密碼是目前世界上公認的保障網(wǎng)絡與信息安全最有效、最可靠、最經(jīng)濟的關鍵核心技術。密碼技術通過保障網(wǎng)絡空間實體身份的真實性，信息的保密性、完整性及行為的可信賴，實現(xiàn)網(wǎng)絡空間安全、可信、可控的互聯(lián)互通，切實保障信息系統(tǒng)和數(shù)據(jù)資產(chǎn)安全。同時，當前被動、外掛式的傳統(tǒng)網(wǎng)絡安全防護措施已不足以應對日益復雜的網(wǎng)絡空間環(huán)境，密碼與網(wǎng)絡及設備的深度融合，可使網(wǎng)絡及設備自身具備安全防護能力，從而構建基于密碼的主動、內(nèi)生防御體系。

　　商用密碼應用安全性評估（以下簡稱密評）是規(guī)范密碼應用、發(fā)揮密碼作用的必要手段，也是保障數(shù)字時代網(wǎng)絡空間安全的客觀要求。在工業(yè)互聯(lián)網(wǎng)領域開展密評，可有效促進商用密碼在工業(yè)互聯(lián)網(wǎng)領域的應用，充分發(fā)揮密碼在數(shù)據(jù)加密、身份鑒別、訪問控制、取證溯源等方面難以替代的重要能力，構建以密碼為基礎的工業(yè)互聯(lián)網(wǎng)安全保障體系，有效降低工業(yè)互聯(lián)網(wǎng)安全風險。

　　工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡信息安全威脅日益嚴峻

　　工業(yè)互聯(lián)網(wǎng)通過工業(yè)體系與互聯(lián)網(wǎng)體系深度融合，將工業(yè)領域中的人、機、物等生產(chǎn)經(jīng)營要素全面聯(lián)通，形成了影響工業(yè)和經(jīng)濟發(fā)展的關鍵信息系統(tǒng)。從封閉的工業(yè)環(huán)境到開放的互聯(lián)網(wǎng)網(wǎng)絡環(huán)境，工業(yè)互聯(lián)網(wǎng)正面臨網(wǎng)絡安全與工業(yè)安全帶來的雙重風險。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，全球工業(yè)互聯(lián)網(wǎng)安全形勢日益嚴峻。近年來，針對工業(yè)互聯(lián)網(wǎng)領域的網(wǎng)絡攻擊層出不窮，美國最大的燃油管道運營商科洛尼爾公司、俄羅斯鋼鐵制造商Evraz公司、葡萄牙跨國能源公司EDP等遭受勒索軟件攻擊；美國舊金山灣區(qū)最大的機場SFO、瑞士鐵路機車制造商Stadler、新英格蘭地區(qū)最大的能源供應商Eversource遭遇大量數(shù)據(jù)泄露；黑客入侵美國佛羅里達州奧爾德斯瑪市的市政水處理系統(tǒng)，獲取了遠程控制權，并試圖將某種化學物質(zhì)的含量提高到可能使公眾面臨中毒風險的程度。

　　密評是保障信息系統(tǒng)安全的必要手段

　　密評是法律法規(guī)制度要求

　　自2015年《國家安全法》提出“實現(xiàn)網(wǎng)絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據(jù)的安全可控”以來，我國相繼出臺了《網(wǎng)絡安全法》《密碼法》《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規(guī)，明確了使用密碼技術加強重要數(shù)據(jù)和個人信息保護、落實重點防護措施的總體要求�！睹艽a法》還對關鍵信息基礎設施運營者提出了開展的具體要求。

　　工業(yè)和信息化部印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021—2023年）》，將“深化商用密碼應用”作為重要工作內(nèi)容，指出“加快密碼應用核心技術突破和標準研制，推動需求側、供給側有效對接和協(xié)同創(chuàng)新，推動密碼技術深入應用”，并強調(diào)“加強工業(yè)互聯(lián)網(wǎng)密碼應用安全性評估能力建設。”

　　公安部、財政部、國資委、市場監(jiān)管總局、證監(jiān)會等十部門聯(lián)合發(fā)布《促進商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展的若干措施》，強調(diào)依法督促建設密碼保障體系，并強化重要網(wǎng)絡與信息系統(tǒng)密評的執(zhí)法檢查，從而形成需求牽引。同時，明確指出要發(fā)揮商用密碼在推進傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型、促進數(shù)據(jù)要素安全有限高效流動等方面的重要作用，促進商用密碼與新一代信息網(wǎng)絡、量子信息、人工智能、物聯(lián)網(wǎng)、先進制造、工業(yè)控制、區(qū)塊鏈、智能網(wǎng)聯(lián)汽車等融合創(chuàng)新。

