文 | 国家工业信息安全发展研究中心 张晓菲 张哲宇 宋艳飞 任晓蕊
人工智能、5G 和大数据等数字化技术在加速推进工业企业转型发展的同时,也为工业企业带来了新的网络和数据安全风险。作为保障网络和数据安全的基础性技术,商用密码技术在加强工业企业系统身份认证、数据传输、访问控制和数据存储等安全防护措施中有着不可或缺的地位。开展商用密码技术的应用研究,探索工业企业中典型的商用密码应用场景,并形成可复制可推广的商用密码技术应用解决方案,对于提升工业企业的安全保障能力具有重要意义。
根据 Zscaler 安全威胁实验室发布的《2023年全球勒索软件报告》,截至 2023 年 10 月,全球勒索软件攻击的数量同比增长了 37.75%。面对日益频繁且来势汹汹的勒索软件攻击,网络和数据安全事件层出不穷,我国工业企业所面临的勒索软件攻击风险同样严峻。在这种背景下,采用商用密码技术来保障工业企业的网络和数据安全显得尤为迫切和必要。
(一)落实法律法规关于商用密码技术应用要求
近年来,我国已初步形成了以《网络安全法》《密码法》和《数据安全法》为核心的法制体系,旨在规范我国商用密码产业的合理合规发展。2021 年发布的《关键信息基础设施安全保护条例》等文件为密码管理等部门依法开展关键信息基础设施的网络安全检查工作提供了指导意见,引导使用密码技术来保护重要数据和核心数据的安全。2023 年颁布的《商用密码管理条例》规定国家支持网络产品和服务使用商用密码来提升安全性,同时支持并规范商用密码在信息领域的新技术、新业态、新模式中的应用。
在商用密码应用方面,2015 年,中央办公厅、国务院办公厅陆续印发了《关于加强重要领域国产密码应用的指导意见》等重要文件。这些文件提出运用商用密码手段来加强重要领域系统安全防护,并提升网络安全综合保障能力。2021 年,国家市场监督管理总局和中国国家标准化管理委员会发布了《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)。该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面,对信息系统中如何应用密码提出了基本要求。工信部也陆续制定并发布了一系列政策文件,包括《工业控制系统信息安全防护指南》《工业互联网创新发展行动计划(2021—2023 年)》《工业和信息化领域数据安全管理办法(试行)》《工业控制系统网络安全防护指南》《工业领域数据安全能力提升实施方案(2024-2026 年)》等。这些文件积极推动骨干企业研发应用商用密码的工控产品,加快推动产业链上下游开展联合攻关和适配应用,从而提升工业企业相关系统和设备的本质安全能力,并探索工业企业密码应用和方案推广。
(二)运用商用密码技术保障企业网络和数据安全
随着推进产业数字化和数字产业化进程的不断加快,计算机、网络、通信、自动化等多种技术在工业生产环境得到广泛应用,网络和数据安全问题也随之进入了工业控制领域。随着工业信息系统在互联网上的暴露面增大,工业信息安全漏洞数量呈现高发态势。对于业务连续性和实时性要求极高的工业控制系统来说,这些漏洞如果被恶意利用,无论是造成业务中断、获得控制权还是窃取敏感生产数据,都将对工控系统构成严重的安全威胁。例如,日益泛滥的勒索病毒攻击导致安全事件激增。使用商用密码技术可以有效保障工业企业相关数据的机密性和安全性,减少安全事件的发生。同时,工业企业嵌入式密码设备的缺乏难以满足工业控制系统的实时性要求,并且与工业控制系统的适配性较低,导致工业企业信息系统中使用密码进行保护的比例较低。推进工业企业商用密码技术的研究及产品研发,将有助于提高商用密码在工业企业中的应用,从而提升工业企业网络和数据安全的保障能力。
图 智慧工厂商用密码应用示例图
随着云计算、大数据、5G 等新一代信息技术与传统制造技术的加速融合,智慧工厂通过构建基于 5G 的高速互联互通基础网络,同时利用大数据采集与可视化管理,整合物理资源和信息资源,实时掌握工业生产数据的变化和加工过程的现状。通过设备远程诊断、参数设置与预警、设备维护保养提醒等功能,实现智能设备的实时感知、动态控制和信息服务等,从而帮助工业企业优化生产流程、提高工作效率,推动生产智能化,促进制造业的转型升级。本文以智慧工厂场景为例,针对工业终端及数据采集系统中的身份认证、访问控制、数据传输、数据存储等安全需求,在生产制造的过程控制、生产执行等环节中,探索并设计使用商用密码技术的应用方案。该方案旨在为各个应用实体提供密码服务支撑,实现对整个业务流程中数据全生命周期的规范管理,极大地降低了数据安全事件发生的概率,保障智慧工厂的安全稳定运行(实现方案详如图所示)。
(一)采用商用密码技术实现用户身份鉴别机制
一是通过身份认证网关与各应用系统进行集成,实现内部人员访问时的身份鉴定与权限管理。这可以覆盖工厂中的各个服务、车间中的各个节点,并与密码服务平台的用户身份认证集成,从而对访问用户的身份进行鉴定和权限控制,确保只有经过身份认证的人员才能访问内部资源。二是提供证书自助服务,允许用户、终端等实体在线自助进行数字证书的申请、更新、解锁等操作。三是提供 PKI/CA 服务,为工业终端、服务器、用户等实体提供基于商用密码数字证书的身份标识及证书签发、管理、查询等服务。
