專(zhuān)家解讀｜張劍：構建工控行業(yè)密碼應用體系 
促進(jìn)工控行業(yè)與商用密碼深度融合 
中電科網(wǎng)絡(luò )安全科技股份有限公司副總經(jīng)理 張劍 

一、引言

《商用密碼管理條例》自1999年10月頒布實(shí)施以來(lái)，在保障網(wǎng)絡(luò )空間安全、規范商用密碼管理、促進(jìn)商用密碼發(fā)展等方面發(fā)揮了重要作用?！睹艽a法》于2020年1月1日起施行，對商用密碼管理制度進(jìn)行了結構性重塑，新修訂的《商用密碼管理條例》進(jìn)一步細化《密碼法》相關(guān)商用密碼管理制度，為促進(jìn)商用密碼高質(zhì)量發(fā)展奠定了堅實(shí)基礎。

為保障我國工業(yè)控制系統安全，以實(shí)現工業(yè)控制行業(yè)與商用密碼深度融合為目標，本文分析工業(yè)控制系統安全現狀，提出工業(yè)控制系統密碼應用發(fā)展3項建議。

二、工業(yè)控制系統安全現狀與發(fā)展趨勢分析

（一）工業(yè)控制系統安全事件頻出，網(wǎng)絡(luò )攻擊造成巨大經(jīng)濟損失

隨著(zhù)關(guān)鍵信息基礎設施的數字化程度不斷提高，針對關(guān)鍵信息基礎設施的威脅不斷增加。一旦關(guān)鍵信息基礎設施受到網(wǎng)絡(luò )攻擊陷入癱瘓，引起的連鎖反應甚至會(huì )對一個(gè)國家/地區造成巨大損失。2022年10月，伊朗核電站疑遭伊朗黑客組織攻擊，大量數據泄露。2022年2月，物流巨頭Expeditors疑遭勒索軟件攻擊，全球業(yè)務(wù)關(guān)閉。2021年5月，美國最大的燃油管道運營(yíng)商科洛尼爾管道運輸公司（Colonial Pipeline）遭網(wǎng)絡(luò )攻擊，被迫關(guān)閉全部管道運營(yíng)系統。遭受攻擊2天后，美國宣布17個(gè)州和華盛頓特區進(jìn)入緊急狀態(tài)，以應對勒索軟件的攻擊。2021年4月，荷蘭規模最大的物流服務(wù)提供商之一Bakker logistiek遭受了勒索軟件攻擊。2020年4月，葡萄牙跨國能源公司EDP遭到勒索軟件攻擊，被要求贖金1090萬(wàn)美元等。

（二）我國工業(yè)控制系統面臨的安全威脅與風(fēng)險不斷加大

隨著(zhù)我國互聯(lián)網(wǎng)普及和工業(yè)4.0、大數據、數字化工程等新技術(shù)、新業(yè)務(wù)的快速發(fā)展與應用，工業(yè)控制系統網(wǎng)絡(luò )復雜度在不斷提高，各生產(chǎn)單元內部系統與受控系統信息交換的需求不斷增長(cháng)，工業(yè)控制系統網(wǎng)絡(luò )安全需求也在快速增長(cháng)。近年來(lái)，工業(yè)控制系統高危安全漏洞層出不窮，暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統及設備有增無(wú)減，網(wǎng)絡(luò )攻擊難度逐漸降低，工業(yè)控制系統網(wǎng)絡(luò )安全威脅與風(fēng)險不斷加大，對我國工業(yè)控制系統安全不斷提出新的挑戰。我國工業(yè)控制系統面臨的風(fēng)險包括工業(yè)協(xié)議缺陷（如Modbus、OPC、IEC101/104等缺乏認證、授權、加密機制，使得工業(yè)控制協(xié)議易遭受第三者的竊聽(tīng)及欺騙性攻擊）、工業(yè)設備缺陷（如設備安全性考慮不足，存在很多高危安全漏洞，有的甚至存在后門(mén)）、高危漏洞風(fēng)險（據工業(yè)網(wǎng)絡(luò )安全公司Claroty發(fā)布，2021年上半年工業(yè)控制系統產(chǎn)品的漏洞為637個(gè)，超過(guò)70%的為嚴重或高嚴重等級漏洞；而該公司2020年下半年披露的漏洞數量為449個(gè)）、組態(tài)軟件缺陷（如KingView 6.53存在的緩沖區溢出漏洞）等。