　　密評有效規(guī)范和促進密碼應用

　　密碼應用安全需要相關技術人員具有一定的密碼知識儲備，包括密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等多個方面，否則會導致密碼錯用、誤用，如系統(tǒng)中使用了已被破解的密碼算法、使用存在安全漏洞的密碼協(xié)議、密碼算法相關參數(shù)使用不安全、數(shù)字證書簽發(fā)及有效性驗證過程不規(guī)范等。

　　密評是評判系統(tǒng)是否合規(guī)、正確、有效使用密碼的標尺，通過不同技術層面，密評全方位評估密碼使用，并從管理層面評估密碼管理手段，是一項專業(yè)性強、覆蓋面廣、技術要求高且需對系統(tǒng)和密碼應用理解深入的工作。密評依據(jù)科學全面的測評標準，通過專業(yè)的技術人員和技術手段，對信息系統(tǒng)密碼應用情況做出評價，對密碼應用問題給出專業(yè)、可行的改進建議，為網(wǎng)絡運營者掌握系統(tǒng)密碼應用情況并開展進一步密碼應用改造提供支撐。通過密評，可有效規(guī)范和促進密碼應用，“以評促建、以評促用、以評促改”，推動密碼技術、產(chǎn)品和服務在信息系統(tǒng)的網(wǎng)絡安全規(guī)劃、建設、運行中發(fā)揮強有力的保障作用，從而構建起基于密碼技術的網(wǎng)絡安全保障體系。

　　密評在工業(yè)互聯(lián)網(wǎng)安全中的實踐

　　根據(jù)GB/T 39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》，密評需要在密碼應用的技術層面和管理層面，對網(wǎng)絡和信息系統(tǒng)密碼應用的合規(guī)性、正確性和有效性進行評估。

　　技術層面包括物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全，在測評過程中需要獲取一系列證據(jù)形成有效的證據(jù)鏈來支撐測評結論。每個測評指標從密碼使用有效性、密碼算法/技術合規(guī)性、密鑰管理安全3個方面進行考量。一是識別密碼技術是否被正確、有效使用，以提供機密性、完整性、真實性和不可否認性保護。如信息系統(tǒng)部署了SSL VPN設備，但是在實際使用中被旁路，未起到保障通信鏈路安全的作用。二是識別系統(tǒng)使用的密碼算法、密碼技術是否合規(guī)。如是否使用符合要求的商用密碼算法和協(xié)議，包括SM2、SM3、SM4算法以及國密SSL、IPsec協(xié)議等。三是密鑰管理的全生命周期是否安全。識別用于密碼計算或密鑰管理的密碼產(chǎn)品、密碼服務是否安全，如三級系統(tǒng)使用二級密碼模塊進行密鑰存儲。

　　安全管理測評從管理制度、人員管理、建設運行和應急處置4個方面，對被評估系統(tǒng)的密碼安全管理進行商用密碼應用安全性管理測評。密碼應用安全管理制度應主要從密鑰管理、人員管理、建設運行、事件應急處置、密碼軟硬件及介質(zhì)管理制度等方面開展檢測評估。人員管理應主要評估是否設置密鑰管理員、密碼安全審計員、密碼操作員等關鍵安全崗位，是否對相關人員開展定期培訓考核等。建設運行主要評估是否根據(jù)密碼相關標準和密碼應用需求制定密碼應用方案，確定系統(tǒng)涉及的密鑰種類、體系及生存周期，系統(tǒng)投入運行前是否進行密碼應用安全性評估等。事件應急處置主要評估是否制定應急處置策略，在密碼應用安全事件發(fā)生時是否遵照執(zhí)行所制定的應急處理流程等。

　　技術層面的物理和環(huán)境安全主要由信息系統(tǒng)所在機房的依賴設備來實現(xiàn)，管理層面主要關注系統(tǒng)責任單位的相關管理措施，不在本文討論范圍內(nèi)。以下主要從基于PaaS平臺的網(wǎng)絡和通信安全、應用和數(shù)據(jù)安全層面展開。

　　工業(yè)互聯(lián)網(wǎng)平臺密碼應用典型場景

　　工業(yè)互聯(lián)網(wǎng)平臺是面向制造業(yè)數(shù)字化、網(wǎng)絡化、智能化需求，構建基于海量數(shù)據(jù)采集、匯聚、分析的服務體系，支撐制造資源泛在連接、彈性供給、高效配置的工業(yè)云平臺。工業(yè)互聯(lián)網(wǎng)云平臺為工業(yè)企業(yè)提供先進智能制造、設備遠程運維、安全生產(chǎn)監(jiān)控等工業(yè)互聯(lián)服務能力，實現(xiàn)各類設備的云端接入、數(shù)據(jù)采集、統(tǒng)計分析、反饋控制、邊緣計算等功能。典型工業(yè)互聯(lián)網(wǎng)平臺密碼應用場景。

