今日頭條
官方微信
官方抖音
資訊頻道摘要:本文介紹了《密碼法》施行一年來(lái)密碼在夯實(shí)工業(yè)信息安全方面起的作用,探討了密碼對(duì)工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)發(fā)展的支撐作用。
關(guān)鍵詞:密碼;工業(yè)信息安全;工業(yè)控制系統(tǒng);工業(yè)互聯(lián)網(wǎng)
1 引言
2019年10月26日,第十三屆全國(guó)人大常委會(huì)第十四次會(huì)議表決通過(guò)《中華人民共和國(guó)密碼法》(以下簡(jiǎn)稱(chēng):《密碼法》)[1],自2020年1月1日起施行。密碼法的出臺(tái),對(duì)于加強(qiáng)我國(guó)在密碼管理和應(yīng)用等方面的法律保障,推廣核心、普通、商用密碼應(yīng)用,進(jìn)一步夯實(shí)工業(yè)信息安全基礎(chǔ)等指出了路徑和方向。在密碼法中,相比1999年頒布的《商用密碼管理?xiàng)l例》[2],商用密碼的管理和使用在法律條款上有了較大改變,國(guó)家對(duì)商用密碼不再實(shí)行專(zhuān)控管理,而是給予了外資企業(yè)無(wú)差別無(wú)歧視的商用密碼從業(yè)單位稱(chēng)號(hào),這對(duì)于提升我國(guó)外資品牌市場(chǎng)占有率占70%以上的工業(yè)控制系統(tǒng)及大量使用開(kāi)源技術(shù)設(shè)計(jì)建設(shè)的工業(yè)互聯(lián)網(wǎng)平臺(tái)的本質(zhì)安全具有重大的意義。《密碼法》發(fā)布之后,國(guó)家發(fā)展改革委、國(guó)家密碼管理局、工業(yè)和信息化部等國(guó)家有關(guān)部門(mén)啟動(dòng)實(shí)施了多個(gè)密碼應(yīng)用專(zhuān)項(xiàng),初步形成了試點(diǎn)示范效應(yīng),有效推動(dòng)了商用密碼在工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)平臺(tái)等非傳統(tǒng)領(lǐng)域的應(yīng)用。
2 密碼在工業(yè)信息安全的基礎(chǔ)支撐作用
工業(yè)信息安全是近年來(lái)新興的一個(gè)概念。國(guó)內(nèi)最早提及工業(yè)信息安全一詞的文件是《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔2016〕28號(hào))[3],該文件在“二、主要任務(wù)(十)提高工業(yè)信息系統(tǒng)安全水平”中提到:“制定完善工業(yè)信息安全管理等政策法規(guī),健全工業(yè)信息安全標(biāo)準(zhǔn)體系……以提升工業(yè)信息安全監(jiān)測(cè)、評(píng)估、驗(yàn)證和應(yīng)急處置等能力為重點(diǎn),依托現(xiàn)有科研機(jī)構(gòu),建設(shè)國(guó)家工業(yè)信息安全保障中心,為制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展提供安全支撐。”
2017年,在工業(yè)和信息化部的支持下,工業(yè)和信息化部電子第一研究所更名為國(guó)家工業(yè)信息安全發(fā)展研究中心(以下簡(jiǎn)稱(chēng):國(guó)家工信安全中心),國(guó)家工信安全中心對(duì)工業(yè)信息安全內(nèi)涵進(jìn)行了深入研究和廣泛調(diào)研,組織起草了《工業(yè)信息安全標(biāo)準(zhǔn)體系白皮書(shū)》。白皮書(shū)中提到,一切涉及到工業(yè)領(lǐng)域的信息安全都屬于工業(yè)信息安全范疇,其內(nèi)涵十分豐富。從重要性來(lái)看,工業(yè)信息安全是網(wǎng)絡(luò)安全的重要組成,是國(guó)家總體安全觀在工業(yè)領(lǐng)域的重點(diǎn)體現(xiàn),其事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全,做好工業(yè)信息安全工作是關(guān)系國(guó)計(jì)民生和國(guó)家長(zhǎng)治久安的大事;從保障內(nèi)容來(lái)看,工業(yè)信息安全泛指各工業(yè)相關(guān)領(lǐng)域的信息安全,包括工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)數(shù)據(jù)安全、工業(yè)云安全等。
