信息化觀察網(wǎng)

在現(xiàn)今大力提倡“新基建”、“中國制造2025”、“工業(yè)4.0”的大背景下，工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智能制造、人工智能等新技術(shù)、新業(yè)態(tài)迅猛發(fā)展，以往相對封閉的工業(yè)控制系統(tǒng)也逐漸采用通用的通信協(xié)議、硬軟件系統(tǒng)，信息技術(shù)（IT）與工業(yè)控制系統(tǒng)（ICS）的融合不斷深入，越來越多的工業(yè)控制系統(tǒng)暴露于互聯(lián)網(wǎng)上，導(dǎo)致工控系統(tǒng)面臨的信息安全威脅日益加重。

近年來，工業(yè)領(lǐng)域重大信息安全事故不斷曝出，如何保障工控系統(tǒng)的信息安全成為當(dāng)前國家關(guān)注的重點。密碼技術(shù)作為信息安全的核心基礎(chǔ)，能夠為工業(yè)控制系統(tǒng)中的重要數(shù)據(jù)提供機密性、完整性、真實性和不可否認(rèn)性保護(hù)，是保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟的關(guān)鍵核心技術(shù)。

工業(yè)控制系統(tǒng)

密碼應(yīng)用體系化解決方案

一、工控系統(tǒng)典型業(yè)務(wù)架構(gòu)

典型的工業(yè)控制系統(tǒng)分為五層，如下圖所示：

圖1工控系統(tǒng)典型業(yè)務(wù)架構(gòu)圖

第一層為現(xiàn)場執(zhí)行層，主要包含的內(nèi)容為傳感器和制動器，分為各類的儀器儀表，如溫度傳感器、壓力傳感器、繼電器、電機、馬達(dá)、指示燈等等。

第二層為現(xiàn)場控制層，主要包含保護(hù)和現(xiàn)場控制設(shè)備，分為各類的工業(yè)控制器，如RTU（遠(yuǎn)程終端設(shè)備）、DCS（分散控制系統(tǒng)）、PLC（可編程控制器）、PCS（過程控制系統(tǒng)）等等，實現(xiàn)的是對現(xiàn)場層的控制的邏輯運算、算術(shù)運算、定位控制、計時/計數(shù)等運算。

第三層為生產(chǎn)控制層或叫做生產(chǎn)監(jiān)控層，主要包含以上位機為主體的工程師站、操作員站、數(shù)據(jù)庫服務(wù)器等等在內(nèi)，實現(xiàn)對現(xiàn)場執(zhí)行層的監(jiān)控功能、現(xiàn)場檢測、現(xiàn)場顯示等，是工控計算監(jiān)控系統(tǒng)的核心部分。

第四層為經(jīng)營管理層，主要包含與生產(chǎn)有關(guān)的各類數(shù)據(jù)庫服務(wù)器系統(tǒng)，如實施服務(wù)器，歷史服務(wù)器等等，完成對本系統(tǒng)的系統(tǒng)管理與監(jiān)視控制等系列工作。

第五層為戰(zhàn)略決策層，主要包含以企業(yè)IT系統(tǒng)為主的OA辦公自動化系統(tǒng)、Web服務(wù)器、Email服務(wù)器、MES、PLM等。

二、工控系統(tǒng)密碼應(yīng)用需求

針對工業(yè)控制系統(tǒng)典型業(yè)務(wù)應(yīng)用實際需要，結(jié)合現(xiàn)有密碼應(yīng)用標(biāo)準(zhǔn)情況，需要深入分析工業(yè)控制系統(tǒng)各業(yè)務(wù)場景的密碼應(yīng)用特點，切實梳理通用密碼應(yīng)用場景以及現(xiàn)場執(zhí)行層、控制層、監(jiān)控層、信息層（經(jīng)營管理層）、應(yīng)用層(戰(zhàn)略決策層)等的密碼應(yīng)用場景，明確不同場景下的密碼應(yīng)用需求，研究各層級安全防護(hù)中密碼應(yīng)用在機密性、完整性、真實性和不可否認(rèn)性保護(hù)方面的關(guān)鍵技術(shù)，提出工控系統(tǒng)密碼應(yīng)用基本框架，構(gòu)建工業(yè)控制系統(tǒng)密碼應(yīng)用技術(shù)體系，使密碼系統(tǒng)的建設(shè)和使用更加具有針對性和操作性，促進(jìn)國產(chǎn)密碼在工控領(lǐng)域的全面推廣。

根據(jù)等級保護(hù)對信息安全的要求，工業(yè)控制系統(tǒng)密碼應(yīng)用需求主要體現(xiàn)在以下幾個方面：

1、密碼管理和服務(wù)需求

工控系統(tǒng)密碼管理需求涉及密碼設(shè)備、密鑰管理、密碼使用等方面的需求。工控系統(tǒng)中密碼服務(wù)需要保證密碼使用的合規(guī)性、有效性和正確性。

