專家解讀｜張劍：構建工控行業(yè)密碼應用體系 
促進工控行業(yè)與商用密碼深度融合 
中電科網(wǎng)絡安全科技股份有限公司副總經(jīng)理 張劍 

一、引言

《商用密碼管理條例》自1999年10月頒布實施以來，在保障網(wǎng)絡空間安全、規(guī)范商用密碼管理、促進商用密碼發(fā)展等方面發(fā)揮了重要作用?！睹艽a法》于2020年1月1日起施行，對商用密碼管理制度進行了結構性重塑，新修訂的《商用密碼管理條例》進一步細化《密碼法》相關商用密碼管理制度，為促進商用密碼高質(zhì)量發(fā)展奠定了堅實基礎。

為保障我國工業(yè)控制系統(tǒng)安全，以實現(xiàn)工業(yè)控制行業(yè)與商用密碼深度融合為目標，本文分析工業(yè)控制系統(tǒng)安全現(xiàn)狀，提出工業(yè)控制系統(tǒng)密碼應用發(fā)展3項建議。

二、工業(yè)控制系統(tǒng)安全現(xiàn)狀與發(fā)展趨勢分析

（一）工業(yè)控制系統(tǒng)安全事件頻出，網(wǎng)絡攻擊造成巨大經(jīng)濟損失

隨著關鍵信息基礎設施的數(shù)字化程度不斷提高，針對關鍵信息基礎設施的威脅不斷增加。一旦關鍵信息基礎設施受到網(wǎng)絡攻擊陷入癱瘓，引起的連鎖反應甚至會對一個國家/地區(qū)造成巨大損失。2022年10月，伊朗核電站疑遭伊朗黑客組織攻擊，大量數(shù)據(jù)泄露。2022年2月，物流巨頭Expeditors疑遭勒索軟件攻擊，全球業(yè)務關閉。2021年5月，美國最大的燃油管道運營商科洛尼爾管道運輸公司（Colonial Pipeline）遭網(wǎng)絡攻擊，被迫關閉全部管道運營系統(tǒng)。遭受攻擊2天后，美國宣布17個州和華盛頓特區(qū)進入緊急狀態(tài)，以應對勒索軟件的攻擊。2021年4月，荷蘭規(guī)模最大的物流服務提供商之一Bakker logistiek遭受了勒索軟件攻擊。2020年4月，葡萄牙跨國能源公司EDP遭到勒索軟件攻擊，被要求贖金1090萬美元等。

（二）我國工業(yè)控制系統(tǒng)面臨的安全威脅與風險不斷加大

隨著我國互聯(lián)網(wǎng)普及和工業(yè)4.0、大數(shù)據(jù)、數(shù)字化工程等新技術、新業(yè)務的快速發(fā)展與應用，工業(yè)控制系統(tǒng)網(wǎng)絡復雜度在不斷提高，各生產(chǎn)單元內(nèi)部系統(tǒng)與受控系統(tǒng)信息交換的需求不斷增長，工業(yè)控制系統(tǒng)網(wǎng)絡安全需求也在快速增長。近年來，工業(yè)控制系統(tǒng)高危安全漏洞層出不窮，暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)及設備有增無減，網(wǎng)絡攻擊難度逐漸降低，工業(yè)控制系統(tǒng)網(wǎng)絡安全威脅與風險不斷加大，對我國工業(yè)控制系統(tǒng)安全不斷提出新的挑戰(zhàn)。我國工業(yè)控制系統(tǒng)面臨的風險包括工業(yè)協(xié)議缺陷（如Modbus、OPC、IEC101/104等缺乏認證、授權、加密機制，使得工業(yè)控制協(xié)議易遭受第三者的竊聽及欺騙性攻擊）、工業(yè)設備缺陷（如設備安全性考慮不足，存在很多高危安全漏洞，有的甚至存在后門）、高危漏洞風險（據(jù)工業(yè)網(wǎng)絡安全公司Claroty發(fā)布，2021年上半年工業(yè)控制系統(tǒng)產(chǎn)品的漏洞為637個，超過70%的為嚴重或高嚴重等級漏洞；而該公司2020年下半年披露的漏洞數(shù)量為449個）、組態(tài)軟件缺陷（如KingView 6.53存在的緩沖區(qū)溢出漏洞）等。

