国产当自强｜威努特国产化安全产品持续为用户保驾护航

近年来，信息泄露事件层出不穷，国际形势风云变幻，地缘政治跌宕起伏。层层事件都进一步警示我国只有加强自主创新、自力更生，才能真正实现自主可控、自立自强。

图1 信息安全重大事件及我国信创建设进展

在近几年的安全建设中，“信创”、“国产化”等词汇频繁出现。那么：

1、什么是“国产化”、“安可”、“信创”？

2、信创和国产化有什么区别？

3、国产化建设涉及哪些行业？

针对国产化安全市场需求，威努特安全产品又具备什么特性，接下来我们进行逐一解密。

一、什么是国产化、安可、信创？

“国产化”：“国产化”泛指产品为国家本土化企业独立生产及研发，重点要求资本可控，同时对所生产产品拥有自主知识产权。

“安可”：“安可”是“安全可靠”的简称，“安可”这个词在2020年被美方引用研报内容后已经废弃使用，后续使用“信创”；

“信创”：“信创”是“信息技术应用创新”的简称，指从核心芯片、基础硬件、操作系统、中间件、数据服务器和应用软件方面均达到数据安全、网络安全的目的。

2016年3月4日，国内24家专业从事软硬件关键技术研究及应用的单位，共同发起成立了一个非营利性社会组织，并将其命名为“信息技术应用创新工作委员会”（简称“信创工委会”），这就是“信创”这个词最早的由来。

表1 “信创工委会”理事单位

二、信创和国产化的区别？

信创本质上是国产化的子集，不仅强调生产厂商知识产权自主可控，同时强调生态建设、技术突破和应用创新，对实现全面国产化建设提供详细的技术要求。

以部分行业（党政单位）作为试点进行国产化改造，经过一段时间的技术沉淀和突破，以点到面，同步进行行业生态建设，从底层硬件芯片到上层操作系统，集合各行业主流应用实现了符合中国国情的特色生态技术圈，最终完成整体技术突破；整个实践过程中不仅仅是产品替代，更加关注技术和应用上的突破与创新。

三、国产化（信创）产业分布

信创产业主要涉及基础硬件、基础软件、应用软件、信息安全4个部分，其中芯片、操作系统、数据库、中间件是最为重要的产业链环节。

同时基于当前国情，信创工作遵循“2+8”建设进度。先进行“2”（党、政）试点，然后逐步推广到“8”大行业（金融、政府、电信、石油、电力、交通、航空航天、医疗、教育）。

图2 信创产业链分布

四、威努特国产化工控安全产品

市场布局

产品简介

威努特作为工控安全行业的领军企业，于2018年开始布局，与飞腾完成生态合作，提供全套基于飞腾硬件平台和麒麟操作系统的工控网络安全产品，于2020年11月完成首个全国产化安全项目交付，截止目前已经协助10+用户完成国产化安全建设。

飞腾制定的PSPA(Phytium Security Platform Architecture)处理器安全架构标准是国产CPU企业首次发布CPU层面的安全架构标准，从CPU层面实现了国产计算机系统自底向上的本质安全，PSPA 从十个方面定义了安全处理器中涉及的软硬件功能和属性，包括密码加速引擎、密钥管理、可信启动、可信执行环境、安全存储、固件管理、量产注入、生命周期管理、抗物理攻击和硬件漏洞免疫，涉及芯片的硬件设计、固件设计、量产等多个方面，对密码算法、可信计算、全周期管理、抗攻击、生产安全等方面均有全面的考虑和解决方案。同时威努特国产化系列产品采用国产CPU，可以确保核心部件的长期可靠供应。

PS：产品按照信创的标准进行研发适配，但是目前工控安全产品还未有对应的名录，以国产化为主。

附：各厂家CPU和操作系统优劣势分析

表2 国产CPU简介

表3 国产操作系统简介

目前，威努特已完成10款产品（工业防火墙、入侵防御系统、工业安全监测与审计系统、入侵检测系统、统一安全管理平台、日志审计与分析系统、安全运维管理系统、威努特防毒墙、工控主机卫士、数据库审计系统）的全国产化研发适配工作，相较于原商用平台，国产化平台不论从性能还是稳定性都符合预期。

目前选型国产化硬件平台，在性能上整体优于原硬件平台；
功能上完整移植原硬件平台功能，未来保持两套硬件平台同步开发，功能保持一致；
目前PK平台（Phytium+Kylin）整体稳定性表现良好，在嵌入式、服务器等领域应用广泛。

表4 威努特国产化产品简介

威努特全国产化安全解决方案分享

（1）全国产化信号系统网络安全解决方案

我国城轨交通虽已步入交通大国行列，但在技术装备的自主化方面，与国际先进水平相比仍存在一定差距，部分关键技术装备、核心零部件和设计软件受制于人的状况依然存在。

2020年3月，中国城市轨道交通协会印发《中国城市轨道交通智慧城轨发展纲要》总结提出体制机制层面抓自主化，突破关键和核心技术，确保技术和产业的安全可控以及市场的主导地位。

