密碼是目前世界上公認的保障網(wǎng)絡(luò )與信息安全最有效、最可靠、最經(jīng)濟的關(guān)鍵核心技術(shù)。密碼技術(shù)通過(guò)保障網(wǎng)絡(luò )空間實(shí)體身份的真實(shí)性,信息的保密性、完整性及行為的可信賴(lài),實(shí)現網(wǎng)絡(luò )空間安全、可信、可控的互聯(lián)互通,切實(shí)保障信息系統和數據資產(chǎn)安全。同時(shí),當前被動(dòng)、外掛式的傳統網(wǎng)絡(luò )安全防護措施已不足以應對日益復雜的網(wǎng)絡(luò )空間環(huán)境,密碼與網(wǎng)絡(luò )及設備的深度融合,可使網(wǎng)絡(luò )及設備自身具備安全防護能力,從而構建基于密碼的主動(dòng)、內生防御體系。
商用密碼應用安全性評估(以下簡(jiǎn)稱(chēng)密評)是規范密碼應用、發(fā)揮密碼作用的必要手段,也是保障數字時(shí)代網(wǎng)絡(luò )空間安全的客觀(guān)要求。在工業(yè)互聯(lián)網(wǎng)領(lǐng)域開(kāi)展密評,可有效促進(jìn)商用密碼在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的應用,充分發(fā)揮密碼在數據加密、身份鑒別、訪(fǎng)問(wèn)控制、取證溯源等方面難以替代的重要能力,構建以密碼為基礎的工業(yè)互聯(lián)網(wǎng)安全保障體系,有效降低工業(yè)互聯(lián)網(wǎng)安全風(fēng)險。
工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò )信息安全威脅日益嚴峻
工業(yè)互聯(lián)網(wǎng)通過(guò)工業(yè)體系與互聯(lián)網(wǎng)體系深度融合,將工業(yè)領(lǐng)域中的人、機、物等生產(chǎn)經(jīng)營(yíng)要素全面聯(lián)通,形成了影響工業(yè)和經(jīng)濟發(fā)展的關(guān)鍵信息系統。從封閉的工業(yè)環(huán)境到開(kāi)放的互聯(lián)網(wǎng)網(wǎng)絡(luò )環(huán)境,工業(yè)互聯(lián)網(wǎng)正面臨網(wǎng)絡(luò )安全與工業(yè)安全帶來(lái)的雙重風(fēng)險。隨著(zhù)工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,全球工業(yè)互聯(lián)網(wǎng)安全形勢日益嚴峻。近年來(lái),針對工業(yè)互聯(lián)網(wǎng)領(lǐng)域的網(wǎng)絡(luò )攻擊層出不窮,美國最大的燃油管道運營(yíng)商科洛尼爾公司、俄羅斯鋼鐵制造商Evraz公司、葡萄牙跨國能源公司EDP等遭受勒索軟件攻擊;美國舊金山灣區最大的機場(chǎng)SFO、瑞士鐵路機車(chē)制造商Stadler、新英格蘭地區最大的能源供應商Eversource遭遇大量數據泄露;黑客入侵美國佛羅里達州奧爾德斯瑪市的市政水處理系統,獲取了遠程控制權,并試圖將某種化學(xué)物質(zhì)的含量提高到可能使公眾面臨中毒風(fēng)險的程度。
密評是保障信息系統安全的必要手段
密評是法律法規制度要求
自2015年《國家安全法》提出“實(shí)現網(wǎng)絡(luò )和信息核心技術(shù)、關(guān)鍵基礎設施和重要領(lǐng)域信息系統及數據的安全可控”以來(lái),我國相繼出臺了《網(wǎng)絡(luò )安全法》《密碼法》《數據安全法》《個(gè)人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》等法律法規,明確了使用密碼技術(shù)加強重要數據和個(gè)人信息保護、落實(shí)重點(diǎn)防護措施的總體要求。《密碼法》還對關(guān)鍵信息基礎設施運營(yíng)者提出了開(kāi)展的具體要求。
