工业控制系统商用密码应用研究分析

周睿康，黄晶晶，李钰嘉，刘硕

（中国电子技术标准化研究院，北京 100007）

0 引言

当前，新一代信息技术被广泛应用于工业领域，全球制造业发展逐步转向数字化、网络化和智能化。在此背景下，复杂多元的网络环境使工业控制系统面临着迥异以往的严峻挑战。本文系统分析了工业领域重点行业工控系统密码应用情况和存在的问题，结合国家政策标准要求，从设备安全、主机安全、网络边界安全、软件安全、数据安全等方面明确了商用密码的应用要点，并提出了密码应用有效性检验方法。

1 工控领域商用密码应用加速启动

在工业自动化发展的历史进程中，实时性、可靠性一直是工业控制系统设计研发和集成应用的重中之重。但对于身份认证、数据加密、信息完整性度量等基于密码技术的安全措施，工业控制系统往往鲜有涉及。研究显示[1]，2010年伊朗核设施遭震网病毒攻击、2016年乌克兰电力系统运行中断，以及2019年挪威铝业感染勒索病毒等重大工控安全事件的主要原因均为涉事企业工业控制系统未采取安全认证、加密和度量等必要安全防护策略。密码应用已成为企业工控安全技术防护体系建设的短板。

1.1 美国启动工控领域密码应用

2020年，全球工控安全的整体形势依然十分严峻。据德勤公司2020年保护关键信息基础设施调查报告显示，新式勒索病毒（NotPetya）在全球肆虐，已造成超过10亿美元的经济损失。为应对工控安全威胁，2020年1月美国防部发布网络安全成熟度模型认证（CMMC）文件，指导关键信息基础设施运营者利用密码技术开展身份鉴别、安全认证和数据加密，强化工控安全防护能力。美国国家标准与技术研究院（NIST）依托信息技术实验室（ITL），一方面开发了《智能电网网络安全框架概要》等关键信息基础设施安全解决方案；另一方面，支撑美商务部研发了密码应用系列标准（FIPS 140），加强关键信息基础设施领域的密码保障。

2021年5月，美东部输油管道公司遭遇勒索病毒攻击，企业油料运输管网停摆，美国东部海岸地区油料缺口达到45%，影响了近5000万美国人[2]。随即，美国宣布进入国家紧急状态。6月，NIST发布《控制系统网络安全实践指引》，从战略、政策、标准等方面，为美国工业企业提供了加固工业控制系统安全防护的指导手册，并遵循网络安全风险评估、风险管理、风险消减的原则提供了相应作业指导文件。目前，美国国家标准《工业控制系统安全指南》（SP 800-82）正在进行相应的更新，计划2021年底前完成相关修订工作正式发布。美国能源、交通等关键领域工控安全防护和密码应用体系初步形成。

1.2 我国工控密码应用步伐加快

我国高度重视工控安全和密码应用工作。近年来，中央办公厅、国务院办公厅陆续印发了《关于加强重要领域国产密码应用的指导意见》《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》等重要文件，提出运用商用密码手段加强重要工业控制系统安全防护，提升工业领域网络安全综合保障能力。2019年《中华人民共和国密码法》正式发布实施，明确了使用商用密码对关键信息基础设施进行保护的有关要求。2021年《关键信息基础设施安全保护条例》正式印发，明确要求密码管理等部门依法开展关键信息基础设施网络安全检查工作。

国家相关主管部门积极推动政策法规落地，工业和信息化部制定并发布《工业控制系统信息安全防护指南》等政策文件，加快推动产业链上下游开展联合攻关和适配应用，积极组织骨干企业研发应用商用密码的工控产品，提升工业控制系统本质安全能力，探索工业领域密码应用方案和推广路径。全国信息安全标准化技术委员会（SAC TC 260）积极组织开展工控安全国家标准体系建设，从安全分级、安全要求、安全实施、安全测评等方面建立了工控安全标准体系框架[3]（如图1所示），正式发布国家标准23项，报批稿2项，送审稿1项，征求意见稿1项。其中，《信息安全技术 工业控制系统安全控制应用指南》（GB/T 32919-2016）《工业控制系统风险评估实施指南》（GB/T 36466-2018）等国家标准，对身份鉴别、接入认证、边界防护等提出了明确技术要求，推动密码应用与工业控制系统融合应用。

图1 工控安全标准体系

2 工控商用密码应用亟待向纵深发力

2021年3月，工业和信息化部和国家密码管理局指导建立了工业和信息化部商用密码应用产业促进联盟，涵盖了石化、汽车、轨道交通、船舶、冶金等重点领域的头部企业。通过对联盟成员调研，发现虽然目前工控领域商用密码应用工作扎实推进，但企业在信息加密传输、数据加密存储、设备身份认证等方面仍存在密码应用实际需要，密码应用的意识、能力和投入力度等与安全防护需求仍存在一定差距，亟需拓展工控领域商用密码应用的技术深度。

第一，政策标准供给缺乏。为落实《中华人民共和国密码法》要求，全国信息安全标准化技术委员会和全国密码行业标准化技术委员会积极组织力量，研制了一系列密码技术国家标准、行业标准，但工控领域的密码应用规范尚存空缺。在涉及关键信息基础设施的重要工业应用场景中，缺少相应政策标准指导企业开展同步规划、同步建设和同步运行。特别是针对工业控制系统可靠性、实时性、可用性要求，缺乏更具针对性研究，工业控制系统与商用密码应用在工艺、业务的全面融合上缺乏标准指导。