《密碼法》第二條給出了密碼的定義,是指“采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)”。第三條明確了密碼工作原則,“密碼工作堅(jiān)持總體國(guó)家安全觀,遵循統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé),創(chuàng)新發(fā)展、服務(wù)大局,依法管理、保障安全的原則”。總體安全觀是在2014年4月15日上午,中共中央總書(shū)記、國(guó)家主席、中央軍委主席、中央國(guó)家安全委員會(huì)主席習(xí)近平主持召開(kāi)中央國(guó)家安全委員會(huì)第一次會(huì)議時(shí)提出的[4]。他首次提出了總體國(guó)家安全觀,并首次系統(tǒng)提出“11種安全”,要構(gòu)建集政治安全、國(guó)土安全、軍事安全、經(jīng)濟(jì)安全、文化安全、社會(huì)安全、科技安全、信息安全、生態(tài)安全、資源安全、核安全等于一體的國(guó)家安全體系。在總體安全觀思想的指導(dǎo)下,分析密碼和工業(yè)信息安全的關(guān)系,可以說(shuō)密碼是工業(yè)信息安全的基礎(chǔ)或者說(shuō)其夯實(shí)了工業(yè)信息安全基礎(chǔ)。如無(wú)密碼支撐,則工業(yè)信息安全根基不牢,猶如沙堆建房。
《密碼法》對(duì)密碼進(jìn)行了分類(lèi)管理。密碼分為核心密碼、普通密碼和商用密碼。核心密碼、普通密碼用于保護(hù)國(guó)家秘密信息,核心密碼保護(hù)信息的最高密級(jí)為絕密級(jí),普通密碼保護(hù)信息的最高密級(jí)為機(jī)密級(jí)。工業(yè)領(lǐng)域中涉及到核心密碼、普通密碼使用的單位主要有工業(yè)領(lǐng)域政府管理或監(jiān)管部門(mén)和軍工企業(yè)。核心密碼、普通密碼主要側(cè)重于對(duì)涉及國(guó)家秘密信息的保護(hù),保護(hù)載體包括涉密單臺(tái)臺(tái)式機(jī)、涉密筆記本、涉密存儲(chǔ)介質(zhì),聯(lián)網(wǎng)形態(tài)包括涉密網(wǎng)及承載的涉密信息系統(tǒng),主要執(zhí)行分級(jí)保護(hù)標(biāo)準(zhǔn)。核心密碼、普通密碼均屬于國(guó)家秘密,也屬于需要保護(hù)的范圍。然而無(wú)論是核心密碼還是普通密碼,涉密網(wǎng)絡(luò)和系統(tǒng)或者涉密單機(jī),都側(cè)重于對(duì)信息的保護(hù),側(cè)重于對(duì)信息的信息安全三性需求之一——“機(jī)密性”的保護(hù),這種“機(jī)密性”保護(hù)在特定條件下可以犧牲“可用性”,實(shí)時(shí)性和并發(fā)量要求不高。
工業(yè)領(lǐng)域中海量面對(duì)的是不涉及國(guó)家秘密的生產(chǎn)數(shù)據(jù)、設(shè)備信息、工藝參數(shù)等。商用密碼可用于保護(hù)此類(lèi)信息,對(duì)此類(lèi)信息的保護(hù)也是工業(yè)信息安全的重要組成部分。目前對(duì)非涉密信息和系統(tǒng)的保護(hù),多個(gè)國(guó)家標(biāo)準(zhǔn)主要參考了國(guó)際信息安全準(zhǔn)則和標(biāo)準(zhǔn)。如國(guó)際標(biāo)準(zhǔn)化組織ISO提出了OSI安全體系框架;美國(guó)國(guó)家安全局(NSA)提出了信息保障技術(shù)框架(IATF)和可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)(TCSEC),美國(guó)ISS公司提出了P2DR動(dòng)態(tài)網(wǎng)絡(luò)安全體系模型;歐洲提出了信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)(ITSEC);我國(guó)提出了以《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》為基礎(chǔ)的若干標(biāo)準(zhǔn)。