基于国密算法的航油工业控制系统安全解决方案

本文针对梳理的航油工业控制系统在安全方面存在的风险隐患,基于国产密码算法提供的安全防护功能,提出航油工业控制系统安全解决方案,以增强系统的安全综合保障能力。

随着两化深度融合,航油工业控制系统的自动化运行和集成程度不断提高。航油工业控制系统的安全以及稳定运行直接关系到人们的生命财产安全和强国建设,一旦出现安全问题将影响航油供应的稳定性,甚至会给重大经济、人员、环境等涉及国计民生方面造成严重后果。为了提升航油工业控制系统安全,通过整理航油供应业务流程,分析航油工业控制系统的功能与部署,针对梳理的航油工业控制系统在安全方面存在的风险隐患,基于国产密码算法提供的安全防护功能,提出航油工业控制系统安全解决方案,以增强系统的安全综合保障能力。

内容目录

0 引 言

1 航油业务现状分析

2 航油工业控制系统安全需求分析

3 基于密码技术的应用解决方案

3.1 国密算法简介

3.2 密码算法提供的常见安全功能

3.2.1 机密性

3.2.2 完整性

3.2.3 真实性

3.2.4 不可否认性

3.3 基于电子门禁系统的物理访问控制解决方案

3.4 基于视频监控系统的环境安全增强解决方案

3.5 基于工业防火墙的通信网络安全解决方案

3.6 基于密码技术的PLC固件完整性和真实性解决方案

3.7 基于动态口令的身份认证解决方案

3.8 应用数据传输安全

4 结 语

引言

在两化深度集成和工业转型升级的同时,工业控制生产环境已从封闭转向开放,生产过程从自动化转向智能化。此外,工业控制系统安全漏洞数量在逐年递增,各类工控信息安全事件层出不穷,安全威胁加速渗透,攻击手段复杂多样。2019年7月,纽约曼哈顿发生大规模停电,约4.2万名居民断电,还有多人被困电梯。2019年9月,印度Kudankulam核电站遭受了攻击,恶意软件感染了核电站的管理网络,导致一个反应堆中止运行。2020年4月,葡萄牙跨国能源公司EDP遭到勒索软件攻击。

电力、石油天然气和水利等工业控制系统,作为国家能源生产基础和国家关键基础设施的重要组成部分,面临高科技网络攻击的威胁。我国高度重视工业控制系统安全并采取了各种举措。根据《网络安全法》,主管机构发布了一系列法规、政策、战略规划和指南,强调加强对关键信息基础设施的保护以及使用国产密码手段来增强安全保障能力的必要性。比如,国家互联网信息办公室起草公布《关键信息基础设施安全保护条例(征求意见稿)》,两办2018年36号文《金融和重要领域密码应用与创新发展工作规划(2018—2022年)的通知》,中办、国办中办发[2015]4号文《关于加强重要领域密码应用的指导意见》,均强调促进重要工业控制系统密码应用。

航空燃油供应是机场正常运行的物资保障,在维护国家安全和经济发展中发挥着重要作用。航油工业控制系统的自动化和集成度不断提高,促使工业控制系统被越来越多地应用于各个领域,如油库、输油管线以及航空加油站等。航油工业控制系统的安全和稳定运行直接关系到人们的生命财产安全和强国建设。作为航油系统稳定运行的重要组成部分,工业控制系统是航油关键信息基础设施的宝贵资产,而系统中运行的数据更是具有重要价值的重点保护对象,一旦出现安全问题,将影响航油供应的稳定性,并给国民经济和生产带来严重后果。

国内外诸多机构和学者已经开始工控系统安全应用研究。美国桑迪亚国家实验室(Sandia National Labs,SNL)成立数据采集和监视控制系统(Supervisory Control And Data Acquisition,SCADA)安全研究中心来研究工控系统安全。