（三）我國工業(yè)控制系統的密碼應用基礎薄弱

從我國工業(yè)控制系統安全的調研情況來(lái)看，工業(yè)控制系統中使用密碼進(jìn)行保護的比例較低，主要原因包括能嵌入工業(yè)控制系統的密碼設備少、密碼技術(shù)難以滿(mǎn)足工業(yè)控制系統實(shí)時(shí)性要求、密碼技術(shù)需要與工業(yè)控制系統進(jìn)行深度適配等等。當前，工業(yè)控制系統中密碼應用主要聚焦于一些重要領(lǐng)域。在有些工業(yè)場(chǎng)景中，如新能源發(fā)電，由于現場(chǎng)控制層控制器與過(guò)程監控層的工程師站、操作員站地理位置分布較遠，需要通過(guò)廣域網(wǎng)進(jìn)行各類(lèi)數據的傳輸，為了防止敏感數據被竊聽(tīng)、篡改、重放，使用IPSEC VPN對傳輸數據進(jìn)行網(wǎng)絡(luò )層保護。當前，工業(yè)控制系統中密碼應用呈現單點(diǎn)建設、缺少體系化的特點(diǎn)。

（四）使用商用密碼保護工業(yè)控制系統安全是必然趨勢

2020年1月1日，《密碼法》正式施行?！睹艽a法》明確“法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的關(guān)鍵信息基礎設施，其運營(yíng)者應當使用商用密碼進(jìn)行保護，自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估”。能源、化工、冶金、水利等重要行業(yè)和領(lǐng)域中以PLC/DCS為代表的工業(yè)控制系統，是行業(yè)領(lǐng)域中重大工程和裝備的大腦，是實(shí)現制造業(yè)數字化、網(wǎng)絡(luò )化、智能化的關(guān)鍵設備，是國家的關(guān)鍵信息基礎設施。密碼是維護國家政治安全、經(jīng)濟安全、國防安全和信息安全的重要工具，將密碼技術(shù)應用于工業(yè)控制系統的網(wǎng)絡(luò )安全防護中，將有效提升工業(yè)控制系統的安全防護能力，解決工業(yè)控制系統面臨的部分安全問(wèn)題。

三、工業(yè)控制系統密碼應用發(fā)展建議

（一）構建工業(yè)控制系統密碼應用體系，賦能工業(yè)控制系統安全運行

 

圖 1 工業(yè)控制系統密碼應用體系

 

逐步推進(jìn)工業(yè)控制系統商用密碼改造，逐步實(shí)現對網(wǎng)絡(luò )安全等級保護三級以上工業(yè)控制系統的商用密碼應用安全性評估。建設工業(yè)控制系統的密碼應用體系，包括密碼基礎支撐設施建設、密碼應用技術(shù)保障建設、密碼管理保障建設和密碼標準體系建設。建設密碼應用技術(shù)保障，通過(guò)現場(chǎng)設備層密碼應用、現場(chǎng)控制層密碼應用、過(guò)程監控層密碼應用、生產(chǎn)管理層密碼應用和企業(yè)資源層密碼應用，為工業(yè)控制系統的數據采集類(lèi)業(yè)務(wù)、參數設置類(lèi)業(yè)務(wù)、控制指令類(lèi)業(yè)務(wù)等提供密碼技術(shù)保障。建設密碼管理保障，通過(guò)密碼安全運維、應急容災、安全保密等管理，實(shí)現密碼安全管理。建設密碼標準體系，通過(guò)建立工業(yè)控制系統密碼技術(shù)、密碼產(chǎn)品功能、密碼協(xié)議、以及密碼測評相關(guān)標準，實(shí)現互聯(lián)互通。