國(guó)際通用的“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則標(biāo)準(zhǔn)”(簡(jiǎn)稱(chēng)CC標(biāo)準(zhǔn)),它是在美國(guó)的TCSEC、歐洲的ITSEC、加拿大的CTCPEC等信息安全準(zhǔn)則的基礎(chǔ)上,由6個(gè)國(guó)家7方(美國(guó)國(guó)家安全局和國(guó)家技術(shù)標(biāo)準(zhǔn)研究所、加拿大、英國(guó)、法國(guó)、德國(guó)、荷蘭)共同提出,綜合了已有的信息安全的準(zhǔn)則和標(biāo)準(zhǔn),形成了一個(gè)更全面的框架。分析總結(jié)這些信息安全準(zhǔn)則和標(biāo)準(zhǔn),會(huì)發(fā)現(xiàn)無(wú)論哪種安全準(zhǔn)則、模型、框架等,都離不開(kāi)密碼。或者說(shuō)信息安全三性(保密性、完整性、可用性)的實(shí)現(xiàn)離不開(kāi)密碼。而如果將信息安全從三性擴(kuò)充到七性(保密性、完整性、可用性、可靠性、認(rèn)證性、審計(jì)性、不可否認(rèn)性),那么可以說(shuō)除可靠性外,其它六性都與密碼密不可分。
3 工業(yè)控制系統(tǒng)安全迫切需要密碼支撐
工業(yè)控制系統(tǒng)發(fā)展至今大約有70年時(shí)間,經(jīng)歷了集中控制、分層控制、基于現(xiàn)場(chǎng)總線的網(wǎng)絡(luò)控制、現(xiàn)場(chǎng)總線和工業(yè)以太網(wǎng)的混合控制等多個(gè)階段,目前主要有以下產(chǎn)品形態(tài):數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、過(guò)程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)、現(xiàn)場(chǎng)總線控制系統(tǒng)(FCS)、安全儀表系統(tǒng)(SIS)、遠(yuǎn)程終端單元(RTU)、智能電子設(shè)備(IED)、主終端設(shè)備(MTU)。
工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)制造、能源、交通、水利以及市政等領(lǐng)域,隨著信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與企業(yè)信息內(nèi)網(wǎng)、公共互聯(lián)網(wǎng)等進(jìn)行網(wǎng)絡(luò)連接,工業(yè)控制系統(tǒng)從封閉走向開(kāi)放,從專(zhuān)有走向通用,特別是在工業(yè)互聯(lián)網(wǎng)的發(fā)展背景下,開(kāi)放互聯(lián)的趨勢(shì)更加明顯,典型工業(yè)企業(yè)工業(yè)控制系統(tǒng)體系架構(gòu)如圖1所示。
圖1 典型數(shù)字化工業(yè)企業(yè)工業(yè)控制系統(tǒng)體系架構(gòu)
工業(yè)控制系統(tǒng)安全迫切需要密碼支撐。隨著改革開(kāi)放的不斷深入,兩化融合日益深化,工業(yè)控制系統(tǒng)廣泛用于國(guó)家核心領(lǐng)域,工業(yè)領(lǐng)域社會(huì)生產(chǎn)力得以迅猛發(fā)展,工業(yè)生產(chǎn)環(huán)境逐步從封閉走向開(kāi)放,工業(yè)控制系統(tǒng)由單機(jī)走向互聯(lián),計(jì)算機(jī)、網(wǎng)絡(luò)、通信、自動(dòng)化等多種技術(shù)在工業(yè)生產(chǎn)環(huán)境得到充分利用。然而,全球范圍內(nèi)針對(duì)工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊有增無(wú)減,信息竊取、勒索攻擊、病毒感染、網(wǎng)絡(luò)間諜、黑客入侵等攻擊手段花樣多變,攫取經(jīng)濟(jì)利益、盜取知識(shí)產(chǎn)權(quán)、攻擊關(guān)鍵信息基礎(chǔ)設(shè)施等大規(guī)模的安全事件屢有發(fā)生,對(duì)政治、經(jīng)濟(jì)、軍事、國(guó)家和社會(huì)安全等造成直接威脅和現(xiàn)實(shí)影響,工業(yè)控制系統(tǒng)安全成為各國(guó)政府高度關(guān)注的重大安全領(lǐng)域。