2015年,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布NIST SP800-82《工业控制系统安全指南》。邸丽清等人研究国外工业控制系统信息安全相关标准、指南及行业规范,分析其体系框架和安全技术要求。Tidrea等人提出基于可信平台模块TPM来解决使用Modbus TCP、DNP3以及S7等协议引起的安全性问题。Parvez等人以SCADA无线通信加密为切入点分析比较基于SCADA与AGA12的各种可用安全标准。Duka等人的研究表明,计算资源有限的可编程逻辑控制器(Programmable Logic Controller,PLC)也可开发基于密码算法(如AES、SHA1、HMAC-SHA1、Speck以及Simon等)的应用程序,以保障应用数据安全。兰昆等研究如何应用密码技术在控制站和受控设备间建立可靠可信的控制信道。

本文整理航油供应业务流程,分析航油工业控制系统的功能与部署,梳理航油工业控制系统在安全方面存在的风险隐患,提出基于国产密码算法的航油工业控制系统安全增强方案,以提升系统的综合安全保障能力。本文组织如下:第1章介绍航油工业控制系统的背景现状和航油工业控制系统的业务流程;第2章分析航油工业控制系统存在的安全性风险以及相关安全需求;第3章介绍国产密码技术,并结合国产密码技术提出航油工业控制系统的安全性增强方案;最后,总结全文。

1 航油业务现状分析

航油供油系统实现对油品的接卸、输送、储存以及加注等过程的自动控制,以及相关设备和测量仪表的运行状态监测和报警控制等功能。航空燃料的供应是进行航空运输的先决条件,而机场是航空燃料供应的基础。航油由炼油厂使用直馏、加氢裂化以及加氢精制等工艺生产,或从中转油库中转,然后通过铁路、公路、水上运输或油料管道输送到建设在机场附近的航空油料机场油库。在对燃料进行技术处理后,将其通过飞机的专用加油车运输到飞机。

航油工业控制系统包括长输管道输油自动化控制系统、油库供油自动化控制系统以及航空加油站加油自动化控制系统等,如图1所示。供应地通过铁路、公路、水路或油料管道将供应的航空油料输送到中转油库,然后输入机场附近的机场油库,最后对油料进行技术处理,通过航空加油站、专用的飞机加油车等输送到飞机上。

基于国密算法的航油工业控制系统安全解决方案

图1 航油输送示意

大多自产航油直接从炼油厂运输到机场;进口航油则经海运至我国沿海码头,然后通过中转运输至各个机场。铁路运输运量大且适合长途运输,运输成本低,因此是国内众多机场采用的主要运输方式。公路运输投资小,运输灵活,适合短途运输,因此公路运输与铁路运输相结合成为小型机场的主要选择。

油轮运输一次性容量大、成本低,但受地理限制较多,主要保障国内沿海机场的用油。管道运输受到天气影响小,成本低廉,安全可靠,还可以消除重复装卸,但初期投资大、成本高,因此管道运输多用于国内大中型机场的短途运输。航空油料的储存油库是供油系统的必要设备,包括中转油库和机场油库,具有接收、储存、沉降、加注及油品质量检查等功能。

中转油库从铁路、水路、公路或输油管道接收来油,是为机场油库转输油的场所。机场油库为机坪管线加油系统供油和罐式加油车装油。例如,上海虹桥机场和浦东机场的航油供应模式为综合采用油轮、铁路、公路以及管道等运输方式,从五号沟码头、高桥石化码头、徐汇滨江云峰码头以及本地炼油厂等处来的油源进中转油库储罐,然后经输油管道输送至机场使用油库,最后经站坪输油管道系统为机位加油或通过航空加油站的加油罐车给机位加油。

航油工业控制系统涉及输送管道输油的工业控制系统、油库供油的工业控制系统以及航空加油站加油工业控制系统等。与油库相关的业务包括使用油库、中转油库、卸油站油库、供应站油库以及中心油库等。从实际业务的角度来看,上述各种类型的油库可以归类为与油库相关的业务。管道相关的业务主要包括首站站控、末站站控和中间站站控。

