1. 主页
  2. 解决方案
  3. 安全可信
  4. 方案详情

国电南自、高鸿信安与飞腾打造工控可信DCS联合解决方案

  • Bootstrap 行业: 能源, 电力

  • Bootstrap 技术: 安全可信, 工控技术, 嵌入式

行业痛点:

电力、能源、交通等行业的工业控制系统是国家的关键基础设施。DCSPLC等系统和单元在整个工控系统中处于中枢位置,其按照企业运行逻辑,实现对系统中各种执行部件的控制,准确采集各种数据和正确发出控制指令,对各种数据进行分析和判断,工控系统的自动化、信息化和智能化,是企业提高效率的关键。安全运行对工业系统至关重要,其在复杂环境下的稳定运行,不仅关乎设备自身和整套生产系统安全,更可能关系到企业和国计民生,产生巨大的经济影响和社会影响。

传统工控系统存在设计之初大多未考虑安全特性;打补丁式的防病毒手段,工具更新困难、维护复杂、成本居高不下;传统安防系统无法深入到工控系统内部;边界防护无法实现纵深防御效果等缺陷,导致工控系统常年遭受恶意攻击而束手无策,危害工控系统导致的经济和社会事件层出不穷。自主可信计算是国内公认的十大新业态新产业技术之一,可以有效解决这些问题。

因此,飞腾携手国电南自、高鸿信安,联合打造了基于飞腾E2000Q内置TCM/TPCM作为可信根的自主可信DCS解决方案,旨在为工控系统构建更加稳定、快捷的主动免疫式可信安全防护体系建设方案。

方案详情:

方案介绍

本方案基于飞腾E2000 CPU内置物理TCM/TPCM,采用高鸿信安的可信计算技术、操作系统安全技术等对工控系统进行可信安全增强,构建主动免疫式可信安全防护体系架构。

飞腾CPU内置物理TCM/TPCM担任可信根的角色,它是一个含有密码运算部件和存储部件的处理器核,通过密钥技术、硬件访问控制技术和存储安全等技术保证系统和数据的信任状态。基于可信根,对设备的系统引导程序(固件、操作系统加载程序等)、系统程序(操作系统内核等)、重要配置参数、应用等进行完整性校验,包括静态可信验证和动态可信验证两种,前者主要在终端启动过程中和静态存储阶段进行,确保基础运行环境的安全可信后者主要在应用程序执行环节进行确保应用程序运行过程安全可信

本方案提供的主动防御功能贯穿了处理器、主板硬件、固件、操作系统、应用、可信管理平台,形成可信安全闭环,能够有效应对各种新型和未知的漏洞、病毒、木马攻击,保护工控客户信息免受侵害。

方案架构:

关键功能

  • 硬件层:采用内置TCM/TPCM可信根的飞腾CPU以及支持可信验证的固件,确保信任起点的可信性以及静态/动态信任链的建立,实现对系统引导程序、系统程序进行可信验证的功能。
  • 系统层:在操作系统下部署可信支撑模块软件、操作系统可信增强套件,实现系统可信启动、应用程序白名单、应用静态可信验证、进程动态可信验证、进程保护、应用访问控制等安全增强功能。
  • 应用层:通过系统层可信安全软件提供的可信防护能力及安全服务接口,结合定制化的策略模板,为应用程序提供静态、运行态等全生命周期的保护。
  • 管理层:通过可信管理平台实现可信设备管理、可信策略管理、安全环境配置、告警/审计日志汇集等对DCS系统进行统一管理功能。可信态势系统提供定制化看板,整体展示 DCS系统中可信设备整体可信状态、告警趋势、安全指数等信息。

应用场景

本方案可广泛应用到如以下工控系统(不限于):

行业

系统

电力

DCS系统

水利/光伏/风力发电、石化、交通、冶金、智慧矿山、智能制造、轨交等

PLC系统

电力

变电:保护装置

配电:融合终端

 

