工業互聯網是新一代信息通信技術與工業經濟深度融合的產物，它以網絡為基礎、平臺為中樞、數據為要素、安全為保障，是工業數字化、網絡化、智能化轉型的基礎設施，是制造強國和網絡強國建設的重要支撐。但與此同時，工業互聯網的發展使工業系統逐步從“封閉隔離式”演進為“開放交互式”，引入了極大的信息安全隱患。

密碼是目前世界上公認的保障網絡與信息安全最有效、最可靠、最經濟的關鍵核心技術。密碼技術通過保障網絡空間實體身份的真實性，信息的保密性、完整性及行為的可信賴，實現網絡空間安全、可信、可控的互聯互通，切實保障信息系統和數據資產安全。同時，當前被動、外掛式的傳統網絡安全防護措施已不足以應對日益復雜的網絡空間環境，密碼與網絡及設備的深度融合，可使網絡及設備自身具備安全防護能力，從而構建基于密碼的主動、內生防御體系。

商用密碼應用安全性評估(以下簡稱密評)是規范密碼應用、發揮密碼作用的必要手段，也是保障數字時代網絡空間安全的客觀要求。在工業互聯網領域開展密評，可有效促進商用密碼在工業互聯網領域的應用，充分發揮密碼在數據加密、身份鑒別、訪問控制、取證溯源等方面難以替代的重要能力，構建以密碼為基礎的工業互聯網安全保障體系，有效降低工業互聯網安全風險。

工業互聯網面臨的網絡信息安全威脅日益嚴峻

工業互聯網通過工業體系與互聯網體系深度融合，將工業領域中的人、機、物等生產經營要素全面聯通，形成了影響工業和經濟發展的關鍵信息系統。從封閉的工業環境到開放的互聯網網絡環境，工業互聯網正面臨網絡安全與工業安全帶來的雙重風險。隨著工業互聯網的快速發展，全球工業互聯網安全形勢日益嚴峻。近年來，針對工業互聯網領域的網絡攻擊層出不窮，美國最大的燃油管道運營商科洛尼爾公司、俄羅斯鋼鐵制造商Evraz公司、葡萄牙跨國能源公司EDP等遭受勒索軟件攻擊;美國舊金山灣區最大的機場SFO、瑞士鐵路機車制造商Stadler、新英格蘭地區最大的能源供應商Eversource遭遇大量數據泄露;黑客入侵美國佛羅里達州奧爾德斯瑪市的市政水處理系統，獲取了遠程控制權，并試圖將某種化學物質的含量提高到可能使公眾面臨中毒風險的程度。

密評是保障信息系統安全的必要手段

密評是法律法規制度要求

自2015年《國家安全法》提出“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”以來，我國相繼出臺了《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規，明確了使用密碼技術加強重要數據和個人信息保護、落實重點防護措施的總體要求。《密碼法》還對關鍵信息基礎設施運營者提出了開展的具體要求。

工業和信息化部印發《工業互聯網創新發展行動計劃(2021—2023年)》，將“深化商用密碼應用”作為重要工作內容，指出“加快密碼應用核心技術突破和標準研制，推動需求側、供給側有效對接和協同創新，推動密碼技術深入應用”，并強調“加強工業互聯網密碼應用安全性評估能力建設。”

公安部、財政部、國資委、市場監管總局、證監會等十部門聯合發布《促進商用密碼產業高質量發展的若干措施》，強調依法督促建設密碼保障體系，并強化重要網絡與信息系統密評的執法檢查，從而形成需求牽引。同時，明確指出要發揮商用密碼在推進傳統產業數字化轉型、促進數據要素安全有限高效流動等方面的重要作用，促進商用密碼與新一代信息網絡、量子信息、人工智能、物聯網、先進制造、工業控制、區塊鏈、智能網聯汽車等融合創新。

密評有效規范和促進密碼應用

密碼應用安全需要相關技術人員具有一定的密碼知識儲備，包括密碼算法、密碼協議、密碼產品、密鑰管理等多個方面，否則會導致密碼錯用、誤用，如系統中使用了已被破解的密碼算法、使用存在安全漏洞的密碼協議、密碼算法相關參數使用不安全、數字證書簽發及有效性驗證過程不規范等。

密評是評判系統是否合規、正確、有效使用密碼的標尺，通過不同技術層面，密評全方位評估密碼使用，并從管理層面評估密碼管理手段，是一項專業性強、覆蓋面廣、技術要求高且需對系統和密碼應用理解深入的工作。密評依據科學全面的測評標準，通過專業的技術人員和技術手段，對信息系統密碼應用情況做出評價，對密碼應用問題給出專業、可行的改進建議，為網絡運營者掌握系統密碼應用情況并開展進一步密碼應用改造提供支撐。通過密評，可有效規范和促進密碼應用，“以評促建、以評促用、以評促改”，推動密碼技術、產品和服務在信息系統的網絡安全規劃、建設、運行中發揮強有力的保障作用，從而構建起基于密碼技術的網絡安全保障體系。

