淺談電力監(jiān)控系統(tǒng)商用密碼應(yīng)用安全性評(píng)估

謝 志 奇

(貴州烏江水電開發(fā)有限責(zé)任公司，貴州 貴陽 550002)

0 前 言

商用密碼是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品，其具有防泄密(機(jī)密性)、防篡改(完整性)、防假冒(真實(shí)性)、防抵賴(不可否認(rèn)性)，商用密碼應(yīng)用安全性評(píng)估(后簡(jiǎn)稱“密評(píng)”)是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)，對(duì)其中密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估[1]。

1 密評(píng)特性介紹及具體步驟

1.1 密評(píng)特點(diǎn)

1.1.1 合規(guī)性

按照《商用密碼管理?xiàng)l例》等密碼法規(guī)和行業(yè)相關(guān)的密碼使用要求，使用符合國(guó)家密碼法規(guī)和標(biāo)準(zhǔn)規(guī)定的商用密碼算法，使用經(jīng)過國(guó)家密碼管理局審批的密碼產(chǎn)品或服務(wù)；按照《信息系統(tǒng)密碼應(yīng)用基本要求》等標(biāo)準(zhǔn)，進(jìn)行相應(yīng)的密碼應(yīng)用解決方案設(shè)計(jì)。

1.1.2 正確性

系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制按照相應(yīng)的國(guó)家和行業(yè)密碼標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)；自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)正確，符合相關(guān)標(biāo)準(zhǔn)要求；密碼保障體系建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確。

1.1.3 有效性

密碼應(yīng)用安全立足系統(tǒng)安全、體系安全、動(dòng)態(tài)安全，信息系統(tǒng)中采用的密碼協(xié)議、密鑰管理系統(tǒng)、密碼應(yīng)用子系統(tǒng)和密碼防護(hù)機(jī)制不僅設(shè)計(jì)合理，而且在系統(tǒng)運(yùn)行過程中能夠發(fā)揮密碼效用，保障信息的機(jī)密性、完整性、真實(shí)性、抗抵賴性[2]。

1.2 密評(píng)依據(jù)和基本原則

評(píng)估工作應(yīng)當(dāng)遵循國(guó)家法律法規(guī)及相關(guān)標(biāo)準(zhǔn)。測(cè)評(píng)機(jī)構(gòu)開展評(píng)估應(yīng)當(dāng)遵循商用密碼管理政策和《信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼測(cè)評(píng)要求》等相關(guān)密碼標(biāo)準(zhǔn)的要求，遵循獨(dú)立、客觀、公正的原則[3]。

1.3 密評(píng)步驟

(1)評(píng)估準(zhǔn)備階段：確定評(píng)估依據(jù)，資料審查，系統(tǒng)基本情況梳理，系統(tǒng)密碼應(yīng)用情況。

(2)方案編制階段：確定測(cè)評(píng)對(duì)象，系統(tǒng)邊界范圍，確定測(cè)評(píng)指標(biāo)，確定使用工具種類，根據(jù)網(wǎng)絡(luò)拓?fù)鋱D或初步調(diào)研結(jié)果，確定工具接入點(diǎn)，最終確定整體的測(cè)評(píng)內(nèi)容，以及內(nèi)容對(duì)應(yīng)的測(cè)評(píng)方法。

(3)評(píng)估就緒階段：確認(rèn)各主機(jī)數(shù)據(jù)是否已備份，保障數(shù)據(jù)安全，如果沒有備份則不進(jìn)行工具測(cè)試，工具測(cè)試過程可能產(chǎn)生的意外情況都已有應(yīng)急處理措施。

(4)評(píng)估實(shí)施階段：確定被評(píng)估對(duì)象及測(cè)評(píng)工具、總體測(cè)評(píng)、技術(shù)應(yīng)用測(cè)評(píng)、密鑰管理測(cè)評(píng)、安全管理測(cè)評(píng)、工具測(cè)試接入點(diǎn)明確。

(5)評(píng)估結(jié)果綜合分析：針對(duì)測(cè)評(píng)結(jié)果中存在的部分符合項(xiàng)和不符合項(xiàng)問題加以描述和分析，其中對(duì)于部分符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析，評(píng)定風(fēng)險(xiǎn)等級(jí)，作為整體評(píng)判的結(jié)果。