工業(yè)和信息化部印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng )新發(fā)展行動(dòng)計劃(2021—2023年)》,將“深化商用密碼應用”作為重要工作內容,指出“加快密碼應用核心技術(shù)突破和標準研制,推動(dòng)需求側、供給側有效對接和協(xié)同創(chuàng )新,推動(dòng)密碼技術(shù)深入應用”,并強調“加強工業(yè)互聯(lián)網(wǎng)密碼應用安全性評估能力建設。”
公安部、財政部、國資委、市場(chǎng)監管總局、證監會(huì )等十部門(mén)聯(lián)合發(fā)布《促進(jìn)商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展的若干措施》,強調依法督促建設密碼保障體系,并強化重要網(wǎng)絡(luò )與信息系統密評的執法檢查,從而形成需求牽引。同時(shí),明確指出要發(fā)揮商用密碼在推進(jìn)傳統產(chǎn)業(yè)數字化轉型、促進(jìn)數據要素安全有限高效流動(dòng)等方面的重要作用,促進(jìn)商用密碼與新一代信息網(wǎng)絡(luò )、量子信息、人工智能、物聯(lián)網(wǎng)、先進(jìn)制造、工業(yè)控制、區塊鏈、智能網(wǎng)聯(lián)汽車(chē)等融合創(chuàng )新。
密評有效規范和促進(jìn)密碼應用
密碼應用安全需要相關(guān)技術(shù)人員具有一定的密碼知識儲備,包括密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等多個(gè)方面,否則會(huì )導致密碼錯用、誤用,如系統中使用了已被破解的密碼算法、使用存在安全漏洞的密碼協(xié)議、密碼算法相關(guān)參數使用不安全、數字證書(shū)簽發(fā)及有效性驗證過(guò)程不規范等。
密評是評判系統是否合規、正確、有效使用密碼的標尺,通過(guò)不同技術(shù)層面,密評全方位評估密碼使用,并從管理層面評估密碼管理手段,是一項專(zhuān)業(yè)性強、覆蓋面廣、技術(shù)要求高且需對系統和密碼應用理解深入的工作。密評依據科學(xué)全面的測評標準,通過(guò)專(zhuān)業(yè)的技術(shù)人員和技術(shù)手段,對信息系統密碼應用情況做出評價(jià),對密碼應用問(wèn)題給出專(zhuān)業(yè)、可行的改進(jìn)建議,為網(wǎng)絡(luò )運營(yíng)者掌握系統密碼應用情況并開(kāi)展進(jìn)一步密碼應用改造提供支撐。通過(guò)密評,可有效規范和促進(jìn)密碼應用,“以評促建、以評促用、以評促改”,推動(dòng)密碼技術(shù)、產(chǎn)品和服務(wù)在信息系統的網(wǎng)絡(luò )安全規劃、建設、運行中發(fā)揮強有力的保障作用,從而構建起基于密碼技術(shù)的網(wǎng)絡(luò )安全保障體系。
密評在工業(yè)互聯(lián)網(wǎng)安全中的實(shí)踐
根據GB/T 39786-2021《信息安全技術(shù)信息系統密碼應用基本要求》,密評需要在密碼應用的技術(shù)層面和管理層面,對網(wǎng)絡(luò )和信息系統密碼應用的合規性、正確性和有效性進(jìn)行評估。
