01、引言
自2019年10月《密碼法》頒布以來,商用密碼應用安全性評估逐步引起各政府部門、各行業(yè)的重視。《密碼法》第二十七條明確要求:“關鍵信息基礎設施必須依法使用商用密碼進行保護并開展商用密碼應用安全性評估,要求關鍵信息基礎設施的運營者采購涉及商用密碼的網(wǎng)絡產(chǎn)品和服務,可能影響國家安全的,應當依法通過國家網(wǎng)信辦會同國家密碼管理局等有關部門組織的國家安全審查。”《信息安全等級保護商用密碼管理辦法》規(guī)定:“國家密碼管理局和省、自治區(qū)、直轄市密碼管理機構對第三級及以上信息系統(tǒng)使用商用密碼的情況進行檢查”。在國家密碼管理局印發(fā)的《信息安全等級保護商用密碼管理辦法實施意見》中規(guī)定“第三級及以上信息系統(tǒng)的商用密碼應用系統(tǒng),應當通過國家密碼管理部門指定測評機構的密碼測評后方可投入運行”。這些制度明確了信息安全等級保護第三級及以上信息系統(tǒng)的商用密碼應用和測評要求。此外,在新版《網(wǎng)絡安全等級保護條例》(征求意見稿)中明確要求在規(guī)劃、建設、運行階段開展密碼應用安全性評估。
目前,商用密碼應用安全性評估尚處于剛起步階段,評估的重點主要集中在政務信息系統(tǒng)、金融和醫(yī)療領域。但是隨著此項工作的逐步推進,工業(yè)控制系統(tǒng)也必將伴隨著等保2.0標準的貫徹實施,被納入到商用密碼應用安全性評估的范圍。
02、典型工業(yè)控制系統(tǒng)結構
最初工業(yè)控制系統(tǒng)是一個獨立的系統(tǒng),使用的是專用的控制協(xié)議以及特定的軟硬件。但是,隨著互聯(lián)網(wǎng)與工業(yè)控制系統(tǒng)的融合,工業(yè)控制系統(tǒng)普通采用互聯(lián)網(wǎng)解決方案來推動企業(yè)的互聯(lián)和遠程訪問能力。比較典型的工業(yè)控制系統(tǒng)結構如圖1所示。
圖1典型工業(yè)控制系統(tǒng)結構圖
03、商用密碼應用安全性評估
商用密碼應用安全性評估(簡稱“密評”)是指對采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)密碼應用的合規(guī)性、正確性、有效性進行評估。開展商用密碼應用安全性評估工作,是國家網(wǎng)絡安全和密碼相關法律法規(guī)提出的明確要求,是法定責任和義務。商用密碼應用安全性評估工作,不僅對規(guī)范密碼應用具有重大意義,同時對維護網(wǎng)絡和信息系統(tǒng)密碼安全,切實保障網(wǎng)絡安全,有效應對各類網(wǎng)絡安全風險,也具有不可替代的重要作用。
商用密碼應用安全性評估依據(jù)2021年3月發(fā)布的GB/T 39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》和2020年12月修訂的《信息系統(tǒng)密碼應用測評要求》進行實施。測評內容分為了兩個方面:通用測評要求和密碼應用測試要求。其中,在通用測評要求中,提出了符合商用密碼管理的相關規(guī)定,滿足標準規(guī)范的相關要求,包括密碼算法、密碼技術的合規(guī)性要求和密鑰管理的安全性要求;在密碼應用測評要求中,規(guī)定了密碼技術的應用要求和系統(tǒng)管理要求,要求項依據(jù)等級增加和增強,包括物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、管理制度、人員管理、建設運行、應急處置等8個方面,測評要求框架如圖2所示。
圖2信息系統(tǒng)密碼應用測評要求框架
04、工業(yè)控制信息系統(tǒng)中商用密碼應用幾點思考
商用密碼應用安全性測評的測評對象是信息系統(tǒng),目前針對政務信息系統(tǒng)方面的案例及測試方法已逐步完善。而相對于政務信息系統(tǒng)而言,工業(yè)控制系統(tǒng)具有實時性要求高、高可用性、通信協(xié)議眾多等特點,因此對于工業(yè)控制系統(tǒng)應采用的密碼應用方案和密碼測評方法均有別于政務信息系統(tǒng)。
