密碼是目前世界上公認(rèn)的保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)。密碼技術(shù)通過保障網(wǎng)絡(luò)空間實(shí)體身份的真實(shí)性，信息的保密性、完整性及行為的可信賴，實(shí)現(xiàn)網(wǎng)絡(luò)空間安全、可信、可控的互聯(lián)互通，切實(shí)保障信息系統(tǒng)和數(shù)據(jù)資產(chǎn)安全。同時(shí)，當(dāng)前被動(dòng)、外掛式的傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施已不足以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)空間環(huán)境，密碼與網(wǎng)絡(luò)及設(shè)備的深度融合，可使網(wǎng)絡(luò)及設(shè)備自身具備安全防護(hù)能力，從而構(gòu)建基于密碼的主動(dòng)、內(nèi)生防御體系。

　　商用密碼應(yīng)用安全性評估（以下簡稱密評）是規(guī)范密碼應(yīng)用、發(fā)揮密碼作用的必要手段，也是保障數(shù)字時(shí)代網(wǎng)絡(luò)空間安全的客觀要求。在工業(yè)互聯(lián)網(wǎng)領(lǐng)域開展密評，可有效促進(jìn)商用密碼在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的應(yīng)用，充分發(fā)揮密碼在數(shù)據(jù)加密、身份鑒別、訪問控制、取證溯源等方面難以替代的重要能力，構(gòu)建以密碼為基礎(chǔ)的工業(yè)互聯(lián)網(wǎng)安全保障體系，有效降低工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。

　　工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)信息安全威脅日益嚴(yán)峻

　　工業(yè)互聯(lián)網(wǎng)通過工業(yè)體系與互聯(lián)網(wǎng)體系深度融合，將工業(yè)領(lǐng)域中的人、機(jī)、物等生產(chǎn)經(jīng)營要素全面聯(lián)通，形成了影響工業(yè)和經(jīng)濟(jì)發(fā)展的關(guān)鍵信息系統(tǒng)。從封閉的工業(yè)環(huán)境到開放的互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境，工業(yè)互聯(lián)網(wǎng)正面臨網(wǎng)絡(luò)安全與工業(yè)安全帶來的雙重風(fēng)險(xiǎn)。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，全球工業(yè)互聯(lián)網(wǎng)安全形勢日益嚴(yán)峻。近年來，針對工業(yè)互聯(lián)網(wǎng)領(lǐng)域的網(wǎng)絡(luò)攻擊層出不窮，美國最大的燃油管道運(yùn)營商科洛尼爾公司、俄羅斯鋼鐵制造商Evraz公司、葡萄牙跨國能源公司EDP等遭受勒索軟件攻擊；美國舊金山灣區(qū)最大的機(jī)場SFO、瑞士鐵路機(jī)車制造商Stadler、新英格蘭地區(qū)最大的能源供應(yīng)商Eversource遭遇大量數(shù)據(jù)泄露；黑客入侵美國佛羅里達(dá)州奧爾德斯瑪市的市政水處理系統(tǒng)，獲取了遠(yuǎn)程控制權(quán)，并試圖將某種化學(xué)物質(zhì)的含量提高到可能使公眾面臨中毒風(fēng)險(xiǎn)的程度。

　　密評是保障信息系統(tǒng)安全的必要手段

　　密評是法律法規(guī)制度要求

　　自2015年《國家安全法》提出“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”以來，我國相繼出臺(tái)了《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，明確了使用密碼技術(shù)加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù)、落實(shí)重點(diǎn)防護(hù)措施的總體要求。《密碼法》還對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提出了開展的具體要求。

　　工業(yè)和信息化部印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃（2021—2023年）》，將“深化商用密碼應(yīng)用”作為重要工作內(nèi)容，指出“加快密碼應(yīng)用核心技術(shù)突破和標(biāo)準(zhǔn)研制，推動(dòng)需求側(cè)、供給側(cè)有效對接和協(xié)同創(chuàng)新，推動(dòng)密碼技術(shù)深入應(yīng)用”，并強(qiáng)調(diào)“加強(qiáng)工業(yè)互聯(lián)網(wǎng)密碼應(yīng)用安全性評估能力建設(shè)。”

