趙一凡 黃力冶

浙江省電檢院大力推進商用密碼在工業(yè)領(lǐng)域的應用，為工業(yè)領(lǐng)域企業(yè)提供優(yōu)質(zhì)可靠的建設(shè)咨詢、測評指導服務(wù)，全面夯實全省乃至全國關(guān)鍵信息基礎(chǔ)設(shè)施的密碼底座

商用密碼應用安全性評估，具體是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應用的合規(guī)性、正確性、有效性進行評估。密碼是國之重器，是保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，在網(wǎng)絡(luò)安全防護中具有不可替代的重要作用。2019年《中華人民共和國密碼法》（以下簡稱《密碼法》）的出臺，使商用密碼的管理和使用在法律條件上有了較大的改變，對提升工業(yè)控制系統(tǒng)及大量使用開源技術(shù)涉及建設(shè)的工業(yè)互聯(lián)網(wǎng)平臺的本質(zhì)安全具有重大的意義?！睹艽a法》頒布后，國家發(fā)展改革委、國家密碼管理局、工業(yè)和信息化部等國家有關(guān)部門啟動實施了多個密碼應用專項，有效推動了商用密碼在工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)平臺等應用。

夯實基礎(chǔ)，做好業(yè)務(wù)支撐工作

浙江省電子信息產(chǎn)品檢驗研究院（以下簡稱“省電檢院”）是浙江省經(jīng)濟和信息化廳（以下簡稱“省經(jīng)信廳”）下屬的事業(yè)單位，下設(shè)信息安全測評中心專業(yè)從事信息安全領(lǐng)域相關(guān)第三方測評工作，包括關(guān)鍵信息基礎(chǔ)設(shè)施檢查、信息系統(tǒng)網(wǎng)絡(luò)安全等級保護測評、重要信息系統(tǒng)驗收測評、工控系統(tǒng)和工業(yè)互聯(lián)網(wǎng)安全風險評估等工作。具有國家信息系統(tǒng)安全評測工程師、等級保護測評師，國家注冊信息安全工程師（CISP），工業(yè)互聯(lián)網(wǎng)安全評估師（CIISA）、網(wǎng)絡(luò)工程師（CCNP）等各類認證技術(shù)人員。

在省經(jīng)信廳的指導下，省電檢院組織開展多項工業(yè)控制領(lǐng)域相關(guān)工作。一是實施完成工信部2019工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程——省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，構(gòu)建“省級—市級—縣級—企業(yè)級”四級聯(lián)動機制，實現(xiàn)國家級、省級、企業(yè)級安全態(tài)勢的聯(lián)動、共享和應急響應；二是自2017年起，連續(xù)六年面向全省開展工控安全大檢查，每年檢查企業(yè)超500家，覆蓋11個地市，全面提升了工業(yè)互聯(lián)網(wǎng)平臺、重點工業(yè)企業(yè)的安全防護能力；三是組織開展工信部工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點工作，組織14家試點企業(yè)完成重要數(shù)據(jù)核心數(shù)據(jù)目錄梳理，指導開展數(shù)據(jù)安全防護方案制定和評估。在支撐工作中，積累了豐富的網(wǎng)絡(luò)信息安全評測方面經(jīng)驗。

率先布局，做好“密評”文章

2021年，省電檢院獲得密評試點機構(gòu)資格。同年8月，浙江省密碼管理局（下簡稱“省密碼管理局”）“2021年度商用密碼應用安全性評估項目啟動會議”在省電檢院召開。以此為契機，省電檢院圍繞提升關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護能力，緊扣工業(yè)控制系統(tǒng)的特殊場景，積極開展密碼安全保障體系研究。

工業(yè)控制系統(tǒng)（ICS）包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、集散控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）等，工控領(lǐng)域從上到下可分為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層5個層級，不同層級的實時性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元，用于為企業(yè)決策層員工提供決策運行手段；生產(chǎn)管理層主要包括MES系統(tǒng)功能單元，用于對生產(chǎn)過程進行管理，如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等；過程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI 系統(tǒng)功能單元，用于對生產(chǎn)過程數(shù)據(jù)進行采集與監(jiān)控，并利用HMI系統(tǒng)實現(xiàn)人機交互；現(xiàn)場控制層主要包括各類控制器單元，如PLC、DCS控制單元等，用于對各執(zhí)行設(shè)備進行控制；現(xiàn)場設(shè)備層主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元，用于對生產(chǎn)過程進行感知與操作。