解決工業(yè)控制系統(tǒng)安全問(wèn)題必須適應(yīng)工業(yè)控制系統(tǒng)長(zhǎng)期處于“有毒帶菌”的實(shí)際環(huán)境和難以整改的客觀困難,《密碼法》對(duì)提升工業(yè)控制系統(tǒng)本質(zhì)安全、加強(qiáng)工業(yè)信息安全具有十分重大的意義。可以說(shuō),《密碼法》的貫徹落實(shí)是提高工業(yè)控制系統(tǒng)信息安全保障能力的重要途徑。
從工業(yè)控制系統(tǒng)安全的調(diào)研情況來(lái)看,工業(yè)控制系統(tǒng)中使用密碼進(jìn)行保護(hù)的比率是很低的。我國(guó)工業(yè)控制系統(tǒng)的國(guó)產(chǎn)密碼應(yīng)用基礎(chǔ)薄弱,工業(yè)控制系統(tǒng)的國(guó)產(chǎn)密碼應(yīng)用程度較低,占比僅為2.08%,密碼推廣應(yīng)用挑戰(zhàn)嚴(yán)峻。原因主要有以下幾個(gè)方面:一是我國(guó)1999年頒布的《商用密碼管理?xiàng)l例》第三條規(guī)定:“商用密碼技術(shù)屬于國(guó)家秘密。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷(xiāo)售和使用實(shí)行專(zhuān)控管理。”這一條款對(duì)于大量成套引進(jìn)的工業(yè)控制系統(tǒng)(國(guó)外品牌占有率70%以上)來(lái)說(shuō)無(wú)疑是障礙性條款,國(guó)外廠商不愿或者難以使用商用密碼產(chǎn)品進(jìn)行安全增強(qiáng),國(guó)內(nèi)安全廠商難以對(duì)國(guó)外控制系統(tǒng)進(jìn)行安全集成。二是面向工業(yè)控制系統(tǒng)的專(zhuān)用密碼產(chǎn)品較少,多為外掛式或者插拔式,難以嵌入工業(yè)控制系統(tǒng)業(yè)務(wù)流程。三是針對(duì)工業(yè)控制系統(tǒng)數(shù)據(jù)存儲(chǔ)和傳輸?shù)拳h(huán)節(jié)的密碼產(chǎn)品較少,工業(yè)控制系統(tǒng)數(shù)據(jù)加密存儲(chǔ)應(yīng)用占比僅為6.9%,工業(yè)控制系統(tǒng)數(shù)據(jù)加密傳輸應(yīng)用占比僅為6.0%。在工控安全領(lǐng)域,密碼產(chǎn)品和算法多用于工業(yè)控制系統(tǒng)的訪問(wèn)控制和身份認(rèn)證,在數(shù)據(jù)(多為時(shí)序數(shù)據(jù),存儲(chǔ)于時(shí)序數(shù)據(jù)庫(kù))加密存儲(chǔ)和加密傳輸方面的密碼應(yīng)用十分缺乏,難以滿足工業(yè)控制系統(tǒng)的數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩枨蟆K氖乾F(xiàn)有密碼技術(shù)產(chǎn)品難以滿足工業(yè)控制系統(tǒng)實(shí)時(shí)性、穩(wěn)定性要求,現(xiàn)有密碼技術(shù)產(chǎn)品在實(shí)時(shí)性等方面還需與工業(yè)控制系統(tǒng)進(jìn)行深度的試配與驗(yàn)證。例如,采集執(zhí)行層的無(wú)線通信加密技術(shù)和串口連接加密技術(shù)尚不成熟,集中監(jiān)控層與現(xiàn)場(chǎng)控制層間的數(shù)據(jù)傳輸需要輕量級(jí)、低時(shí)延的密碼算法支撐。若現(xiàn)有國(guó)產(chǎn)密碼算法直接應(yīng)用于工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸?shù)募咏饷懿僮鳎I(yè)控制系統(tǒng)的數(shù)據(jù)實(shí)時(shí)性所受影響的嚴(yán)重程度尚無(wú)數(shù)據(jù)支撐。同時(shí)工業(yè)控制系統(tǒng)中大量數(shù)據(jù)交互、頻繁加解密會(huì)占用計(jì)算資源、產(chǎn)生時(shí)延,降低系統(tǒng)性能和運(yùn)行速度,還會(huì)在一定程度上增加信道占用時(shí)間,加劇信道沖突風(fēng)險(xiǎn),導(dǎo)致系統(tǒng)運(yùn)行不穩(wěn)定。