吳 波， 韋永霜， 陳 沖， 何英武， 陳劍飛

（1.工業(yè)和信息化部電子第五研究所， 廣東 廣州 511370； 2.智能制造裝備通用質(zhì)量技術(shù)及應(yīng)用工業(yè)和信息化部重點實驗室，廣東 廣州 511370； 3.廣州數(shù)控設(shè)備有限公司， 廣東 廣州 510530）

0 引言

我國自1996 年確立商用密碼發(fā)展戰(zhàn)略以來，國家商用密碼體系逐步發(fā)展， 已經(jīng)形成了一套完善的技術(shù)體系和健全的標(biāo)準(zhǔn)體系，并且已經(jīng)在金融、保險、交通運輸和電子政務(wù)領(lǐng)域進(jìn)行廣泛的推廣應(yīng)用。 但數(shù)控系統(tǒng)中往往注重功能性和性能指標(biāo)而忽略信息安全防護(hù)方面的投入，存在“重功能、輕安全”的問題。數(shù)控系統(tǒng)存在著“缺加密、無防護(hù)、少認(rèn)證、弱授權(quán)”的問題，密碼技術(shù)在數(shù)控系統(tǒng)中的應(yīng)用相對較少[1-2]。

目前， 密碼應(yīng)用安全性測評工作處于起步和推廣階段， 測評結(jié)果評價和測評結(jié)論確定等關(guān)鍵環(huán)節(jié)在標(biāo)準(zhǔn)體系中的規(guī)范仍比較宏觀， 在具體執(zhí)行過程中的主觀自由度過高，缺少可標(biāo)準(zhǔn)化的、易于實施的分類分級安全性評價體系[3]。 特別在數(shù)控機(jī)床等智能制造領(lǐng)域，現(xiàn)有密碼應(yīng)用安全性測評技術(shù)和工具無法直接使用， 同時專用數(shù)控協(xié)議和應(yīng)用軟件相對封閉， 使得數(shù)控等智能制造領(lǐng)域缺少有效密碼應(yīng)用安全性測評手段和能力。 隨著兩化融合的深入發(fā)展，數(shù)控系統(tǒng)聯(lián)網(wǎng)已經(jīng)勢在必行，由原來封閉式的生產(chǎn)環(huán)境逐步向開放式環(huán)境轉(zhuǎn)變， 不解決數(shù)控網(wǎng)絡(luò)所面臨的安全問題，將嚴(yán)重制約數(shù)控行業(yè)的發(fā)展，阻礙我國智能制造的進(jìn)程[4]。 本研究基于信息安全、商用密碼領(lǐng)域國家標(biāo)準(zhǔn)和規(guī)范開展，圍繞數(shù)控系統(tǒng)產(chǎn)業(yè)及相關(guān)領(lǐng)域，從數(shù)控設(shè)備、控制流程、業(yè)務(wù)應(yīng)用三個方面研究數(shù)控系統(tǒng)信息安全中的密碼應(yīng)用技術(shù)。

1 數(shù)控系統(tǒng)商用密碼應(yīng)用現(xiàn)狀

數(shù)控系統(tǒng)原本是為封閉系統(tǒng)設(shè)計的， 在傳統(tǒng)的制造業(yè)企業(yè)車間中， 數(shù)控系統(tǒng)一般通過實時總線或以太網(wǎng)連接，車間控制網(wǎng)絡(luò)與企業(yè)業(yè)務(wù)網(wǎng)、辦公網(wǎng)和互聯(lián)網(wǎng)一般是物理隔離的，因此安全性要求不高。 數(shù)控系統(tǒng)長期在這種封閉環(huán)境中運行，系統(tǒng)的功能、性能、可靠性逐步發(fā)展，但信息安全防護(hù)能力的發(fā)展緩慢， 缺乏在信息系統(tǒng)中普遍應(yīng)用的加密和認(rèn)證機(jī)制[5-6]。

（1）數(shù)控系統(tǒng)中目前普遍沒有采用加密措施進(jìn)行數(shù)據(jù)的機(jī)密性和完整性保護(hù)。在數(shù)據(jù)存儲方面，數(shù)控系統(tǒng)中的用戶數(shù)控程序承載著用戶的關(guān)鍵工藝信息， 在網(wǎng)絡(luò)通信過程中， 目前數(shù)控系統(tǒng)使用的通信協(xié)議普遍缺乏加密機(jī)制，采用明文傳輸。如果攻擊者可以通過網(wǎng)絡(luò)嗅探等手段截獲這些通信數(shù)據(jù)，就可以獲取用戶的控制信息，也會造成用戶數(shù)據(jù)的泄露。