（二）將密碼融入工業(yè)控制系統端側，構建基于內生安全的工業(yè)控制系統

構建內生安全的工業(yè)控制系統，關(guān)鍵在于將密碼融入工業(yè)控制系統的核心設備中。工業(yè)控制系統的核心控制設備如DCS、PLC、SIS、SCADA等，逐步將商用密碼技術(shù)、安全可信技術(shù)融入控制器設計，基于商用密碼算法實(shí)現訪(fǎng)問(wèn)控制、工業(yè)協(xié)議控制、數據加密保護、用戶(hù)認證等安全功能。在工業(yè)控制系統的端側，現場(chǎng)設備層中的儀表、傳感器、執行器等，現場(chǎng)控制層的DCS控制系統、PLC控制系統、SIS控制系統等，過(guò)程監控層的SCADA系統等通過(guò)集成密碼芯片、密碼IP核、軟件密碼模塊等實(shí)現密碼算力支撐；對于不能改造的設備，在邊界部署工業(yè)邊緣超融合網(wǎng)關(guān)，實(shí)現設備接入認證、數據傳輸加密。在現場(chǎng)控制層和過(guò)程監控層之間部署工業(yè)加密網(wǎng)關(guān)，實(shí)現訪(fǎng)問(wèn)控制和傳輸加密。在過(guò)程控制層的操作站上部署智能密碼鑰匙，實(shí)現身份鑒別和主機安全管理。

（三）打造密碼基礎支撐設施底座，促進(jìn)工業(yè)控制系統密碼應用有序建設

打造密碼基礎支撐設施底座，提供安全、合規、標準、適用的密碼能力。密碼基礎支撐設施主要包括數字證書(shū)系統、密鑰管理系統、數據庫加密系統、密碼監管系統等。密碼基礎支撐設施為工業(yè)控制系統提供數據加密能力，實(shí)現工業(yè)控制系統中證書(shū)及密鑰的全生命周期管理，實(shí)現密碼資源、密碼設備、密碼應用的全流程監管。

工業(yè)控制系統密碼應用建設采用從上到下、從易到難的原則進(jìn)行推進(jìn)，從企業(yè)資源層的供應鏈管理系統、生產(chǎn)管理層的調度管理計劃管理系統等進(jìn)行改造，再逐步推廣到工控核心系統等。對現場(chǎng)設備層，能改造的則改造，不能改造的部署網(wǎng)關(guān)類(lèi)密碼產(chǎn)品保護。工業(yè)控制系統密碼應用建設部署如圖2所示。

圖 2 工業(yè)控制系統密碼應用建設部署圖（示例）

 

（四）培養工控安全密碼復合型人才，推動(dòng)人才隊伍建設

網(wǎng)絡(luò )空間的競爭，歸根結底是人才競爭。培養工業(yè)自動(dòng)化、網(wǎng)絡(luò )安全、密碼應用復合型人才，加強專(zhuān)業(yè)技能培訓，建立人才選拔機制，是提升工控安全防護水平的核心關(guān)鍵。推動(dòng)人才隊伍建設，要加強國家、地方政策扶持，推廣實(shí)用技能型人才教育，建立系統化人才培養機制；各高等院校和科研機構要加強學(xué)科建設和專(zhuān)業(yè)化培養，加強國際交流，建立聯(lián)合型、實(shí)戰型培養模式；加強工業(yè)企業(yè)和安全企業(yè)協(xié)同合作，發(fā)揮各自在行業(yè)、專(zhuān)業(yè)上的優(yōu)勢，借助競賽平臺合力培養復合型工控安全人才。

四、結語(yǔ)

密碼技術(shù)作為保障網(wǎng)絡(luò )與信息安全的核心技術(shù)和基礎支撐，在維護國家安全、促進(jìn)經(jīng)濟發(fā)展、保護人民群眾利益中發(fā)揮著(zhù)越來(lái)越重要的作用。未來(lái)，工業(yè)控制行業(yè)與商用密碼將進(jìn)一步深度融合，推動(dòng)工業(yè)控制行業(yè)商用密碼科技創(chuàng )新能力顯著(zhù)增強，構建起以商用密碼為核心技術(shù)的工業(yè)關(guān)鍵基礎設施。