工業(yè)控制系統(tǒng)商用密碼應(yīng)用研究分析

周?？?，黃晶晶，李鈺嘉，劉碩

（中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007）

0 引言

當(dāng)前，新一代信息技術(shù)被廣泛應(yīng)用于工業(yè)領(lǐng)域，全球制造業(yè)發(fā)展逐步轉(zhuǎn)向數(shù)字化、網(wǎng)絡(luò)化和智能化。在此背景下，復(fù)雜多元的網(wǎng)絡(luò)環(huán)境使工業(yè)控制系統(tǒng)面臨著迥異以往的嚴(yán)峻挑戰(zhàn)。本文系統(tǒng)分析了工業(yè)領(lǐng)域重點(diǎn)行業(yè)工控系統(tǒng)密碼應(yīng)用情況和存在的問(wèn)題，結(jié)合國(guó)家政策標(biāo)準(zhǔn)要求，從設(shè)備安全、主機(jī)安全、網(wǎng)絡(luò)邊界安全、軟件安全、數(shù)據(jù)安全等方面明確了商用密碼的應(yīng)用要點(diǎn)，并提出了密碼應(yīng)用有效性檢驗(yàn)方法。

1 工控領(lǐng)域商用密碼應(yīng)用加速啟動(dòng)

在工業(yè)自動(dòng)化發(fā)展的歷史進(jìn)程中，實(shí)時(shí)性、可靠性一直是工業(yè)控制系統(tǒng)設(shè)計(jì)研發(fā)和集成應(yīng)用的重中之重。但對(duì)于身份認(rèn)證、數(shù)據(jù)加密、信息完整性度量等基于密碼技術(shù)的安全措施，工業(yè)控制系統(tǒng)往往鮮有涉及。研究顯示[1]，2010年伊朗核設(shè)施遭震網(wǎng)病毒攻擊、2016年烏克蘭電力系統(tǒng)運(yùn)行中斷，以及2019年挪威鋁業(yè)感染勒索病毒等重大工控安全事件的主要原因均為涉事企業(yè)工業(yè)控制系統(tǒng)未采取安全認(rèn)證、加密和度量等必要安全防護(hù)策略。密碼應(yīng)用已成為企業(yè)工控安全技術(shù)防護(hù)體系建設(shè)的短板。

1.1 美國(guó)啟動(dòng)工控領(lǐng)域密碼應(yīng)用

2020年，全球工控安全的整體形勢(shì)依然十分嚴(yán)峻。據(jù)德勤公司2020年保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施調(diào)查報(bào)告顯示，新式勒索病毒（NotPetya）在全球肆虐，已造成超過(guò)10億美元的經(jīng)濟(jì)損失。為應(yīng)對(duì)工控安全威脅，2020年1月美國(guó)防部發(fā)布網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC）文件，指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者利用密碼技術(shù)開展身份鑒別、安全認(rèn)證和數(shù)據(jù)加密，強(qiáng)化工控安全防護(hù)能力。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）依托信息技術(shù)實(shí)驗(yàn)室（ITL），一方面開發(fā)了《智能電網(wǎng)網(wǎng)絡(luò)安全框架概要》等關(guān)鍵信息基礎(chǔ)設(shè)施安全解決方案；另一方面，支撐美商務(wù)部研發(fā)了密碼應(yīng)用系列標(biāo)準(zhǔn)（FIPS 140），加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的密碼保障。

