工業控制資訊系統中的商用密碼應用思考

01、引言

自2019年10月《密碼法》頒佈以來，商用密碼應用安全性評估逐步引起各政府部門、各行業的重視。《密碼法》第二十七條明確要求：“關鍵資訊基礎設施必須依法使用商用密碼進行保護並開展商用密碼應用安全性評估，要求關鍵資訊基礎設施的運營者採購涉及商用密碼的網路產品和服務，可能影響國家安全的，應當依法通過國家網信辦會同國家密碼管理局等有關部門組織的國家安全審查。”《資訊保安等級保護商用密碼管理辦法》規定：“國家密碼管理局和省、自治區、直轄市密碼管理機構對第三級及以上資訊系統使用商用密碼的情況進行檢查”。在國家密碼管理局印發的《資訊保安等級保護商用密碼管理辦法實施意見》中規定“第三級及以上資訊系統的商用密碼應用系統，應當通過國家密碼管理部門指定測評機構的密碼測評後方可投入執行”。這些制度明確了資訊保安等級保護第三級及以上資訊系統的商用密碼應用和測評要求。此外，在新版《網路安全等級保護條例》（徵求意見稿）中明確要求在規劃、建設、執行階段開展密碼應用安全性評估。

目前，商用密碼應用安全性評估尚處於剛起步階段，評估的重點主要集中在政務資訊系統、金融和醫療領域。但是隨著此項工作的逐步推進，工業控制系統也必將伴隨著等保2.0標準的貫徹實施，被納入到商用密碼應用安全性評估的範圍。

02、典型工業控制系統結構

最初工業控制系統是一個獨立的系統，使用的是專用的控制協議以及特定的軟硬體。但是，隨著網際網路與工業控制系統的融合，工業控制系統普通採用網際網路解決方案來推動企業的互聯和遠端訪問能力。比較典型的工業控制系統結構如圖1所示。

圖1 典型工業控制系統結構圖

03、商用密碼應用安全性評估

商用密碼應用安全性評估(簡稱“密評”)是指對採用商用密碼技術、產品和服務整合建設的網路和資訊系統密碼應用的合規性、正確性、有效性進行評估。開展商用密碼應用安全性評估工作，是國家網路安全和密碼相關法律法規提出的明確要求，是法定責任和義務。商用密碼應用安全性評估工作，不僅對規範密碼應用具有重大意義，同時對維護網路和資訊系統密碼安全，切實保障網路安全，有效應對各類網路安全風險，也具有不可替代的重要作用。

商用密碼應用安全性評估依據2021年3月釋出的GB/T 39786-2021《資訊保安技術 資訊系統密碼應用基本要求》和2020年12月修訂的《資訊系統密碼應用測評要求》進行實施。測評內容分為了兩個方面：通用測評要求和密碼應用測試要求。其中，在通用測評要求中，提出了符合商用密碼管理的相關規定，滿足標準規範的相關要求，包括密碼演算法、密碼技術的合規性要求和金鑰管理的安全性要求；在密碼應用測評要求中，規定了密碼技術的應用要求和系統管理要求，要求項依據等級增加和增強，包括物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全、管理制度、人員管理、建設執行、應急處置等8個方面，測評要求框架如圖2所示。

圖2 資訊系統密碼應用測評要求框架

04、工業控制資訊系統中商用密碼應用的幾點思考

商用密碼應用安全性測評的測評物件是資訊系統，目前針對政務資訊系統方面的案例及測試方法已逐步完善。而相對於政務資訊系統而言，工業控制系統具有實時性要求高、高可用性、通訊協議眾多等特點，因此對於工業控制系統應採用的密碼應用方案和密碼測評方法均有別於政務資訊系統。下面分別從物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全四個技術層面，圍繞商用密碼應用安全性測評要求，介紹一下對工業控制系統在商用密碼應用方面的一些思考。

4.1 物理和環境安全

工業控制系統往往由眾多的採集系統和控制系統，以及後臺伺服器、資料庫、工程師站等構成。而核心資料則主要儲存於工程師站、資料庫、伺服器中。因此，對於物理和環境的安全，需要對重要工程師站、資料庫、伺服器等核心工業控制軟硬體所在區域採取訪問控制、影片監控、專人值守等物理安全防護措施。部署具有密碼模組的電子門禁系統、影片監控系統；通過伺服器密碼機、加密儲存裝置、影片加密系統等實現音影片資料完整性保護，如圖3所示。

圖3 部署物理環境監控系統

4.2  網路和通訊安全

(1）身份鑑別

工業控制系統與政務資訊系統相同，也是通過網路技術來實現與外界的互聯互通，在通訊建立前或者某外部裝置接入到內部網路時，可根據工業控制系統的安全等級要求，考慮採用基於密碼雜湊演算法的訊息鑑別碼機制，或基於公鑰密碼演算法的數字簽名機制進行單向或雙向身份鑑別，並將證書資訊儲存於安全介質中，對證書的申請、發放、使用、吊銷等過程通過技術手段嚴格控制，並建立相關制度保障。