技術(shù)層面包括物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全,在測評過(guò)程中需要獲取一系列證據形成有效的證據鏈來(lái)支撐測評結論。每個(gè)測評指標從密碼使用有效性、密碼算法/技術(shù)合規性、密鑰管理安全3個(gè)方面進(jìn)行考量。一是識別密碼技術(shù)是否被正確、有效使用,以提供機密性、完整性、真實(shí)性和不可否認性保護。如信息系統部署了SSL VPN設備,但是在實(shí)際使用中被旁路,未起到保障通信鏈路安全的作用。二是識別系統使用的密碼算法、密碼技術(shù)是否合規。如是否使用符合要求的商用密碼算法和協(xié)議,包括SM2、SM3、SM4算法以及國密SSL、IPsec協(xié)議等。三是密鑰管理的全生命周期是否安全。識別用于密碼計算或密鑰管理的密碼產(chǎn)品、密碼服務(wù)是否安全,如三級系統使用二級密碼模塊進(jìn)行密鑰存儲。
安全管理測評從管理制度、人員管理、建設運行和應急處置4個(gè)方面,對被評估系統的密碼安全管理進(jìn)行商用密碼應用安全性管理測評。密碼應用安全管理制度應主要從密鑰管理、人員管理、建設運行、事件應急處置、密碼軟硬件及介質(zhì)管理制度等方面開(kāi)展檢測評估。人員管理應主要評估是否設置密鑰管理員、密碼安全審計員、密碼操作員等關(guān)鍵安全崗位,是否對相關(guān)人員開(kāi)展定期培訓考核等。建設運行主要評估是否根據密碼相關(guān)標準和密碼應用需求制定密碼應用方案,確定系統涉及的密鑰種類(lèi)、體系及生存周期,系統投入運行前是否進(jìn)行密碼應用安全性評估等。事件應急處置主要評估是否制定應急處置策略,在密碼應用安全事件發(fā)生時(shí)是否遵照執行所制定的應急處理流程等。
技術(shù)層面的物理和環(huán)境安全主要由信息系統所在機房的依賴(lài)設備來(lái)實(shí)現,管理層面主要關(guān)注系統責任單位的相關(guān)管理措施,不在本文討論范圍內。以下主要從基于PaaS平臺的網(wǎng)絡(luò )和通信安全、應用和數據安全層面展開(kāi)。
工業(yè)互聯(lián)網(wǎng)平臺密碼應用典型場(chǎng)景
工業(yè)互聯(lián)網(wǎng)平臺是面向制造業(yè)數字化、網(wǎng)絡(luò )化、智能化需求,構建基于海量數據采集、匯聚、分析的服務(wù)體系,支撐制造資源泛在連接、彈性供給、高效配置的工業(yè)云平臺。工業(yè)互聯(lián)網(wǎng)云平臺為工業(yè)企業(yè)提供先進(jìn)智能制造、設備遠程運維、安全生產(chǎn)監控等工業(yè)互聯(lián)服務(wù)能力,實(shí)現各類(lèi)設備的云端接入、數據采集、統計分析、反饋控制、邊緣計算等功能。典型工業(yè)互聯(lián)網(wǎng)平臺密碼應用場(chǎng)景。
1. 密碼資源池
云平臺為租戶(hù)提供加解密、簽名驗簽等云密碼服務(wù)。在實(shí)際中,不可能為每個(gè)租戶(hù)配置相應的物理密碼產(chǎn)品。當業(yè)務(wù)擴展時(shí),通常需要添加或者升級新的密碼設備。然而,在面臨頻繁變化的應用時(shí),傳統依靠增加密碼設備的擴展方案難度較大,無(wú)法做到按需彈性擴展。因此,通常在云平臺建設過(guò)程中,搭建密碼資源池,統一為云平臺和云上應用提供密碼計算、密碼服務(wù)等資源,實(shí)現加解密、身份鑒別、簽名驗簽、密鑰管理等功能。
2. 統一密碼服務(wù)平臺
云租戶(hù)業(yè)務(wù)應用種類(lèi)繁多,用戶(hù)量大,關(guān)鍵數據復雜多樣,安全機制不一致,這也為密碼應用和管理帶來(lái)難度。因此,密碼資源池需要對云平臺上所有業(yè)務(wù)應用系統提供統一的密碼服務(wù),提供多租戶(hù)的密碼服務(wù)能力,對各類(lèi)密碼服務(wù)接口、服務(wù)訂購、應用調用、應用認證、平臺運行等進(jìn)行管理,提供多租戶(hù)管理、密碼資源管理等服務(wù)。
