今日頭條
官方微信
官方抖音
資訊頻道工業互聯網平臺是一種面向制造業數字化、網絡化、智能化需求,構建基于海量數據采集、匯聚、分析的服務體系,是支撐制造資源泛在連接、彈性供給、高效配置的工業云平臺。當前,我國工業互聯網平臺迅速發展,涌現了東方國信Cloudiip、徐工信息Xrea、樹根互聯根云等大批優秀實踐成果,這些平臺在用戶生態、開發者生態和數據生態構建中發揮了巨大作用,極大地推動了工業生產的智能化。
在工業互聯網平臺下,傳統的工業數據由企業內部閉環流動轉為可能通過公共互聯網、公有云傳輸,數據遭泄露、篡改、偽造的風險增加。此外,與傳統消費互聯網不同,工業互聯網涉及大量生產設備之間數據傳輸,其數據具有來源廣泛、種類多樣、產生速率快、數據量大、更具價值屬性和產權屬性等特點,且安全級聯效應明顯,一旦發生數據泄露,除影響正常的生產運營外,極有可能損害國家安全、國計民生和人民生命健康,因此亟需通過密碼技術保障工業互聯網數據可用性、完整性、保密性,確保工業生產正常運營。
一、工業互聯網平臺數據上云形式
在工業生產運營、工業云服務等過程中,工業互聯網平臺與工業現場存在著大量數據交互。從數據來源和典型應用需求來看,工業互聯網平臺數據上傳和下行存在六種形式,分別是:云與協同層辦公網數據之間的傳輸,目的是促進企業辦公業務系統的協同化、智能化;云與企業層生產管理系統,如ERP系統之間的數據傳輸,主要目的是促進企業智能決策;云與車間層,如MES系統之間的數據傳輸,主要是促進智能排產;云與控制層,如SCADA之間的數據傳輸,主要是促進數據的智能化控制及監測分析;云與現場設備層,如工業傳感器等終端采集點的直接數據交互;云與邊緣節點之間的數據雙向傳輸。其中前五種方式是當前常見的數據交互形式,其工業互聯網平臺數據交互形式如圖1所示。第六種方式適用于有邊緣計算的場景中,邊緣節點與工業互聯網平臺數據交互形式如圖2所示,其區別在于,邊緣節點不再只是數據的消費者,還是數據的生產者。
通過以上六種形式的數據交互,大量工況狀態數據以及工業現場溫濕度、壓力、位移等工業傳感數據逐漸上云匯聚,這些在云端匯聚存儲的數據愈發成為黑客重點攻擊目標,可引發重要工業數據泄露等事件。因此,亟需對控制指令、重要工藝參數、工況狀態、供應鏈數據等重要敏感數據部署數據加密、完整性校驗等密碼技術措施,確保數據存儲、使用、傳輸、共享等過程中的保密性、完整性和可用性。
二、國內外密碼算法研究及應用現狀
相較于傳統網絡數據,工業互聯網數據需在保證實時性、穩定性和可靠性等前提下實施安全保護策略,現有的國外RSA、ECC等成熟商用密碼算法計算量較大,更注重不可破解性,不能完全滿足工業互聯網對于實時性的要求。相比于國外密碼算法,部分國產SM系列算法雖然性能消耗相對較低,但因產業化不足,市場生產和適配成本較高,相關密碼在工業互聯網平臺中的應用還不夠廣泛。此外,物聯網及工業終端計算資源、存儲資源受限,集成密碼技術會占用有限資源,也成為密碼技術應用受限的重要原因。
針對上述問題,國內外就密碼算法方面已開展了一系列研究。2013年,美國國家標準技術研究院(NIST)啟動了“輕量級密碼”項目,以研究NIST已批準的密碼標準在資源受限設備上的應用效果。2017年,NIST發布了《輕量級密碼報告》,給出了輕量級密碼算法標準化相關計劃。2018年,NIST發布了56個基于SPN結構(如AES)或者Feistel結構的輕量級密碼算法。2019年,NIST發布了新版大數據互操作框架NBDIF(SP 1500)[8],該框架的安全與隱私篇根據密碼技術所支持的功能,以及它們實施的數據可見性對密碼技術進行分類。國際標準化組織(ISO)也發布了《輕量級密碼(ISO/IEC 29192)》,對CLEFIA、IBS等輕量級算法進行描述。
我國高度重視商用密碼算法的研究及應用。2019年發布的《密碼法》明確提出“國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用;依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等”。當前已經發布了《信息安全技術 SM4分組密碼算法(GB_T 32907-2016)》《信息安全技術 二元序列隨機性檢測方法(GB_T 32915-2016)》等密碼算法標準,SM2/3/9密碼算法[10]也正式成為ISO/IEC國際標準。在國家法律和相關標準工作的推動和支持下,密碼算法尤其是輕量級密碼算法的研究勢必將成為行業企業及科研機構繼續加大研究力度的著眼點,這將有效促進工業互聯網平臺中的密碼應用,加強工業互聯網數據安全保障,提升工業互聯網平臺的安全可信水平,從而促進工業企業數據上云,讓部分數據在云端進行知識建模及二次利用,發揮更大的價值。