　　公安部、財(cái)政部、國資委、市場監(jiān)管總局、證監(jiān)會(huì)等十部門聯(lián)合發(fā)布《促進(jìn)商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展的若干措施》，強(qiáng)調(diào)依法督促建設(shè)密碼保障體系，并強(qiáng)化重要網(wǎng)絡(luò)與信息系統(tǒng)密評的執(zhí)法檢查，從而形成需求牽引。同時(shí)，明確指出要發(fā)揮商用密碼在推進(jìn)傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型、促進(jìn)數(shù)據(jù)要素安全有限高效流動(dòng)等方面的重要作用，促進(jìn)商用密碼與新一代信息網(wǎng)絡(luò)、量子信息、人工智能、物聯(lián)網(wǎng)、先進(jìn)制造、工業(yè)控制、區(qū)塊鏈、智能網(wǎng)聯(lián)汽車等融合創(chuàng)新。

　　密評有效規(guī)范和促進(jìn)密碼應(yīng)用

　　密碼應(yīng)用安全需要相關(guān)技術(shù)人員具有一定的密碼知識(shí)儲(chǔ)備，包括密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等多個(gè)方面，否則會(huì)導(dǎo)致密碼錯(cuò)用、誤用，如系統(tǒng)中使用了已被破解的密碼算法、使用存在安全漏洞的密碼協(xié)議、密碼算法相關(guān)參數(shù)使用不安全、數(shù)字證書簽發(fā)及有效性驗(yàn)證過程不規(guī)范等。

　　密評是評判系統(tǒng)是否合規(guī)、正確、有效使用密碼的標(biāo)尺，通過不同技術(shù)層面，密評全方位評估密碼使用，并從管理層面評估密碼管理手段，是一項(xiàng)專業(yè)性強(qiáng)、覆蓋面廣、技術(shù)要求高且需對系統(tǒng)和密碼應(yīng)用理解深入的工作。密評依據(jù)科學(xué)全面的測評標(biāo)準(zhǔn)，通過專業(yè)的技術(shù)人員和技術(shù)手段，對信息系統(tǒng)密碼應(yīng)用情況做出評價(jià)，對密碼應(yīng)用問題給出專業(yè)、可行的改進(jìn)建議，為網(wǎng)絡(luò)運(yùn)營者掌握系統(tǒng)密碼應(yīng)用情況并開展進(jìn)一步密碼應(yīng)用改造提供支撐。通過密評，可有效規(guī)范和促進(jìn)密碼應(yīng)用，“以評促建、以評促用、以評促改”，推動(dòng)密碼技術(shù)、產(chǎn)品和服務(wù)在信息系統(tǒng)的網(wǎng)絡(luò)安全規(guī)劃、建設(shè)、運(yùn)行中發(fā)揮強(qiáng)有力的保障作用，從而構(gòu)建起基于密碼技術(shù)的網(wǎng)絡(luò)安全保障體系。

　　密評在工業(yè)互聯(lián)網(wǎng)安全中的實(shí)踐

　　根據(jù)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，密評需要在密碼應(yīng)用的技術(shù)層面和管理層面，對網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估。

　　技術(shù)層面包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全，在測評過程中需要獲取一系列證據(jù)形成有效的證據(jù)鏈來支撐測評結(jié)論。每個(gè)測評指標(biāo)從密碼使用有效性、密碼算法/技術(shù)合規(guī)性、密鑰管理安全3個(gè)方面進(jìn)行考量。一是識(shí)別密碼技術(shù)是否被正確、有效使用，以提供機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性保護(hù)。如信息系統(tǒng)部署了SSL VPN設(shè)備，但是在實(shí)際使用中被旁路，未起到保障通信鏈路安全的作用。二是識(shí)別系統(tǒng)使用的密碼算法、密碼技術(shù)是否合規(guī)。如是否使用符合要求的商用密碼算法和協(xié)議，包括SM2、SM3、SM4算法以及國密SSL、IPsec協(xié)議等。三是密鑰管理的全生命周期是否安全。識(shí)別用于密碼計(jì)算或密鑰管理的密碼產(chǎn)品、密碼服務(wù)是否安全，如三級(jí)系統(tǒng)使用二級(jí)密碼模塊進(jìn)行密鑰存儲(chǔ)。

　　安全管理測評從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置4個(gè)方面，對被評估系統(tǒng)的密碼安全管理進(jìn)行商用密碼應(yīng)用安全性管理測評。密碼應(yīng)用安全管理制度應(yīng)主要從密鑰管理、人員管理、建設(shè)運(yùn)行、事件應(yīng)急處置、密碼軟硬件及介質(zhì)管理制度等方面開展檢測評估。人員管理應(yīng)主要評估是否設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位，是否對相關(guān)人員開展定期培訓(xùn)考核等。建設(shè)運(yùn)行主要評估是否根據(jù)密碼相關(guān)標(biāo)準(zhǔn)和密碼應(yīng)用需求制定密碼應(yīng)用方案，確定系統(tǒng)涉及的密鑰種類、體系及生存周期，系統(tǒng)投入運(yùn)行前是否進(jìn)行密碼應(yīng)用安全性評估等。事件應(yīng)急處置主要評估是否制定應(yīng)急處置策略，在密碼應(yīng)用安全事件發(fā)生時(shí)是否遵照執(zhí)行所制定的應(yīng)急處理流程等。