五是國(guó)產(chǎn)密碼技術(shù)產(chǎn)品在工業(yè)控制系統(tǒng)中的推廣應(yīng)用困難,一方面因?yàn)閲?guó)產(chǎn)密碼技術(shù)產(chǎn)品在工業(yè)控制系統(tǒng)中的應(yīng)用缺乏安全測(cè)評(píng),難以讓企業(yè)信服并推廣應(yīng)用,另一方面在工業(yè)控制系統(tǒng)環(huán)境中開(kāi)展國(guó)產(chǎn)密碼技術(shù)產(chǎn)品安全性、穩(wěn)定性、可靠性測(cè)評(píng)的技術(shù)手段較為缺乏。此外,密碼技術(shù)產(chǎn)品的市場(chǎng)競(jìng)爭(zhēng)力弱、企業(yè)認(rèn)可度低、應(yīng)用模式不清、標(biāo)準(zhǔn)規(guī)范缺失等因素都使得國(guó)產(chǎn)密碼推廣應(yīng)用受限。
《密碼法》的出臺(tái)為工業(yè)控制系統(tǒng)密碼推廣應(yīng)用奠定了基礎(chǔ)。《密碼法》在總則第八條明確規(guī)定:“商用密碼用于保護(hù)不屬于國(guó)家秘密的信息。公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全。”對(duì)于商用密碼管理和使用,《密碼法》第三章共用十一條條款規(guī)定了商用密碼管理和使用的多個(gè)方面,突破了我國(guó)1999發(fā)布的《商用密碼管理?xiàng)l例》的若干規(guī)定。總體來(lái)說(shuō),《密碼法》的出臺(tái)將對(duì)工業(yè)控制系統(tǒng)商用密碼應(yīng)用推廣有以下推動(dòng)作用:
(1)推動(dòng)外商投資企業(yè)在工業(yè)控制系統(tǒng)的密碼使用。第二十一條提出了商用密碼從業(yè)單位的概念,對(duì)外商投資企業(yè)和內(nèi)資投資企業(yè)采用無(wú)差別化對(duì)待,“國(guó)家鼓勵(lì)商用密碼技術(shù)的研究開(kāi)發(fā)、學(xué)術(shù)交流、成果轉(zhuǎn)化和推廣應(yīng)用,健全統(tǒng)一、開(kāi)放、競(jìng)爭(zhēng)、有序的商用密碼市場(chǎng)體系,鼓勵(lì)和促進(jìn)商用密碼產(chǎn)業(yè)發(fā)展。各級(jí)人民政府及其有關(guān)部門(mén)應(yīng)當(dāng)遵循非歧視原則,依法平等對(duì)待包括外商投資企業(yè)在內(nèi)的商用密碼科研、生產(chǎn)、銷(xiāo)售、服務(wù)、進(jìn)出口等單位(以下統(tǒng)稱(chēng)商用密碼從業(yè)單位)。國(guó)家鼓勵(lì)在外商投資過(guò)程中基于自愿原則和商業(yè)規(guī)則開(kāi)展商用密碼技術(shù)合作。行政機(jī)關(guān)及其工作人員不得利用行政手段強(qiáng)制轉(zhuǎn)讓商用密碼技術(shù)。”這一條款的出臺(tái)將大大促進(jìn)GE、西門(mén)子、施耐德、羅克韋爾自動(dòng)化、橫河電機(jī)等國(guó)外制造商在其工控產(chǎn)品中使用密碼以達(dá)到中國(guó)用戶的安全需求。同時(shí)第二十五條規(guī)定,“國(guó)家推進(jìn)商用密碼檢測(cè)認(rèn)證體系建設(shè),制定商用密碼檢測(cè)認(rèn)證技術(shù)規(guī)范、規(guī)則,鼓勵(lì)商用密碼從業(yè)單位自愿接受商用密碼檢測(cè)認(rèn)證,提升市場(chǎng)競(jìng)爭(zhēng)力。”這一條款也將改變外商對(duì)于強(qiáng)制條款的心理抵制,由專(zhuān)控管理實(shí)現(xiàn)市場(chǎng)引導(dǎo)。
(2)推動(dòng)工業(yè)控制系統(tǒng)密碼應(yīng)用標(biāo)準(zhǔn)的制、修定。密碼法第二十二條、二十三條、二十四條都對(duì)商用密碼體系的建立和完善、商用密碼標(biāo)準(zhǔn)國(guó)際化及轉(zhuǎn)化、企業(yè)商用密碼標(biāo)準(zhǔn)制定等做出了相關(guān)規(guī)定,這些條款將大大提高工業(yè)控制系統(tǒng)用戶、安全廠商、產(chǎn)品廠商等制、修訂標(biāo)準(zhǔn)的熱情,不斷建立和完善工業(yè)控制系統(tǒng)密碼應(yīng)用標(biāo)準(zhǔn)體系。
