來源：飛騰行業(yè)解決方案

方案概述

能源、電力、石化和交通等行業(yè)的工業(yè)控制系統(tǒng)構(gòu)成了國家的關(guān)鍵基礎(chǔ)設(shè)施。在這些系統(tǒng)中，DCS(分布式控制系統(tǒng))和PLC(可編程邏輯控制器)等系統(tǒng)和單元扮演著中樞角色。它們根據(jù)企業(yè)的運行邏輯，負(fù)責(zé)控制各種執(zhí)行部件，精確采集數(shù)據(jù)，并正確發(fā)出控制指令，從而對數(shù)據(jù)進(jìn)行分析和判斷。

傳統(tǒng)工控系統(tǒng)存在設(shè)計之初大多未考慮安全特性，打補(bǔ)丁式的防病毒手段使得工具更新困難、維護(hù)復(fù)雜，成本居高不下;傳統(tǒng)安防系統(tǒng)無法深入到工控系統(tǒng)內(nèi)部、邊界防護(hù)無法實現(xiàn)縱深防御效果等缺陷，導(dǎo)致工控系統(tǒng)常年遭受惡意攻擊而束手無策，危害工控系統(tǒng)導(dǎo)致的經(jīng)濟(jì)和社會事件層出不窮。

基于此，高鴻信安攜手飛騰，面向全行業(yè)工控場景，聯(lián)合打造了 基于飛騰騰瓏 E2000 內(nèi)置 TCM/TPCM 作為可信根的自主可信計算解決方案，可保證系統(tǒng)安全穩(wěn)定運行，旨在為工控系統(tǒng)構(gòu)建更加穩(wěn)定、快捷的主動免疫式可信安全防護(hù)體系建設(shè)方案。

方案詳情

本方案基于 飛騰騰瓏 E2000 CPU 內(nèi)置物理 TCM/TPCM，采用高鴻信安可信計算技術(shù)、操作系統(tǒng)安全技術(shù)等對工控系統(tǒng)進(jìn)行可信安全增強(qiáng)，構(gòu)建主動免疫式可信安全防護(hù)體系架構(gòu)。

飛騰 CPU 內(nèi)置物理 TCM/TPCM 擔(dān)任可信根的角色，其中內(nèi)置TCM滿足GM/T 0012 可信密碼模塊要求，它是一個含有密碼運算部件和存儲部件的處理器核，通過密鑰技術(shù)、硬件訪問控制技術(shù)和存儲加密等技術(shù)保證系統(tǒng)和數(shù)據(jù)的信任狀態(tài)。基于可信根，采用國密算法，對設(shè)備的系統(tǒng)引導(dǎo)程序(固件、操作系統(tǒng)加載程序等)、系統(tǒng)程序(操作系統(tǒng)內(nèi)核等)、重要配置參數(shù)、應(yīng)用等進(jìn)行完整性校驗，包括靜態(tài)驗證和動態(tài)驗證兩種，前者主要在設(shè)備啟動過程中和靜態(tài)存儲階段進(jìn)行，后者主要在應(yīng)用程序執(zhí)行環(huán)節(jié)進(jìn)行，當(dāng)檢測到完整性發(fā)生變化時，證明設(shè)備可信性遭到破壞，進(jìn)行報警，結(jié)合可信網(wǎng)絡(luò)連接技術(shù)，將相關(guān)審計記錄安全的上報給可信管理平臺。

本方案提供的主動防御功能貫穿了處理器、主板硬件、固件、操作系統(tǒng)、應(yīng)用、可信管理平臺，形成可信安全閉環(huán)，能夠有效應(yīng)對各種新型和未知的漏洞、病毒、木馬攻擊，保護(hù)工控客戶信息免受侵害。

方案架構(gòu)：

基于飛騰騰瓏 E2000Q 內(nèi)置 TCM 的 TPCM 可信工控系統(tǒng)方案

關(guān)鍵功能：

1硬件層

采用內(nèi)置 TCM/TPCM 可信根的飛騰 CPU 以及可信增強(qiáng)的固件，確保信任起點的可信性以及信任鏈的建立，實現(xiàn)對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序進(jìn)行可信驗證的功能。

2系統(tǒng)層

部署高鴻信安可信軟件基，實現(xiàn)系統(tǒng)可信啟動、應(yīng)用靜態(tài)可信驗證、進(jìn)程動態(tài)可信驗證等可信功能和應(yīng)用程序白名單、進(jìn)程保護(hù)、應(yīng)用訪問控制等其他防護(hù)功能。