　　技術(shù)層面的物理和環(huán)境安全主要由信息系統(tǒng)所在機(jī)房的依賴設(shè)備來實(shí)現(xiàn)，管理層面主要關(guān)注系統(tǒng)責(zé)任單位的相關(guān)管理措施，不在本文討論范圍內(nèi)。以下主要從基于PaaS平臺(tái)的網(wǎng)絡(luò)和通信安全、應(yīng)用和數(shù)據(jù)安全層面展開。

　　工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用典型場景

　　工業(yè)互聯(lián)網(wǎng)平臺(tái)是面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求，構(gòu)建基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系，支撐制造資源泛在連接、彈性供給、高效配置的工業(yè)云平臺(tái)。工業(yè)互聯(lián)網(wǎng)云平臺(tái)為工業(yè)企業(yè)提供先進(jìn)智能制造、設(shè)備遠(yuǎn)程運(yùn)維、安全生產(chǎn)監(jiān)控等工業(yè)互聯(lián)服務(wù)能力，實(shí)現(xiàn)各類設(shè)備的云端接入、數(shù)據(jù)采集、統(tǒng)計(jì)分析、反饋控制、邊緣計(jì)算等功能。典型工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用場景。

　　1. 密碼資源池

　　云平臺(tái)為租戶提供加解密、簽名驗(yàn)簽等云密碼服務(wù)。在實(shí)際中，不可能為每個(gè)租戶配置相應(yīng)的物理密碼產(chǎn)品。當(dāng)業(yè)務(wù)擴(kuò)展時(shí)，通常需要添加或者升級(jí)新的密碼設(shè)備。然而，在面臨頻繁變化的應(yīng)用時(shí)，傳統(tǒng)依靠增加密碼設(shè)備的擴(kuò)展方案難度較大，無法做到按需彈性擴(kuò)展。因此，通常在云平臺(tái)建設(shè)過程中，搭建密碼資源池，統(tǒng)一為云平臺(tái)和云上應(yīng)用提供密碼計(jì)算、密碼服務(wù)等資源，實(shí)現(xiàn)加解密、身份鑒別、簽名驗(yàn)簽、密鑰管理等功能。

　　2. 統(tǒng)一密碼服務(wù)平臺(tái)

　　云租戶業(yè)務(wù)應(yīng)用種類繁多，用戶量大，關(guān)鍵數(shù)據(jù)復(fù)雜多樣，安全機(jī)制不一致，這也為密碼應(yīng)用和管理帶來難度。因此，密碼資源池需要對云平臺(tái)上所有業(yè)務(wù)應(yīng)用系統(tǒng)提供統(tǒng)一的密碼服務(wù)，提供多租戶的密碼服務(wù)能力，對各類密碼服務(wù)接口、服務(wù)訂購、應(yīng)用調(diào)用、應(yīng)用認(rèn)證、平臺(tái)運(yùn)行等進(jìn)行管理，提供多租戶管理、密碼資源管理等服務(wù)。

　　密碼管理平臺(tái)是對若干臺(tái)密碼設(shè)備的統(tǒng)一調(diào)度管理平臺(tái)，在對云平臺(tái)密碼資源池里的密碼設(shè)備進(jìn)行運(yùn)維管理的同時(shí)，建立統(tǒng)一的密碼服務(wù)接口，面向云平臺(tái)上的所有應(yīng)用系統(tǒng)提供密碼接口服務(wù)，為云上租戶密碼應(yīng)用帶來便捷。

　　3. 安全接入網(wǎng)關(guān)

