數控系統商用密碼應用的安全性測評研究

吳 波， 韋永霜， 陳 沖， 何英武， 陳劍飛

（1.工業和信息化部電子第五研究所， 廣東 廣州 511370； 2.智能制造裝備通用質量技術及應用工業和信息化部重點實驗室，廣東 廣州 511370； 3.廣州數控設備有限公司， 廣東 廣州 510530）

0 引言

我國自1996 年確立商用密碼發展戰略以來，國家商用密碼體系逐步發展， 已經形成了一套完善的技術體系和健全的標準體系，并且已經在金融、保險、交通運輸和電子政務領域進行廣泛的推廣應用。 但數控系統中往往注重功能性和性能指標而忽略信息安全防護方面的投入，存在“重功能、輕安全”的問題。數控系統存在著“缺加密、無防護、少認證、弱授權”的問題，密碼技術在數控系統中的應用相對較少[1-2]。

目前， 密碼應用安全性測評工作處于起步和推廣階段， 測評結果評價和測評結論確定等關鍵環節在標準體系中的規范仍比較宏觀， 在具體執行過程中的主觀自由度過高，缺少可標準化的、易于實施的分類分級安全性評價體系[3]。 特別在數控機床等智能制造領域，現有密碼應用安全性測評技術和工具無法直接使用， 同時專用數控協議和應用軟件相對封閉， 使得數控等智能制造領域缺少有效密碼應用安全性測評手段和能力。 隨著兩化融合的深入發展，數控系統聯網已經勢在必行，由原來封閉式的生產環境逐步向開放式環境轉變， 不解決數控網絡所面臨的安全問題，將嚴重制約數控行業的發展，阻礙我國智能制造的進程[4]。 本研究基于信息安全、商用密碼領域國家標準和規范開展，圍繞數控系統產業及相關領域，從數控設備、控制流程、業務應用三個方面研究數控系統信息安全中的密碼應用技術。

1 數控系統商用密碼應用現狀

數控系統原本是為封閉系統設計的， 在傳統的制造業企業車間中， 數控系統一般通過實時總線或以太網連接，車間控制網絡與企業業務網、辦公網和互聯網一般是物理隔離的，因此安全性要求不高。 數控系統長期在這種封閉環境中運行，系統的功能、性能、可靠性逐步發展，但信息安全防護能力的發展緩慢， 缺乏在信息系統中普遍應用的加密和認證機制[5-6]。

（1）數控系統中目前普遍沒有采用加密措施進行數據的機密性和完整性保護。在數據存儲方面，數控系統中的用戶數控程序承載著用戶的關鍵工藝信息， 在網絡通信過程中， 目前數控系統使用的通信協議普遍缺乏加密機制，采用明文傳輸。如果攻擊者可以通過網絡嗅探等手段截獲這些通信數據，就可以獲取用戶的控制信息，也會造成用戶數據的泄露。

（2）數控系統目前普遍缺乏基于用戶的完整身份認證功能。 數控系統目前還普遍采用基于角色的身份認證方式，并且采用無用戶，僅需要某些特定的內置硬編碼進行身份認證， 而且某些特定品牌和型號的數控系統的身份認證編碼相對固定。目前在互聯網已經廣泛流傳各廠商、各型號數控系統的啟用密碼， 這種身份認證方式靈活性差，其安全防護作用也名存實亡。

（3）數控系統的權限控制方式相對較弱。 由于缺乏高效靈活的身份認證方式，無法靈活的實現權限控制，僅能依托硬編碼的設備啟用碼進行粗粒度的權限管理和控制。

2 數控系統商用密碼應用目標要求

密碼是信息安全的底層核心技術， 是信息安全的基因，是支撐構建數控系統安全防護體系的基石。基于密碼技術的身份鑒別、訪問控制、數據加密、可信計算、密文計算、數據脫敏等措施，可以實現數控系統安全防護架構的“真實性、機密性、完整性、不可否認性、限定性”等基本安全目標，有效解決數控系統的信息安全問題。數控系統應用密碼技術，構成的密碼應用技術體系由基礎密碼技術、密碼產品、密碼基礎設施、密碼服務、密碼安全防護有機組成，構成了完整的數控系統密碼應用目標要求，見圖1。