3應(yīng)用層通過系統(tǒng)層高鴻信安可信軟件基提供的可信防護(hù)能力及安全服務(wù)接口，結(jié)合定制化的策略管理，為應(yīng)用程序提供靜態(tài)、運行態(tài)等全生命周期的保護(hù)。

4管理層

通過可信管理平臺實現(xiàn)可信狀態(tài)管理、策略管理、可信告警/審計匯集等功能，對工控系統(tǒng)各類終端進(jìn)行統(tǒng)一管理。

應(yīng)用場景：

本方案可廣泛應(yīng)用到如以下工控系統(tǒng)(不限于)：

方案優(yōu)勢：

方案實施效果

高鴻信安攜手飛騰打造的自主可信計算聯(lián)合解決方案，可以有效彌補(bǔ)傳統(tǒng)工控系統(tǒng)設(shè)計之初缺乏的安全特性，拋開打補(bǔ)丁式的防病毒手段，避免不停升級漏洞和病毒庫，深入到工控系統(tǒng)內(nèi)部，實現(xiàn)縱深防御。

本方案開創(chuàng)性的解決了工控行業(yè)落地過程中遇到的諸多難題：如基于傳統(tǒng)可信芯片方案的產(chǎn)業(yè)鏈長、工程化難度大、生態(tài)復(fù)雜、項目適配周期長，可信計算性能受限，工作環(huán)境苛刻，主板資源受限等缺陷，為工控系統(tǒng)構(gòu)建更加穩(wěn)定、快捷的主動免疫式可信安全防護(hù)體系，提供了切實可行的解決途徑。

成功案例

項目簡介：華電集團(tuán) “華電睿藍(lán)” 自主可控可信 DCS

2023年8月，國電南自在華電龍游電廠啟動飛騰騰瓏 E2000 試點應(yīng)用，利用 “華電睿藍(lán)” 自主可控 DCS 的 DPU 搭載飛騰騰瓏 E2000 進(jìn)行工程驗證，“華電睿藍(lán)” 成為國內(nèi)首套搭載飛騰騰瓏 E2000 的自主可控 DCS。在歷經(jīng) 1 年多的工程測試和驗證的基礎(chǔ)上，進(jìn)一步啟動 “華電睿藍(lán)” 自主可控 DCS 的可信升級項目。

本項目依托國內(nèi)首批內(nèi)置 TCM/TPCM 可信根的飛騰騰瓏 E2000 CPU 作為硬件底層，為可信計算提供堅實硬件可信根支撐，并結(jié)合高鴻信安的系列可信軟件，實現(xiàn)了具有體系化主動免疫式能力的整套可信 DCS 工控系統(tǒng)。

2024年12月，“華電睿藍(lán)” 自主可控可信 DCS 在華電江蘇望亭電廠順利完成部署投運，為華電集團(tuán)電廠的安全穩(wěn)定運行提供了更加有力的保障。

技術(shù)路線：

采用內(nèi)置 TCM/TPCM 的飛騰騰瓏 E2000 CPU 為可信根，采用高鴻信安系列自主可信計算技術(shù)和軟件產(chǎn)品。

建設(shè)內(nèi)容：在望亭電廠 DCS 國產(chǎn)化改造項目中，全面采用內(nèi)置 TCM/TPCM 可信根的飛騰騰瓏 E2000 CPU，涵蓋全廠主機(jī) DCS、DEH、脫硫、吹灰等主輔機(jī)系統(tǒng)。