2021年5月，美東部輸油管道公司遭遇勒索病毒攻擊，企業(yè)油料運(yùn)輸管網(wǎng)停擺，美國(guó)東部海岸地區(qū)油料缺口達(dá)到45%，影響了近5000萬(wàn)美國(guó)人[2]。隨即，美國(guó)宣布進(jìn)入國(guó)家緊急狀態(tài)。6月，NIST發(fā)布《控制系統(tǒng)網(wǎng)絡(luò)安全實(shí)踐指引》，從戰(zhàn)略、政策、標(biāo)準(zhǔn)等方面，為美國(guó)工業(yè)企業(yè)提供了加固工業(yè)控制系統(tǒng)安全防護(hù)的指導(dǎo)手冊(cè)，并遵循網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)消減的原則提供了相應(yīng)作業(yè)指導(dǎo)文件。目前，美國(guó)國(guó)家標(biāo)準(zhǔn)《工業(yè)控制系統(tǒng)安全指南》（SP 800-82）正在進(jìn)行相應(yīng)的更新，計(jì)劃2021年底前完成相關(guān)修訂工作正式發(fā)布。美國(guó)能源、交通等關(guān)鍵領(lǐng)域工控安全防護(hù)和密碼應(yīng)用體系初步形成。

1.2 我國(guó)工控密碼應(yīng)用步伐加快

我國(guó)高度重視工控安全和密碼應(yīng)用工作。近年來(lái)，中央辦公廳、國(guó)務(wù)院辦公廳陸續(xù)印發(fā)了《關(guān)于加強(qiáng)重要領(lǐng)域國(guó)產(chǎn)密碼應(yīng)用的指導(dǎo)意見》《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022年）》等重要文件，提出運(yùn)用商用密碼手段加強(qiáng)重要工業(yè)控制系統(tǒng)安全防護(hù)，提升工業(yè)領(lǐng)域網(wǎng)絡(luò)安全綜合保障能力。2019年《中華人民共和國(guó)密碼法》正式發(fā)布實(shí)施，明確了使用商用密碼對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)的有關(guān)要求。2021年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式印發(fā)，明確要求密碼管理等部門依法開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作。

國(guó)家相關(guān)主管部門積極推動(dòng)政策法規(guī)落地，工業(yè)和信息化部制定并發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等政策文件，加快推動(dòng)產(chǎn)業(yè)鏈上下游開展聯(lián)合攻關(guān)和適配應(yīng)用，積極組織骨干企業(yè)研發(fā)應(yīng)用商用密碼的工控產(chǎn)品，提升工業(yè)控制系統(tǒng)本質(zhì)安全能力，探索工業(yè)領(lǐng)域密碼應(yīng)用方案和推廣路徑。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC TC 260）積極組織開展工控安全國(guó)家標(biāo)準(zhǔn)體系建設(shè)，從安全分級(jí)、安全要求、安全實(shí)施、安全測(cè)評(píng)等方面建立了工控安全標(biāo)準(zhǔn)體系框架[3]（如圖1所示），正式發(fā)布國(guó)家標(biāo)準(zhǔn)23項(xiàng)，報(bào)批稿2項(xiàng)，送審稿1項(xiàng)，征求意見稿1項(xiàng)。其中，《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》（GB/T 32919-2016）《工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T 36466-2018）等國(guó)家標(biāo)準(zhǔn)，對(duì)身份鑒別、接入認(rèn)證、邊界防護(hù)等提出了明確技術(shù)要求，推動(dòng)密碼應(yīng)用與工業(yè)控制系統(tǒng)融合應(yīng)用。

圖1 工控安全標(biāo)準(zhǔn)體系

2 工控商用密碼應(yīng)用亟待向縱深發(fā)力

2021年3月，工業(yè)和信息化部和國(guó)家密碼管理局指導(dǎo)建立了工業(yè)和信息化部商用密碼應(yīng)用產(chǎn)業(yè)促進(jìn)聯(lián)盟，涵蓋了石化、汽車、軌道交通、船舶、冶金等重點(diǎn)領(lǐng)域的頭部企業(yè)。通過(guò)對(duì)聯(lián)盟成員調(diào)研，發(fā)現(xiàn)雖然目前工控領(lǐng)域商用密碼應(yīng)用工作扎實(shí)推進(jìn)，但企業(yè)在信息加密傳輸、數(shù)據(jù)加密存儲(chǔ)、設(shè)備身份認(rèn)證等方面仍存在密碼應(yīng)用實(shí)際需要，密碼應(yīng)用的意識(shí)、能力和投入力度等與安全防護(hù)需求仍存在一定差距，亟需拓展工控領(lǐng)域商用密碼應(yīng)用的技術(shù)深度。