结合行业现状和政策要求，基于国产化硬件平台和操作系统的自主可控工控网络安全产品在轨道交通信号系统中有广阔的应用前景。

方案简介

参考GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》和T/CAMET 11001.3—2019《智慧城市轨道交通信息技术架构及网络安全规范》第3部分：网络安全要求，对信号系统进行符合国家网络安全等级保护三级要求的建设。信号系统网络安全建设方案采用基于“白环境”的纵深防御安全防护技术体系，结合现场实际问题和等保2.0”一个中心、三重防护“为基础制定整体解决方案。

图3 全国产化信号系统网络安全解决方案拓扑图

安全区域边界

将信号系统作为一个整体进行安全防护，在信号系统与其它系统的接口处部署国产化工业防火墙进行边界隔离，对Modbus TCP等工控专用协议进行深度识别和解析，保证只有经过授权的流量才能进入到信号系统内部；

在控制中心旁路部署国产化入侵检测系统，通过开启病毒防护，入侵检测功能，及时发现信号系统网络边界中存在的病毒传播、网络扫描、入侵攻击等违反安全策略的行为和被攻击的迹象，进一步提高信号系统边界防护能力。

安全通信网络

在信号系统控制中心、车辆段、停车场和设备集中站等关键节点部署国产化工控安全监测与审计系统，基于工控协议深度解析技术，实时监测信号系统内部的异常流量和行为；利用网络全流量记录和分析技术，实时审计信号系统内部的网络会话，提高信号系统网络安全审计能力。

安全计算环境

在信号系统内所有服务器和工作站上部署工控主机卫士，从身份鉴别、访问控制、病毒防范、外设管控、日志审计等几个方面构建主机安全业务环境。

安全管理中心

在控制中心部署国产化统一安全管理平台、国产化安全运维管理系统、国产化日志审计与分析系统、国产化数据库审计系统，建成信号系统线路级安全管理中心：

通过安全运维管理系统提升运维人员的身份认证、权限管控与运维行为审计能力；

通过日志审计与分析系统提升日志采集和审计能力，保证审计日志保存12个月以上；

通过数据库审计系统对数据库所面临的风险进行多方位的评估，并对数据库所有操作进行审计，提供事后追查机制；

通过统一安全管理平台实现对系统中的网络安全设备运行状态监控和策略管理。

（2）全国产化电厂DCS系统网络安全解决方案

我国电厂内部多采用来自于国内外多种生产、管理专用控制系统，包括DCS、PLC、FCS等系统。随着当前国内外形势波澜起伏，地区、贸易等竞争让网络攻击更多地具有大规模组织、政治目的倾向，在智能电站建设中，需要结合现代的先进技术，走出一条以自主工业控制系统为核心的道路，将控制系统自主化工作上升到对国家安全负责的高度。

在自动化控制系统自主建设的过程中，应尽可能采用国产化工控安全设备，避免全网存在非国产化产品带来的安全隐患。同时，安全防护要满足国能安全36号文和等级保护2.0三级要求。

故此，基于国产化硬件平台和操作系统的工控网络安全产品在电力系统中拥有广阔的应用前景。

方案简介

按照《电力监控系统安全防护总体方案》(国能安全〔2015〕36号)综合防护的要求，要在入侵检测、主机与网络设备加固、应用安全控制、安全审计、专用安全产品的管理、备份与容灾、恶意代码防范、设备选型及漏洞整改方面进行安全方案的落地，安全产品要覆盖等保2.0“一个中心三重防护”的要求。

图4 DCS全国产化安全建设示意图

在安全I区的SIS接口站和SIS系统之间部署国产化工业防火墙，通过访问控制和工控协议深度解析，建立业务通信白名单，实现操作行为指令级控制；

在国产操作系统主机上部署工控主机卫士，开启程序白名单、外设管理、安全基线等功能，实现对恶意代码的防护以及主机环境安全防护强化；

在机组核心交换机旁路部署国产化工控安全监测与审计系统，基于工控协议深度解析技术，智能学习建立业务系统安全通信模型，实时监测生产网络异常流量和行为，提高对DCS控制系统的网络安全审计能力；

在机组核心交换机旁路部署国产化入侵检测系统，通过开启病毒防护，入侵检测功能，及时告警网络中存在的病毒传播、网络扫描、入侵攻击等违反安全策略的行为和被攻击的迹象；

在机组网络中部署国产化安全运维管理系统，完成账号统一管理、资源和权限统一分配、操作全程审计，提升运维过程的安全性；

在机组网络中部署国产化统一安全管理平台，对机组部署的安全设备进行统一的安全管理，包括策略下发、日志审计、报警展示等，简化运维管理工作流程、提高运维管理工作效率；

在机组网络中部署国产化日志审计与分析系统，实现日志数据和告警数据统一收集和关联分析，保证审计日志保存12个月以上。