密碼管理平臺是對若干臺密碼設備的統一調度管理平臺,在對云平臺密碼資源池里的密碼設備進(jìn)行運維管理的同時(shí),建立統一的密碼服務(wù)接口,面向云平臺上的所有應用系統提供密碼接口服務(wù),為云上租戶(hù)密碼應用帶來(lái)便捷。
3. 安全接入網(wǎng)關(guān)
云平臺網(wǎng)絡(luò )邊界部署SSL VPN網(wǎng)關(guān),實(shí)現設備和用戶(hù)數據的傳輸安全。與之相應的,管理面用戶(hù)側部署USB Key、國密瀏覽器密碼模塊與SSL VPN網(wǎng)關(guān),建立安全的傳輸通道。設備側由于工業(yè)設備類(lèi)型多,協(xié)議、接口復雜,且密碼的自主知識產(chǎn)權較少,因此,短時(shí)間內商用密碼替代難度大。本文所述場(chǎng)景下,設備側通過(guò)終端加密網(wǎng)關(guān),一方面能夠讓工業(yè)設備與工業(yè)互聯(lián)網(wǎng)接入區的SSL VPN網(wǎng)關(guān)之間,建立基于商用密碼算法的安全通信鏈路,另一方面終端加密網(wǎng)關(guān)可以讓各種工業(yè)設備接口、協(xié)議實(shí)現統一,有利于工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)設備之間的快速、便捷連接。
工業(yè)互聯(lián)網(wǎng)云平臺密碼應用安全性評估
工業(yè)互聯(lián)網(wǎng)平臺本質(zhì)上是云平臺,其密碼應用安全性評估應首先遵循云平臺的密評原則。云平臺密碼應用分為兩個(gè)層面,一是云平臺為滿(mǎn)足自身安全需求所采用的密碼技術(shù),二是云平臺上的租戶(hù)需要通過(guò)調用平臺提供的密碼服務(wù),為自身業(yè)務(wù)應用提供密碼保障。因此,云平臺密碼應用和安全性評估一方面要考慮云平臺本身的密碼應用需求,另一方面也要考慮為云上應用提供密碼支撐能力。基于以上分析,工業(yè)互聯(lián)云平臺密碼應用安全性評估參考方案如下。
1. 網(wǎng)絡(luò )和通信安全層面
根據GM/T 0025-2014《SSL VPN網(wǎng)關(guān)產(chǎn)品規范》,客戶(hù)端和服務(wù)端建立基于國密算法的SSL安全通道,對通信雙方進(jìn)行身份鑒別,保證通信數據的機密性、完整性。
SSL協(xié)議通過(guò)握手協(xié)議進(jìn)行通信雙方的身份鑒別,并協(xié)商出連接會(huì )話(huà)所需密碼套件。密碼套件包括公鑰密碼算法、對稱(chēng)密碼算法和密碼雜湊算法。SSL握手協(xié)議過(guò)程如圖2所示。客戶(hù)端發(fā)送Client Hello消息,攜帶客戶(hù)端支持的密碼套件,服務(wù)端回應Server Hello消息確認使用的密碼套件。接著(zhù)服務(wù)端發(fā)送Server Certificate簽名證書(shū)和加密證書(shū),客戶(hù)端通過(guò)驗簽對服務(wù)端進(jìn)行身份鑒別。
網(wǎng)絡(luò )和通信層面的測評對象主要是工業(yè)互聯(lián)網(wǎng)云平臺、管理用戶(hù)和設備終端加密網(wǎng)關(guān)之間的通信信道。值得注意的是,租戶(hù)管理員對所分配的云資源有較高的管理權限,作為云平臺的用戶(hù)進(jìn)行測評。