(6)分析與編制報(bào)告：找出整個(gè)系統(tǒng)的安全防護(hù)現(xiàn)狀與相應(yīng)等級(jí)保護(hù)需求之間的差距，分析可能存在的風(fēng)險(xiǎn)并形成評(píng)估報(bào)告。

2 電力監(jiān)控系統(tǒng)商用密碼應(yīng)用要求

生產(chǎn)控制大區(qū)要求允許提供縱向安全WEB服務(wù)，但應(yīng)當(dāng)優(yōu)先采用專用協(xié)議和專用瀏覽器的圖形瀏覽技術(shù)，也可采用經(jīng)過安全加固且支持HTTPS的安全WEB服務(wù)。生產(chǎn)控制大區(qū)重要業(yè)務(wù)(如SCADA/AGC/AVC等)的遠(yuǎn)程通信應(yīng)當(dāng)采用加密認(rèn)證機(jī)制。

調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)邊界要求在生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應(yīng)當(dāng)采取相應(yīng)的安全隔離、加密、認(rèn)證等防護(hù)措施。對(duì)于實(shí)時(shí)控制等重要業(yè)務(wù)，應(yīng)通過縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)接入調(diào)度數(shù)據(jù)網(wǎng)。

橫向隔離要求正反向隔離裝置集中接收生產(chǎn)大區(qū)或管理大區(qū)的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢驗(yàn)等處理后，轉(zhuǎn)發(fā)給管理大區(qū)或生產(chǎn)大區(qū)；縱向加密要求調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認(rèn)證裝置，傳統(tǒng)的基于專用通道的數(shù)據(jù)通信可逐步采用加密、身份認(rèn)證等技術(shù)進(jìn)行安全防護(hù)；電力調(diào)度數(shù)據(jù)證書系統(tǒng)要求為電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用戶和關(guān)鍵設(shè)備，提供數(shù)字證書服務(wù)、實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠的行為審計(jì)。電力調(diào)度數(shù)字證書應(yīng)當(dāng)經(jīng)過國(guó)家有關(guān)檢測(cè)機(jī)構(gòu)檢測(cè)認(rèn)證，符合國(guó)家相關(guān)安全要求。

通用安全防護(hù)措施要求如下：

(1)防水防潮、電子門禁等物理安全措施；

(2)非控制區(qū)應(yīng)當(dāng)支持HTTPS的縱向安全WEB服務(wù)，采用電力調(diào)度數(shù)字證書對(duì)瀏覽器客戶端訪問進(jìn)行身份認(rèn)證及加密傳輸；

(3)能量管理系統(tǒng)應(yīng)當(dāng)逐步采用電力調(diào)度數(shù)字證書，對(duì)用戶登錄本地操作系統(tǒng)、訪問系統(tǒng)資源等操作進(jìn)行身份認(rèn)證，根據(jù)身份與權(quán)限進(jìn)行訪問控制，并且對(duì)操作行為進(jìn)行安全審計(jì)；

(4)需遠(yuǎn)程訪問生產(chǎn)控制大區(qū)的，要求遠(yuǎn)方用戶使用安全加固的操作系統(tǒng)平臺(tái)，結(jié)合數(shù)字證書技術(shù)，進(jìn)行登錄認(rèn)證和訪問認(rèn)證；

(5)基于專線通道與調(diào)度主站進(jìn)行的數(shù)據(jù)通信，應(yīng)采用必要的身份認(rèn)證或加解密措施進(jìn)行防護(hù)；

(6)生產(chǎn)控制大區(qū)應(yīng)當(dāng)具備安全審計(jì)功能，可對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)日志、數(shù)據(jù)庫重要操作日志、業(yè)務(wù)應(yīng)用日志、安全設(shè)備日志等進(jìn)行統(tǒng)一收集，自動(dòng)分析；

(7)生產(chǎn)控制大區(qū)具備控制功能的系統(tǒng)應(yīng)當(dāng)逐步推廣應(yīng)用以密碼硬件為核心的可信計(jì)算技術(shù)；

(8)電力監(jiān)控系統(tǒng)中商用密碼產(chǎn)品的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家商用密碼管理局的有關(guān)規(guī)定。