方案优势:

 

方案实施效果:

飞腾携手国电南自、高鸿信安打造的自主可信DCS联合解决方案,可以有效弥补传统工控系统设计之初缺乏的安全特性抛开打补丁式的防病毒手段,避免不停升级漏洞和病毒库,深入到工控系统内部,实现纵深防御。

本方案开创性的解决了工控安全落地过程中遇到的诸多难题如基于传统可信芯片方案产业链长、工程化难度大、生态复杂、项目适配周期长,可信计算性能受限,工作环境苛刻,主板资源受限等缺陷,本方案为工控系统构建更加稳定、快捷的主动免疫式可信安全防护体系,提供了切实可行的解决途径。

成功案例:

项目简介:

20238月,国电南自在华电龙游电厂启动飞腾腾珑E2000试点应用,利用“华电睿蓝”自主创新DCSDPU搭载飞腾腾珑E2000进行小批工程验证,“华电睿蓝”成为国内首套搭载飞腾腾珑E2000的自主创新DCS

在历经1年多的工程测试和验证的基础上,进一步启动“华电睿蓝”自主创新DCS的可信升级,依托国内首批内置TCM/TPCM可信根的E2000 CPU作为硬件底层,为可信计算提供坚实硬件支撑并联合高鸿信安定制开发可信软件套件,构建全面主动免疫的可信DCS工控系统。202412月,“华电睿蓝”自主可信DCS在华电江苏望亭电厂顺利完成部署投运,为电厂安全稳定运行提供更加坚固的安全防护。

技术路线:

采用内置TCM/TPCM可信根飞腾E2000 CPU

建设内容:

在望亭电厂DCS国产化改造项目中,全面采用内置TCM/TPCM可信根飞腾E2000 CPU,涵盖全厂主机DCSDEH、脱硫、吹灰等主辅机系统。

 

方案特点和价值:

依托飞腾公司自主研发的飞腾腾珑E2000 CPU作为硬件底层,为可信计算提供坚实支撑,构建主动免疫的体系架构,使控制系统具备识别和抵御病毒、木马以及利用系统漏洞进行的攻击行为的能力,为机组安全稳定运行提供更坚实的保障。

相关产品:

可信根:内置TCM/TPCM的飞腾E2000处理器

高鸿信安:可信支撑模块软件操作系统可信增强套件、可信代理软件可信管理平台

国电南自“华电睿蓝”自主可信DCS

支持CPU平台:

飞腾腾锐D2000

FT-2000+/64

飞腾腾珑E2000

伙伴信息:

大唐高鸿信安(浙江)信息科技有限公司
https://www.gohighsec.com/

大唐高鸿信安(浙江)信息科技有限公司(简称“高鸿信安”)是中国信科集团高鸿股份旗下专门从事可信计算和信息安全相关技术研究、产品开发、咨询服务、集成建设等一体化解决方案的专业公司。

高鸿信安致力于可信计算技术的创新和融合,是可信计算技术的使能者,提供基于可信(云)计算/机密计算/操作系统安全等技术自主研发的软件产品及端到端的可信系统解决方案,支持X86/ARM架构及国产CPU平台,为计算/通信/边界设备厂商、云计算厂家、新兴应用/行业ISV等产品可信化和合规化提供支撑,为用户网络和信息系统注入内生安全能力并提供体系合规保障。

南京国电南自维美德自动化有限公司
http://www.sac-china.com

南京国电南自维美德自动化有限公司成立于2011年09月20日,注册地位于南京浦口高新区惠达路9号,法定代表人为刘颖。经营范围包括自动化系统(发电厂自动化系统、电气产品及信息系统、矿用电气、矿用通信、矿用控制系统等工业自动化系统)、计算机软件的研发、生产、销售、设计、安装、技术服务及技术咨询;信息系统集成服务;自动化产品进出口及相关配套业务、相关技术进出口业务。