第一，政策標(biāo)準(zhǔn)供給缺乏。為落實(shí)《中華人民共和國(guó)密碼法》要求，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和全國(guó)密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)積極組織力量，研制了一系列密碼技術(shù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，但工控領(lǐng)域的密碼應(yīng)用規(guī)范尚存空缺。在涉及關(guān)鍵信息基礎(chǔ)設(shè)施的重要工業(yè)應(yīng)用場(chǎng)景中，缺少相應(yīng)政策標(biāo)準(zhǔn)指導(dǎo)企業(yè)開展同步規(guī)劃、同步建設(shè)和同步運(yùn)行。特別是針對(duì)工業(yè)控制系統(tǒng)可靠性、實(shí)時(shí)性、可用性要求，缺乏更具針對(duì)性研究，工業(yè)控制系統(tǒng)與商用密碼應(yīng)用在工藝、業(yè)務(wù)的全面融合上缺乏標(biāo)準(zhǔn)指導(dǎo)。

第二，技術(shù)攻關(guān)能力薄弱。工業(yè)控制系統(tǒng)的密碼應(yīng)用與計(jì)算、存儲(chǔ)、通信等資源開銷緊密相關(guān)，在開發(fā)和改造過(guò)程中，由于工業(yè)控制系統(tǒng)算力有限、架構(gòu)復(fù)雜、協(xié)議多樣，業(yè)務(wù)實(shí)時(shí)性、穩(wěn)定性很難得到保證。支持國(guó)產(chǎn)商用密碼、具備安全可信功能的可編程邏輯控制器（PLC）、分布式控制系統(tǒng)（DCS）等工業(yè)控制產(chǎn)品目前尚處攻關(guān)試用階段，成熟的技術(shù)產(chǎn)品供給能力有待進(jìn)一步完善，產(chǎn)品與服務(wù)的大規(guī)模產(chǎn)業(yè)化應(yīng)用亟待進(jìn)一步加強(qiáng)。

第三，密碼應(yīng)用路徑不明。目前，工業(yè)控制領(lǐng)域商用密碼的應(yīng)用開發(fā)和技術(shù)改造仍處于政策驅(qū)動(dòng)階段，工業(yè)自動(dòng)化廠商出于研發(fā)成本和技術(shù)能力限制，主動(dòng)使用商用密碼解決網(wǎng)絡(luò)安全問(wèn)題的意愿不強(qiáng)。此外，產(chǎn)業(yè)化應(yīng)用規(guī)模受限，導(dǎo)致企業(yè)研發(fā)成本難以拉低，產(chǎn)品價(jià)格與傳動(dòng)工業(yè)自動(dòng)化設(shè)備相比沒有市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)。密碼應(yīng)用供需兩側(cè)的對(duì)接、合作、交流平臺(tái)存在空缺，密碼應(yīng)用的行業(yè)實(shí)施路徑尚不清晰，成熟可用、成本可控的應(yīng)用示范案例有待開發(fā)。

3 工控與商用密碼融合應(yīng)用的路徑

為了促使上述問(wèn)題更好的解決，推動(dòng)商用密碼在工業(yè)控制領(lǐng)域進(jìn)行融合應(yīng)用，以密碼促進(jìn)工業(yè)控制系統(tǒng)安全防護(hù)能力提升，本文根據(jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的11項(xiàng)防護(hù)要點(diǎn)，結(jié)合《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》（GB/T 32919-2016）[4]《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度》（報(bào)批稿）等國(guó)家標(biāo)準(zhǔn)規(guī)范，研究提出了工控領(lǐng)域商用密碼融合應(yīng)用方向。