从实际的业务角度来看,此类站控制系统被归类为与管道相关的服务。其他典型网络拓扑主要包括单一的上位机通过交换机连接PLC的网络,但是在这类拓扑中有可能存在两种情况,即交换机上连接多个PLC或一个PLC。另外,该类拓扑有可能存在上联的办公网,也可以是独立的生产网络。

2 航油工业控制系统安全需求分析

目前,在航油工业控制系统中,很多地方存在安全性不足的隐患。

系统中使用的协议包括工业控制协议和常见的TCP/IP网络协议。现场总线协议在设计之初几乎不考虑安全保护功能,且许多协议都缺少身份认证、授权以及数据加密机制,如应用数据和控制信息以明文方式在网络中传递。

一旦攻击者成功入侵现场控制层,整个现场设备将处于没有防护措施的危险状态。专用通信协议本身的安全性较脆弱,缺乏可靠的认证和加密机制,且忽略了消息完整性验证机制。例如,Modbus协议没有身份验证机制,只需要合法的Modbus地址和功能代码就能建立Modbus协议会话。

网络协议一般选择EtherNet/IP协议和Modbus/TCP协议。由于航油工业控制系统的以太网采用了诸如TCP/IP之类的开放协议,因此协议本身的漏洞进一步加剧了航油工业控制系统网络的风险,使得攻击者可以更加容易地从外部网络访问过程控制层,为攻击者发动多种攻击(如DDoS攻击)并收集系统信息提供了可乘之机。

航油工业控制系统的各层间存在过程控制、监视、测量等设备和计算机服务之间的基于专用通信协议(如Modbus、ProfiBus等)的通信,但缺乏相应的保护机制,因此有必要分析航空石油工业控制系统中工业控制协议的数据包,如MODBUS、S7、FINS以及EGD等,以便及时发现异常的通信行为。同时,在进行控制指令或交换相关数据时,采用加密、认证等手段实现身份认证、访问控制和数据加密传输,从而保证通信数据的完整性、真实性和机密性。

在航油工业控制系统层次结构中,顶层的航油企业网络使得其他3个相连的层次面临企业网络带来的安全风险,因此必须限制在企业网络SCADA客户端使用等,以加强该类资源的身份认证和访问控制。在航油工业控制系统的4个层次间缺乏必要的网络划分和域控制机制,因此需要合理的网络划分和隔离策略。长输管道输油自动化控制系统、油库供油自动化系统以及航空加油站加油自动化控制系统,与企业其他系统(如企业管理信息系统)之间应该划分为不同的区域。

区域之间应有清晰的网络边界并应进行网络边界隔离,同时部署具有访问控制功能的网络安全设备、安全可靠的工业防火墙或具有等效功能的设施。系统内部划分为不同的安全域,各域之间采用技术隔离,在重要网络区域与其他网络区域之间应该考虑采取可靠的技术隔离手段。在系统与WAN之间的垂直交界处应考虑控制设备,实现双向身份认证、访问控制和数据加密传输。

航油工业控制系统网络在人员管理、权限管理等地方也存在缺陷。缺乏专业操作技能的人员、外部人员以及内部恶意人员等在访问系统时,可能会进行错误的配置或实施恶意攻击等。所有这些将导致系统被攻击并可能引发一系列严重后果,因此有必要实现基于密码技术的安全保护功能,如身份验证、权限控制等。

航油工业控制系统使用的操作系统和应用程序正在逐步与IT系统融合,采用开放和统一的IT系统标准,使得IT系统的漏洞被移植到航油工业控制系统。但是,IT系统的解决方案可能不适用于航油工业控制系统,在实时性要求高的工业控制系统中使用传统防护措施,导致的通信延时将会对工控系统服务连续性产生较大影响。

