今日頭條
官方微信
官方抖音
資訊頻道摘要:本文介紹了《密碼法》施行一年來密碼在夯實工業信息安全方面起的作用,探討了密碼對工業控制系統安全、工業互聯網發展的支撐作用。
關鍵詞:密碼;工業信息安全;工業控制系統;工業互聯網
1 引言
2019年10月26日,第十三屆全國人大常委會第十四次會議表決通過《中華人民共和國密碼法》(以下簡稱:《密碼法》)[1],自2020年1月1日起施行。密碼法的出臺,對于加強我國在密碼管理和應用等方面的法律保障,推廣核心、普通、商用密碼應用,進一步夯實工業信息安全基礎等指出了路徑和方向。在密碼法中,相比1999年頒布的《商用密碼管理條例》[2],商用密碼的管理和使用在法律條款上有了較大改變,國家對商用密碼不再實行專控管理,而是給予了外資企業無差別無歧視的商用密碼從業單位稱號,這對于提升我國外資品牌市場占有率占70%以上的工業控制系統及大量使用開源技術設計建設的工業互聯網平臺的本質安全具有重大的意義。《密碼法》發布之后,國家發展改革委、國家密碼管理局、工業和信息化部等國家有關部門啟動實施了多個密碼應用專項,初步形成了試點示范效應,有效推動了商用密碼在工業控制系統、工業互聯網平臺等非傳統領域的應用。
2 密碼在工業信息安全的基礎支撐作用
工業信息安全是近年來新興的一個概念。國內最早提及工業信息安全一詞的文件是《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號)[3],該文件在“二、主要任務(十)提高工業信息系統安全水平”中提到:“制定完善工業信息安全管理等政策法規,健全工業信息安全標準體系……以提升工業信息安全監測、評估、驗證和應急處置等能力為重點,依托現有科研機構,建設國家工業信息安全保障中心,為制造業與互聯網融合發展提供安全支撐。”
2017年,在工業和信息化部的支持下,工業和信息化部電子第一研究所更名為國家工業信息安全發展研究中心(以下簡稱:國家工信安全中心),國家工信安全中心對工業信息安全內涵進行了深入研究和廣泛調研,組織起草了《工業信息安全標準體系白皮書》。白皮書中提到,一切涉及到工業領域的信息安全都屬于工業信息安全范疇,其內涵十分豐富。從重要性來看,工業信息安全是網絡安全的重要組成,是國家總體安全觀在工業領域的重點體現,其事關經濟發展、社會穩定和國家安全,做好工業信息安全工作是關系國計民生和國家長治久安的大事;從保障內容來看,工業信息安全泛指各工業相關領域的信息安全,包括工業控制系統安全、工業互聯網安全、工業數據安全、工業云安全等。
《密碼法》第二條給出了密碼的定義,是指“采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務”。第三條明確了密碼工作原則,“密碼工作堅持總體國家安全觀,遵循統一領導、分級負責,創新發展、服務大局,依法管理、保障安全的原則”。總體安全觀是在2014年4月15日上午,中共中央總書記、國家主席、中央軍委主席、中央國家安全委員會主席習近平主持召開中央國家安全委員會第一次會議時提出的[4]。他首次提出了總體國家安全觀,并首次系統提出“11種安全”,要構建集政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全等于一體的國家安全體系。在總體安全觀思想的指導下,分析密碼和工業信息安全的關系,可以說密碼是工業信息安全的基礎或者說其夯實了工業信息安全基礎。如無密碼支撐,則工業信息安全根基不牢,猶如沙堆建房。
《密碼法》對密碼進行了分類管理。密碼分為核心密碼、普通密碼和商用密碼。核心密碼、普通密碼用于保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。工業領域中涉及到核心密碼、普通密碼使用的單位主要有工業領域政府管理或監管部門和軍工企業。核心密碼、普通密碼主要側重于對涉及國家秘密信息的保護,保護載體包括涉密單臺臺式機、涉密筆記本、涉密存儲介質,聯網形態包括涉密網及承載的涉密信息系統,主要執行分級保護標準。核心密碼、普通密碼均屬于國家秘密,也屬于需要保護的范圍。然而無論是核心密碼還是普通密碼,涉密網絡和系統或者涉密單機,都側重于對信息的保護,側重于對信息的信息安全三性需求之一——“機密性”的保護,這種“機密性”保護在特定條件下可以犧牲“可用性”,實時性和并發量要求不高。