2、物理和環(huán)境安全需求

工控系統(tǒng)所在區(qū)域需建立完善的物理環(huán)境安全機制，優(yōu)化物理環(huán)境下的操作管理，以保證數(shù)據(jù)的可用性、保密性和完整性，規(guī)范設(shè)備所處物理環(huán)境的安全性，防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。需要對工業(yè)控制系統(tǒng)所在區(qū)域采取區(qū)域劃分、物理隔離、訪問控制、視頻監(jiān)控、專人值守等安全防護(hù)措施。

3、網(wǎng)絡(luò)和通信安全需求

工控系統(tǒng)網(wǎng)絡(luò)和通信安全主要實現(xiàn)對信息系統(tǒng)與經(jīng)由外部網(wǎng)絡(luò)連接的實體進(jìn)行網(wǎng)絡(luò)通信時的安全防護(hù)，密碼應(yīng)用需求主要涉及：在通信前采用密碼技術(shù)進(jìn)行網(wǎng)絡(luò)實體身份鑒別，保證網(wǎng)絡(luò)實體身份的真實性；通信過程中采用密碼技術(shù)保障通信報文的完整性、機密性；采用密碼技術(shù)確保網(wǎng)絡(luò)邊界訪問控制信息的完整性及接入設(shè)備身份的真實性。

4、設(shè)備和計算安全需求

工控系統(tǒng)設(shè)備和計算安全主要實現(xiàn)對工控系統(tǒng)中各類設(shè)備和計算環(huán)境的安全防護(hù)，密碼應(yīng)用需求涉及設(shè)備準(zhǔn)入控制、設(shè)備訪問控制、對設(shè)備的實體身份鑒別、登錄設(shè)備用戶的身份鑒別、遠(yuǎn)程管理通道的建立、可信計算環(huán)境的建立、重要可執(zhí)行程序來源的真實性等。

5、應(yīng)用和數(shù)據(jù)安全需求

工控系統(tǒng)應(yīng)用和數(shù)據(jù)安全主要實現(xiàn)對系統(tǒng)中敏感信息資源及運行中產(chǎn)生的應(yīng)用數(shù)據(jù)的安全防護(hù)。對工業(yè)應(yīng)用程序而言，最大的風(fēng)險來自安全漏洞。應(yīng)用安全需求包括應(yīng)用程序的用戶身份鑒別、訪問控制、合格性檢驗、應(yīng)用管控、應(yīng)用來源保證、安全審計等。工控系統(tǒng)數(shù)據(jù)安全覆蓋數(shù)據(jù)采集、傳輸、存儲、處理等在內(nèi)的全生命周期的各個環(huán)節(jié)。

三、工控系統(tǒng)密碼應(yīng)用體系化解決方案

從技術(shù)層面構(gòu)建工控領(lǐng)域行業(yè)密碼保障體系，實現(xiàn)工控行業(yè)信息系統(tǒng)的安全防護(hù)，綜合保障工控行業(yè)業(yè)務(wù)應(yīng)用的安全。從密碼基礎(chǔ)設(shè)備支撐、密碼基礎(chǔ)服務(wù)支撐、監(jiān)控預(yù)警、工控業(yè)務(wù)系統(tǒng)密碼應(yīng)用、區(qū)域邊界密碼應(yīng)用、網(wǎng)絡(luò)通信密碼應(yīng)用、終端設(shè)備密碼應(yīng)用、密碼應(yīng)用仿真驗證平臺等幾個層面組成工控行業(yè)密碼應(yīng)用的總體框架。其總體架構(gòu)如下圖所示。

圖2工業(yè)控制系統(tǒng)密碼應(yīng)用體系化方案總體架構(gòu)圖

密碼基礎(chǔ)設(shè)備支撐包括服務(wù)器密碼機、PLC密碼模塊、工業(yè)主機密碼卡、安全網(wǎng)關(guān)，對工控行業(yè)密碼應(yīng)用提供基礎(chǔ)的設(shè)備支撐環(huán)境。

密碼基礎(chǔ)服務(wù)支撐是指在密碼基礎(chǔ)設(shè)備支撐的基礎(chǔ)上，提供統(tǒng)一認(rèn)證、授權(quán)管理、訪問控制、單點登錄等信任服務(wù)，包括數(shù)據(jù)加解密服務(wù)系統(tǒng)、身份認(rèn)證系統(tǒng)、數(shù)據(jù)可信服務(wù)系統(tǒng)、密鑰管理系統(tǒng)、PLC密碼模塊中間件、工業(yè)主機密碼卡中間件、安全SCADA密碼應(yīng)用服務(wù)系統(tǒng)。

監(jiān)控預(yù)警態(tài)勢感知平臺能夠?qū)崟r采集分析加密裝置、解密裝置、網(wǎng)絡(luò)設(shè)備、主機設(shè)備、安防設(shè)備等的安全與設(shè)備信息。通過大數(shù)據(jù)建模分析與核心知識庫，進(jìn)行風(fēng)險評估、態(tài)勢感知，預(yù)測預(yù)防相關(guān)設(shè)備潛在風(fēng)險的發(fā)生。