　　云平臺(tái)網(wǎng)絡(luò)邊界部署SSL VPN網(wǎng)關(guān)，實(shí)現(xiàn)設(shè)備和用戶數(shù)據(jù)的傳輸安全。與之相應(yīng)的，管理面用戶側(cè)部署USB Key、國密瀏覽器密碼模塊與SSL VPN網(wǎng)關(guān)，建立安全的傳輸通道。設(shè)備側(cè)由于工業(yè)設(shè)備類型多，協(xié)議、接口復(fù)雜，且密碼的自主知識(shí)產(chǎn)權(quán)較少，因此，短時(shí)間內(nèi)商用密碼替代難度大。本文所述場景下，設(shè)備側(cè)通過終端加密網(wǎng)關(guān)，一方面能夠讓工業(yè)設(shè)備與工業(yè)互聯(lián)網(wǎng)接入?yún)^(qū)的SSL VPN網(wǎng)關(guān)之間，建立基于商用密碼算法的安全通信鏈路，另一方面終端加密網(wǎng)關(guān)可以讓各種工業(yè)設(shè)備接口、協(xié)議實(shí)現(xiàn)統(tǒng)一，有利于工業(yè)互聯(lián)網(wǎng)平臺(tái)與工業(yè)設(shè)備之間的快速、便捷連接。

　　工業(yè)互聯(lián)網(wǎng)云平臺(tái)密碼應(yīng)用安全性評估

　　工業(yè)互聯(lián)網(wǎng)平臺(tái)本質(zhì)上是云平臺(tái)，其密碼應(yīng)用安全性評估應(yīng)首先遵循云平臺(tái)的密評原則。云平臺(tái)密碼應(yīng)用分為兩個(gè)層面，一是云平臺(tái)為滿足自身安全需求所采用的密碼技術(shù)，二是云平臺(tái)上的租戶需要通過調(diào)用平臺(tái)提供的密碼服務(wù)，為自身業(yè)務(wù)應(yīng)用提供密碼保障。因此，云平臺(tái)密碼應(yīng)用和安全性評估一方面要考慮云平臺(tái)本身的密碼應(yīng)用需求，另一方面也要考慮為云上應(yīng)用提供密碼支撐能力。基于以上分析，工業(yè)互聯(lián)云平臺(tái)密碼應(yīng)用安全性評估參考方案如下。

　　1. 網(wǎng)絡(luò)和通信安全層面

　　根據(jù)GM/T 0025-2014《SSL VPN網(wǎng)關(guān)產(chǎn)品規(guī)范》，客戶端和服務(wù)端建立基于國密算法的SSL安全通道，對通信雙方進(jìn)行身份鑒別，保證通信數(shù)據(jù)的機(jī)密性、完整性。

　　SSL協(xié)議通過握手協(xié)議進(jìn)行通信雙方的身份鑒別，并協(xié)商出連接會(huì)話所需密碼套件。密碼套件包括公鑰密碼算法、對稱密碼算法和密碼雜湊算法。SSL握手協(xié)議過程如圖2所示。客戶端發(fā)送Client Hello消息，攜帶客戶端支持的密碼套件，服務(wù)端回應(yīng)Server Hello消息確認(rèn)使用的密碼套件。接著服務(wù)端發(fā)送Server Certificate簽名證書和加密證書，客戶端通過驗(yàn)簽對服務(wù)端進(jìn)行身份鑒別。

　　網(wǎng)絡(luò)和通信層面的測評對象主要是工業(yè)互聯(lián)網(wǎng)云平臺(tái)、管理用戶和設(shè)備終端加密網(wǎng)關(guān)之間的通信信道。值得注意的是，租戶管理員對所分配的云資源有較高的管理權(quán)限，作為云平臺(tái)的用戶進(jìn)行測評。

　　在用戶客戶端和終端加密網(wǎng)關(guān)通過網(wǎng)絡(luò)抓包工具抓取通道建立過程的通信數(shù)據(jù)包，分析數(shù)據(jù)包中采用的通信協(xié)議，如圖3所示。服務(wù)端Server Hello消息中協(xié)商確認(rèn)的密碼套件為ECC_SM4_SM3，說明本次建立的通道采用SM4算法保證數(shù)據(jù)傳輸機(jī)密性，并用SM3算法保證數(shù)據(jù)傳輸完整性。

　　提取數(shù)據(jù)包中的服務(wù)端數(shù)字證書。數(shù)字證書中的簽名算法OID為1.2.156.10197.1.501，說明采用基于SM2算法和SM3算法的數(shù)字簽名進(jìn)行服務(wù)端身份鑒別。

　　2. 應(yīng)用和數(shù)據(jù)安全層面

　　云平臺(tái)和應(yīng)用系統(tǒng)通過統(tǒng)一密碼服務(wù)平臺(tái)調(diào)用密碼資源，對用戶身份鑒別數(shù)據(jù)、平臺(tái)重要數(shù)據(jù)進(jìn)行傳輸、機(jī)密性存儲(chǔ)、完整性保護(hù)，防止這些數(shù)據(jù)被竊取和篡改。使用HMAC-SM3對應(yīng)用日志記錄進(jìn)行完整性保護(hù)，防止應(yīng)用日志記錄被非授權(quán)篡改。