3 基于密码技术的应用解决方案

3.1 国密算法简介

近年来我国发布了多款商用密码算法,包括祖冲之序列密码算法ZUC、分组密码算法SM4、杂凑密码算法SM3以及公钥密码算法SM2和SM9。

祖冲之密码算法的密钥长度为128 bits,由128 bits种子密钥和128 bits初始向量共同作用生成32 bits宽的密钥流。ZUC可用于数据保密性和完整性保护。在2011年9月的3GPP会议上,我国的ZUC算法与AES、SNOW 3G共同成为4G移动通信密码算法的国际标准。

SM4算法的分组长度为128 bits,密钥长度为128 bits,加密与密钥扩展算法都采用32轮非线性迭代结构。加密和解密使用完全相同的结构,解密时只需倒置密钥的顺序。因此,相比AES算法,SM4算法更易于实现。SM4算法于2012年作为密码行业标准发布,并于2016年转化为国家标准。

SM3算法通过M-D模型处理输入消息,生成256 bits的杂凑值。与SHA256算法相比,SM3算法使用了多种新的设计技术,在安全性和效率上更具优势。SM3算法于2012年作为密码行业标准发布,于2016年转变为国家标准,并于2018年正式成为国际标准。

SM2算法基于椭圆曲线离散对数问题,提供数据加密解密、签名验签和密钥协商功能。SM2算法推荐使用256 bits素域上的参数集。与RSA算法相比,SM2算法具有安全性高、密钥短、私钥产生简单以及签名速度快等优点。该算法已于2016年成为国家标准,并于2017年被ISO采纳成为国际标准。

SM9算法是一种标识密码,是在传统公钥基础设施PKI基础上发展而来的,可以解决安全应用场景中PKI需要大量交换数字证书的问题,使应用更易部署和使用。SM9算法提供密钥封装、数据加密解密、签名验签和密钥协商功能。2017年,ISO将SM9数字签名算法采纳为国际标准的一部分。

3.2 密码算法提供的常见安全功能

密码算法提供的4个主要功能为数据的机密性、信息来源的真实性、数据的完整性和行为的不可否认性。

3.2.1 机密性

对称密码算法SM4和非对称密码算法SM2、SM9均可以实现数据的机密性保护。相比之下,SM2和SM9的加密和解密方式更灵活,但计算成本很高,主要用于少量数据保护和采用复杂共享方法的数据保护;SM4则可应用在大量信息的传输或存储的保护中。SM2和SM9可以为SM4算法提供密钥协商或密钥的安全传输。在SM4保护数据时需注意,CBC模式的初始向量一般需要随机产生,可以通过调用品质优良的随机数发生器来生成。随机数发生器产生的随机数应进行必要的随机性检测,如单比特频数检测、块内频数检测、扑克检测以及Maurer通用统计检测等。

3.2.2 完整性

数据完整性保护的实现方式一般为SM2、SM9的数字签名机制或消息鉴别码MAC机制。消息鉴别码可以是基于SM4算法的CMAC-SM4、CCM-SM4以及GMAC-SM4等,也可以是基于SM3的HMAC-SM3。SM3的快速实现可提升HMAC-SM3的性能。利用MAC实现完整性保护的机制:消息发送者发送消息,并通过共享密钥计算MAC值(如HMAC-SM3);消息接收者通过共享密钥和收到的消息重新计算MAC值,如果二者一致,则确认消息的完整性。利用数字签名实现完整性保护的机制:消息发送方发送消息,并使用自己的私钥调用SM2/SM9签名功能计算得到的签名值;接收者用发送方公钥对签名调用SM2/SM9签名验证功能,验证收到消息的完整性。

3.2.3 真实性

实现真实性的核心是基于身份鉴别技术,如使用基于密码技术的身份鉴别。在基于SM4的身份验证中,双方共享对称密钥以执行加密和解密,并使用挑战&应答机制来抵抗重放攻击,如果验证者成功解密该消息,则相信消息来自声称者。基于SM2/SM9的鉴别机制类似,声称者使用私钥对消息签名,验证者使用公钥验证签名有效性,如果验证通过,则相信声称者是本人。