3 電力監(jiān)控系統(tǒng)密評(píng)內(nèi)容和建議

3.1 總體安全

3.1.1 密碼算法

檢查系統(tǒng)使用的算法名稱、用途、位置、執(zhí)行算法的設(shè)備及實(shí)現(xiàn)方式，核查密碼算法合規(guī)性，電力監(jiān)控系統(tǒng)中使用的SM2、SM3國(guó)密算法為合規(guī)，不合規(guī)算法有RSA1024、SHA-1、AES等，建議使用經(jīng)國(guó)家密碼管理部門核準(zhǔn)的密碼算法[4]。

3.1.2 密碼技術(shù)

核查密碼協(xié)議、密鑰管理等密碼技術(shù)是否符合相關(guān)標(biāo)準(zhǔn)規(guī)范，若密碼技術(shù)由合規(guī)的密碼產(chǎn)品實(shí)現(xiàn)，則重點(diǎn)評(píng)估技術(shù)使用是否符合標(biāo)準(zhǔn)規(guī)定。在電力監(jiān)控系統(tǒng)中不合規(guī)的密碼技術(shù)有HTTP、FTP、TELNET等。

建議使用數(shù)字證書技術(shù)，使用經(jīng)國(guó)家密碼管理部門核準(zhǔn)的密碼模塊如SSL VPN、IPSEC VPN，并使用經(jīng)國(guó)家密碼管理部門核準(zhǔn)的算法，建立遠(yuǎn)程集中管理安全通道。

3.1.3 密碼產(chǎn)品

核查相關(guān)部件和設(shè)備是否取得國(guó)家密碼管理部門頒發(fā)的商用密碼產(chǎn)品型號(hào)證書，或是否具有被主管部門認(rèn)可的測(cè)評(píng)機(jī)構(gòu)出具的合格測(cè)評(píng)報(bào)告。密碼產(chǎn)品按形態(tài)劃分為六類：軟件、芯片、模塊、板卡、整機(jī)和系統(tǒng)；密碼產(chǎn)品按功能劃分為七類：密碼算法類、數(shù)據(jù)加解密類、認(rèn)證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。

在電力監(jiān)控系統(tǒng)中建議將使用的未經(jīng)國(guó)家密碼管理部門核準(zhǔn)的密碼產(chǎn)品逐步更換為具有商密型號(hào)的同功能密碼產(chǎn)品，密碼產(chǎn)品的合規(guī)性可登陸商用密碼認(rèn)證業(yè)務(wù)網(wǎng)(http://service.scctc.org.cn/)進(jìn)行查詢。

3.1.4 密碼服務(wù)

核查為信息系統(tǒng)提供密碼服務(wù)的第三方電子認(rèn)證服務(wù)組織機(jī)構(gòu)，核查該機(jī)構(gòu)是否獲得國(guó)家密碼管理局頒發(fā)的密碼服務(wù)許可證。電力監(jiān)控系統(tǒng)中暫未涉及，在此不做贅述。

3.2 基本安全

3.2.1 物理和環(huán)境

遵循物理和環(huán)境安全測(cè)評(píng)要求，對(duì)集中管理電力監(jiān)控系統(tǒng)所在機(jī)房環(huán)境進(jìn)行測(cè)評(píng)；重點(diǎn)查看電子門禁是否具有商密型號(hào)，電子門禁記錄和視頻記錄是否使用密碼技術(shù)、密碼產(chǎn)品進(jìn)行保護(hù)。

建議使用具有商密型號(hào)的門禁系統(tǒng)，確認(rèn)進(jìn)入各重要區(qū)域人員的身份，防止無關(guān)和假冒人員進(jìn)入。建議使用數(shù)字簽名技術(shù)或HMAC方式對(duì)監(jiān)控記錄進(jìn)行完整性保護(hù)，如服務(wù)器密碼機(jī)、數(shù)字簽名驗(yàn)簽服務(wù)器，保護(hù)電子門禁系統(tǒng)進(jìn)出記錄和視頻監(jiān)控音像記錄的完整性，防止被非授權(quán)篡改。