工業領域中海量面對的是不涉及國家秘密的生產數據、設備信息、工藝參數等。商用密碼可用于保護此類信息,對此類信息的保護也是工業信息安全的重要組成部分。目前對非涉密信息和系統的保護,多個國家標準主要參考了國際信息安全準則和標準。如國際標準化組織ISO提出了OSI安全體系框架;美國國家安全局(NSA)提出了信息保障技術框架(IATF)和可信計算機系統評估標準(TCSEC),美國ISS公司提出了P2DR動態網絡安全體系模型;歐洲提出了信息技術安全評估標準(ITSEC);我國提出了以《網絡安全等級保護基本要求》為基礎的若干標準。國際通用的“信息技術安全評價通用準則標準”(簡稱CC標準),它是在美國的TCSEC、歐洲的ITSEC、加拿大的CTCPEC等信息安全準則的基礎上,由6個國家7方(美國國家安全局和國家技術標準研究所、加拿大、英國、法國、德國、荷蘭)共同提出,綜合了已有的信息安全的準則和標準,形成了一個更全面的框架。分析總結這些信息安全準則和標準,會發現無論哪種安全準則、模型、框架等,都離不開密碼。或者說信息安全三性(保密性、完整性、可用性)的實現離不開密碼。而如果將信息安全從三性擴充到七性(保密性、完整性、可用性、可靠性、認證性、審計性、不可否認性),那么可以說除可靠性外,其它六性都與密碼密不可分。
3 工業控制系統安全迫切需要密碼支撐
工業控制系統發展至今大約有70年時間,經歷了集中控制、分層控制、基于現場總線的網絡控制、現場總線和工業以太網的混合控制等多個階段,目前主要有以下產品形態:數據采集與監控系統(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)、現場總線控制系統(FCS)、安全儀表系統(SIS)、遠程終端單元(RTU)、智能電子設備(IED)、主終端設備(MTU)。
工業控制系統廣泛運用于工業制造、能源、交通、水利以及市政等領域,隨著信息化與工業化深度融合以及物聯網的快速發展,工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與企業信息內網、公共互聯網等進行網絡連接,工業控制系統從封閉走向開放,從專有走向通用,特別是在工業互聯網的發展背景下,開放互聯的趨勢更加明顯,典型工業企業工業控制系統體系架構如圖1所示。
圖1 典型數字化工業企業工業控制系統體系架構
工業控制系統安全迫切需要密碼支撐。隨著改革開放的不斷深入,兩化融合日益深化,工業控制系統廣泛用于國家核心領域,工業領域社會生產力得以迅猛發展,工業生產環境逐步從封閉走向開放,工業控制系統由單機走向互聯,計算機、網絡、通信、自動化等多種技術在工業生產環境得到充分利用。然而,全球范圍內針對工業領域的網絡攻擊有增無減,信息竊取、勒索攻擊、病毒感染、網絡間諜、黑客入侵等攻擊手段花樣多變,攫取經濟利益、盜取知識產權、攻擊關鍵信息基礎設施等大規模的安全事件屢有發生,對政治、經濟、軍事、國家和社會安全等造成直接威脅和現實影響,工業控制系統安全成為各國政府高度關注的重大安全領域。解決工業控制系統安全問題必須適應工業控制系統長期處于“有毒帶菌”的實際環境和難以整改的客觀困難,《密碼法》對提升工業控制系統本質安全、加強工業信息安全具有十分重大的意義。可以說,《密碼法》的貫徹落實是提高工業控制系統信息安全保障能力的重要途徑。
從工業控制系統安全的調研情況來看,工業控制系統中使用密碼進行保護的比率是很低的。我國工業控制系統的國產密碼應用基礎薄弱,工業控制系統的國產密碼應用程度較低,占比僅為2.08%,密碼推廣應用挑戰嚴峻。原因主要有以下幾個方面:一是我國1999年頒布的《商用密碼管理條例》第三條規定:“商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。”這一條款對于大量成套引進的工業控制系統(國外品牌占有率70%以上)來說無疑是障礙性條款,國外廠商不愿或者難以使用商用密碼產品進行安全增強,國內安全廠商難以對國外控制系統進行安全集成。二是面向工業控制系統的專用密碼產品較少,多為外掛式或者插拔式,難以嵌入工業控制系統業務流程。三是針對工業控制系統數據存儲和傳輸等環節的密碼產品較少,工業控制系統數據加密存儲應用占比僅為6.9%,工業控制系統數據加密傳輸應用占比僅為6.0%。在工控安全領域,密碼產品和算法多用于工業控制系統的訪問控制和身份認證,在數據(多為時序數據,存儲于時序數據庫)加密存儲和加密傳輸方面的密碼應用十分缺乏,難以滿足工業控制系統的數據存儲和傳輸的安全需求。四是現有密碼技術產品難以滿足工業控制系統實時性、穩定性要求,現有密碼技術產品在實時性等方面還需與工業控制系統進行深度的試配與驗證。例如,采集執行層的無線通信加密技術和串口連接加密技術尚不成熟,集中監控層與現場控制層間的數據傳輸需要輕量級、低時延的密碼算法支撐。若現有國產密碼算法直接應用于工業控制系統數據傳輸的加解密操作,工業控制系統的數據實時性所受影響的嚴重程度尚無數據支撐。同時工業控制系統中大量數據交互、頻繁加解密會占用計算資源、產生時延,降低系統性能和運行速度,還會在一定程度上增加信道占用時間,加劇信道沖突風險,導致系統運行不穩定。五是國產密碼技術產品在工業控制系統中的推廣應用困難,一方面因為國產密碼技術產品在工業控制系統中的應用缺乏安全測評,難以讓企業信服并推廣應用,另一方面在工業控制系統環境中開展國產密碼技術產品安全性、穩定性、可靠性測評的技術手段較為缺乏。此外,密碼技術產品的市場競爭力弱、企業認可度低、應用模式不清、標準規范缺失等因素都使得國產密碼推廣應用受限。
