國產商用密碼在工控領域的應用建設

註：本文由海泰方圓供稿，授權密碼頭條發布！

近年來，全球重大工業信息安全事件頻發。2010年伊朗核設施遭受「震網病毒」攻擊；2016年美國東海岸大面積斷網；2017年「Wanna Cry」勒索病毒肆虐全球……全球工業網路安全風險持續攀升，總體上呈現高危態勢。2017年根據知名報告顯示，全球範圍內系統遭遇攻擊最多的三個國家為越南、阿爾及利亞和摩洛哥，遭受攻擊程度分別為71%、67.1%及65.4%，中國工控系統遭受攻擊程度排在第五位，佔比達57.1%。

工業控制系統脆弱的安全狀況以及所面臨的日益嚴重的攻擊威脅，已經引起了我國高度重視，工控安全已被提升到國家安全戰略的高度，各有關部門在政策、標準、技術、方案等方面展開了積極應對。在明確重點領域工業控制系統信息安全管理要求的同時，國家主管部門在政策和科研層面上也在積極開展工業控制系統的安全保障工作。目前，絕大多數先進位造企業已經提升了在工業控制網路及物理方面的安全級別，但在工控數據方面卻仍然存在著嚴重的安全隱患。

密碼作為保護網路與信息安全的重要手段，是保障數據安全的核心技術。2015年，中共中央辦公廳、國務院辦公廳聯合下發了《關於加強重要領域國產密碼應用的指導意見》，明確提出使用密碼手段來加強基礎信息網路、重要信息系統、重要工業控制系統以及面向社會服務的政務信息系統的安全。

為了進一步提升工業控制系統在數據安全防護方面的能力，需要結合企業的實際情況以及國家有關的要求和規定，儘快完成企業工業控制系統密碼統一服務平台的建設工作。

工業控制系統數據安全現狀分析

（1）缺少信息安全風險監控技術手段，不能及時發現信息安全問題，出現問題後靠安全人員經驗排查。在工控網路上普遍缺少信息安全監控機制，不能及時了解網路狀況，一旦發生問題不能及時確定問題所在，及時排查到故障點，排查過程耗費大量人力成本和時間成本。

（2）缺少對於工控系統中不同類型數據的加密防護。目前，絕大多數的先進位造企業內的工控系統，在進行數據傳輸和存儲的過程中都是明文數據，一旦數據被竊取，將對企業甚至是國家造成不可估量的損失。

（3）第三方人員運維生產系統時無審計措施。出現問題後無法及時準確定位問題原因、影響範圍及追究責任。

（4）工控系統中使用的文件沒有及時得到安全清除，存在泄漏風險。

密碼統一服務平台建設內容

密碼統一服務平台由3個系統組成，分別為：密鑰管理系統、數據加解密服務系統、數據可信驗證服務系統。

該平台前端展現系統為：日誌審計管理系統和數據安全清除系統。實現對工控業務系統中數據流轉時保障數據的真實性、完整性。如：MES系統數據下發到各個工廠或車間，會通過網間檢測、殺毒、單嚮導入等系統環節。

（一）業務應用系統建設

1

日誌審計系統

日誌審計系統對數據在各環節流轉時所產生的全部日誌信息抓取、匯聚，一旦出現問題，通過日誌審計系統可以快速定位問題所在，在MES系統數據導出時，密碼統一服務平台會對數據採用SM3演算法進行數字簽名，當數據流轉到單嚮導入系統時，平台會對數據進行驗簽，保障數據未被篡改，驗簽通過後數據會流轉向各個工廠或車間，實現對MES數據的完整性、真實性保障。

2

數據安全清除系統

數據安全清除系統，為企業內部工業控制系統中使用的文件提供安全清除服務，可以通過設置進行定期清除，也可以根據需要手動進行清除。

當工控業務系統中產生文件時，數據加解密服務子系統會針對該文件採用「一文一密」方式進行加密，在系統內存儲、離線利用時，該文件以密文形式存在，當該文件在業務系統中擦除時，統一密碼服務平台會針對該文件對應的密鑰刪除，從而保障文件無法再次利用。即便該文件已被下載到本地也將無法打開利用。