（三）我國工業(yè)控制系統(tǒng)的密碼應用基礎薄弱

從我國工業(yè)控制系統(tǒng)安全的調(diào)研情況來看，工業(yè)控制系統(tǒng)中使用密碼進行保護的比例較低，主要原因包括能嵌入工業(yè)控制系統(tǒng)的密碼設備少、密碼技術難以滿足工業(yè)控制系統(tǒng)實時性要求、密碼技術需要與工業(yè)控制系統(tǒng)進行深度適配等等。當前，工業(yè)控制系統(tǒng)中密碼應用主要聚焦于一些重要領域。在有些工業(yè)場景中，如新能源發(fā)電，由于現(xiàn)場控制層控制器與過程監(jiān)控層的工程師站、操作員站地理位置分布較遠，需要通過廣域網(wǎng)進行各類數(shù)據(jù)的傳輸，為了防止敏感數(shù)據(jù)被竊聽、篡改、重放，使用IPSEC VPN對傳輸數(shù)據(jù)進行網(wǎng)絡層保護。當前，工業(yè)控制系統(tǒng)中密碼應用呈現(xiàn)單點建設、缺少體系化的特點。

（四）使用商用密碼保護工業(yè)控制系統(tǒng)安全是必然趨勢

2020年1月1日，《密碼法》正式施行?！睹艽a法》明確“法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”。能源、化工、冶金、水利等重要行業(yè)和領域中以PLC/DCS為代表的工業(yè)控制系統(tǒng)，是行業(yè)領域中重大工程和裝備的大腦，是實現(xiàn)制造業(yè)數(shù)字化、網(wǎng)絡化、智能化的關鍵設備，是國家的關鍵信息基礎設施。密碼是維護國家政治安全、經(jīng)濟安全、國防安全和信息安全的重要工具，將密碼技術應用于工業(yè)控制系統(tǒng)的網(wǎng)絡安全防護中，將有效提升工業(yè)控制系統(tǒng)的安全防護能力，解決工業(yè)控制系統(tǒng)面臨的部分安全問題。

三、工業(yè)控制系統(tǒng)密碼應用發(fā)展建議

（一）構建工業(yè)控制系統(tǒng)密碼應用體系，賦能工業(yè)控制系統(tǒng)安全運行

 

圖 1 工業(yè)控制系統(tǒng)密碼應用體系

 

逐步推進工業(yè)控制系統(tǒng)商用密碼改造，逐步實現(xiàn)對網(wǎng)絡安全等級保護三級以上工業(yè)控制系統(tǒng)的商用密碼應用安全性評估。建設工業(yè)控制系統(tǒng)的密碼應用體系，包括密碼基礎支撐設施建設、密碼應用技術保障建設、密碼管理保障建設和密碼標準體系建設。建設密碼應用技術保障，通過現(xiàn)場設備層密碼應用、現(xiàn)場控制層密碼應用、過程監(jiān)控層密碼應用、生產(chǎn)管理層密碼應用和企業(yè)資源層密碼應用，為工業(yè)控制系統(tǒng)的數(shù)據(jù)采集類業(yè)務、參數(shù)設置類業(yè)務、控制指令類業(yè)務等提供密碼技術保障。建設密碼管理保障，通過密碼安全運維、應急容災、安全保密等管理，實現(xiàn)密碼安全管理。建設密碼標準體系，通過建立工業(yè)控制系統(tǒng)密碼技術、密碼產(chǎn)品功能、密碼協(xié)議、以及密碼測評相關標準，實現(xiàn)互聯(lián)互通。

（二）將密碼融入工業(yè)控制系統(tǒng)端側，構建基于內(nèi)生安全的工業(yè)控制系統(tǒng)