　　1. 密碼資源池

　　云平臺為租戶提供加解密、簽名驗簽等云密碼服務。在實際中，不可能為每個租戶配置相應的物理密碼產(chǎn)品。當業(yè)務擴展時，通常需要添加或者升級新的密碼設備。然而，在面臨頻繁變化的應用時，傳統(tǒng)依靠增加密碼設備的擴展方案難度較大，無法做到按需彈性擴展。因此，通常在云平臺建設過程中，搭建密碼資源池，統(tǒng)一為云平臺和云上應用提供密碼計算、密碼服務等資源，實現(xiàn)加解密、身份鑒別、簽名驗簽、密鑰管理等功能。

　　2. 統(tǒng)一密碼服務平臺

　　云租戶業(yè)務應用種類繁多，用戶量大，關鍵數(shù)據(jù)復雜多樣，安全機制不一致，這也為密碼應用和管理帶來難度。因此，密碼資源池需要對云平臺上所有業(yè)務應用系統(tǒng)提供統(tǒng)一的密碼服務，提供多租戶的密碼服務能力，對各類密碼服務接口、服務訂購、應用調(diào)用、應用認證、平臺運行等進行管理，提供多租戶管理、密碼資源管理等服務。

　　密碼管理平臺是對若干臺密碼設備的統(tǒng)一調(diào)度管理平臺，在對云平臺密碼資源池里的密碼設備進行運維管理的同時，建立統(tǒng)一的密碼服務接口，面向云平臺上的所有應用系統(tǒng)提供密碼接口服務，為云上租戶密碼應用帶來便捷。

　　3. 安全接入網(wǎng)關

　　云平臺網(wǎng)絡邊界部署SSL VPN網(wǎng)關，實現(xiàn)設備和用戶數(shù)據(jù)的傳輸安全。與之相應的，管理面用戶側部署USB Key、國密瀏覽器密碼模塊與SSL VPN網(wǎng)關，建立安全的傳輸通道。設備側由于工業(yè)設備類型多，協(xié)議、接口復雜，且密碼的自主知識產(chǎn)權較少，因此，短時間內(nèi)商用密碼替代難度大。本文所述場景下，設備側通過終端加密網(wǎng)關，一方面能夠讓工業(yè)設備與工業(yè)互聯(lián)網(wǎng)接入?yún)^(qū)的SSL VPN網(wǎng)關之間，建立基于商用密碼算法的安全通信鏈路，另一方面終端加密網(wǎng)關可以讓各種工業(yè)設備接口、協(xié)議實現(xiàn)統(tǒng)一，有利于工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)設備之間的快速、便捷連接。

　　工業(yè)互聯(lián)網(wǎng)云平臺密碼應用安全性評估

　　工業(yè)互聯(lián)網(wǎng)平臺本質(zhì)上是云平臺，其密碼應用安全性評估應首先遵循云平臺的密評原則。云平臺密碼應用分為兩個層面，一是云平臺為滿足自身安全需求所采用的密碼技術，二是云平臺上的租戶需要通過調(diào)用平臺提供的密碼服務，為自身業(yè)務應用提供密碼保障。因此，云平臺密碼應用和安全性評估一方面要考慮云平臺本身的密碼應用需求，另一方面也要考慮為云上應用提供密碼支撐能力�；�于以上分析，工業(yè)互聯(lián)云平臺密碼應用安全性評估參考方案如下。

　　1. 網(wǎng)絡和通信安全層面

　　根據(jù)GM/T 0025-2014《SSL VPN網(wǎng)關產(chǎn)品規(guī)范》，客戶端和服務端建立基于國密算法的SSL安全通道，對通信雙方進行身份鑒別，保證通信數(shù)據(jù)的機密性、完整性。

　　SSL協(xié)議通過握手協(xié)議進行通信雙方的身份鑒別，并協(xié)商出連接會話所需密碼套件。密碼套件包括公鑰密碼算法、對稱密碼算法和密碼雜湊算法。SSL握手協(xié)議過程如圖2所示�？蛻舳税l(fā)送Client Hello消息，攜帶客戶端支持的密碼套件，服務端回應Server Hello消息確認使用的密碼套件。接著服務端發(fā)送Server Certificate簽名證書和加密證書，客戶端通過驗簽對服務端進行身份鑒別。

