推进商用密码在工业信息安全领域应用“正当时”

2023-05-30 09:14赵一凡黄力冶
信息化建设 2023年2期
关键词:商用密码工业

赵一凡 黄力冶

浙江省电检院大力推进商用密码在工业领域的应用,为工业领域企业提供优质可靠的建设咨询、测评指导服务,全面夯实全省乃至全国关键信息基础设施的密码底座

商用密码应用安全性评估,具体是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。密码是国之重器,是保障网络安全的核心技术和基础支撑,在网络安全防护中具有不可替代的重要作用。2019年《中华人民共和国密码法》(以下简称《密码法》)的出台,使商用密码的管理和使用在法律条件上有了较大的改变,对提升工业控制系统及大量使用开源技术涉及建设的工业互联网平台的本质安全具有重大的意义。《密码法》颁布后,国家发展改革委、国家密码管理局、工业和信息化部等国家有关部门启动实施了多个密码应用专项,有效推动了商用密码在工业控制系统、工业互联网平台等应用。

夯实基础,做好业务支撑工作

浙江省电子信息产品检验研究院(以下简称“省电检院”)是浙江省经济和信息化厅(以下简称“省经信厅”)下属的事业单位,下设信息安全测评中心专业从事信息安全领域相关第三方测评工作,包括关键信息基础设施检查、信息系统网络安全等级保护测评、重要信息系统验收测评、工控系统和工业互联网安全风险评估等工作。具有国家信息系统安全评测工程师、等级保护测评师,国家注册信息安全工程师(CISP),工业互联网安全评估师(CIISA)、网络工程师(CCNP)等各类认证技术人员。

在省经信厅的指导下,省电检院组织开展多项工业控制领域相关工作。一是实施完成工信部2019工业互联网创新发展工程——省级工业互联网安全态势感知平台,构建“省级—市级—县级—企业级”四级联动机制,实现国家级、省级、企业级安全态势的联动、共享和应急响应;二是自2017年起,连续六年面向全省开展工控安全大检查,每年检查企业超500家,覆盖11个地市,全面提升了工业互联网平台、重点工业企业的安全防护能力;三是组织开展工信部工业领域数据安全管理试点工作,组织14家试点企业完成重要数据核心数据目录梳理,指导开展数据安全防护方案制定和评估。在支撑工作中,积累了丰富的网络信息安全评测方面经验。

率先布局,做好“密评”文章

2021年,省电检院获得密评试点机构资格。同年8月,浙江省密码管理局(下简称“省密码管理局”)“2021年度商用密码应用安全性评估项目启动会议”在省电检院召开。以此为契机,省电检院围绕提升关键信息基础设施的安全防护能力,紧扣工业控制系统的特殊场景,积极开展密码安全保障体系研究。

工业控制系统(ICS)包括数据采集与监视控制系统(SCADA)、集散控制系统(DCS)、可编程逻辑控制器(PLC)等,工控领域从上到下可分为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层5个层级,不同层级的实时性要求不同。企业资源层主要包括ERP系统功能单元,用于为企业决策层员工提供决策运行手段;生产管理层主要包括MES系统功能单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等;过程监控层主要包括监控服务器与HMI 系统功能单元,用于对生产过程数据进行采集与监控,并利用HMI系统实现人机交互;现场控制层主要包括各类控制器单元,如PLC、DCS控制单元等,用于对各执行设备进行控制;现场设备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。

典型的工业控制系统商用密码改造内容包括五方面的内容,具体图1所示。

密钥管理安全设计。面向工业控制系统密钥管理体系主要指工业控制信息系统应用层密钥管理。该体系需结合目标系统的密码服务支撑(密码设备)、工业现场设备密码嵌入式模块等部署情况,构建满足工业控制系统密钥体系,并提供密钥从产生到销毁的全生命周期中的各个环节安全性保障,确保密钥(除公钥外)不被非授权的访问、使用、泄露、修改和替換,保证公钥不被非授权的修改和替换。

密码设备/基础设施。根据工业控制系统应用特点选择适合的密码设备/密码基础设施。相关的密码设备/密码基础设施需要满足相关的安全要求,同时需要满足应用环境要求。安全要求是指采用商用密码认证机构认证合格的密码产品,以及符合法律法规的相关要求并获得国家密码管理主管部门许可的密码服务。应用环境要求是指工作温度、工作时间、抗震动、抗腐蚀性等环境参数要求。密码功能包括密码算法服务、签名验签服务、数字证书服务、安全传输服务等。工业控制系统可根据实际建设需求,自建或接入已有的密码服务支撑系统。

工业密码支撑中间件。工业密码支撑中间件针对目标工业控制信息系统构建密码功能、密码计算等密码服务的提供模式,同工业控制信息系统的集成与调用方式等,构建的思路包括以下两种:一是一体化密码服务平台模式,即将典型密码功能和通用密码功能均集成在统一工业密码服务支撑中间件中,此类中间件称为一体化工业密码服务支撑平台;二是独立功能支撑模式,即将工业密码服务支撑设计集成在特定硬件设备中,既有签名验签服务器、加密解密服务器等提供通用密码功能的设备,又有身份鉴别服务器、单点登录服务器等提供典型密码功能的设备。

密码应用改造模块。密码应用改造模块采用密码服务适配组件接入工业控制系统,实现密码应用安全改造工作。相关适配插件可以面向工业化管理后台,适配相关工业软件,也需要适配现场设备,包括数据采集与监视控制系统(SCADA)、集散控制系统(DCS)、可编程逻辑控制器(PLC)等。相关适配插件通过调用工业密码支撑中间件获取基础密码服务功能,有效支撑面向工业控制系统密码应用安全性保障能力。实现面向工业控制系统应用场景的密码服务适配层的各类插件,显著减少业务层应用代码改造量,有效提高工程实施的效率。

嵌入式密码模块。由于工业控制环境中独特应用场景,在现场生产环境中具有大量的专业工业设备如数据采集与监视控制系统(SCADA)、集散控制系统(DCS)、可编程逻辑控制器(PLC)等。仅仅通过密码应用改造模块无法覆盖所有安全改造场景。针对特点的安全风险以及工业控制环境具体设备应用场景,需要定制化开发嵌入式密码模块。该模块定制接入特定设备中,可以是实现密码运算功能的密码模块,或是具有密码算法、可实现安全功能的安全芯片。

接下来,省电检院将在省经信厅、省密码管理局的指导下,积极开展密码建设咨询、密码测评工作,同时持续开展密码安全教育宣传活动,普及密码知识。大力推进商用密码在工业领域的应用,为工业领域企业提供优质可靠的建设咨询、测评指导服务,全面夯实全省乃至全国关键信息基础设施的密码底座。

(作者单位:浙江省电子信息产品检验研究院信息安全测评中心)

猜你喜欢
商用密码工业
兵学商用人物
——徐小林
密码里的爱
2022 年《商用汽车》回顾
2021年《商用汽车》回顾
密码抗倭立奇功
工业人
商用WiFi蓄势待发BAT360谨慎布局前景存疑
掌握4大工业元素,一秒变工业风!
夺命密码
“工业4.0”之思考