工業控制信息系統中的商用密碼應用思考

 01、引言

自2019年10月《密碼法》頒布以來，商用密碼應用安全性評估逐步引起各政府部門、各行業的重視。《密碼法》第二十七條明確要求：“關鍵信息基礎設施必須依法使用商用密碼進行保護并開展商用密碼應用安全性評估，要求關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務，可能影響國家安全的，應當依法通過國家網信辦會同國家密碼管理局等有關部門組織的國家安全審查。”《信息安全等級保護商用密碼管理辦法》規定：“國家密碼管理局和省、自治區、直轄市密碼管理機構對第三級及以上信息系統使用商用密碼的情況進行檢查”。在國家密碼管理局印發的《信息安全等級保護商用密碼管理辦法實施意見》中規定“第三級及以上信息系統的商用密碼應用系統，應當通過國家密碼管理部門指定測評機構的密碼測評后方可投入運行”。這些制度明確了信息安全等級保護第三級及以上信息系統的商用密碼應用和測評要求。此外，在新版《網絡安全等級保護條例》（征求意見稿）中明確要求在規劃、建設、運行階段開展密碼應用安全性評估。

目前，商用密碼應用安全性評估尚處于剛起步階段，評估的重點主要集中在政務信息系統、金融和醫療領域。但是隨著此項工作的逐步推進，工業控制系統也必將伴隨著等保2.0標準的貫徹實施，被納入到商用密碼應用安全性評估的范圍。

 02、典型工業控制系統結構

最初工業控制系統是一個獨立的系統，使用的是專用的控制協議以及特定的軟硬件。但是，隨著互聯網與工業控制系統的融合，工業控制系統普通采用互聯網解決方案來推動企業的互聯和遠程訪問能力。比較典型的工業控制系統結構如圖1所示。

圖1 典型工業控制系統結構圖

 03、商用密碼應用安全性評估

商用密碼應用安全性評估(簡稱“密評”)是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。開展商用密碼應用安全性評估工作，是國家網絡安全和密碼相關法律法規提出的明確要求，是法定責任和義務。商用密碼應用安全性評估工作，不僅對規范密碼應用具有重大意義，同時對維護網絡和信息系統密碼安全，切實保障網絡安全，有效應對各類網絡安全風險，也具有不可替代的重要作用。

商用密碼應用安全性評估依據2021年3月發布的GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》和2020年12月修訂的《信息系統密碼應用測評要求》進行實施。測評內容分為了兩個方面：通用測評要求和密碼應用測試要求。其中，在通用測評要求中，提出了符合商用密碼管理的相關規定，滿足標準規范的相關要求，包括密碼算法、密碼技術的合規性要求和密鑰管理的安全性要求；在密碼應用測評要求中，規定了密碼技術的應用要求和系統管理要求，要求項依據等級增加和增強，包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、管理制度、人員管理、建設運行、應急處置等8個方面，測評要求框架如圖2所示。

圖2 信息系統密碼應用測評要求框架

 04、工業控制信息系統中商用密碼應用的幾點思考

商用密碼應用安全性測評的測評對象是信息系統，目前針對政務信息系統方面的案例及測試方法已逐步完善。而相對于政務信息系統而言，工業控制系統具有實時性要求高、高可用性、通信協議眾多等特點，因此對于工業控制系統應采用的密碼應用方案和密碼測評方法均有別于政務信息系統。下面分別從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個技術層面，圍繞商用密碼應用安全性測評要求，介紹一下對工業控制系統在商用密碼應用方面的一些思考。

4.1 物理和環境安全

工業控制系統往往由眾多的采集系統和控制系統，以及后臺服務器、數據庫、工程師站等構成。而核心數據則主要存儲于工程師站、數據庫、服務器中。因此，對于物理和環境的安全，需要對重要工程師站、數據庫、服務器等核心工業控制軟硬件所在區域采取訪問控制、視頻監控、專人值守等物理安全防護措施。部署具有密碼模塊的電子門禁系統、視頻監控系統；通過服務器密碼機、加密存儲設備、視頻加密系統等實現音視頻數據完整性保護，如圖3所示。

圖3 部署物理環境監控系統

4.2  網絡和通信安全

(1）身份鑒別

工業控制系統與政務信息系統相同，也是通過網絡技術來實現與外界的互聯互通，在通信建立前或者某外部設備接入到內部網絡時，可根據工業控制系統的安全等級要求，考慮采用基于密碼雜湊算法的消息鑒別碼機制，或基于公鑰密碼算法的數字簽名機制進行單向或雙向身份鑒別，并將證書信息存儲于安全介質中，對證書的申請、發放、使用、吊銷等過程通過技術手段嚴格控制，并建立相關制度保障。