　　網(wǎng)絡和通信層面的測評對象主要是工業(yè)互聯(lián)網(wǎng)云平臺、管理用戶和設備終端加密網(wǎng)關之間的通信信道。值得注意的是，租戶管理員對所分配的云資源有較高的管理權限，作為云平臺的用戶進行測評。

　　在用戶客戶端和終端加密網(wǎng)關通過網(wǎng)絡抓包工具抓取通道建立過程的通信數(shù)據(jù)包，分析數(shù)據(jù)包中采用的通信協(xié)議，如圖3所示。服務端Server Hello消息中協(xié)商確認的密碼套件為ECC_SM4_SM3，說明本次建立的通道采用SM4算法保證數(shù)據(jù)傳輸機密性，并用SM3算法保證數(shù)據(jù)傳輸完整性。

　　提取數(shù)據(jù)包中的服務端數(shù)字證書。數(shù)字證書中的簽名算法OID為1.2.156.10197.1.501，說明采用基于SM2算法和SM3算法的數(shù)字簽名進行服務端身份鑒別。

　　2. 應用和數(shù)據(jù)安全層面

　　云平臺和應用系統(tǒng)通過統(tǒng)一密碼服務平臺調(diào)用密碼資源，對用戶身份鑒別數(shù)據(jù)、平臺重要數(shù)據(jù)進行傳輸、機密性存儲、完整性保護，防止這些數(shù)據(jù)被竊取和篡改。使用HMAC-SM3對應用日志記錄進行完整性保護，防止應用日志記錄被非授權篡改。

　　身份鑒別需要重點查看用戶智能密碼鑰匙中存儲的數(shù)字證書是否合規(guī)，在用戶登錄過程中，云平臺是否調(diào)用簽名驗簽服務器對用戶進行身份鑒別。為保證數(shù)據(jù)存儲機密性和完整性，需要重點查看重要數(shù)據(jù)是否加密存儲，如果是明文存儲，說明未采用密碼算法進行數(shù)據(jù)存儲機密性和完整性保護。如果是密文存儲，需要分析密文長度是否符合規(guī)定的密碼算法輸出長度，如果密文長度不符合，說明未采用合規(guī)的密碼算法；如果密文長度符合，需要查看日志記錄、流量數(shù)據(jù)顯示是否調(diào)用密碼設備，如果無相關日志和流量，則證據(jù)不充分，不宜判定為符合，如果日志和流量顯示調(diào)用了密碼設備，還可以查看密鑰表中存儲的密鑰是否與密碼設備一致、密碼設備配置的KEK是否為合規(guī)的密碼算法等，以輔助證明數(shù)據(jù)存儲進行了機密性和完整性保護。

　　3. 密碼管理平臺作為應用系統(tǒng)進行測評

　　密碼管理平臺是對若干臺密碼設備的統(tǒng)一調(diào)度管理平臺，在對云平臺密碼資源池里的密碼設備進行運維管理的同時，建立統(tǒng)一的密碼服務接口，面向云平臺上的所有應用系統(tǒng)提供密碼接口服務；業(yè)務邏輯復雜，是云上系統(tǒng)實現(xiàn)密碼應用的重要支撐，故應將其作為應用和數(shù)據(jù)安全層面的一個管理類應用系統(tǒng)進行測評。

　　4. 云平臺為云上應用提供密碼支撐能力

　　云上應用的部分測評結論需要依賴于云平臺的測評結果。云平臺需為云上應用提供GB/T 39786中的物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全，甚至應用和數(shù)據(jù)安全等層面的密碼支撐。

　�。�1）被完全評估的支撐能力

　　被完全評估的支撐能力指云平臺的某些測評對象同時支撐云平臺和云上應用，同時將云平臺和云上應用作為測評對象。如果云上應用被完全評估的支撐能力所支撐，此時云上應用相應測評對象的測評結論完全被云平臺覆蓋，如果云平臺已經(jīng)通過密評且安全等級不低于云上應用，則云上應用測評對象的測評結論可視為不適用。

　�。�2）被部分評估的支撐能力

　　被部分評估的支撐能力指云平臺提供的支撐服務僅用于云上應用而不用于云平臺，或者將服務于云平臺和云上應用作為不同測評對象。如果云上應用被部分評估的支撐能力所支撐，那么需要結合“云平臺支撐能力說明”對云上應用測評對象進行充分測評并給定結果。

　　結　語

　　本文闡述了工業(yè)互聯(lián)網(wǎng)面臨的安全風險，提出了工業(yè)互聯(lián)網(wǎng)平臺密碼應用場景，并基于該場景分析了密評如何開展，為工業(yè)互聯(lián)網(wǎng)密碼應用及安全性評估工作提供參考。