密評在工業互聯網安全中的實踐

根據GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》，密評需要在密碼應用的技術層面和管理層面，對網絡和信息系統密碼應用的合規性、正確性和有效性進行評估。

技術層面包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全，在測評過程中需要獲取一系列證據形成有效的證據鏈來支撐測評結論。每個測評指標從密碼使用有效性、密碼算法/技術合規性、密鑰管理安全3個方面進行考量。一是識別密碼技術是否被正確、有效使用，以提供機密性、完整性、真實性和不可否認性保護。如信息系統部署了SSL VPN設備，但是在實際使用中被旁路，未起到保障通信鏈路安全的作用。二是識別系統使用的密碼算法、密碼技術是否合規。如是否使用符合要求的商用密碼算法和協議，包括SM2、SM3、SM4算法以及國密SSL、IPsec協議等。三是密鑰管理的全生命周期是否安全。識別用于密碼計算或密鑰管理的密碼產品、密碼服務是否安全，如三級系統使用二級密碼模塊進行密鑰存儲。

安全管理測評從管理制度、人員管理、建設運行和應急處置4個方面，對被評估系統的密碼安全管理進行商用密碼應用安全性管理測評。密碼應用安全管理制度應主要從密鑰管理、人員管理、建設運行、事件應急處置、密碼軟硬件及介質管理制度等方面開展檢測評估。人員管理應主要評估是否設置密鑰管理員、密碼安全審計員、密碼操作員等關鍵安全崗位，是否對相關人員開展定期培訓考核等。建設運行主要評估是否根據密碼相關標準和密碼應用需求制定密碼應用方案，確定系統涉及的密鑰種類、體系及生存周期，系統投入運行前是否進行密碼應用安全性評估等。事件應急處置主要評估是否制定應急處置策略，在密碼應用安全事件發生時是否遵照執行所制定的應急處理流程等。

技術層面的物理和環境安全主要由信息系統所在機房的依賴設備來實現，管理層面主要關注系統責任單位的相關管理措施，不在本文討論范圍內。以下主要從基于PaaS平臺的網絡和通信安全、應用和數據安全層面展開。

工業互聯網平臺密碼應用典型場景

工業互聯網平臺是面向制造業數字化、網絡化、智能化需求，構建基于海量數據采集、匯聚、分析的服務體系，支撐制造資源泛在連接、彈性供給、高效配置的工業云平臺。工業互聯網云平臺為工業企業提供先進智能制造、設備遠程運維、安全生產監控等工業互聯服務能力，實現各類設備的云端接入、數據采集、統計分析、反饋控制、邊緣計算等功能。典型工業互聯網平臺密碼應用場景如圖1所示。

圖1 典型工業互聯網平臺密碼應用場景

1. 密碼資源池

云平臺為租戶提供加解密、簽名驗簽等云密碼服務。在實際中，不可能為每個租戶配置相應的物理密碼產品。當業務擴展時，通常需要添加或者升級新的密碼設備。然而，在面臨頻繁變化的應用時，傳統依靠增加密碼設備的擴展方案難度較大，無法做到按需彈性擴展。因此，通常在云平臺建設過程中，搭建密碼資源池，統一為云平臺和云上應用提供密碼計算、密碼服務等資源，實現加解密、身份鑒別、簽名驗簽、密鑰管理等功能。

2. 統一密碼服務平臺

云租戶業務應用種類繁多，用戶量大，關鍵數據復雜多樣，安全機制不一致，這也為密碼應用和管理帶來難度。因此，密碼資源池需要對云平臺上所有業務應用系統提供統一的密碼服務，提供多租戶的密碼服務能力，對各類密碼服務接口、服務訂購、應用調用、應用認證、平臺運行等進行管理，提供多租戶管理、密碼資源管理等服務。

密碼管理平臺是對若干臺密碼設備的統一調度管理平臺，在對云平臺密碼資源池里的密碼設備進行運維管理的同時，建立統一的密碼服務接口，面向云平臺上的所有應用系統提供密碼接口服務，為云上租戶密碼應用帶來便捷。

3. 安全接入網關

云平臺網絡邊界部署SSL VPN網關，實現設備和用戶數據的傳輸安全。與之相應的，管理面用戶側部署USB Key、國密瀏覽器密碼模塊與SSL VPN網關，建立安全的傳輸通道。設備側由于工業設備類型多，協議、接口復雜，且密碼的自主知識產權較少，因此，短時間內商用密碼替代難度大。本文所述場景下，設備側通過終端加密網關，一方面能夠讓工業設備與工業互聯網接入區的SSL VPN網關之間，建立基于商用密碼算法的安全通信鏈路，另一方面終端加密網關可以讓各種工業設備接口、協議實現統一，有利于工業互聯網平臺與工業設備之間的快速、便捷連接。