（2）數(shù)控系統(tǒng)目前普遍缺乏基于用戶的完整身份認(rèn)證功能。 數(shù)控系統(tǒng)目前還普遍采用基于角色的身份認(rèn)證方式，并且采用無用戶，僅需要某些特定的內(nèi)置硬編碼進(jìn)行身份認(rèn)證， 而且某些特定品牌和型號的數(shù)控系統(tǒng)的身份認(rèn)證編碼相對固定。目前在互聯(lián)網(wǎng)已經(jīng)廣泛流傳各廠商、各型號數(shù)控系統(tǒng)的啟用密碼， 這種身份認(rèn)證方式靈活性差，其安全防護(hù)作用也名存實亡。

（3）數(shù)控系統(tǒng)的權(quán)限控制方式相對較弱。 由于缺乏高效靈活的身份認(rèn)證方式，無法靈活的實現(xiàn)權(quán)限控制，僅能依托硬編碼的設(shè)備啟用碼進(jìn)行粗粒度的權(quán)限管理和控制。

2 數(shù)控系統(tǒng)商用密碼應(yīng)用目標(biāo)要求

密碼是信息安全的底層核心技術(shù)， 是信息安全的基因，是支撐構(gòu)建數(shù)控系統(tǒng)安全防護(hù)體系的基石?；诿艽a技術(shù)的身份鑒別、訪問控制、數(shù)據(jù)加密、可信計算、密文計算、數(shù)據(jù)脫敏等措施，可以實現(xiàn)數(shù)控系統(tǒng)安全防護(hù)架構(gòu)的“真實性、機(jī)密性、完整性、不可否認(rèn)性、限定性”等基本安全目標(biāo)，有效解決數(shù)控系統(tǒng)的信息安全問題。數(shù)控系統(tǒng)應(yīng)用密碼技術(shù)，構(gòu)成的密碼應(yīng)用技術(shù)體系由基礎(chǔ)密碼技術(shù)、密碼產(chǎn)品、密碼基礎(chǔ)設(shè)施、密碼服務(wù)、密碼安全防護(hù)有機(jī)組成，構(gòu)成了完整的數(shù)控系統(tǒng)密碼應(yīng)用目標(biāo)要求，見圖1。

圖1 數(shù)控系統(tǒng)商用密碼應(yīng)用目標(biāo)要求

2.1 基礎(chǔ)密碼技術(shù)

數(shù)控系統(tǒng)所適用的密碼算法、密碼協(xié)議和密碼接口，以及其選用的范圍。

2.2 密碼產(chǎn)品

主要利用密碼技術(shù)，實現(xiàn)具體的密碼功能，從產(chǎn)品形態(tài)上分為芯片、模塊、板卡、整機(jī)、系統(tǒng)和軟件，為具體的密碼應(yīng)用提供機(jī)密性、完整性、真實性和不可否認(rèn)性服務(wù)。

2.3 密碼基礎(chǔ)設(shè)施

主要利用密碼技術(shù)， 為重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)提供認(rèn)證和密鑰管理服務(wù)， 主要包括CA/KMC 或包含有相關(guān)功能的密碼應(yīng)用管理服務(wù)器。

2.4 密碼服務(wù)

主要包括抽象的機(jī)密性、完整性、真實性和不可否認(rèn)性服務(wù)，以及具體的身份鑒別、訪問控制、存儲安全、傳輸安全、數(shù)字簽名和安全審計等具體的密碼功能。

2.5 密碼安全防護(hù)

主要指密碼技術(shù)的保障對象， 包含數(shù)控系統(tǒng)中物理環(huán)境、網(wǎng)絡(luò)與通信、設(shè)備與計算、應(yīng)用與數(shù)據(jù)、以及云端工業(yè)互聯(lián)服務(wù)的安全。

2.6 密碼功能服務(wù)

數(shù)控系統(tǒng)信息安全防護(hù)中，使用身份鑒別功能，實現(xiàn)設(shè)備、主機(jī)、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)等設(shè)備身份真實性，登錄用戶身份的真實性。

2.7 密碼安全防護(hù)對象

數(shù)控系統(tǒng)信息安全防護(hù)中， 密碼安全防護(hù)對象即為數(shù)控系統(tǒng)本身，在數(shù)控系統(tǒng)的設(shè)備、流程、服務(wù)中使用密碼技術(shù)，保障物理環(huán)境安全、網(wǎng)絡(luò)與通信安全、設(shè)備與計算安全、應(yīng)用與數(shù)據(jù)安全以及云端工業(yè)互聯(lián)服務(wù)安全。