3.2.2 網(wǎng)絡(luò)和通信

檢查確認(rèn)通信實(shí)體的身份，防止與假冒實(shí)體進(jìn)行通信；保護(hù)通信過程中的數(shù)據(jù)，防止數(shù)據(jù)被非授權(quán)篡改，防止敏感數(shù)據(jù)泄露。

建議在網(wǎng)絡(luò)接入?yún)^(qū)部署符合GB/T 0022—2014的IPSec VPN/和符合GB/T 0024—2014的SSL VPN，對(duì)進(jìn)行數(shù)據(jù)備份的設(shè)備在通信前進(jìn)行身份鑒別和建立安全的集中管理通道，通過部署SSL VPN網(wǎng)關(guān)，對(duì)訪問控制信息完整性保護(hù)，在網(wǎng)絡(luò)邊界部署IPSec VPN、SSL VPN網(wǎng)關(guān)等設(shè)備，對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行完整性和機(jī)密性保護(hù)。

3.2.3 設(shè)備和計(jì)算

檢查設(shè)備的特權(quán)用戶和普通用戶的身份是否進(jìn)行識(shí)別和確認(rèn)，防止假冒人員登錄；檢查遠(yuǎn)程管理時(shí)，是否對(duì)管理員的身份鑒別信息進(jìn)行機(jī)密性保護(hù)，防止鑒別信息泄漏；檢查是否保護(hù)計(jì)算機(jī)、服務(wù)器等設(shè)備中的系統(tǒng)資源訪問控制信息、重要信息資源安全標(biāo)記、日志記錄和重要可執(zhí)行程序，防止被非授權(quán)篡改。

建議在網(wǎng)絡(luò)層建立合規(guī)的集中遠(yuǎn)程管理通道；使用密碼技術(shù)或產(chǎn)品對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；日志集中存儲(chǔ)的方式對(duì)日志進(jìn)行集中管理，并使用數(shù)字簽名技術(shù)或 HMAC 方式對(duì)日志進(jìn)行完整性保護(hù)。

3.2.4 應(yīng)用和數(shù)據(jù)

檢查確認(rèn)應(yīng)用系統(tǒng)的管理員和普通用戶的身份，防止假冒人員登錄；檢查對(duì)應(yīng)用系統(tǒng)的訪問控制策略、數(shù)據(jù)庫表訪問控制信息、重要信息資源安全標(biāo)記等是否進(jìn)行保護(hù)，防止被非授權(quán)篡改；檢查是否保護(hù)客戶端與服務(wù)器之間、應(yīng)用系統(tǒng)之間在非安全網(wǎng)絡(luò)信道中傳輸?shù)闹匾獢?shù)據(jù)，防止數(shù)據(jù)泄露；檢查是否保護(hù)存儲(chǔ)的重要數(shù)據(jù)，防止數(shù)據(jù)泄露、非授權(quán)篡改；檢查是否保護(hù)重要日志記錄，防止被非授權(quán)篡改；檢查是否保護(hù)可能涉及法律責(zé)任認(rèn)定的應(yīng)用系統(tǒng)中的數(shù)據(jù)發(fā)送和數(shù)據(jù)接收操作，確保發(fā)送方和接收方對(duì)已經(jīng)發(fā)生的操作行為無法否認(rèn)。

建議在業(yè)務(wù)生產(chǎn)區(qū)PC客戶端部署安全瀏覽器，在業(yè)務(wù)服務(wù)區(qū)部署符合 GM/T 0024—2014的SSL VPN安全網(wǎng)關(guān)，并向相關(guān)用戶配發(fā) USBKey，實(shí)現(xiàn)對(duì)PC客戶端登錄應(yīng)用用戶的安全身份鑒別，防止非授權(quán)人員登錄；應(yīng)用通過調(diào)用服務(wù)器密碼機(jī)，對(duì)PC端登錄用戶身份鑒別數(shù)據(jù)、系統(tǒng)中流轉(zhuǎn)的業(yè)務(wù)數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)機(jī)密性、完整性保護(hù)，實(shí)現(xiàn)身份鑒別數(shù)據(jù)、數(shù)據(jù)防竊取和防篡改保護(hù)；PC 端安全瀏覽器與 SSL VPN 安全網(wǎng)關(guān)之間使用合規(guī)的SSL 協(xié)議，建立安全的數(shù)據(jù)傳輸通道，實(shí)現(xiàn)數(shù)據(jù)傳輸機(jī)密性、完整性保護(hù)[5]。