《密碼法》的出臺為工業控制系統密碼推廣應用奠定了基礎。《密碼法》在總則第八條明確規定:“商用密碼用于保護不屬于國家秘密的信息。公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。”對于商用密碼管理和使用,《密碼法》第三章共用十一條條款規定了商用密碼管理和使用的多個方面,突破了我國1999發布的《商用密碼管理條例》的若干規定。總體來說,《密碼法》的出臺將對工業控制系統商用密碼應用推廣有以下推動作用:
(1)推動外商投資企業在工業控制系統的密碼使用。第二十一條提出了商用密碼從業單位的概念,對外商投資企業和內資投資企業采用無差別化對待,“國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。各級人民政府及其有關部門應當遵循非歧視原則,依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位(以下統稱商用密碼從業單位)。國家鼓勵在外商投資過程中基于自愿原則和商業規則開展商用密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。”這一條款的出臺將大大促進GE、西門子、施耐德、羅克韋爾自動化、橫河電機等國外制造商在其工控產品中使用密碼以達到中國用戶的安全需求。同時第二十五條規定,“國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規范、規則,鼓勵商用密碼從業單位自愿接受商用密碼檢測認證,提升市場競爭力。”這一條款也將改變外商對于強制條款的心理抵制,由專控管理實現市場引導。
(2)推動工業控制系統密碼應用標準的制、修定。密碼法第二十二條、二十三條、二十四條都對商用密碼體系的建立和完善、商用密碼標準國際化及轉化、企業商用密碼標準制定等做出了相關規定,這些條款將大大提高工業控制系統用戶、安全廠商、產品廠商等制、修訂標準的熱情,不斷建立和完善工業控制系統密碼應用標準體系。
(3)推動商用密碼在特定工業控制系統(列為關鍵信息基礎設施且有密碼應用要求)中使用、應用安全測評和國家安全審查。《密碼法》第二十七條規定:“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。”工業領域的關鍵信息基礎設施極有可能是從涉及國家安全、國計民生、社會公共利益的工業控制系統中產生,這類工業控制系統是國家勢力、敵對分子、黑客蟊賊等重點關注和攻擊的對象,只有建立在密碼保障的基礎上,才能實現此類系統的本質安全。
4 商用密碼促進工業互聯網平臺發展
工業互聯網是新一代信息技術與制造業深度融合的產物,是實現生產制造領域全要素、全產業鏈、全價值鏈連接的關鍵支撐,是工業經濟數字化、網絡化、智能化的重要基礎設施,是互聯網從消費領域向生產領域、從虛擬經濟向實體經濟拓展的核心載體。工業互聯網內涵和外延也在不斷拓展,工業互聯網的兩大屬性是“工業”和“互聯”,以工業互聯網為紐帶,工業互聯網包括工業控制系統、工業物聯網、工業云、工業數據及5G、區塊鏈等其他新興的工業互聯網形態。工業云是工業互聯網平臺及工業物聯網的基礎技術,而工業互聯網平臺是傳統工業云平臺的迭代升級。工業互聯網平臺除工業云外,還包括邊緣層、工業應用以及平臺上的工業數據,并且與工業物聯網有交叉關系。工業互聯網的發展模糊了物理世界和虛擬世界的界限,由此引發的網絡攻擊往往會造成比過去更嚴重的影響。工業互聯網安全不是單個企業乃至一個行業能夠獨自實現的。工業互聯網體系架構如圖2所示。
圖2 工業互聯網體系架構