工控業(yè)務(wù)系統(tǒng)密碼應(yīng)用主要包括用戶或設(shè)備訪問業(yè)務(wù)應(yīng)用時的身份認(rèn)證、授權(quán)管理、數(shù)據(jù)存儲安全、數(shù)據(jù)共享安全等；安全SCADA系統(tǒng)可實現(xiàn)基于國產(chǎn)密碼的安全通信、靜態(tài)可信鏈、動態(tài)度量等功能。密碼應(yīng)用基礎(chǔ)支撐平臺可實現(xiàn)對系統(tǒng)中密碼設(shè)備管理、密鑰管理、證書管理、身份認(rèn)證、數(shù)據(jù)加解密、數(shù)據(jù)可信服務(wù)等功能，同時為業(yè)務(wù)系統(tǒng)應(yīng)用提供基礎(chǔ)密碼支撐服務(wù)。

工控區(qū)域邊界密碼應(yīng)用用于實現(xiàn)邊界的隔離、身份識別，其密碼應(yīng)用主要表現(xiàn)在訪問者身份可信、訪問權(quán)限的合法、以及保障資源節(jié)點可信等幾個方面。

工控網(wǎng)絡(luò)通信密碼應(yīng)用指在遠(yuǎn)程傳輸過程中，保障數(shù)據(jù)在傳輸過程中的機密性、完整性。

工控終端設(shè)備密碼應(yīng)用主要是指控制設(shè)備、管理設(shè)備以及各類無線采集設(shè)備等?；趦?nèi)嵌的各類密碼模塊及密碼中間件，能夠為各類工控終端設(shè)備提供安全的密碼應(yīng)用基礎(chǔ)和環(huán)境，實現(xiàn)國產(chǎn)密碼在終端設(shè)備中的應(yīng)用。

工控密碼應(yīng)用仿真驗證平臺能夠為系統(tǒng)中各類密碼產(chǎn)品和系統(tǒng)提供有效性和可靠性驗證，針對工控系統(tǒng)的各類場景，通過完善的測試和驗證，保證系統(tǒng)的可靠、安全運行。

四、工控系統(tǒng)密碼應(yīng)用解決方案優(yōu)勢

通過密碼基礎(chǔ)支撐設(shè)備、密碼基礎(chǔ)服務(wù)支撐平臺與監(jiān)控預(yù)警態(tài)勢感知平臺從密碼服務(wù)、密碼產(chǎn)品、密碼應(yīng)用和密碼監(jiān)管等方面提升工控系統(tǒng)的安全能力。

在控制層網(wǎng)絡(luò)中，通過部署安全網(wǎng)關(guān)產(chǎn)品，實現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的機密性、完整性保護(hù)，安全網(wǎng)關(guān)產(chǎn)品能夠支持Modbus RTU、Modubus TCP、RS485、RS232等工控網(wǎng)絡(luò)通信協(xié)議。

工控業(yè)務(wù)系統(tǒng)應(yīng)用通過調(diào)用密碼服務(wù)接口方式實現(xiàn)身份認(rèn)證、訪問控制、數(shù)據(jù)加解密等安全功能。安全SCADA系統(tǒng)通過調(diào)用各類密碼中間件方式實現(xiàn)對設(shè)備的認(rèn)證和通信鏈路的安全防護(hù)功能。

密碼應(yīng)用基礎(chǔ)支撐平臺包含身份認(rèn)證系統(tǒng)、數(shù)據(jù)加解密服務(wù)系統(tǒng)和數(shù)據(jù)可信服務(wù)系統(tǒng)，以密碼服務(wù)接口方式對業(yè)務(wù)系統(tǒng)提供密鑰管理、簽名驗簽、加密解密、數(shù)字信封、摘要運算、證書管理等密碼服務(wù)。

密碼作為國家重要戰(zhàn)略資源，是網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐、是構(gòu)建網(wǎng)絡(luò)信任體系的重要基石。密碼直接關(guān)系國家政治安全、經(jīng)濟安全、國防安全、網(wǎng)絡(luò)安全，直接關(guān)系公民的合法權(quán)益，在網(wǎng)絡(luò)空間中發(fā)揮著不可替代的作用。

工業(yè)控制系統(tǒng)涉及國家重要關(guān)鍵基礎(chǔ)設(shè)施，面臨著錯綜復(fù)雜的安全威脅，亟需構(gòu)建以國產(chǎn)密碼為基石的密碼應(yīng)用體系，以數(shù)據(jù)安全為核心目標(biāo)，提升自主可控和安全防護(hù)能力，有效保證工控系統(tǒng)和基礎(chǔ)設(shè)施的穩(wěn)定、可靠、安全運行，為實現(xiàn)工控領(lǐng)域數(shù)據(jù)“可管、可控、可信”的目標(biāo)奠定堅實基礎(chǔ)。

【參考資料】

[1].《網(wǎng)絡(luò)空間研究》（2017年2月15日，第1期），工業(yè)和信息化部賽迪研究院,2017年.

[2].《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)（版本2.0）》，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，2019年.