(3)推動(dòng)商用密碼在特定工業(yè)控制系統(tǒng)(列為關(guān)鍵信息基礎(chǔ)設(shè)施且有密碼應(yīng)用要求)中使用、應(yīng)用安全測(cè)評(píng)和國(guó)家安全審查。《密碼法》第二十七條規(guī)定:“法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接,避免重復(fù)評(píng)估、測(cè)評(píng)。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定,通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)家密碼管理部門(mén)等有關(guān)部門(mén)組織的國(guó)家安全審查。”工業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施極有可能是從涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的工業(yè)控制系統(tǒng)中產(chǎn)生,這類(lèi)工業(yè)控制系統(tǒng)是國(guó)家勢(shì)力、敵對(duì)分子、黑客蟊賊等重點(diǎn)關(guān)注和攻擊的對(duì)象,只有建立在密碼保障的基礎(chǔ)上,才能實(shí)現(xiàn)此類(lèi)系統(tǒng)的本質(zhì)安全。
4 商用密碼促進(jìn)工業(yè)互聯(lián)網(wǎng)平臺(tái)發(fā)展
工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,是實(shí)現(xiàn)生產(chǎn)制造領(lǐng)域全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈連接的關(guān)鍵支撐,是工業(yè)經(jīng)濟(jì)數(shù)字化、網(wǎng)絡(luò)化、智能化的重要基礎(chǔ)設(shè)施,是互聯(lián)網(wǎng)從消費(fèi)領(lǐng)域向生產(chǎn)領(lǐng)域、從虛擬經(jīng)濟(jì)向?qū)嶓w經(jīng)濟(jì)拓展的核心載體。工業(yè)互聯(lián)網(wǎng)內(nèi)涵和外延也在不斷拓展,工業(yè)互聯(lián)網(wǎng)的兩大屬性是“工業(yè)”和“互聯(lián)”,以工業(yè)互聯(lián)網(wǎng)為紐帶,工業(yè)互聯(lián)網(wǎng)包括工業(yè)控制系統(tǒng)、工業(yè)物聯(lián)網(wǎng)、工業(yè)云、工業(yè)數(shù)據(jù)及5G、區(qū)塊鏈等其他新興的工業(yè)互聯(lián)網(wǎng)形態(tài)。工業(yè)云是工業(yè)互聯(lián)網(wǎng)平臺(tái)及工業(yè)物聯(lián)網(wǎng)的基礎(chǔ)技術(shù),而工業(yè)互聯(lián)網(wǎng)平臺(tái)是傳統(tǒng)工業(yè)云平臺(tái)的迭代升級(jí)。工業(yè)互聯(lián)網(wǎng)平臺(tái)除工業(yè)云外,還包括邊緣層、工業(yè)應(yīng)用以及平臺(tái)上的工業(yè)數(shù)據(jù),并且與工業(yè)物聯(lián)網(wǎng)有交叉關(guān)系。工業(yè)互聯(lián)網(wǎng)的發(fā)展模糊了物理世界和虛擬世界的界限,由此引發(fā)的網(wǎng)絡(luò)攻擊往往會(huì)造成比過(guò)去更嚴(yán)重的影響。工業(yè)互聯(lián)網(wǎng)安全不是單個(gè)企業(yè)乃至一個(gè)行業(yè)能夠獨(dú)自實(shí)現(xiàn)的。工業(yè)互聯(lián)網(wǎng)體系架構(gòu)如圖2所示。
圖2 工業(yè)互聯(lián)網(wǎng)體系架構(gòu)
