安全通道�����。
靈活應對,滿足多樣需求:支持多種網(wǎng)絡架構(gòu)與接入方式,適用于工業(yè)企業(yè)����、中小企業(yè)���,特別是需要實現(xiàn)遠程連接與安全通信的企業(yè)�。它能夠有效解決工業(yè)企業(yè)據(jù)安全傳輸、分支機構(gòu)安全互聯(lián)等痛點問題�,助力企業(yè)構(gòu)建靈活���、高效且安全的網(wǎng)絡架構(gòu)�����。
安全區(qū)域之間的訪問控制和安全防護
目前工業(yè)網(wǎng)絡結(jié)構(gòu)中現(xiàn)場過程控制網(wǎng)絡、生產(chǎn)管理網(wǎng)絡����、企業(yè)信息網(wǎng)絡被打通����,網(wǎng)絡縱向分層�、橫向分區(qū)的模式正在形成。由于各個層次�、各個區(qū)域網(wǎng)絡的業(yè)務不同�����、作用不同�����,對于安全防護的要求也就不同�,所以需要在不同安全區(qū)域之間進行必要的防護和控制��。安全網(wǎng)關可以幫助用戶很好的實現(xiàn)這一目標�����。
首先通過在縱向不同層次網(wǎng)絡之間部署安全網(wǎng)關,并配置合理的訪問規(guī)則,可以控制不必要的跨層訪問��,防止攻擊者通過上層網(wǎng)絡向下層網(wǎng)絡的滲透和攻擊��,減少由于網(wǎng)絡互聯(lián)互通所帶來的安全風險�。同時可以對不同層次之間的工業(yè)協(xié)議數(shù)據(jù)交換進行深度過濾�,屏蔽非法操作,保障生產(chǎn)安全��。
其次還可以在同一網(wǎng)絡層次中平行的廠區(qū)��、工藝流程和業(yè)務子系統(tǒng)之間部署安全網(wǎng)關��,將它們劃分成不同的安全區(qū)域,配置不同的訪問規(guī)則,屏蔽不同安全區(qū)域之間不必要的訪問,對不同安全區(qū)域之間的工業(yè)協(xié)議數(shù)據(jù)交換進行深度過濾,減少安全區(qū)域之間安全問題的擴散和影響。
多樣的IPSecVPN 應用場景
支持多種接入場景����,可以在公司總部的出口網(wǎng)關與分支機構(gòu)/合作方的出口網(wǎng)關之間建立 IPSec 隧道��。出差員工也可以通過 PC終端或者手機移動端直接向公司總部出口網(wǎng)關發(fā)起 IPSec 連接建立IPSec 隧道。
支持點到點場景,總部的安全網(wǎng)關可與合作方或單個分支機構(gòu)的安全網(wǎng)關建立IPSecVPN隧道����。
支持點到多點場景,當存在多個分支機構(gòu)時����,總部的安全網(wǎng)關作為中心站點����,多個分支機構(gòu)的安全網(wǎng)關作為分支站點與中心站點進行對接���。
出口網(wǎng)關處的入侵防御
工業(yè)網(wǎng)絡的設備可能分布于廠區(qū)各處��,甚至野外�����、山區(qū)。由于網(wǎng)絡基礎設施的限制�,經(jīng)常需要通過租用公共的無線網(wǎng)絡�、衛(wèi)星、GPRS/CDMA、4G 等公用網(wǎng)絡傳輸線路實現(xiàn)與調(diào)度中心的連接和數(shù)據(jù)交換���。公用網(wǎng)絡沒有足夠的安全保護和加密措施,很容易出現(xiàn)網(wǎng)絡竊聽、數(shù)據(jù)劫持��、第三人攻擊等安全隱患�����,而且攻擊者還可以利用公用網(wǎng)絡作為攻擊工業(yè)控制網(wǎng)絡的入口��,實現(xiàn)對整個工業(yè)控制網(wǎng)絡的滲透和控制。為了解決公用網(wǎng)絡帶來的安全隱患,用戶通常都會租用或架設專用的通信線路�, 這樣不但建設和運營成本高�����、而且需要專業(yè)的技術人員進行線路的保障和維護。
入侵防御是一種安全機制,通過分析網(wǎng)絡流量和入侵檢測�����,并通過一定的響應方式���,實時地中止入侵行為��,保護企業(yè)資產(chǎn)和網(wǎng)絡架構(gòu)免受侵害。在這種應用環(huán)境下����,可以在分散的作業(yè)區(qū)與公用網(wǎng)絡接口的位置部署安全網(wǎng)關��。通過網(wǎng)關的部署可以對作業(yè)區(qū)內(nèi)部的工業(yè)網(wǎng)絡進行安全方面的保護,阻斷來自公用網(wǎng)絡的網(wǎng)絡攻擊��,實現(xiàn)作業(yè)區(qū)網(wǎng)絡的邊界安全防護���。
五���、結(jié)束語
博智工業(yè)互聯(lián)網(wǎng)安全網(wǎng)關全面提升和擴展了入侵防御�、URL 過濾、病毒過濾�、網(wǎng)絡掃描防護����、IP/MAC 綁定等功能��,可識別和預防網(wǎng)絡中病毒傳播�����、惡意攻擊等行為,避免其影響控制網(wǎng)絡和破壞生產(chǎn)流程��。提供IPSecVPN�����、流量帶寬管理、NAT 及 IPv6 隧道等功能,可滿足更多維度的網(wǎng)絡環(huán)境需求�����,更加適應當前工業(yè)網(wǎng)絡環(huán)境與信息化網(wǎng)絡環(huán)境相融合的發(fā)展趨勢����。同時具備高可用性及全透明無間斷部署功能,有效保證業(yè)務連續(xù)性�����。采用這樣的結(jié)構(gòu)���,形成立體的防護體系�����,安全網(wǎng)關能夠最直接的保證系統(tǒng)安全�。