典型的工業(yè)控制系統(tǒng)商用密碼改造內(nèi)容包括五方面的內(nèi)容，具體圖1所示。

密鑰管理安全設(shè)計。面向工業(yè)控制系統(tǒng)密鑰管理體系主要指工業(yè)控制信息系統(tǒng)應用層密鑰管理。該體系需結(jié)合目標系統(tǒng)的密碼服務(wù)支撐（密碼設(shè)備）、工業(yè)現(xiàn)場設(shè)備密碼嵌入式模塊等部署情況，構(gòu)建滿足工業(yè)控制系統(tǒng)密鑰體系，并提供密鑰從產(chǎn)生到銷毀的全生命周期中的各個環(huán)節(jié)安全性保障，確保密鑰（除公鑰外）不被非授權(quán)的訪問、使用、泄露、修改和替換，保證公鑰不被非授權(quán)的修改和替換。

密碼設(shè)備/基礎(chǔ)設(shè)施。根據(jù)工業(yè)控制系統(tǒng)應用特點選擇適合的密碼設(shè)備/密碼基礎(chǔ)設(shè)施。相關(guān)的密碼設(shè)備/密碼基礎(chǔ)設(shè)施需要滿足相關(guān)的安全要求，同時需要滿足應用環(huán)境要求。安全要求是指采用商用密碼認證機構(gòu)認證合格的密碼產(chǎn)品，以及符合法律法規(guī)的相關(guān)要求并獲得國家密碼管理主管部門許可的密碼服務(wù)。應用環(huán)境要求是指工作溫度、工作時間、抗震動、抗腐蝕性等環(huán)境參數(shù)要求。密碼功能包括密碼算法服務(wù)、簽名驗簽服務(wù)、數(shù)字證書服務(wù)、安全傳輸服務(wù)等。工業(yè)控制系統(tǒng)可根據(jù)實際建設(shè)需求，自建或接入已有的密碼服務(wù)支撐系統(tǒng)。

工業(yè)密碼支撐中間件。工業(yè)密碼支撐中間件針對目標工業(yè)控制信息系統(tǒng)構(gòu)建密碼功能、密碼計算等密碼服務(wù)的提供模式，同工業(yè)控制信息系統(tǒng)的集成與調(diào)用方式等，構(gòu)建的思路包括以下兩種：一是一體化密碼服務(wù)平臺模式，即將典型密碼功能和通用密碼功能均集成在統(tǒng)一工業(yè)密碼服務(wù)支撐中間件中，此類中間件稱為一體化工業(yè)密碼服務(wù)支撐平臺；二是獨立功能支撐模式，即將工業(yè)密碼服務(wù)支撐設(shè)計集成在特定硬件設(shè)備中，既有簽名驗簽服務(wù)器、加密解密服務(wù)器等提供通用密碼功能的設(shè)備，又有身份鑒別服務(wù)器、單點登錄服務(wù)器等提供典型密碼功能的設(shè)備。

密碼應用改造模塊。密碼應用改造模塊采用密碼服務(wù)適配組件接入工業(yè)控制系統(tǒng)，實現(xiàn)密碼應用安全改造工作。相關(guān)適配插件可以面向工業(yè)化管理后臺，適配相關(guān)工業(yè)軟件，也需要適配現(xiàn)場設(shè)備，包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、集散控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）等。相關(guān)適配插件通過調(diào)用工業(yè)密碼支撐中間件獲取基礎(chǔ)密碼服務(wù)功能，有效支撐面向工業(yè)控制系統(tǒng)密碼應用安全性保障能力。實現(xiàn)面向工業(yè)控制系統(tǒng)應用場景的密碼服務(wù)適配層的各類插件，顯著減少業(yè)務(wù)層應用代碼改造量，有效提高工程實施的效率。

嵌入式密碼模塊。由于工業(yè)控制環(huán)境中獨特應用場景，在現(xiàn)場生產(chǎn)環(huán)境中具有大量的專業(yè)工業(yè)設(shè)備如數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、集散控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）等。僅僅通過密碼應用改造模塊無法覆蓋所有安全改造場景。針對特點的安全風險以及工業(yè)控制環(huán)境具體設(shè)備應用場景，需要定制化開發(fā)嵌入式密碼模塊。該模塊定制接入特定設(shè)備中，可以是實現(xiàn)密碼運算功能的密碼模塊，或是具有密碼算法、可實現(xiàn)安全功能的安全芯片。

接下來，省電檢院將在省經(jīng)信廳、省密碼管理局的指導下，積極開展密碼建設(shè)咨詢、密碼測評工作，同時持續(xù)開展密碼安全教育宣傳活動，普及密碼知識。大力推進商用密碼在工業(yè)領(lǐng)域的應用，為工業(yè)領(lǐng)域企業(yè)提供優(yōu)質(zhì)可靠的建設(shè)咨詢、測評指導服務(wù)，全面夯實全省乃至全國關(guān)鍵信息基礎(chǔ)設(shè)施的密碼底座。

（作者單位：浙江省電子信息產(chǎn)品檢驗研究院信息安全測評中心）