下面分別從物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全四個技術層面,圍繞商用密碼應用安全性測評要求,介紹一下對工業(yè)控制系統(tǒng)在商用密碼應用方面的一些思考。
4.1物理和環(huán)境安全
工業(yè)控制系統(tǒng)往往由眾多的采集系統(tǒng)和控制系統(tǒng),以及后臺服務器、數(shù)據(jù)庫、工程師站等構成。而核心數(shù)據(jù)則主要存儲于工程師站、數(shù)據(jù)庫、服務器中。因此,對于物理和環(huán)境的安全,需要對重要工程師站、數(shù)據(jù)庫、服務器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。部署具有密碼模塊的電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng);通過服務器密碼機、加密存儲設備、視頻加密系統(tǒng)等實現(xiàn)音視頻數(shù)據(jù)完整性保護,如圖3所示。
圖3部署物理環(huán)境監(jiān)控系統(tǒng)
4.2網(wǎng)絡和通信安全
(1)身份鑒別
工業(yè)控制系統(tǒng)與政務信息系統(tǒng)相同,也是通過網(wǎng)絡技術來實現(xiàn)與外界的互聯(lián)互通,在通信建立前或者某外部設備接入到內部網(wǎng)絡時,可根據(jù)工業(yè)控制系統(tǒng)的安全等級要求,考慮采用基于密碼雜湊算法的消息鑒別碼機制,或基于公鑰密碼算法的數(shù)字簽名機制進行單向或雙向身份鑒別,并將證書信息存儲于安全介質中,對證書的申請、發(fā)放、使用、吊銷等過程通過技術手段嚴格控制,并建立相關制度保障。
(2)通信數(shù)據(jù)的機密性和完整性
由企業(yè)網(wǎng)和互聯(lián)網(wǎng)傳輸?shù)臄?shù)據(jù),盡可能避免使用HTTP、FTP、Telnet等高風險通用網(wǎng)絡服務,建議使用國密算法改造的HTTPS協(xié)議或者通過商密IPSec/SSL VPN實現(xiàn)網(wǎng)絡邏輯邊界的管控,構建內部網(wǎng)絡的企業(yè)網(wǎng)。對于工業(yè)控制系統(tǒng)中使用的專用協(xié)議,則可在不影響系統(tǒng)實時性和高可用性的前提下,采用密碼技術對通信過程中的數(shù)據(jù)進行完整性和機密性保護。因考慮到工業(yè)控制系統(tǒng)實時性要求,所以不需要對所有數(shù)據(jù)均采用機密性保護。只需要對關鍵的敏感信息或通信報文進行機密性保護。
(3)網(wǎng)絡邊界訪問控制信息的完整性
工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間互聯(lián)互通,為工業(yè)控制系統(tǒng)帶來巨大創(chuàng)造力和生產(chǎn)力的同時,也會引入更加復雜、嚴峻的安全問題。一是深度網(wǎng)絡化和多層面互聯(lián)互通增加了攻擊路徑;二是傳統(tǒng)IT產(chǎn)品的引入帶來了更多安全漏洞;三是新興信息技術在工業(yè)控制領域的防護體系尚不成熟。
因此,需要在不同網(wǎng)絡邊界之間,部署邊界安全防護設備實現(xiàn)安全訪問控制,阻斷非法網(wǎng)絡訪問,嚴格禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。與此同時,為了保證訪問控制信息不被惡意篡改,需要采用對稱算法或MAC機制、數(shù)字簽名機制等密碼技術對訪問控制信息進行完整性保護。
4.3設備和計算安全
(1)身份鑒別