構建內(nèi)生安全的工業(yè)控制系統(tǒng)，關鍵在于將密碼融入工業(yè)控制系統(tǒng)的核心設備中。工業(yè)控制系統(tǒng)的核心控制設備如DCS、PLC、SIS、SCADA等，逐步將商用密碼技術、安全可信技術融入控制器設計，基于商用密碼算法實現(xiàn)訪問控制、工業(yè)協(xié)議控制、數(shù)據(jù)加密保護、用戶認證等安全功能。在工業(yè)控制系統(tǒng)的端側，現(xiàn)場設備層中的儀表、傳感器、執(zhí)行器等，現(xiàn)場控制層的DCS控制系統(tǒng)、PLC控制系統(tǒng)、SIS控制系統(tǒng)等，過程監(jiān)控層的SCADA系統(tǒng)等通過集成密碼芯片、密碼IP核、軟件密碼模塊等實現(xiàn)密碼算力支撐；對于不能改造的設備，在邊界部署工業(yè)邊緣超融合網(wǎng)關，實現(xiàn)設備接入認證、數(shù)據(jù)傳輸加密。在現(xiàn)場控制層和過程監(jiān)控層之間部署工業(yè)加密網(wǎng)關，實現(xiàn)訪問控制和傳輸加密。在過程控制層的操作站上部署智能密碼鑰匙，實現(xiàn)身份鑒別和主機安全管理。

（三）打造密碼基礎支撐設施底座，促進工業(yè)控制系統(tǒng)密碼應用有序建設

打造密碼基礎支撐設施底座，提供安全、合規(guī)、標準、適用的密碼能力。密碼基礎支撐設施主要包括數(shù)字證書系統(tǒng)、密鑰管理系統(tǒng)、數(shù)據(jù)庫加密系統(tǒng)、密碼監(jiān)管系統(tǒng)等。密碼基礎支撐設施為工業(yè)控制系統(tǒng)提供數(shù)據(jù)加密能力，實現(xiàn)工業(yè)控制系統(tǒng)中證書及密鑰的全生命周期管理，實現(xiàn)密碼資源、密碼設備、密碼應用的全流程監(jiān)管。

工業(yè)控制系統(tǒng)密碼應用建設采用從上到下、從易到難的原則進行推進，從企業(yè)資源層的供應鏈管理系統(tǒng)、生產(chǎn)管理層的調(diào)度管理計劃管理系統(tǒng)等進行改造，再逐步推廣到工控核心系統(tǒng)等。對現(xiàn)場設備層，能改造的則改造，不能改造的部署網(wǎng)關類密碼產(chǎn)品保護。工業(yè)控制系統(tǒng)密碼應用建設部署如圖2所示。

圖 2 工業(yè)控制系統(tǒng)密碼應用建設部署圖（示例）

 

（四）培養(yǎng)工控安全密碼復合型人才，推動人才隊伍建設

網(wǎng)絡空間的競爭，歸根結底是人才競爭。培養(yǎng)工業(yè)自動化、網(wǎng)絡安全、密碼應用復合型人才，加強專業(yè)技能培訓，建立人才選拔機制，是提升工控安全防護水平的核心關鍵。推動人才隊伍建設，要加強國家、地方政策扶持，推廣實用技能型人才教育，建立系統(tǒng)化人才培養(yǎng)機制；各高等院校和科研機構要加強學科建設和專業(yè)化培養(yǎng)，加強國際交流，建立聯(lián)合型、實戰(zhàn)型培養(yǎng)模式；加強工業(yè)企業(yè)和安全企業(yè)協(xié)同合作，發(fā)揮各自在行業(yè)、專業(yè)上的優(yōu)勢，借助競賽平臺合力培養(yǎng)復合型工控安全人才。

四、結語

密碼技術作為保障網(wǎng)絡與信息安全的核心技術和基礎支撐，在維護國家安全、促進經(jīng)濟發(fā)展、保護人民群眾利益中發(fā)揮著越來越重要的作用。未來，工業(yè)控制行業(yè)與商用密碼將進一步深度融合，推動工業(yè)控制行業(yè)商用密碼科技創(chuàng)新能力顯著增強，構建起以商用密碼為核心技術的工業(yè)關鍵基礎設施。