3.1 工控商用密碼應(yīng)用的結(jié)合點(diǎn)

根據(jù)IEC 62443系列標(biāo)準(zhǔn)，典型工控安全防護(hù)體系架構(gòu)貫穿工業(yè)企業(yè)的各網(wǎng)絡(luò)層級(jí)[5]。安全防護(hù)要點(diǎn)包括設(shè)備安全、主機(jī)安全、網(wǎng)絡(luò)邊界安全、軟件安全、數(shù)據(jù)安全等，商用密碼的應(yīng)用應(yīng)與上述工控安全防護(hù)的要點(diǎn)深入結(jié)合，形成統(tǒng)一的解決方案。

（1）工業(yè)設(shè)備安全。在工業(yè)設(shè)備安全防護(hù)工作中，控制設(shè)備安全、現(xiàn)場(chǎng)測(cè)控設(shè)備安全與存儲(chǔ)媒體保護(hù)等3個(gè)方面可以與密碼應(yīng)用相結(jié)合。一是控制設(shè)備和現(xiàn)場(chǎng)測(cè)控設(shè)備在使用身份鑒別、訪問(wèn)控制策略的基礎(chǔ)上，還應(yīng)通過(guò)內(nèi)置安全嵌入功能，實(shí)現(xiàn)控制系統(tǒng)基于商密的安全可信。二是存儲(chǔ)媒體可采用基于公鑰密碼理論的PKI安全架構(gòu)，完成接入認(rèn)證和媒介管理，確保接入外設(shè)的安全性、可控性。

（2）工業(yè)網(wǎng)絡(luò)邊界防護(hù)。工業(yè)網(wǎng)絡(luò)邊界防護(hù)是保障企業(yè)生產(chǎn)網(wǎng)絡(luò)安全性的重要基礎(chǔ)，包含了網(wǎng)絡(luò)邊界防護(hù)、遠(yuǎn)程訪問(wèn)安全、身份認(rèn)證等主要手段，是商用密碼與工業(yè)控制系統(tǒng)結(jié)合的要點(diǎn)。一是網(wǎng)絡(luò)邊界防護(hù)，在生產(chǎn)網(wǎng)與辦公網(wǎng)之間直接接入安全防護(hù)設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)邊界防護(hù)的基礎(chǔ)上，可在邊界防護(hù)設(shè)備上基于密碼加入相應(yīng)校驗(yàn)策略，開展接入設(shè)備可信校驗(yàn)。二是遠(yuǎn)程訪問(wèn)安全方面，可以利用商用密碼技術(shù)來(lái)保護(hù)遠(yuǎn)程訪問(wèn)會(huì)話的機(jī)密性和完整性，防止信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽和篡改。三是身份認(rèn)證機(jī)制方面，應(yīng)在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問(wèn)、工業(yè)云平臺(tái)訪問(wèn)等過(guò)程中，使用口令加密、數(shù)字證書、生物指紋等身份認(rèn)證管理技術(shù)，強(qiáng)化網(wǎng)絡(luò)邊界的安全防護(hù)。

（3）工業(yè)控制軟件安全。控制軟件安全主要包括安全配置、配置變更、賬戶管理、口令保護(hù)和安全審計(jì)等，其中賬戶管理、口令保護(hù)和安全審計(jì)是密碼應(yīng)用的重要切入點(diǎn)。一是賬戶管理方面，利用商用密碼簽名時(shí)間戳功能，可實(shí)現(xiàn)工業(yè)控制系統(tǒng)管理賬戶的接入時(shí)間審核。二是口令保護(hù)方面，采用商用密碼進(jìn)行用戶口令的加密存儲(chǔ)、傳輸，才能確保用戶敏感信息的保密性要求。三是安全審計(jì)方面，審計(jì)日志的存儲(chǔ)、災(zāi)備以及傳輸，必須利用密碼功能完成完整性校驗(yàn)、加密保護(hù)和簽名驗(yàn)簽，確保審計(jì)日志的完整性、可靠性、抗抵賴性。