3.2.5 密鑰管理

檢查密鑰生成、存儲(chǔ)、分發(fā)、導(dǎo)入、導(dǎo)出、使用、備份、恢復(fù)、歸檔、銷毀等全生命周期的安全性和正確性。

電力監(jiān)控系統(tǒng)密碼應(yīng)用方案建議包含完整的密鑰管理方案，明確采用的密鑰種類及管理環(huán)節(jié)，并設(shè)計(jì)安全的技術(shù)實(shí)現(xiàn)方式，密鑰管理方案的技術(shù)實(shí)現(xiàn)可由通過檢測(cè)認(rèn)證的商用密碼產(chǎn)品提供。

3.2.6 安全管理

檢查制度管理、人員管理、實(shí)施規(guī)劃、實(shí)施建設(shè)、實(shí)施運(yùn)行、應(yīng)急管理中法規(guī)和方案編制及執(zhí)行落實(shí)情況。

建議定期論證和審定密碼安全管理制度，明確相關(guān)管理制度發(fā)布流程；設(shè)置密鑰管理人員、安全審計(jì)人員、密碼操作人員等關(guān)鍵崗位；建立崗位責(zé)任制度，關(guān)鍵崗位多人共管制度；規(guī)劃階段制定密碼應(yīng)用方案，實(shí)施階段應(yīng)制定實(shí)施方案，選用被核準(zhǔn)的密碼產(chǎn)品或被許可的密碼服務(wù)，投入運(yùn)行前，應(yīng)經(jīng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全性評(píng)估，評(píng)估通過后方可投入正式運(yùn)行；制定應(yīng)急預(yù)案，做好應(yīng)急資源準(zhǔn)備；事件發(fā)生后應(yīng)及時(shí)向上級(jí)主管部門和同級(jí)的密碼主管部門進(jìn)行報(bào)告；事件處置完成后，應(yīng)及時(shí)向同級(jí)的密碼主管部門報(bào)告事件發(fā)生的情況及處置結(jié)果。

4 結(jié) 語

密碼保障業(yè)務(wù)安全、密碼評(píng)測(cè)保障密碼體系完善，二者有機(jī)協(xié)同，才能建立完善的網(wǎng)絡(luò)安全環(huán)境。密碼體系是網(wǎng)絡(luò)安全環(huán)境的基礎(chǔ)，密碼評(píng)測(cè)是密碼體系建設(shè)是否優(yōu)良重要的考量，密碼應(yīng)用與密碼評(píng)測(cè)工作同為網(wǎng)絡(luò)安全環(huán)境建設(shè)的重要部分，電力監(jiān)控系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估符合國(guó)家及相關(guān)主管部門的安全管控要求，使發(fā)電企業(yè)運(yùn)維部門對(duì)電力監(jiān)控系統(tǒng)的商用密碼應(yīng)用情況有了全面系統(tǒng)的認(rèn)識(shí)，根據(jù)密評(píng)得出的整改建議在縱向傳輸上不只需要發(fā)電企業(yè)進(jìn)行改造，同時(shí)也需要上級(jí)調(diào)度機(jī)構(gòu)的實(shí)施配合才能保證業(yè)務(wù)的正常的運(yùn)行；而在內(nèi)部橫向改造過程中，隨著當(dāng)前電力生產(chǎn)自動(dòng)化程度的提高，各類業(yè)務(wù)系統(tǒng)日益增多，需要發(fā)電企業(yè)對(duì)內(nèi)部系統(tǒng)進(jìn)行逐一完善，這是一個(gè)循序漸進(jìn)的過程，評(píng)估、檢測(cè)、建議、完善應(yīng)該形成長(zhǎng)期的良性循環(huán)，安全工作沒有終點(diǎn)只有起點(diǎn)，根據(jù)評(píng)估要求完成相關(guān)整改能保障整個(gè)電力監(jiān)控系統(tǒng)安全穩(wěn)定運(yùn)行和重要業(yè)務(wù)的數(shù)據(jù)安全。