三、工業互聯網平臺密碼技術新需求
隨著工業互聯網的快速發展,工業互聯網平臺建設日益完善的同時,也面臨著數據收集、傳輸、存儲、使用、銷毀等全生命周期的數據泄露、篡改、偽造等新風險、新挑戰,催生了新的數據安全密碼研究及應用需求,具體分析如下:
一是輕量級密碼算法需求。工業互聯網中大量設備裸露在外部環境中,極大增加了其被仿冒的概率,容易引發數據偽造、泄漏等安全問題。此外,設備資源受限,計算及存儲能力有限,而工業互聯網對數據的實時性要求高,高實時、高可靠的輕量級數據加密、身份認證、完整性校驗算法成為工業互聯網中密碼應用迫切需要解決的難題。通過相應的密碼算法,可以實現數據在源端到傳輸通道的安全性。
二是密文檢索分析需求。當數據通過加密的方式上傳至云端數據庫,云服務商會根據客戶需求對部分關鍵數據或重要數據進行加密存儲。但是當云服務客戶利用云平臺對數據進行建模分析時,又需要將密文解密后進行分析,這會極大消耗計算資源,造成資源浪費。現有的同態加密技術雖然能夠解決密文檢索問題,但是因為技術相對不夠成熟,還不能支持所有類型的數據操作。因此,亟需深入研究密文檢索和分析技術,設計低時延、支持動態操作的分布式安全存儲系統,在保證數據安全分析的同時降低云端資源損耗。
三是高可靠的密鑰管理系統需求。工業互聯網中大量業務系統、邊緣設備接入云端,目前主要通過加密協議實現與云端的數據交互和互信互任。與其他互聯網應用場景不同,工業互聯網場景下的工業系統和設備使用大量的工業專有協議,數據上云情況復雜,如可能通過接入網關進行協議轉換實現數據上云、通過安全區域DMZ實現數據上云、通過業務系統數據庫上云等。多種多樣的數據上云方式產生了大量加解密密鑰,云端的密鑰管理成為實現數據加密傳輸、存儲的關鍵能力,因此,設計高可靠、高實時的密鑰管理系統,可以有效提高數據上云的可操作性。
四、《密碼法》背景下工業互聯網平臺數據安全保護框架
新形勢下,工業互聯網數據安全保護需綜合考慮各類工業場景下密碼應用的不同需求以及數據全生命周期的安全需求,做好密碼技術研究及應用。具體密碼保護框架如圖3所示。
基于工業互聯網平臺所承載數據的重要性以及數據交互形式的多樣性,下一步,為貫徹落實《密碼法》相關要求,結合工業互聯網平臺數據安全保護對密碼技術的需求,建議從以下四方面開展基于密碼技術的工業互聯網平臺數據安全保護工作:
一是完善頂層規劃,加強工業互聯網平臺密碼應用的指導性。在《密碼法》的基礎上,有關主管部門可結合行業需求,細化要求,出臺工業互聯網密碼應用細則等政策指導文件,完善工業互聯網數據安全保護中的密碼應用認證規范,加強相關認證機構及密碼應用行業企業的管理,打造工業互聯網平臺數據安全密碼應用環境。
二是加強核心技術研究,提升工業互聯網平臺密碼應用的適用性。相關工控廠商、系統集成商、平臺企業及科研機構應結合工業互聯網平臺對密碼技術的需求,研究形成輕量級的加密、完整性校驗、簽名算法及產品,平衡安全性與實時性需求,為工業互聯網平臺數據保護提供技術保障。
三是加快標準制定,促進工業互聯網平臺密碼的規范性。在《GB_T 37092-2018信息安全技術 密碼模塊安全要求》《GB_T 36322-2018信息安全技術 密碼設備應用接口規范》《GB_T 31530-2015 信息安全技術 電子文檔加密與簽名消息語法》等已發布國家標準的基礎上,應加快形成完整的工業互聯網行業的密碼應用標準體系,及時制定工業互聯網加密、簽名、完整性驗證等關鍵急需標準,規范行業密碼應用。
四是推動成果轉化,促進工業互聯網平臺密碼應用產業化。對于較為成熟的國產SM系列等算法及其他輕量級密碼算法,加快產品研制與推廣,鼓勵企業部署相關產品,形成規模化生產和產業化應用的良好市場,有效降低成本,讓密碼技術真正在工業互聯網平臺數據安全保護中發揮作用。(基金項目:國家重點研發計劃[2018YFB2100400]
作者| 國家工業信息安全發展研究中心 何小龍 柳彩云 李俊 陳雪鴻
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號