面對工業(yè)控制主機和系統(tǒng)的登錄、訪問過程中常見身份冒用,越權訪問等安全風險,給工業(yè)控制生產(chǎn)活動帶來安全隱患。通過采取身份鑒別、角色判定、權限分配等安全措施實現(xiàn)工業(yè)主機登錄、應用服務資源訪問、工業(yè)云平臺訪問等過程的統(tǒng)一身份認證管理。
對于關鍵設備、系統(tǒng)和平臺應采取動態(tài)口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼(MAC)機制、基于公鑰密碼算法的數(shù)字簽名機制等密碼技術對設備操作人員等登錄設備的用戶進行身份鑒別,如采用合規(guī)的智能密碼密鑰。
對于無法使用密碼技術進行身份鑒別的工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等的登錄賬戶及密碼,要及時更新,密碼要以多位數(shù)含數(shù)字、字母、特殊符號的組合方式提高密碼強度,建議采用驗證碼機制,提高被暴力破解的難度。避免使用默認密碼、易猜測密碼、空口令,甚至明文張貼密碼的現(xiàn)象發(fā)生。
(2)遠程管理通道安全
遠程訪問工業(yè)控制系統(tǒng)網(wǎng)絡,意味著為黑客開辟了一條攻擊工業(yè)控制網(wǎng)絡的通路,存在極大隱患。但在確需遠程訪問的情況下,需要采用商密IPSec/SSL VPN等遠程接入方式連接,相當于在公用網(wǎng)絡上為用戶建立了一條專用通道,這條專用通道需要采用數(shù)字簽名的方式進行身份鑒別,通道上的所有通訊數(shù)據(jù)需要采用加密算法和雜湊算法保護其機密性和完整性。
(3)設備中重要信息的完整性
設備中重要信息的完整性涉及到系統(tǒng)資源訪問控制信息完整性、重要信息資源安全標記完整性、日志記錄完整性和重要可執(zhí)行程序完整性。這些方面的安全保障需要由設備廠商(如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡及安全設備、密碼設備、各類虛擬設備等)提供相應的服務支持,此處不做詳細分析。
4.4應用和數(shù)據(jù)安全
(1)身份鑒別
與設備和計算安全層面的身份鑒別方式相同,應采取動態(tài)口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼(MAC)機制、基于公鑰密碼算法的數(shù)字簽名機制等密碼技術對設備操作人員等登錄設備的用戶進行身份鑒別。
(2)數(shù)據(jù)安全
這里所說的數(shù)據(jù)安全包括數(shù)據(jù)的存儲安全和傳輸安全兩個方面,涉及到了數(shù)據(jù)創(chuàng)建、使用、分發(fā)、共享、銷毀的整個生命周期。對重要數(shù)據(jù)如工藝文件、設備參數(shù)、系統(tǒng)管理數(shù)據(jù)、現(xiàn)場實時數(shù)據(jù)、控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)、監(jiān)控數(shù)據(jù)、測試數(shù)據(jù)等應采用加密技術、安全存儲介質等進行保護。
另外,為了保證系統(tǒng)在災難發(fā)生時,數(shù)據(jù)能夠盡量還原真實數(shù)據(jù),應對歷史數(shù)據(jù)庫服務器、實時數(shù)據(jù)服務器、先進控制系統(tǒng)、優(yōu)化控制系統(tǒng)等重要系統(tǒng)設備進行硬件冗余,啟用實時數(shù)據(jù)備份功能,保證當主設備出現(xiàn)故障時冗余設備可以無擾動的切換并恢復數(shù)據(jù),對于關鍵的業(yè)務數(shù)據(jù),應定期進行軟備份。
(3)信息系統(tǒng)中重要信息的完整性
商用密碼應用安全性測評中的重要信息完整性涉及到訪問控制信息完整性和重要信息資源安全標記完整性。工業(yè)控制系統(tǒng)應在系統(tǒng)設計時,從業(yè)務應用的角度實現(xiàn)對系統(tǒng)訪問控制策略、數(shù)據(jù)庫表訪問控制信息和重要信息資源敏感標記等進行完整性保護。