在工業(yè)互聯(lián)網(wǎng)發(fā)展上,可以說(shuō)我國(guó)和發(fā)達(dá)國(guó)家處于同一起跑線,我國(guó)甚至可能“集中力量辦大事”,實(shí)現(xiàn)“彎道超車(chē)”。美國(guó)有GE公司的Predix平臺(tái),德國(guó)有西門(mén)子公司的MindSpere平臺(tái),我國(guó)具有一定行業(yè)和區(qū)域影響力的工業(yè)互聯(lián)網(wǎng)平臺(tái)總數(shù)超過(guò)了50家,重點(diǎn)平臺(tái)平均連接的設(shè)備數(shù)量達(dá)到了59萬(wàn)臺(tái)[5]。然而,我國(guó)工業(yè)互聯(lián)網(wǎng)技術(shù)和設(shè)備對(duì)外依存度依然高居不下,對(duì)國(guó)外技術(shù)和設(shè)備存在的后門(mén)難以掌握。2018年工業(yè)和信息化部對(duì)全國(guó)30多家大型企業(yè)共130多種關(guān)鍵基礎(chǔ)材料進(jìn)行調(diào)研,結(jié)果顯示,32%的關(guān)鍵材料在中國(guó)仍為空白,52%依賴(lài)進(jìn)口,絕大多數(shù)計(jì)算機(jī)和服務(wù)器通用處理器中95%的高端專(zhuān)用芯片、70%以上智能終端處理器以及絕大多數(shù)存儲(chǔ)芯片依賴(lài)進(jìn)口。在裝備制造領(lǐng)域,高檔數(shù)控機(jī)床、高檔裝備儀器、運(yùn)載火箭、大飛機(jī)、航空發(fā)動(dòng)機(jī)、汽車(chē)等關(guān)鍵件精加工生產(chǎn)線上逾95%制造及檢測(cè)設(shè)備依賴(lài)進(jìn)口。
對(duì)國(guó)外產(chǎn)品的大量使用和依賴(lài)不僅涉及信息安全,也涉及供應(yīng)鏈安全。難以確保是否存在后門(mén),后門(mén)是否得到管控。后門(mén)是指那些人為設(shè)置的、能繞過(guò)安全性控制而獲取對(duì)系統(tǒng)控制或訪問(wèn)權(quán)的秘密機(jī)制。設(shè)置方可以隨時(shí)利用后門(mén)更改系統(tǒng)設(shè)置,使用方很難發(fā)覺(jué)。后門(mén)的危害很大。它猶如“定時(shí)炸彈”或“特洛伊木馬”,可被促發(fā)或者設(shè)置時(shí)間戳,在特定時(shí)間瞬間造成嚴(yán)重?fù)p害,讓人無(wú)力反擊。我國(guó)在2000年左右,電力、民航等多個(gè)重要系統(tǒng)都曾發(fā)生過(guò)收到不明指令而出現(xiàn)系統(tǒng)事故的案例。此外,我國(guó)供應(yīng)鏈安全審查還缺乏體系化的成功經(jīng)驗(yàn),在中美貿(mào)易的復(fù)雜形勢(shì)下,如果“美國(guó)技術(shù)含量”超過(guò)25%的技術(shù)產(chǎn)品通過(guò)“穿馬甲”的方式被引入工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施和重要系統(tǒng)將會(huì)構(gòu)成重大的安全隱患。
工業(yè)互聯(lián)網(wǎng)安全是工業(yè)信息安全的重要組成部分,工業(yè)互聯(lián)網(wǎng)的發(fā)展迫切需要同步應(yīng)用和發(fā)展密碼。后門(mén)可以通過(guò)密碼進(jìn)行避免,使用密碼技術(shù),對(duì)人員、軟硬件、進(jìn)程等進(jìn)行可信驗(yàn)證,就可以保證沒(méi)有后門(mén)。同時(shí),工業(yè)互聯(lián)網(wǎng)的發(fā)展迫切需要在“端管云”中全方位體系化地應(yīng)用密碼。“端”可以理解為采集端或執(zhí)行器,端的身份在接入時(shí)需要認(rèn)證,端在執(zhí)行重要指令時(shí)需要對(duì)發(fā)令方身份進(jìn)行認(rèn)證;“管”可以理解為通信信道,端采集的數(shù)據(jù)在向平臺(tái)傳輸時(shí)需要加密,平臺(tái)向特定執(zhí)行器下發(fā)數(shù)據(jù)時(shí)也需要加密;“云”可以理解為平臺(tái),平臺(tái)的安全策略需要以密碼為保障。