專家解讀｜張劍：構建工控行業密碼應用體系 
促進工控行業與商用密碼深度融合 
中電科網絡安全科技股份有限公司副總經理 張劍 

一、引言

《商用密碼管理條例》自1999年10月頒布實施以來，在保障網絡空間安全、規范商用密碼管理、促進商用密碼發展等方面發揮了重要作用。《密碼法》于2020年1月1日起施行，對商用密碼管理制度進行了結構性重塑，新修訂的《商用密碼管理條例》進一步細化《密碼法》相關商用密碼管理制度，為促進商用密碼高質量發展奠定了堅實基礎。

為保障我國工業控制系統安全，以實現工業控制行業與商用密碼深度融合為目標，本文分析工業控制系統安全現狀，提出工業控制系統密碼應用發展3項建議。

二、工業控制系統安全現狀與發展趨勢分析

（一）工業控制系統安全事件頻出，網絡攻擊造成巨大經濟損失

隨著關鍵信息基礎設施的數字化程度不斷提高，針對關鍵信息基礎設施的威脅不斷增加。一旦關鍵信息基礎設施受到網絡攻擊陷入癱瘓，引起的連鎖反應甚至會對一個國家/地區造成巨大損失。2022年10月，伊朗核電站疑遭伊朗黑客組織攻擊，大量數據泄露。2022年2月，物流巨頭Expeditors疑遭勒索軟件攻擊，全球業務關閉。2021年5月，美國最大的燃油管道運營商科洛尼爾管道運輸公司（Colonial Pipeline）遭網絡攻擊，被迫關閉全部管道運營系統。遭受攻擊2天后，美國宣布17個州和華盛頓特區進入緊急狀態，以應對勒索軟件的攻擊。2021年4月，荷蘭規模最大的物流服務提供商之一Bakker logistiek遭受了勒索軟件攻擊。2020年4月，葡萄牙跨國能源公司EDP遭到勒索軟件攻擊，被要求贖金1090萬美元等。

（二）我國工業控制系統面臨的安全威脅與風險不斷加大

隨著我國互聯網普及和工業4.0、大數據、數字化工程等新技術、新業務的快速發展與應用，工業控制系統網絡復雜度在不斷提高，各生產單元內部系統與受控系統信息交換的需求不斷增長，工業控制系統網絡安全需求也在快速增長。近年來，工業控制系統高危安全漏洞層出不窮，暴露在互聯網上的工業控制系統及設備有增無減，網絡攻擊難度逐漸降低，工業控制系統網絡安全威脅與風險不斷加大，對我國工業控制系統安全不斷提出新的挑戰。我國工業控制系統面臨的風險包括工業協議缺陷（如Modbus、OPC、IEC101/104等缺乏認證、授權、加密機制，使得工業控制協議易遭受第三者的竊聽及欺騙性攻擊）、工業設備缺陷（如設備安全性考慮不足，存在很多高危安全漏洞，有的甚至存在后門）、高危漏洞風險（據工業網絡安全公司Claroty發布，2021年上半年工業控制系統產品的漏洞為637個，超過70%的為嚴重或高嚴重等級漏洞；而該公司2020年下半年披露的漏洞數量為449個）、組態軟件缺陷（如KingView 6.53存在的緩沖區溢出漏洞）等。

（三）我國工業控制系統的密碼應用基礎薄弱

從我國工業控制系統安全的調研情況來看，工業控制系統中使用密碼進行保護的比例較低，主要原因包括能嵌入工業控制系統的密碼設備少、密碼技術難以滿足工業控制系統實時性要求、密碼技術需要與工業控制系統進行深度適配等等。當前，工業控制系統中密碼應用主要聚焦于一些重要領域。在有些工業場景中，如新能源發電，由于現場控制層控制器與過程監控層的工程師站、操作員站地理位置分布較遠，需要通過廣域網進行各類數據的傳輸，為了防止敏感數據被竊聽、篡改、重放，使用IPSEC VPN對傳輸數據進行網絡層保護。當前，工業控制系統中密碼應用呈現單點建設、缺少體系化的特點。