工業互聯網云平臺密碼應用安全性評估

工業互聯網平臺本質上是云平臺，其密碼應用安全性評估應首先遵循云平臺的密評原則。云平臺密碼應用分為兩個層面，一是云平臺為滿足自身安全需求所采用的密碼技術，二是云平臺上的租戶需要通過調用平臺提供的密碼服務，為自身業務應用提供密碼保障。因此，云平臺密碼應用和安全性評估一方面要考慮云平臺本身的密碼應用需求，另一方面也要考慮為云上應用提供密碼支撐能力。基于以上分析，工業互聯云平臺密碼應用安全性評估參考方案如下。

1. 網絡和通信安全層面

根據GM/T 0025-2014《SSL VPN網關產品規范》，客戶端和服務端建立基于國密算法的SSL安全通道，對通信雙方進行身份鑒別，保證通信數據的機密性、完整性。

SSL協議通過握手協議進行通信雙方的身份鑒別，并協商出連接會話所需密碼套件。密碼套件包括公鑰密碼算法、對稱密碼算法和密碼雜湊算法。SSL握手協議過程如圖2所示。客戶端發送Client Hello消息，攜帶客戶端支持的密碼套件，服務端回應Server Hello消息確認使用的密碼套件。接著服務端發送Server Certificate簽名證書和加密證書，客戶端通過驗簽對服務端進行身份鑒別。

圖2 SSL握手協議過程

網絡和通信層面的測評對象主要是工業互聯網云平臺、管理用戶和設備終端加密網關之間的通信信道。值得注意的是，租戶管理員對所分配的云資源有較高的管理權限，作為云平臺的用戶進行測評。

在用戶客戶端和終端加密網關通過網絡抓包工具抓取通道建立過程的通信數據包，分析數據包中采用的通信協議，如圖3所示。服務端Server Hello消息中協商確認的密碼套件為ECC_SM4_SM3，說明本次建立的通道采用SM4算法保證數據傳輸機密性，并用SM3算法保證數據傳輸完整性。

圖3 SSL握手協議密碼套件協商過程數據包分析

提取數據包中的服務端數字證書，如圖4所示。數字證書中的簽名算法OID為1.2.156.10197.1.501，說明采用基于SM2算法和SM3算法的數字簽名進行服務端身份鑒別。

圖4 SSL握手協議數字證書分析

2. 應用和數據安全層面

云平臺和應用系統通過統一密碼服務平臺調用密碼資源，對用戶身份鑒別數據、平臺重要數據進行傳輸、機密性存儲、完整性保護，防止這些數據被竊取和篡改。使用HMAC-SM3對應用日志記錄進行完整性保護，防止應用日志記錄被非授權篡改。

身份鑒別需要重點查看用戶智能密碼鑰匙中存儲的數字證書是否合規，在用戶登錄過程中，云平臺是否調用簽名驗簽服務器對用戶進行身份鑒別。為保證數據存儲機密性和完整性，需要重點查看重要數據是否加密存儲，如果是明文存儲，說明未采用密碼算法進行數據存儲機密性和完整性保護。如果是密文存儲，需要分析密文長度是否符合規定的密碼算法輸出長度，如果密文長度不符合，說明未采用合規的密碼算法;如果密文長度符合，需要查看日志記錄、流量數據顯示是否調用密碼設備，如果無相關日志和流量，則證據不充分，不宜判定為符合，如果日志和流量顯示調用了密碼設備，還可以查看密鑰表中存儲的密鑰是否與密碼設備一致、密碼設備配置的KEK是否為合規的密碼算法等，以輔助證明數據存儲進行了機密性和完整性保護。

3. 密碼管理平臺作為應用系統進行測評

密碼管理平臺是對若干臺密碼設備的統一調度管理平臺，在對云平臺密碼資源池里的密碼設備進行運維管理的同時，建立統一的密碼服務接口，面向云平臺上的所有應用系統提供密碼接口服務;業務邏輯復雜，是云上系統實現密碼應用的重要支撐，故應將其作為應用和數據安全層面的一個管理類應用系統進行測評。

4. 云平臺為云上應用提供密碼支撐能力

云上應用的部分測評結論需要依賴于云平臺的測評結果。云平臺需為云上應用提供GB/T 39786中的物理和環境安全、網絡和通信安全、設備和計算安全，甚至應用和數據安全等層面的密碼支撐。

(1)被完全評估的支撐能力

被完全評估的支撐能力指云平臺的某些測評對象同時支撐云平臺和云上應用，同時將云平臺和云上應用作為測評對象。如果云上應用被完全評估的支撐能力所支撐，此時云上應用相應測評對象的測評結論完全被云平臺覆蓋，如果云平臺已經通過密評且安全等級不低于云上應用，則云上應用測評對象的測評結論可視為不適用。

(2)被部分評估的支撐能力

被部分評估的支撐能力指云平臺提供的支撐服務僅用于云上應用而不用于云平臺，或者將服務于云平臺和云上應用作為不同測評對象。如果云上應用被部分評估的支撐能力所支撐，那么需要結合“云平臺支撐能力說明”對云上應用測評對象進行充分測評并給定結果。

結語

本文闡述了工業互聯網面臨的安全風險，提出了工業互聯網平臺密碼應用場景，并基于該場景分析了密評如何開展，為工業互聯網密碼應用及安全性評估工作提供參考。