在用戶(hù)客戶(hù)端和終端加密網(wǎng)關(guān)通過(guò)網(wǎng)絡(luò )抓包工具抓取通道建立過(guò)程的通信數據包,分析數據包中采用的通信協(xié)議,如圖3所示。服務(wù)端Server Hello消息中協(xié)商確認的密碼套件為ECC_SM4_SM3,說(shuō)明本次建立的通道采用SM4算法保證數據傳輸機密性,并用SM3算法保證數據傳輸完整性。
提取數據包中的服務(wù)端數字證書(shū)。數字證書(shū)中的簽名算法OID為1.2.156.10197.1.501,說(shuō)明采用基于SM2算法和SM3算法的數字簽名進(jìn)行服務(wù)端身份鑒別。
2. 應用和數據安全層面
云平臺和應用系統通過(guò)統一密碼服務(wù)平臺調用密碼資源,對用戶(hù)身份鑒別數據、平臺重要數據進(jìn)行傳輸、機密性存儲、完整性保護,防止這些數據被竊取和篡改。使用HMAC-SM3對應用日志記錄進(jìn)行完整性保護,防止應用日志記錄被非授權篡改。
身份鑒別需要重點(diǎn)查看用戶(hù)智能密碼鑰匙中存儲的數字證書(shū)是否合規,在用戶(hù)登錄過(guò)程中,云平臺是否調用簽名驗簽服務(wù)器對用戶(hù)進(jìn)行身份鑒別。為保證數據存儲機密性和完整性,需要重點(diǎn)查看重要數據是否加密存儲,如果是明文存儲,說(shuō)明未采用密碼算法進(jìn)行數據存儲機密性和完整性保護。如果是密文存儲,需要分析密文長(cháng)度是否符合規定的密碼算法輸出長(cháng)度,如果密文長(cháng)度不符合,說(shuō)明未采用合規的密碼算法;如果密文長(cháng)度符合,需要查看日志記錄、流量數據顯示是否調用密碼設備,如果無(wú)相關(guān)日志和流量,則證據不充分,不宜判定為符合,如果日志和流量顯示調用了密碼設備,還可以查看密鑰表中存儲的密鑰是否與密碼設備一致、密碼設備配置的KEK是否為合規的密碼算法等,以輔助證明數據存儲進(jìn)行了機密性和完整性保護。
3. 密碼管理平臺作為應用系統進(jìn)行測評
密碼管理平臺是對若干臺密碼設備的統一調度管理平臺,在對云平臺密碼資源池里的密碼設備進(jìn)行運維管理的同時(shí),建立統一的密碼服務(wù)接口,面向云平臺上的所有應用系統提供密碼接口服務(wù);業(yè)務(wù)邏輯復雜,是云上系統實(shí)現密碼應用的重要支撐,故應將其作為應用和數據安全層面的一個(gè)管理類(lèi)應用系統進(jìn)行測評。
4. 云平臺為云上應用提供密碼支撐能力
云上應用的部分測評結論需要依賴(lài)于云平臺的測評結果。云平臺需為云上應用提供GB/T 39786中的物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全,甚至應用和數據安全等層面的密碼支撐。
(1)被完全評估的支撐能力
被完全評估的支撐能力指云平臺的某些測評對象同時(shí)支撐云平臺和云上應用,同時(shí)將云平臺和云上應用作為測評對象。如果云上應用被完全評估的支撐能力所支撐,此時(shí)云上應用相應測評對象的測評結論完全被云平臺覆蓋,如果云平臺已經(jīng)通過(guò)密評且安全等級不低于云上應用,則云上應用測評對象的測評結論可視為不適用。
(2)被部分評估的支撐能力
被部分評估的支撐能力指云平臺提供的支撐服務(wù)僅用于云上應用而不用于云平臺,或者將服務(wù)于云平臺和云上應用作為不同測評對象。如果云上應用被部分評估的支撐能力所支撐,那么需要結合“云平臺支撐能力說(shuō)明”對云上應用測評對象進(jìn)行充分測評并給定結果。
結 語(yǔ)
本文闡述了工業(yè)互聯(lián)網(wǎng)面臨的安全風(fēng)險,提出了工業(yè)互聯(lián)網(wǎng)平臺密碼應用場(chǎng)景,并基于該場(chǎng)景分析了密評如何開(kāi)展,為工業(yè)互聯(lián)網(wǎng)密碼應用及安全性評估工作提供參考。