（4）工業(yè)數(shù)據(jù)安全。數(shù)據(jù)安全主要分為數(shù)據(jù)的分類分級(jí)管理、差異化防護(hù)、數(shù)據(jù)的備份與恢復(fù)，以及測(cè)試數(shù)據(jù)的保護(hù)等。一是分類分級(jí)管理方面，商密應(yīng)用可以解決重要數(shù)據(jù)的完整性校驗(yàn)和加密存放，還可以通過(guò)簽名機(jī)制形成數(shù)字標(biāo)識(shí)。二是差異化防護(hù)中，對(duì)動(dòng)態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)要進(jìn)行加密傳輸，或使用VPN等方式進(jìn)行保護(hù)；對(duì)靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)進(jìn)行加密存儲(chǔ)或隔離保護(hù)，確保靜態(tài)存儲(chǔ)的工業(yè)數(shù)據(jù)不被非法訪問(wèn)、刪除、修改。三是建立備份數(shù)據(jù)存儲(chǔ)安全防護(hù)機(jī)制，采用數(shù)據(jù)加密、訪問(wèn)控制等手段，確保備份數(shù)據(jù)安全。

3.2 工控密碼應(yīng)用有效性檢驗(yàn)方法

在實(shí)驗(yàn)環(huán)境下，構(gòu)建支持國(guó)產(chǎn)商用密碼的典型工業(yè)控制系統(tǒng)仿真測(cè)試環(huán)境，可對(duì)商用密碼應(yīng)用有效性進(jìn)行檢測(cè)評(píng)估。如表1所示，通過(guò)密碼應(yīng)用協(xié)議檢測(cè)、商密算法功能檢測(cè)、敏感信息管理能力檢測(cè)、密鑰管理能力檢測(cè)、身份認(rèn)證檢測(cè)、數(shù)據(jù)傳輸機(jī)密性和完整性檢測(cè)等方法，能夠?qū)I(yè)設(shè)備安全、工業(yè)網(wǎng)絡(luò)邊界安全、工業(yè)控制軟件安全、工業(yè)數(shù)據(jù)安全等提出的商用密碼應(yīng)用有效性進(jìn)行驗(yàn)證。

表1 商密應(yīng)用有效性檢驗(yàn)方法

如圖2～4所示，本文利用數(shù)據(jù)機(jī)密性校驗(yàn)工具、密碼設(shè)備接口測(cè)試工具、協(xié)議抓包分析工具，對(duì)工控商用密碼應(yīng)用有效性進(jìn)行了檢測(cè)，證明了應(yīng)用路徑與核驗(yàn)方法的可行性和可操作性。

圖2 數(shù)據(jù)機(jī)密性校驗(yàn)工具

圖3 密碼設(shè)備接口測(cè)試工具

圖4 協(xié)議抓包分析工具

4 結(jié)語(yǔ)

本文根據(jù)當(dāng)前工控領(lǐng)域商用密碼研究現(xiàn)狀和存在問(wèn)題，結(jié)合工控安全相應(yīng)國(guó)家政策和標(biāo)準(zhǔn)，從工業(yè)設(shè)備安全、工業(yè)網(wǎng)絡(luò)邊界安全、工業(yè)控制軟件安全、工業(yè)數(shù)據(jù)安全等方面提出了工控領(lǐng)域密碼應(yīng)用的路徑，并通過(guò)密碼應(yīng)用協(xié)議檢測(cè)、商密算法功能檢測(cè)、敏感信息管理能力檢測(cè)、密鑰管理能力檢測(cè)、身份認(rèn)證檢測(cè)、數(shù)據(jù)傳輸機(jī)密性和完整性檢測(cè)等方法，檢驗(yàn)了路徑有效性，為工控系統(tǒng)與商用密碼的融合應(yīng)用提供了參考借鑒。