第二，技术攻关能力薄弱。工业控制系统的密码应用与计算、存储、通信等资源开销紧密相关，在开发和改造过程中，由于工业控制系统算力有限、架构复杂、协议多样，业务实时性、稳定性很难得到保证。支持国产商用密码、具备安全可信功能的可编程逻辑控制器（PLC）、分布式控制系统（DCS）等工业控制产品目前尚处攻关试用阶段，成熟的技术产品供给能力有待进一步完善，产品与服务的大规模产业化应用亟待进一步加强。

第三，密码应用路径不明。目前，工业控制领域商用密码的应用开发和技术改造仍处于政策驱动阶段，工业自动化厂商出于研发成本和技术能力限制，主动使用商用密码解决网络安全问题的意愿不强。此外，产业化应用规模受限，导致企业研发成本难以拉低，产品价格与传动工业自动化设备相比没有市场竞争优势。密码应用供需两侧的对接、合作、交流平台存在空缺，密码应用的行业实施路径尚不清晰，成熟可用、成本可控的应用示范案例有待开发。

3 工控与商用密码融合应用的路径

为了促使上述问题更好的解决，推动商用密码在工业控制领域进行融合应用，以密码促进工业控制系统安全防护能力提升，本文根据《工业控制系统信息安全防护指南》的11项防护要点，结合《信息安全技术 工业控制系统安全控制应用指南》（GB/T 32919-2016）[4]《信息安全技术 工业控制系统信息安全防护能力成熟度》（报批稿）等国家标准规范，研究提出了工控领域商用密码融合应用方向。

3.1 工控商用密码应用的结合点

根据IEC 62443系列标准，典型工控安全防护体系架构贯穿工业企业的各网络层级[5]。安全防护要点包括设备安全、主机安全、网络边界安全、软件安全、数据安全等，商用密码的应用应与上述工控安全防护的要点深入结合，形成统一的解决方案。

（1）工业设备安全。在工业设备安全防护工作中，控制设备安全、现场测控设备安全与存储媒体保护等3个方面可以与密码应用相结合。一是控制设备和现场测控设备在使用身份鉴别、访问控制策略的基础上，还应通过内置安全嵌入功能，实现控制系统基于商密的安全可信。二是存储媒体可采用基于公钥密码理论的PKI安全架构，完成接入认证和媒介管理，确保接入外设的安全性、可控性。

（2）工业网络边界防护。工业网络边界防护是保障企业生产网络安全性的重要基础，包含了网络边界防护、远程访问安全、身份认证等主要手段，是商用密码与工业控制系统结合的要点。一是网络边界防护，在生产网与办公网之间直接接入安全防护设备实现网络边界防护的基础上，可在边界防护设备上基于密码加入相应校验策略，开展接入设备可信校验。二是远程访问安全方面，可以利用商用密码技术来保护远程访问会话的机密性和完整性，防止信息在网络传输过程中被窃听和篡改。三是身份认证机制方面，应在工业主机登录、应用服务资源访问、工业云平台访问等过程中，使用口令加密、数字证书、生物指纹等身份认证管理技术，强化网络边界的安全防护。

（3）工业控制软件安全。控制软件安全主要包括安全配置、配置变更、账户管理、口令保护和安全审计等，其中账户管理、口令保护和安全审计是密码应用的重要切入点。一是账户管理方面，利用商用密码签名时间戳功能，可实现工业控制系统管理账户的接入时间审核。二是口令保护方面，采用商用密码进行用户口令的加密存储、传输，才能确保用户敏感信息的保密性要求。三是安全审计方面，审计日志的存储、灾备以及传输，必须利用密码功能完成完整性校验、加密保护和签名验签，确保审计日志的完整性、可靠性、抗抵赖性。

（4）工业数据安全。数据安全主要分为数据的分类分级管理、差异化防护、数据的备份与恢复，以及测试数据的保护等。一是分类分级管理方面，商密应用可以解决重要数据的完整性校验和加密存放，还可以通过签名机制形成数字标识。二是差异化防护中，对动态传输的重要工业数据要进行加密传输，或使用VPN等方式进行保护；对静态存储的重要工业数据进行加密存储或隔离保护，确保静态存储的工业数据不被非法访问、删除、修改。三是建立备份数据存储安全防护机制，采用数据加密、访问控制等手段，确保备份数据安全。

3.2 工控密码应用有效性检验方法

在实验环境下，构建支持国产商用密码的典型工业控制系统仿真测试环境，可对商用密码应用有效性进行检测评估。如表1所示，通过密码应用协议检测、商密算法功能检测、敏感信息管理能力检测、密钥管理能力检测、身份认证检测、数据传输机密性和完整性检测等方法，能够对工业设备安全、工业网络边界安全、工业控制软件安全、工业数据安全等提出的商用密码应用有效性进行验证。

表1 商密应用有效性检验方法

如图2～4所示，本文利用数据机密性校验工具、密码设备接口测试工具、协议抓包分析工具，对工控商用密码应用有效性进行了检测，证明了应用路径与核验方法的可行性和可操作性。

图2 数据机密性校验工具

图3 密码设备接口测试工具

图4 协议抓包分析工具

4 结语

本文根据当前工控领域商用密码研究现状和存在问题，结合工控安全相应国家政策和标准，从工业设备安全、工业网络边界安全、工业控制软件安全、工业数据安全等方面提出了工控领域密码应用的路径，并通过密码应用协议检测、商密算法功能检测、敏感信息管理能力检测、密钥管理能力检测、身份认证检测、数据传输机密性和完整性检测等方法，检验了路径有效性，为工控系统与商用密码的融合应用提供了参考借鉴。