（四）使用商用密碼保護工業控制系統安全是必然趨勢

2020年1月1日，《密碼法》正式施行。《密碼法》明確“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”。能源、化工、冶金、水利等重要行業和領域中以PLC/DCS為代表的工業控制系統，是行業領域中重大工程和裝備的大腦，是實現制造業數字化、網絡化、智能化的關鍵設備，是國家的關鍵信息基礎設施。密碼是維護國家政治安全、經濟安全、國防安全和信息安全的重要工具，將密碼技術應用于工業控制系統的網絡安全防護中，將有效提升工業控制系統的安全防護能力，解決工業控制系統面臨的部分安全問題。

三、工業控制系統密碼應用發展建議

（一）構建工業控制系統密碼應用體系，賦能工業控制系統安全運行

 

圖 1 工業控制系統密碼應用體系

 

逐步推進工業控制系統商用密碼改造，逐步實現對網絡安全等級保護三級以上工業控制系統的商用密碼應用安全性評估。建設工業控制系統的密碼應用體系，包括密碼基礎支撐設施建設、密碼應用技術保障建設、密碼管理保障建設和密碼標準體系建設。建設密碼應用技術保障，通過現場設備層密碼應用、現場控制層密碼應用、過程監控層密碼應用、生產管理層密碼應用和企業資源層密碼應用，為工業控制系統的數據采集類業務、參數設置類業務、控制指令類業務等提供密碼技術保障。建設密碼管理保障，通過密碼安全運維、應急容災、安全保密等管理，實現密碼安全管理。建設密碼標準體系，通過建立工業控制系統密碼技術、密碼產品功能、密碼協議、以及密碼測評相關標準，實現互聯互通。

（二）將密碼融入工業控制系統端側，構建基于內生安全的工業控制系統

構建內生安全的工業控制系統，關鍵在于將密碼融入工業控制系統的核心設備中。工業控制系統的核心控制設備如DCS、PLC、SIS、SCADA等，逐步將商用密碼技術、安全可信技術融入控制器設計，基于商用密碼算法實現訪問控制、工業協議控制、數據加密保護、用戶認證等安全功能。在工業控制系統的端側，現場設備層中的儀表、傳感器、執行器等，現場控制層的DCS控制系統、PLC控制系統、SIS控制系統等，過程監控層的SCADA系統等通過集成密碼芯片、密碼IP核、軟件密碼模塊等實現密碼算力支撐；對于不能改造的設備，在邊界部署工業邊緣超融合網關，實現設備接入認證、數據傳輸加密。在現場控制層和過程監控層之間部署工業加密網關，實現訪問控制和傳輸加密。在過程控制層的操作站上部署智能密碼鑰匙，實現身份鑒別和主機安全管理。

（三）打造密碼基礎支撐設施底座，促進工業控制系統密碼應用有序建設

打造密碼基礎支撐設施底座，提供安全、合規、標準、適用的密碼能力。密碼基礎支撐設施主要包括數字證書系統、密鑰管理系統、數據庫加密系統、密碼監管系統等。密碼基礎支撐設施為工業控制系統提供數據加密能力，實現工業控制系統中證書及密鑰的全生命周期管理，實現密碼資源、密碼設備、密碼應用的全流程監管。

工業控制系統密碼應用建設采用從上到下、從易到難的原則進行推進，從企業資源層的供應鏈管理系統、生產管理層的調度管理計劃管理系統等進行改造，再逐步推廣到工控核心系統等。對現場設備層，能改造的則改造，不能改造的部署網關類密碼產品保護。工業控制系統密碼應用建設部署如圖2所示。

圖 2 工業控制系統密碼應用建設部署圖（示例）

 

（四）培養工控安全密碼復合型人才，推動人才隊伍建設

網絡空間的競爭，歸根結底是人才競爭。培養工業自動化、網絡安全、密碼應用復合型人才，加強專業技能培訓，建立人才選拔機制，是提升工控安全防護水平的核心關鍵。推動人才隊伍建設，要加強國家、地方政策扶持，推廣實用技能型人才教育，建立系統化人才培養機制；各高等院校和科研機構要加強學科建設和專業化培養，加強國際交流，建立聯合型、實戰型培養模式；加強工業企業和安全企業協同合作，發揮各自在行業、專業上的優勢，借助競賽平臺合力培養復合型工控安全人才。

四、結語

密碼技術作為保障網絡與信息安全的核心技術和基礎支撐，在維護國家安全、促進經濟發展、保護人民群眾利益中發揮著越來越重要的作用。未來，工業控制行業與商用密碼將進一步深度融合，推動工業控制行業商用密碼科技創新能力顯著增強，構建起以商用密碼為核心技術的工業關鍵基礎設施。