工業(yè)互聯(lián)網(wǎng)上使用的重要商用密碼產(chǎn)品和服務(wù)需進(jìn)行檢測(cè)認(rèn)證,《密碼法》第二十六條規(guī)定:“涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品,應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄,由具備資格的機(jī)構(gòu)檢測(cè)認(rèn)證合格后,方可銷(xiāo)售或者提供。商用密碼產(chǎn)品檢測(cè)認(rèn)證適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定,避免重復(fù)檢測(cè)認(rèn)證。商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的,應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對(duì)該商用密碼服務(wù)認(rèn)證合格。”
5 結(jié)束語(yǔ)
我國(guó)已發(fā)布一系列的商用密碼標(biāo)準(zhǔn),包括SSF33、SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖沖之密碼(ZUC)算法等。其中,SSF33、SM1、SM4、SM7、ZUC算法是對(duì)稱(chēng)算法,SM2、SM9是非對(duì)稱(chēng)算法,SM3是雜湊算法。這些算法相比MD5、RSA、DES等國(guó)外算法來(lái)說(shuō)在安全性和速率方面更具優(yōu)勢(shì),且在電力、銀行、交通、社保等多個(gè)行業(yè)都得到成功應(yīng)用。貫徹落實(shí)密碼法,將大大促進(jìn)密碼在工業(yè)信息安全領(lǐng)域的應(yīng)用,夯實(shí)工業(yè)信息安全基礎(chǔ),促進(jìn)工業(yè)生產(chǎn)力的爆發(fā)。
作者簡(jiǎn)介:
何小龍(1969-),四川成都人,高級(jí)工程師,碩士,現(xiàn)任國(guó)家工業(yè)信息安全發(fā)展研究中心副主任,主要研究方向?yàn)楣I(yè)信息安全、數(shù)據(jù)安全、兩化融合等。
陳雪鴻(1976-),湖南懷化人,高級(jí)工程師,碩士,現(xiàn)任國(guó)家工業(yè)信息安全發(fā)展研究中心保障技術(shù)所所長(zhǎng),主要研究方向?yàn)楣I(yè)信息安全、密碼學(xué)、工業(yè)控制系統(tǒng)安全、電力監(jiān)控系統(tǒng)安全。
楊帥鋒(1989-),浙江紹興人,工程師,碩士,現(xiàn)任國(guó)家工業(yè)信息安全發(fā)展研究中心保障技術(shù)所研究總監(jiān),主要研究方向?yàn)楣I(yè)信息安全、數(shù)據(jù)安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全。
張雪瑩(1992-),河南安陽(yáng)人,工程師,碩士,現(xiàn)就職于國(guó)家工業(yè)信息安全發(fā)展研究中心保障技術(shù)所,主要研究方向?yàn)楣I(yè)信息安全、數(shù)據(jù)安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全。
參考文獻(xiàn):
[1] 全國(guó)人民代表大會(huì). 中華人民共和國(guó)密碼法[EB/OL]. http://www.npc.gov.cn/, 2019.
[2] 國(guó)家密碼管理局. 商用密碼管理?xiàng)l例[EB/OL]. http://www.oscca.gov.cn/, 1999.
[3] 國(guó)務(wù)院. 國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)[EB/OL]. http://www.gov.cn/, 2016.
[4] 中央國(guó)家安全委員會(huì)第一次會(huì)議召開(kāi) 習(xí)近平發(fā)表重要講話[EB/OL]. http://www.gov.cn/, 2014.
[5] 我國(guó)工業(yè)互聯(lián)網(wǎng)已實(shí)現(xiàn)全方位突破[EB/OL]. http://www.xinhuanet.com/, 2019.
摘自《自動(dòng)化博覽》2020年12月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)