在工業互聯網發展上,可以說我國和發達國家處于同一起跑線,我國甚至可能“集中力量辦大事”,實現“彎道超車”。美國有GE公司的Predix平臺,德國有西門子公司的MindSpere平臺,我國具有一定行業和區域影響力的工業互聯網平臺總數超過了50家,重點平臺平均連接的設備數量達到了59萬臺[5]。然而,我國工業互聯網技術和設備對外依存度依然高居不下,對國外技術和設備存在的后門難以掌握。2018年工業和信息化部對全國30多家大型企業共130多種關鍵基礎材料進行調研,結果顯示,32%的關鍵材料在中國仍為空白,52%依賴進口,絕大多數計算機和服務器通用處理器中95%的高端專用芯片、70%以上智能終端處理器以及絕大多數存儲芯片依賴進口。在裝備制造領域,高檔數控機床、高檔裝備儀器、運載火箭、大飛機、航空發動機、汽車等關鍵件精加工生產線上逾95%制造及檢測設備依賴進口。
對國外產品的大量使用和依賴不僅涉及信息安全,也涉及供應鏈安全。難以確保是否存在后門,后門是否得到管控。后門是指那些人為設置的、能繞過安全性控制而獲取對系統控制或訪問權的秘密機制。設置方可以隨時利用后門更改系統設置,使用方很難發覺。后門的危害很大。它猶如“定時炸彈”或“特洛伊木馬”,可被促發或者設置時間戳,在特定時間瞬間造成嚴重損害,讓人無力反擊。我國在2000年左右,電力、民航等多個重要系統都曾發生過收到不明指令而出現系統事故的案例。此外,我國供應鏈安全審查還缺乏體系化的成功經驗,在中美貿易的復雜形勢下,如果“美國技術含量”超過25%的技術產品通過“穿馬甲”的方式被引入工業互聯網的基礎設施和重要系統將會構成重大的安全隱患。
工業互聯網安全是工業信息安全的重要組成部分,工業互聯網的發展迫切需要同步應用和發展密碼。后門可以通過密碼進行避免,使用密碼技術,對人員、軟硬件、進程等進行可信驗證,就可以保證沒有后門。同時,工業互聯網的發展迫切需要在“端管云”中全方位體系化地應用密碼。“端”可以理解為采集端或執行器,端的身份在接入時需要認證,端在執行重要指令時需要對發令方身份進行認證;“管”可以理解為通信信道,端采集的數據在向平臺傳輸時需要加密,平臺向特定執行器下發數據時也需要加密;“云”可以理解為平臺,平臺的安全策略需要以密碼為保障。工業互聯網上使用的重要商用密碼產品和服務需進行檢測認證,《密碼法》第二十六條規定:“涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供。商用密碼產品檢測認證適用《中華人民共和國網絡安全法》的有關規定,避免重復檢測認證。商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。”
5 結束語
我國已發布一系列的商用密碼標準,包括SSF33、SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖沖之密碼(ZUC)算法等。其中,SSF33、SM1、SM4、SM7、ZUC算法是對稱算法,SM2、SM9是非對稱算法,SM3是雜湊算法。這些算法相比MD5、RSA、DES等國外算法來說在安全性和速率方面更具優勢,且在電力、銀行、交通、社保等多個行業都得到成功應用。貫徹落實密碼法,將大大促進密碼在工業信息安全領域的應用,夯實工業信息安全基礎,促進工業生產力的爆發。
作者簡介:
何小龍(1969-),四川成都人,高級工程師,碩士,現任國家工業信息安全發展研究中心副主任,主要研究方向為工業信息安全、數據安全、兩化融合等。
陳雪鴻(1976-),湖南懷化人,高級工程師,碩士,現任國家工業信息安全發展研究中心保障技術所所長,主要研究方向為工業信息安全、密碼學、工業控制系統安全、電力監控系統安全。
楊帥鋒(1989-),浙江紹興人,工程師,碩士,現任國家工業信息安全發展研究中心保障技術所研究總監,主要研究方向為工業信息安全、數據安全、關鍵信息基礎設施安全。
張雪瑩(1992-),河南安陽人,工程師,碩士,現就職于國家工業信息安全發展研究中心保障技術所,主要研究方向為工業信息安全、數據安全、關鍵信息基礎設施安全。
參考文獻:
[1] 全國人民代表大會. 中華人民共和國密碼法[EB/OL]. http://www.npc.gov.cn/, 2019.
[2] 國家密碼管理局. 商用密碼管理條例[EB/OL]. http://www.oscca.gov.cn/, 1999.
[3] 國務院. 國務院關于深化制造業與互聯網融合發展的指導意見[EB/OL]. http://www.gov.cn/, 2016.
[4] 中央國家安全委員會第一次會議召開 習近平發表重要講話[EB/OL]. http://www.gov.cn/, 2014.
[5] 我國工業互聯網已實現全方位突破[EB/OL]. http://www.xinhuanet.com/, 2019.
摘自《自動化博覽》2020年12月刊
北京市公安局海淀分局備案號:11010802023656號