(二)采用商用密码技术实现访问控制安全
一是在云端服务方面,部署云平台安全接入套件,为云上不同区域之间的业务交互设置访问控制限制,仅允许证书列表内的设备实现数据交互,从而确保云端服务区、数据分析平台等的访问安全,并保障云上资源用户的合法权益。二是基于 PKI/CA 服务,为终端用户、业务用户、运维用户、管理员等实体提供基于商用密码数字证书的访问控制功能,这可以限定只有证书列表内的用户才能访问相应的系统资源,从而提升整体的安全性。
(三)采用商用密码技术保障网络层与边界层的安全
一是在车间中的工业控制系统、工业机器人一是在车间中的工业控制系统、工业机器人等设备上,通过集成的密码模块或串接的安全加固设备,与安全边界网关建立加密链路,以保护数控系统间的数据传输安全。二是在车间中的产线控制器侧,部署安全加固设备,用于在控制器与控制中心的安全边界网关之间建立加密通道,以确保数据传输安全。三是通过工业控制系统、机器人控制系统等设备之间的指令传输建立加密通道,从而保护车间内数据传输安全。四是在控制中心的安全边界网关与云平台的云安全接入套件之间建立基于密码协议和算法的加密链路,以保护云端与工厂间的数据传输安全。
(四)采用商用密码技术实现数据存储机密、完整性
一是在确保数据机密性方面,智慧工厂内部建设对称密钥基础设施以及密码支撑服务,对信息与数据进行加密存储以及加密程序分发,以保障数字资产安全。二是在保护数据完整性方面,智慧工厂中的各应用与密码服务平台的签名验签服务器和时间戳服务器集成,记录用户操作,以便回溯用户行为,从而实现对日志的完整性保护与不可抵赖性。
(五)采用商用密码技术实现密钥的安全管理
在智慧工厂内部建立密码服务平台,为重要数据的加密和解密提供支持,并基于商用密码算法管理对称密钥的生成、存储、分发等生命周期过程。一是基于密码服务平台采取相关措施确保密钥的安全性和可靠性,这些措施包括使用高强度的加密算法、安全的存储设备、限制访问和多层次的身份验证等。二是定期检查和更新密钥管理策略和流程,以确保其能够应对新的安全威胁和要求,如定期评估现有的加密算法是否足够安全、存储设备和网络环境是否存在漏洞以及测试恢复和响应计划的有效性等。
总体而言,虽然当前工业企业商用密码应用工作正在稳步推进,但商用密码技术在工业企业的应用仍面临诸多挑战。这些挑战包括企业对商用密码技术重要性认识不足、在工业控制系统和产品中的应用成熟度不足以及在工业企业应用适配与改造的难度较大等问题。部分产品还处于初期试点阶段,亟需加大政策引导和支持力度,以促进工业企业商用密码应用的发展,拓展工业控制领域商用密码应用的技术深度,并推进工业企业系统和设备的本质安全。
(一)推动工业企业商用密码技术应用评估与示范应用
一是定期开展商用密码技术应用安全性评估,通过评估梳理工业企业商用密码技术应用现状及短板,规范工业企业商用密码技术在实际业务场景中的应用。二是通过评估形成工业企业典型的商用密码技术应用场景案例,组织商用密码技术应用经验的分享和交流活动,促进优秀案例推广应用。三是通过培训教育等工作,以及数据安全宣传教育和意识提升行动,推动提升工业企业对商用密码应用的重要性的认识,促进工业企业商用密码应用及数据安全保护。
(二)推进商用密码技术在工业领域应用融合发展
一是加大工业控制领域商用密码应用的政策、标准引导力度和支持,促进商用密码在工业领域全面融合应用。二是推动工业领域商用密码技术应用及融合型产品攻关,夯实新应用新模式密码供给能力,切实提升工业领域密码服务质量。
(三)优化工业领域商用密码技术应用侧产业布局
一是优化产业布局,扶持科研单位和高校企业加强密码技术的联合研发与创新,逐步解决当前多数密码技术企业“体量小、产品单一、投融资关注少”等问题,突破原有的界限壁垒,实现人才、知识、技术等各要素的优势互补和深度耦合。二是完善商用密码人才培养机制,依托高校、专业机构等共同建立研究型、应用型人才培养体系,为商用密码技术推广应用提供人才储备。三是鼓励工业领域大型企业与密码头部企业联合开展典型场景技术攻关与试点,探索产业发展创新路径,促进商业密码产业聚集发展。
(四)完善工业领域商用密码技术应用促进机制
一是依据《商用密码管理条例》,完善工业领域密码相关文件的顶层设计和整体规划,制定配套制度与标准文件,统筹推进检测认证、产品技术指标、应用指南等配套标准的制定修订工作,强化工业领域关键信息基础设施和重要工业控制系统依法使用密码技术保护网络与数据安全。二是加强商用密码基础研究和自主创新,加速布局适用于工业场景的密码轻量级密码算法与产品攻关,同时通过现场设备层、现场控制层、过程监控层等密码应用,构建工业领域密码产品体系,促进科研成果转化。三是推动建立工业领域密码产品和系统检验检测认证体系,完善检验检测认证规则,促进商用密码企业提升产品和服务质量。
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