（二）密碼應用支撐平台建設

1

密鑰管理子系統

密鑰管理系統，提供密鑰的統一生成、分發、查詢、更新、恢復和銷毀。利用數字信封技術，對密鑰進行加密封裝，增強系統安全性，定義應用標識體系，分別建立密鑰與應用系統、系統不同模塊之間的對應關係，通過以上技術手段和方法，建立自主、可靠、安全的密鑰管理系統。

2

數據加解密服務子系統

通過數據加解密服務系統與工業控制系統的對接，實現敏感工業數據在傳輸和存儲過程中的加密處理。

應用系統在調用數據加解密服務系統的服務介面前，將在系統中進行初始化註冊，由數據加解密服務系統根據應用系統和系統模塊信息生成對應的應用標識，每個應用標識對應唯一且隨機生成的對稱密鑰和非對稱密鑰。

3

數據可信驗證服務子系統

數據可信驗證服務系統，為企業內部工業控制系統中的數據提供真實性驗證途徑。系統負責數據憑證的生成、激活、利用以及註銷等全生命周期的規範管理，並且保障憑證自身的可靠性、權威性。數據可信驗證服務系統將以「介面」的方式為工業控制系統提供真實性驗證服務支撐。

系統總體架構

基礎設施層包括：伺服器、網路設備、傳統安全設備、密碼安全設備、資料庫系統、操作系統等支撐運行環境的基礎軟硬體。

網路層：平台上的絕大多數子系統都將集中部署在工業控制網路。

應用支撐層：主要滿足工業控制系統安全支撐平台中各子系統功能實現為目標的支撐類工具。包括基礎信息配置、用戶及組織架構管理、介面管理等。

應用層：密碼安全服務平台下屬的多個系統，包括密鑰管理系統、數據加解密服務系統、數據可信驗證服務系統和數據安全清除系統。

方案特點及優勢

通過構建密碼統一服務平台，為企業內部工業控制系統提供統一的數據安全支撐服務，進一步提升內部的數據安全級別。

（1）密碼統一服務平台在不改變現有系統的業務場景及業務流程情況下，為工控系統提供安全支撐；

（2）密碼統一服務平台全面採用國產密碼演算法（SM2/SM3/SM4），符合相關政策標準；

（3）使用密碼技術強化工控系統身份驗證、訪問控制，提升系統安全；

（4）使用密碼技術保證數據在各環境流轉中文件不被篡改，保障文件的真實性、有效性、可用性、安全性；

（5）密碼統一服務平台為業務系統提供數據加解密服務，數據生成時相應生成一個唯一的密鑰，防止數據遺失所造成的泄密。

方案價值及客戶收益

1

基於國家政策，實現智慧製造與安全製造創新機制

響應工業和信息化部下發的《關於加強工控系統信息安全管理的通知》及中共中央辦公廳、國務院辦公廳下發的《關於加強重要領域密碼應用的指導意見》等相關政策，藉助於國產密碼技術來保障國家重要工業控制系統的安全。切實加強工業控制系統信息安全，實現工業安全生產運行，保障國家經濟安全和人民生命財產安全。形成智能製造與安全製造相互融合的創新機制。

2

基於國家密碼演算法支撐，實現工業控制系統的安全生產模式

基於國家密碼演算法的安全支撐，採用數據加解密、數據可信驗證服務等技術，實現工控業務系統安全登錄、訪問控制以及系統內數據安全、數據傳輸、數據存儲等環節數據的機密性、完整性和可用性等安全屬性的保障，形成一個高度靈活、個性化、數字化的產品與服務的生產模式。

3

基於安全加固手段，實現安全生產模式的標準化、規範化

以密碼技術作為基礎防護手段，結合工控企業自身特點，制定數據安全、管理等方面的制度及標準規範。通過探索解決企業工控系統密碼統一服務平台的機制和模式，促進該領域的制度建設，為將來平台的標準化上線使用奠定堅實的基礎。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！