(2）通信數據的機密性和完整性

由企業網和互聯網傳輸的數據，盡可能避免使用HTTP、FTP、Telnet等高風險通用網絡服務，建議使用國密算法改造的HTTPS協議或者通過商密IPSec/SSL VPN實現網絡邏輯邊界的管控，構建內部網絡的企業網。對于工業控制系統中使用的專用協議，則可在不影響系統實時性和高可用性的前提下，采用密碼技術對通信過程中的數據進行完整性和機密性保護。因考慮到工業控制系統實時性要求，所以不需要對所有數據均采用機密性保護。只需要對關鍵的敏感信息或通信報文進行機密性保護。

(3）網絡邊界訪問控制信息的完整性

工業控制網絡與企業網或互聯網之間互聯互通，為工業控制系統帶來巨大創造力和生產力的同時，也會引入更加復雜、嚴峻的安全問題。一是深度網絡化和多層面互聯互通增加了攻擊路徑；二是傳統IT產品的引入帶來了更多安全漏洞；三是新興信息技術在工業控制領域的防護體系尚不成熟。

因此，需要在不同網絡邊界之間，部署邊界安全防護設備實現安全訪問控制，阻斷非法網絡訪問，嚴格禁止沒有防護的工業控制網絡與互聯網連接。與此同時，為了保證訪問控制信息不被惡意篡改，需要采用對稱算法或MAC機制、數字簽名機制等密碼技術對訪問控制信息進行完整性保護。

4.3 設備和計算安全

(1）身份鑒別

面對工業控制主機和系統的登錄、訪問過程中常見身份冒用，越權訪問等安全風險，給工業控制生產活動帶來安全隱患。通過采取身份鑒別、角色判定、權限分配等安全措施實現工業主機登錄、應用服務資源訪問、工業云平臺訪問等過程的統一身份認證管理。

對于關鍵設備、系統和平臺應采取動態口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼(MAC)機制、基于公鑰密碼算法的數字簽名機制等密碼技術對設備操作人員等登錄設備的用戶進行身份鑒別，如采用合規的智能密碼密鑰。

對于無法使用密碼技術進行身份鑒別的工業控制設備、SCADA軟件、工業通信設備等的登錄賬戶及密碼，要及時更新，密碼要以多位數含數字、字母、特殊符號的組合方式提高密碼強度，建議采用驗證碼機制，提高被暴力破解的難度。避免使用默認密碼、易猜測密碼、空口令，甚至明文張貼密碼的現象發生。

(2）遠程管理通道安全

遠程訪問工業控制系統網絡，意味著為黑客開辟了一條攻擊工業控制網絡的通路，存在極大隱患。但在確需遠程訪問的情況下，需要采用商密IPSec/SSL VPN等遠程接入方式連接，相當于在公用網絡上為用戶建立了一條專用通道，這條專用通道需要采用數字簽名的方式進行身份鑒別，通道上的所有通訊數據需要采用加密算法和雜湊算法保護其機密性和完整性。

(3）設備中重要信息的完整性

設備中重要信息的完整性涉及到系統資源訪問控制信息完整性、重要信息資源安全標記完整性、日志記錄完整性和重要可執行程序完整性。這些方面的安全保障需要由設備廠商(如操作系統、數據庫管理系統、網絡及安全設備、密碼設備、各類虛擬設備等)提供相應的服務支持，此處不做詳細分析。

4.4 應用和數據安全

(1）身份鑒別

與設備和計算安全層面的身份鑒別方式相同，應采取動態口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼(MAC)機制、基于公鑰密碼算法的數字簽名機制等密碼技術對設備操作人員等登錄設備的用戶進行身份鑒別。

(2）數據安全

這里所說的數據安全包括數據的存儲安全和傳輸安全兩個方面，涉及到了數據創建、使用、分發、共享、銷毀的整個生命周期。對重要數據如工藝文件、設備參數、系統管理數據、現場實時數據、控制指令數據、程序上傳/下載數據、監控數據、測試數據等應采用加密技術、安全存儲介質等進行保護。

另外，為了保證系統在災難發生時，數據能夠盡量還原真實數據，應對歷史數據庫服務器、實時數據服務器、先進控制系統、優化控制系統等重要系統設備進行硬件冗余，啟用實時數據備份功能，保證當主設備出現故障時冗余設備可以無擾動的切換并恢復數據，對于關鍵的業務數據，應定期進行軟備份。    

(3）信息系統中重要信息的完整性

商用密碼應用安全性測評中的重要信息完整性涉及到訪問控制信息完整和重要信息資源安全標記完整性。工業控制系統應在系統設計時，從業務應用的角度實現對系統訪問控制策略、數據庫表訪問控制信息和重要信息資源敏感標記等進行完整性保護。

參考文獻：

1.《面向工業控制系統的密碼應用測評思路簡析》，蔡挺，夏曉峰，向宏，《自運化博覽》2019.S2期

2.《商用密碼應用與安全性評估》，霍煒，郭啟全，馬原，電子工業出版社，2020.4