　　身份鑒別需要重點(diǎn)查看用戶智能密碼鑰匙中存儲(chǔ)的數(shù)字證書是否合規(guī)，在用戶登錄過程中，云平臺(tái)是否調(diào)用簽名驗(yàn)簽服務(wù)器對用戶進(jìn)行身份鑒別。為保證數(shù)據(jù)存儲(chǔ)機(jī)密性和完整性，需要重點(diǎn)查看重要數(shù)據(jù)是否加密存儲(chǔ)，如果是明文存儲(chǔ)，說明未采用密碼算法進(jìn)行數(shù)據(jù)存儲(chǔ)機(jī)密性和完整性保護(hù)。如果是密文存儲(chǔ)，需要分析密文長度是否符合規(guī)定的密碼算法輸出長度，如果密文長度不符合，說明未采用合規(guī)的密碼算法；如果密文長度符合，需要查看日志記錄、流量數(shù)據(jù)顯示是否調(diào)用密碼設(shè)備，如果無相關(guān)日志和流量，則證據(jù)不充分，不宜判定為符合，如果日志和流量顯示調(diào)用了密碼設(shè)備，還可以查看密鑰表中存儲(chǔ)的密鑰是否與密碼設(shè)備一致、密碼設(shè)備配置的KEK是否為合規(guī)的密碼算法等，以輔助證明數(shù)據(jù)存儲(chǔ)進(jìn)行了機(jī)密性和完整性保護(hù)。

　　3. 密碼管理平臺(tái)作為應(yīng)用系統(tǒng)進(jìn)行測評

　　密碼管理平臺(tái)是對若干臺(tái)密碼設(shè)備的統(tǒng)一調(diào)度管理平臺(tái)，在對云平臺(tái)密碼資源池里的密碼設(shè)備進(jìn)行運(yùn)維管理的同時(shí)，建立統(tǒng)一的密碼服務(wù)接口，面向云平臺(tái)上的所有應(yīng)用系統(tǒng)提供密碼接口服務(wù)；業(yè)務(wù)邏輯復(fù)雜，是云上系統(tǒng)實(shí)現(xiàn)密碼應(yīng)用的重要支撐，故應(yīng)將其作為應(yīng)用和數(shù)據(jù)安全層面的一個(gè)管理類應(yīng)用系統(tǒng)進(jìn)行測評。

　　4. 云平臺(tái)為云上應(yīng)用提供密碼支撐能力

　　云上應(yīng)用的部分測評結(jié)論需要依賴于云平臺(tái)的測評結(jié)果。云平臺(tái)需為云上應(yīng)用提供GB/T 39786中的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全，甚至應(yīng)用和數(shù)據(jù)安全等層面的密碼支撐。

　�。�1）被完全評估的支撐能力

　　被完全評估的支撐能力指云平臺(tái)的某些測評對象同時(shí)支撐云平臺(tái)和云上應(yīng)用，同時(shí)將云平臺(tái)和云上應(yīng)用作為測評對象。如果云上應(yīng)用被完全評估的支撐能力所支撐，此時(shí)云上應(yīng)用相應(yīng)測評對象的測評結(jié)論完全被云平臺(tái)覆蓋，如果云平臺(tái)已經(jīng)通過密評且安全等級(jí)不低于云上應(yīng)用，則云上應(yīng)用測評對象的測評結(jié)論可視為不適用。

　�。�2）被部分評估的支撐能力

　　被部分評估的支撐能力指云平臺(tái)提供的支撐服務(wù)僅用于云上應(yīng)用而不用于云平臺(tái)，或者將服務(wù)于云平臺(tái)和云上應(yīng)用作為不同測評對象。如果云上應(yīng)用被部分評估的支撐能力所支撐，那么需要結(jié)合“云平臺(tái)支撐能力說明”對云上應(yīng)用測評對象進(jìn)行充分測評并給定結(jié)果。

　　結(jié)　語

　　本文闡述了工業(yè)互聯(lián)網(wǎng)面臨的安全風(fēng)險(xiǎn)，提出了工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用場景，并基于該場景分析了密評如何開展，為工業(yè)互聯(lián)網(wǎng)密碼應(yīng)用及安全性評估工作提供參考。