3 數(shù)控系統(tǒng)商用密碼安全性測評

在GM/T0054-2018 《信息系統(tǒng)密碼應(yīng)用基本要求》、GM/T 0028-2014《密碼模塊安全技術(shù)要求》、《數(shù)控系統(tǒng)密碼應(yīng)用技術(shù)要求》（制定中）、《信息系統(tǒng)密碼應(yīng)用測評要求》、GB/T22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》等標(biāo)準(zhǔn)指南的基礎(chǔ)上，根據(jù)現(xiàn)有數(shù)控系統(tǒng)商用密碼應(yīng)用技術(shù)的發(fā)展水平， 提出一套適用于數(shù)控系統(tǒng)商用密碼應(yīng)用安全性評估方案。

3.1 數(shù)控系統(tǒng)密碼應(yīng)用安全性測評總體要求

數(shù)控系統(tǒng)密碼應(yīng)用安全性測評總體要求根據(jù)數(shù)控系統(tǒng)密碼應(yīng)用實現(xiàn)方式的不同，對密碼在機(jī)密性、完整性、抗抵賴、身份鑒別、訪問控制、安全審計以及密碼配置7種特性的全面檢測，向上可歸屬為安全技術(shù)檢測、安全管理檢測和密鑰管理安全檢測3 個大類，見圖2。

圖2 數(shù)控系統(tǒng)商用密碼應(yīng)用安全性測評總體要求

（1）安全技術(shù)檢測主要是通過配置檢查、技術(shù)測試等手段檢測密碼在信息系統(tǒng)中應(yīng)用的合規(guī)性、 正確性及有效性。安全技術(shù)檢測包括總體要求安全檢測、物理和環(huán)境安全檢測、網(wǎng)絡(luò)和通信安全檢測、設(shè)備和計算安全檢測、應(yīng)用和數(shù)據(jù)安全檢測5 個層面。

（2）安全管理檢測主要圍繞制度、人員、實施、應(yīng)急，從政策、制度、規(guī)范、流程以及記錄等方面檢測密碼在信息系統(tǒng)中應(yīng)用的合規(guī)性、正確性及有效性。

（3）密鑰管理安全檢測是針對密碼的特點，從密鑰的生成、存儲、分發(fā)、導(dǎo)入、導(dǎo)出、使用、備份、恢復(fù)、歸檔與銷毀等全生命周期， 檢測密鑰管理和策略制定是否符合國家政策和有關(guān)標(biāo)準(zhǔn)要求。

3.2 數(shù)控系統(tǒng)密碼應(yīng)用安全評估分級

根據(jù)密碼安全技術(shù)要求不同， 結(jié)合 《GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》， 將數(shù)控系統(tǒng)密碼應(yīng)用劃分為五個級別，在各個級別規(guī)定了數(shù)控系統(tǒng)應(yīng)支持的最低安全防范措施， 其安全強(qiáng)度逐漸提高。用戶可根據(jù)不同的安全需求進(jìn)行級別選擇，詳見表1。

表1 數(shù)控系統(tǒng)密碼安全技術(shù)要求

第一級別適用于一些對安全性不高的應(yīng)用， 應(yīng)采用身份鑒別、訪問控制和安全審計功能。

第二級別適用于一些對安全性具有一定要求的應(yīng)用，應(yīng)采用機(jī)密性、完整性、身份鑒別、訪問控制、安全審計和密碼配置功能，采用的密碼產(chǎn)品，應(yīng)達(dá)到GB/T 37092一級及以上安全要求。

第三級別適用于一些對安全性具有較高要求的應(yīng)用，應(yīng)采用機(jī)密性、完整性、抗抵賴性、身份鑒別、訪問控制、安全審計和密碼配置功能，采用的密碼產(chǎn)品，應(yīng)達(dá)到GB/T 37092 二級及以上安全要求。

第四級別適用于一些對安全性具有很高要求的應(yīng)用，應(yīng)采用機(jī)密性、完整性、抗抵賴性、身份鑒別、訪問控制、安全審計和密碼配置功能，采用的密碼產(chǎn)品，應(yīng)達(dá)到GB/T 37092 三級及以上安全要求。

暫不存在安全級別為五級的系統(tǒng)， 故暫不對第五級信息系統(tǒng)提出具體的密碼技術(shù)要求。

4 結(jié)束語

本文適時提出一種符合國家有關(guān)標(biāo)準(zhǔn)和要求的商用密碼的數(shù)控系統(tǒng)安全性測評體系，對于提升數(shù)控系統(tǒng)、智能制造等領(lǐng)域的信息安全防護(hù)水平， 促進(jìn)制造業(yè)轉(zhuǎn)型升級發(fā)展，切實保障關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)空間安全，提升相關(guān)領(lǐng)域測評技術(shù)的科學(xué)性和先進(jìn)性。