圖1 數控系統商用密碼應用目標要求

2.1 基礎密碼技術

數控系統所適用的密碼算法、密碼協議和密碼接口，以及其選用的范圍。

2.2 密碼產品

主要利用密碼技術，實現具體的密碼功能，從產品形態上分為芯片、模塊、板卡、整機、系統和軟件，為具體的密碼應用提供機密性、完整性、真實性和不可否認性服務。

2.3 密碼基礎設施

主要利用密碼技術， 為重要領域網絡和信息系統提供認證和密鑰管理服務， 主要包括CA/KMC 或包含有相關功能的密碼應用管理服務器。

2.4 密碼服務

主要包括抽象的機密性、完整性、真實性和不可否認性服務，以及具體的身份鑒別、訪問控制、存儲安全、傳輸安全、數字簽名和安全審計等具體的密碼功能。

2.5 密碼安全防護

主要指密碼技術的保障對象， 包含數控系統中物理環境、網絡與通信、設備與計算、應用與數據、以及云端工業互聯服務的安全。

2.6 密碼功能服務

數控系統信息安全防護中，使用身份鑒別功能，實現設備、主機、操作系統和數據庫系統、應用系統等設備身份真實性，登錄用戶身份的真實性。

2.7 密碼安全防護對象

數控系統信息安全防護中， 密碼安全防護對象即為數控系統本身，在數控系統的設備、流程、服務中使用密碼技術，保障物理環境安全、網絡與通信安全、設備與計算安全、應用與數據安全以及云端工業互聯服務安全。

3 數控系統商用密碼安全性測評

在GM/T0054-2018 《信息系統密碼應用基本要求》、GM/T 0028-2014《密碼模塊安全技術要求》、《數控系統密碼應用技術要求》（制定中）、《信息系統密碼應用測評要求》、GB/T22239-2019《信息安全技術 網絡安全等級保護基本要求》等標準指南的基礎上，根據現有數控系統商用密碼應用技術的發展水平， 提出一套適用于數控系統商用密碼應用安全性評估方案。

3.1 數控系統密碼應用安全性測評總體要求

數控系統密碼應用安全性測評總體要求根據數控系統密碼應用實現方式的不同，對密碼在機密性、完整性、抗抵賴、身份鑒別、訪問控制、安全審計以及密碼配置7種特性的全面檢測，向上可歸屬為安全技術檢測、安全管理檢測和密鑰管理安全檢測3 個大類，見圖2。

圖2 數控系統商用密碼應用安全性測評總體要求

（1）安全技術檢測主要是通過配置檢查、技術測試等手段檢測密碼在信息系統中應用的合規性、 正確性及有效性。安全技術檢測包括總體要求安全檢測、物理和環境安全檢測、網絡和通信安全檢測、設備和計算安全檢測、應用和數據安全檢測5 個層面。

（2）安全管理檢測主要圍繞制度、人員、實施、應急，從政策、制度、規范、流程以及記錄等方面檢測密碼在信息系統中應用的合規性、正確性及有效性。

（3）密鑰管理安全檢測是針對密碼的特點，從密鑰的生成、存儲、分發、導入、導出、使用、備份、恢復、歸檔與銷毀等全生命周期， 檢測密鑰管理和策略制定是否符合國家政策和有關標準要求。

3.2 數控系統密碼應用安全評估分級

根據密碼安全技術要求不同， 結合 《GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求》， 將數控系統密碼應用劃分為五個級別，在各個級別規定了數控系統應支持的最低安全防范措施， 其安全強度逐漸提高。用戶可根據不同的安全需求進行級別選擇，詳見表1。

表1 數控系統密碼安全技術要求

第一級別適用于一些對安全性不高的應用， 應采用身份鑒別、訪問控制和安全審計功能。

第二級別適用于一些對安全性具有一定要求的應用，應采用機密性、完整性、身份鑒別、訪問控制、安全審計和密碼配置功能，采用的密碼產品，應達到GB/T 37092一級及以上安全要求。

第三級別適用于一些對安全性具有較高要求的應用，應采用機密性、完整性、抗抵賴性、身份鑒別、訪問控制、安全審計和密碼配置功能，采用的密碼產品，應達到GB/T 37092 二級及以上安全要求。

第四級別適用于一些對安全性具有很高要求的應用，應采用機密性、完整性、抗抵賴性、身份鑒別、訪問控制、安全審計和密碼配置功能，采用的密碼產品，應達到GB/T 37092 三級及以上安全要求。

暫不存在安全級別為五級的系統， 故暫不對第五級信息系統提出具體的密碼技術要求。

4 結束語

本文適時提出一種符合國家有關標準和要求的商用密碼的數控系統安全性測評體系，對于提升數控系統、智能制造等領域的信息安全防護水平， 促進制造業轉型升級發展，切實保障關鍵基礎設施網絡空間安全，提升相關領域測評技術的科學性和先進性。