工业控制信息系统中的商用密码应用思考
自2019年10月《密码法》颁布以来,商用密码应用安全性评估逐步引起各政府部门、各行业的重视。《密码法》第二十七条明确要求:“关键信息基础设施必须依法使用商用密码进行保护并开展商用密码应用安全性评估,要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信办会同国家密码管理局等有关部门组织的国家安全审查。”《信息安全等级保护商用密码管理办法》规定:“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外,在新版《网络安全等级保护条例》(征求意见稿)中明确要求在规划、建设、运行阶段开展密码应用安全性评估。
目前,商用密码应用安全性评估尚处于刚起步阶段,评估的重点主要集中在政务信息系统、金融和医疗领域。但是随着此项工作的逐步推进,工业控制系统也必将伴随着等保2.0标准的贯彻实施,被纳入到商用密码应用安全性评估的范围。
最初工业控制系统是一个独立的系统,使用的是专用的控制协议以及特定的软硬件。但是,随着互联网与工业控制系统的融合,工业控制系统普通采用互联网解决方案来推动企业的互联和远程访问能力。比较典型的工业控制系统结构如图1所示。商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。开展商用密码应用安全性评估工作,是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。商用密码应用安全性评估工作,不仅对规范密码应用具有重大意义,同时对维护网络和信息系统密码安全,切实保障网络安全,有效应对各类网络安全风险,也具有不可替代的重要作用。商用密码应用安全性评估依据2021年3月发布的GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和2020年12月修订的《信息系统密码应用测评要求》进行实施。测评内容分为了两个方面:通用测评要求和密码应用测试要求。其中,在通用测评要求中,提出了符合商用密码管理的相关规定,满足标准规范的相关要求,包括密码算法、密码技术的合规性要求和密钥管理的安全性要求;在密码应用测评要求中,规定了密码技术的应用要求和系统管理要求,要求项依据等级增加和增强,包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等8个方面,测评要求框架如图2所示。商用密码应用安全性测评的测评对象是信息系统,目前针对政务信息系统方面的案例及测试方法已逐步完善。而相对于政务信息系统而言,工业控制系统具有实时性要求高、高可用性、通信协议众多等特点,因此对于工业控制系统应采用的密码应用方案和密码测评方法均有别于政务信息系统。下面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面,围绕商用密码应用安全性测评要求,介绍一下对工业控制系统在商用密码应用方面的一些思考。工业控制系统往往由众多的采集系统和控制系统,以及后台服务器、数据库、工程师站等构成。而核心数据则主要存储于工程师站、数据库、服务器中。因此,对于物理和环境的安全,需要对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。部署具有密码模块的电子门禁系统、视频监控系统;通过服务器密码机、加密存储设备、视频加密系统等实现音视频数据完整性保护,如图3所示。工业控制系统与政务信息系统相同,也是通过网络技术来实现与外界的互联互通,在通信建立前或者某外部设备接入到内部网络时,可根据工业控制系统的安全等级要求,考虑采用基于密码杂凑算法的消息鉴别码机制,或基于公钥密码算法的数字签名机制进行单向或双向身份鉴别,并将证书信息存储于安全介质中,对证书的申请、发放、使用、吊销等过程通过技术手段严格控制,并建立相关制度保障。由企业网和互联网传输的数据,尽可能避免使用HTTP、FTP、Telnet等高风险通用网络服务,建议使用国密算法改造的HTTPS协议或者通过商密IPSec/SSL VPN实现网络逻辑边界的管控,构建内部网络的企业网。对于工业控制系统中使用的专用协议,则可在不影响系统实时性和高可用性的前提下,采用密码技术对通信过程中的数据进行完整性和机密性保护。因考虑到工业控制系统实时性要求,所以不需要对所有数据均采用机密性保护。只需要对关键的敏感信息或通信报文进行机密性保护。工业控制网络与企业网或互联网之间互联互通,为工业控制系统带来巨大创造力和生产力的同时,也会引入更加复杂、严峻的安全问题。一是深度网络化和多层面互联互通增加了攻击路径;二是传统IT产品的引入带来了更多安全漏洞;三是新兴信息技术在工业控制领域的防护体系尚不成熟。因此,需要在不同网络边界之间,部署边界安全防护设备实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。与此同时,为了保证访问控制信息不被恶意篡改,需要采用对称算法或MAC机制、数字签名机制等密码技术对访问控制信息进行完整性保护。面对工业控制主机和系统的登录、访问过程中常见身份冒用,越权访问等安全风险,给工业控制生产活动带来安全隐患。通过采取身份鉴别、角色判定、权限分配等安全措施实现工业主机登录、应用服务资源访问、工业云平台访问等过程的统一身份认证管理。对于关键设备、系统和平台应采取动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对设备操作人员等登录设备的用户进行身份鉴别,如采用合规的智能密码密钥。对于无法使用密码技术进行身份鉴别的工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,要及时更新,密码要以多位数含数字、字母、特殊符号的组合方式提高密码强度,建议采用验证码机制,提高被暴力破解的难度。避免使用默认密码、易猜测密码、空口令,甚至明文张贴密码的现象发生。远程访问工业控制系统网络,意味着为黑客开辟了一条攻击工业控制网络的通路,存在极大隐患。但在确需远程访问的情况下,需要采用商密IPSec/SSL VPN等远程接入方式连接,相当于在公用网络上为用户建立了一条专用通道,这条专用通道需要采用数字签名的方式进行身份鉴别,通道上的所有通讯数据需要采用加密算法和杂凑算法保护其机密性和完整性。设备中重要信息的完整性涉及到系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性和重要可执行程序完整性。这些方面的安全保障需要由设备厂商(如操作系统、数据库管理系统、网络及安全设备、密码设备、各类虚拟设备等)提供相应的服务支持,此处不做详细分析。与设备和计算安全层面的身份鉴别方式相同,应采取动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对设备操作人员等登录设备的用户进行身份鉴别。这里所说的数据安全包括数据的存储安全和传输安全两个方面,涉及到了数据创建、使用、分发、共享、销毁的整个生命周期。对重要数据如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据、测试数据等应采用加密技术、安全存储介质等进行保护。另外,为了保证系统在灾难发生时,数据能够尽量还原真实数据,应对历史数据库服务器、实时数据服务器、先进控制系统、优化控制系统等重要系统设备进行硬件冗余,启用实时数据备份功能,保证当主设备出现故障时冗余设备可以无扰动的切换并恢复数据,对于关键的业务数据,应定期进行软备份。商用密码应用安全性测评中的重要信息完整性涉及到访问控制信息完整性和重要信息资源安全标记完整性。工业控制系统应在系统设计时,从业务应用的角度实现对系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等进行完整性保护。