3.2.4 不可否认性

不可否认能够在产生纠纷时提供可靠的证据以帮助解决纠纷,主要采用数字签名技术来实现。例如,消息发送方用自己的私钥对要进行不可否认性保护的数据进行签名并将其发给接收者,签名就是不可否认的证据。数据接收方存储此消息和数字签名,以用作将来解决争议的证据。

3.3 基于电子门禁系统的物理访问控制解决方案

电子门禁系统是实现物理访问控制安全最常见最有效的手段之一。密码行业标准GM/T 0036针对采用密码技术的非接触式卡门禁系统,规定了系统中使用的密码设备、密码算法、密码协议和密钥管理的相关要求。电子门禁系统通常由后台管理系统、门禁读卡器以及门禁卡等构成。该系统的内部安全保护由每个组件内的密码模块提供,如图2所示。

基于国密算法的航油工业控制系统安全解决方案

图2 电子门禁系统组成

电子门禁系统的门禁卡和读卡器/后台管理系统中具有内置的安全模块,用于读卡器和后台管理系统对门禁卡进行身份验证。读卡器射频接口模块负责与门禁卡的射频通信。微控制单元MCU负责内部数据交换,并与后台管理系统进行通信。密钥管理及发卡系统提供密钥管理及发卡系统中的密码设备,提供诸如密钥生成、密钥分散及身份鉴别之类的密码服务。电子门禁系统身份鉴别的过程有多种,以下是认证门禁卡的一种执行流程。

第1步:读卡器读取门禁卡信息。门禁卡将卡片唯一标识

基于国密算法的航油工业控制系统安全解决方案

和用于卡片密钥分散的发行信息

基于国密算法的航油工业控制系统安全解决方案

发送给读卡器。

第2步:读卡器发送内部认证命令和随机数

基于国密算法的航油工业控制系统安全解决方案

给门禁卡。

第3步:门禁卡内部用存在卡片中的卡密钥

基于国密算法的航油工业控制系统安全解决方案

对该随机数用SM4算法做加密运算,并将计算得到的结果

基于国密算法的航油工业控制系统安全解决方案

并回发给读卡器。

基于国密算法的航油工业控制系统安全解决方案

第4步:读卡器传送

基于国密算法的航油工业控制系统安全解决方案

基于国密算法的航油工业控制系统安全解决方案

基于国密算法的航油工业控制系统安全解决方案

基于国密算法的航油工业控制系统安全解决方案

到后台管理系统。

第5步:后台管理系统认证门禁卡。

(1)后台管理系统鉴别卡片唯一标识是否在黑名单内,若是,则反馈认证失败与原因。

(2)计算门禁卡的卡密钥,即对

基于国密算法的航油工业控制系统安全解决方案

基于国密算法的航油工业控制系统安全解决方案

等分散因子以及保存在安全模块中的系统根密钥

基于国密算法的航油工业控制系统安全解决方案

,使用基于SM4的密钥导出函数SM4-KDF算法分散得到门禁卡的卡密钥

基于国密算法的航油工业控制系统安全解决方案

基于国密算法的航油工业控制系统安全解决方案

(3)用此卡密钥计算鉴别信息,即计算:

基于国密算法的航油工业控制系统安全解决方案

(4)比较鉴别值。如果

基于国密算法的航油工业控制系统安全解决方案

,则对门禁卡的身份鉴别正确,否则鉴别不通过。若以上鉴别通过,则发出开门信息到门禁执行机构开门,同时产生下一次门禁读卡器用于身份鉴别的随机数,并同

基于国密算法的航油工业控制系统安全解决方案

地篡改、删除、替换,电子门禁系统进出记录可以使用消息鉴别码或数字签名技术进行保护(参见3.2节)。

3.4 基于视频监控系统的环境安全增强解决方案

工业控制站点现场、计算机室等可以使用视频监控系统来进一步增强物理环境安全。国家标准GB 35114对公共安全视频监控联的基本功能、性能以及安全等做了详细规定,并根据安全保护力度的强弱,将具有安全功能的前端设备的安全能力分为3个等级,由弱到强分别是A级、B级和C级。