相關(guān)產(chǎn)品：

飛騰

內(nèi)置 TCM/TPCM 的飛騰騰瓏 E2000 處理器作為可信根。

高鴻信安

可信支撐模塊軟件、操作系統(tǒng)可信增強(qiáng)系統(tǒng)、可信代理軟件、可信管理平臺等。

可信支撐模塊軟件、操作系統(tǒng)可信增強(qiáng)系統(tǒng)、可信代理軟件

由高鴻信安的可信支撐模塊軟件、操作系統(tǒng)可信增強(qiáng)系統(tǒng)、可信代理軟件等構(gòu)成TCM TSM 及 TPCM/TSB，形成面向不同場景需求的 TCM 或TPCM解決方案。為實現(xiàn)可信計算功能提供基礎(chǔ)的固件支撐、驅(qū)動程序、服務(wù)模塊和工具集，支持多種形態(tài)的可信根，支持中國商用密碼算法 SMx，可提供符合等保 2.0 標(biāo)準(zhǔn)要求的對系統(tǒng)引導(dǎo)程序和系統(tǒng)程序進(jìn)行可信驗證的功能;通過對嵌入式等主流操作系統(tǒng)進(jìn)行可信安全增強(qiáng)，為用戶業(yè)務(wù)應(yīng)用提供安全可信的運行環(huán)境，主動有效應(yīng)對各種新型病毒、木馬和 0Day 漏洞的攻擊，保障系統(tǒng)平臺和應(yīng)用程序的持續(xù)安全。具備等保 2.0 標(biāo)準(zhǔn)對 “安全計算環(huán)境” 要求的全部安全功能，如身份鑒別、訪問控制、安全審計、入侵防范、可信驗證、數(shù)據(jù)完整性和保密性等，為用戶等保合規(guī)提供支撐。

可信管理平臺

符合等保 2.0 標(biāo)準(zhǔn)對 “安全管理中心” 的要求，針對云數(shù)據(jù)中心、物聯(lián)網(wǎng)平臺、工業(yè)控制系統(tǒng)等信息系統(tǒng)可信/安全管理需求設(shè)計，具備設(shè)備可信驗證管理、安全環(huán)境配置、告警事件/審計日志匯集展示等功能，幫助用戶直觀、高效地對各類應(yīng)用場景信息系統(tǒng)進(jìn)行統(tǒng)一安全管理。

相關(guān)行業(yè)：

能源、電力、石化、交通、冶金、智慧礦山、智能制造等工控相關(guān)行業(yè)。

技術(shù)：

自主可信計算、信息安全、工控、嵌入式等方向。

支持的飛騰 CPU 平臺：

整體方案涵蓋以下處理器。

飛騰

飛騰信息技術(shù)有限公司(以下簡稱“飛騰公司”)是CPU研發(fā)設(shè)計的國家隊、國內(nèi)領(lǐng)先的自主核心芯片提供商，由中國電子信息產(chǎn)業(yè)集團(tuán)、天津市濱海新區(qū)政府和天津先進(jìn)技術(shù)研究院2014年聯(lián)合支持成立。目前公司總部設(shè)在天津，在北京、長沙、成都、廣州和深圳設(shè)有子公司，在上海、南京、武漢、西安、銀川、沈陽、海口等地設(shè)有辦事處。

飛騰公司致力于通算處理器、智算處理器等高端芯片的研發(fā)設(shè)計和產(chǎn)業(yè)化推廣，始終圍繞國家戰(zhàn)略需求和重大工程，以“聚焦信息系統(tǒng)核心芯片，支撐國家信息安全和產(chǎn)業(yè)發(fā)展”為使命，努力成為世界一流芯片企業(yè)，用中國芯服務(wù)社會。2019年，習(xí)近平總書記在天津考察時對飛騰公司的工作給予充分肯定，并殷切囑托大家心無旁騖、勇?lián)厝巍?/p>

飛騰芯片已在政務(wù)、金融、電信、電力、能源、交通、醫(yī)療和教育等多個關(guān)系國計民生的領(lǐng)域?qū)崿F(xiàn)了規(guī)模應(yīng)用，累計銷售已超過1000萬片，市場份額穩(wěn)步遞增，總體處于領(lǐng)先位置。

高鴻信安

大唐高鴻信安(浙江)信息科技有限公司(簡稱“高鴻信安”)是高鴻股份旗下專門從事可信計算和信息安全相關(guān)技術(shù)研究、產(chǎn)品開發(fā)、咨詢服務(wù)、集成建設(shè)等一體化解決方案的專業(yè)公司。

高鴻信安致力于可信計算技術(shù)的創(chuàng)新和融合，是可信計算技術(shù)的使能者，提供基于可信(云)計算/機(jī)密計算/操作系統(tǒng)安全等技術(shù)自主研發(fā)的軟件產(chǎn)品、端到云可信系統(tǒng)解決方案，支持X86/ARM架構(gòu)及國產(chǎn)CPU平臺，為計算/通信/邊界設(shè)備廠商、云計算廠家、新興應(yīng)用/行業(yè)ISV等產(chǎn)品可信化和合規(guī)化提供支撐，為用戶網(wǎng)絡(luò)和信息系統(tǒng)注入內(nèi)生安全能力并提供體系合規(guī)保障。