(2）通訊資料的機密性和完整性

由企業網和網際網路傳輸的資料，儘可能避免使用HTTP、FTP、Telnet等高風險通用網路服務，建議使用國密演算法改造的HTTPS協議或者通過商密IPSec/SSL VPN實現網路邏輯邊界的管控，構建內部網路的企業網。對於工業控制系統中使用的專用協議，則可在不影響系統實時性和高可用性的前提下，採用密碼技術對通訊過程中的資料進行完整性和機密性保護。因考慮到工業控制系統實時性要求，所以不需要對所有資料均採用機密性保護。只需要對關鍵的敏感資訊或通訊報文進行機密性保護。

(3）網路邊界訪問控制資訊的完整性

工業控制網路與企業網或網際網路之間互聯互通，為工業控制系統帶來巨大創造力和生產力的同時，也會引入更加複雜、嚴峻的安全問題。一是深度網路化和多層面互聯互通增加了攻擊路徑；二是傳統IT產品的引入帶來了更多安全漏洞；三是新興資訊科技在工業控制領域的防護體系尚不成熟。

因此，需要在不同網路邊界之間，部署邊界安全防護裝置實現安全訪問控制，阻斷非法網路訪問，嚴格禁止沒有防護的工業控制網路與網際網路連線。與此同時，為了保證訪問控制資訊不被惡意篡改，需要採用對稱演算法或MAC機制、數字簽名機制等密碼技術對訪問控制資訊進行完整性保護。

4.3 裝置和計算安全

(1）身份鑑別

面對工業控制主機和系統的登入、訪問過程中常見身份冒用，越權訪問等安全風險，給工業控制生產活動帶來安全隱患。通過採取身份鑑別、角色判定、許可權分配等安全措施實現工業主機登入、應用服務資源訪問、工業雲平臺訪問等過程的統一身份認證管理。

對於關鍵裝置、系統和平臺應採取動態口令機制、基於對稱密碼演算法或密碼雜湊演算法的訊息鑑別碼(MAC)機制、基於公鑰密碼演算法的數字簽名機制等密碼技術對裝置操作人員等登入裝置的使用者進行身份鑑別，如採用合規的智慧密碼金鑰。

對於無法使用密碼技術進行身份鑑別的工業控制裝置、SCADA軟體、工業通訊裝置等的登入賬戶及密碼，要及時更新，密碼要以多位數含數字、字母、特殊符號的組合方式提高密碼強度，建議採用驗證碼機制，提高被暴力破解的難度。避免使用預設密碼、易猜測密碼、空口令，甚至明文張貼密碼的現象發生。

(2）遠端管理通道安全

遠端訪問工業控制系統網路，意味著為黑客開闢了一條攻擊工業控制網路的通路，存在極大隱患。但在確需遠端訪問的情況下，需要採用商密IPSec/SSL VPN等遠端接入方式連線，相當於在公用網路上為使用者建立了一條專用通道，這條專用通道需要採用數字簽名的方式進行身份鑑別，通道上的所有通訊資料需要採用加密演算法和雜湊演算法保護其機密性和完整性。

(3）裝置中重要資訊的完整性

裝置中重要資訊的完整性涉及到系統資源訪問控制資訊完整性、重要資訊資源安全標記完整性、日誌記錄完整性和重要可執行程式完整性。這些方面的安全保障需要由裝置廠商(如作業系統、資料庫管理系統、網路及安全裝置、密碼裝置、各類虛擬裝置等)提供相應的服務支援，此處不做詳細分析。

4.4 應用和資料安全

(1）身份鑑別

與裝置和計算安全層面的身份鑑別方式相同，應採取動態口令機制、基於對稱密碼演算法或密碼雜湊演算法的訊息鑑別碼(MAC)機制、基於公鑰密碼演算法的數字簽名機制等密碼技術對裝置操作人員等登入裝置的使用者進行身份鑑別。

(2）資料安全

這裡所說的資料安全包括資料的儲存安全和傳輸安全兩個方面，涉及到了資料建立、使用、分發、共享、銷燬的整個生命週期。對重要資料如工藝檔案、裝置引數、系統管理資料、現場實時資料、控制指令資料、程式上傳/下載資料、監控資料、測試資料等應採用加密技術、安全儲存介質等進行保護。

另外，為了保證系統在災難發生時，資料能夠儘量還原真實資料，應對歷史資料庫伺服器、實時資料伺服器、先進控制系統、優化控制系統等重要系統裝置進行硬體冗餘，啟用實時資料備份功能，保證當主裝置出現故障時冗餘裝置可以無擾動的切換並恢復資料，對於關鍵的業務資料，應定期進行軟備份。

(3）資訊系統中重要資訊的完整性

商用密碼應用安全性測評中的重要資訊完整性涉及到訪問控制資訊完整性和重要資訊資源安全標記完整性。工業控制系統應在系統設計時，從業務應用的角度實現對系統訪問控制策略、資料庫表訪問控制資訊和重要資訊資源敏感標記等進行完整性保護。

參考文獻：

1.《面向工業控制系統的密碼應用測評思路簡析》，蔡挺，夏曉峰，向巨集，《自運化博覽》2019.S2期

2.《商用密碼應用與安全性評估》，霍煒，郭啟全，馬原，電子工業出版社，2020.4