A级基于数字证书与管理平台之间的双向身份认证能力,达到身份真实的目标;B级具备基于数字证书与管理平台之间的双向身份认证的能力和对视频数据签名的能力,达到身份真实和视频来源于真实设备的能力,能够校验视频内容是否遭到篡改的目标;C级具备基于数字证书与管理平台之间的双向身份认证的能力、视频数据签名能力和视频数据加密能力,确保身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改,达到对视频内容加密保护的目的。

因此,选择具有安全功能B级或C级的具有安全功能的前端设备,并且将视频监控系统所使用的密码算法配置为符合相关国家标准和行业标准的密码算法,如SM系列算法,以确保视频监控音像记录数据完整性。此外,有必要进一步验证视频监控音像记录数据的正确性和密码保护功能的有效性。

3.5 基于工业防火墙的通信网络安全解决方案

为了使航油工业控制系统的长输管道输油自动化控制系统、油库供油自动化系统以及航空加油站加油自动化控制系统达到通信网络安全的边界隔离、边界防护、通信传输安全等需求,中国航油工业防火墙以TCP/IP和相关的应用协议为基础,在应用层、传输层、网络层与数据链路层对内外通信进行监控,阻止异常数据流入航油工控系统,并阻断针对工控系统进行的网络攻击和非法数据窃取行为,保证航油工控系统正常运转。

该工业防火墙将网络信息划分为不同的安全通道,并根据每个安全通道定义不同的安全策略,结构如图3所示。

基于国密算法的航油工业控制系统安全解决方案

图3 工业防火墙部署结构

工业防火墙以用户为核心进行用户身份认证和访问控制。用户认证系统实现了用户的认证、授权、记帐功能。认证控制服务器支持多种认证方式,并可以根据用户需求扩展其他认证方式。工业防火墙支持SM系列国产商用密码算法。商用密码算法的应用主要分为设备端和接入端。设备端主要是指防火墙本身,而接入端主要是指需要通过防火墙访问系统网络的接入设备,如操作员站等。

商用密码算法主要应用于两个方面,即基于商用密码算法的身份认证和基于商用密码算法的数据加密。商用密码算法身份认证主要是指通过使用SM2算法和SM2数字证书进行签名和验签来实现身份认证。商用密码算法数据加密是指通过使用SM4加密算法实现数据通信时的数据加密功能(参见3.2节)。

虚拟专用网采用IPSec VPN实现,支持路由/网关两种模式,满足相关的国密技术标准GM/T 0022—2014《IPSec VPN技术规范》,实现了ESP安全封装协议和AH认证头协议。KE协商支持主模式,IPsec VPN支持隧道模式和传输模式,认证算法支持国产密码算法。同时,工业防火墙实现了支持安全策略精细化管理,支持协议和端口安全策略配置,支持对选定工业协议加密。

该工业防火墙支持多种工控协议,并对OPC、Modbus/TCP、DNP3、S7、FF、Profinet/IO、Ethernet/IP、IEC104、IEC61850以及FINS等协议进行深度检测。应用层主要侧重于检测连接中使用的特定协议内容,如OPC与MODBUS等;传输层和网络层主要实现对IP、ICMP、TCP和UDP协议的访问控制;数据链路层主要实现MAC地址检查,以防止IP欺骗。采用这样的体系结构形成立体的防护系统,防火墙能够提供最直接的网络安全保障。

3.6 基于密码技术的PLC固件完整性和真实性解决方案

航油工业控制系统内涉及大量的PLC。这些PLC的固件完整性和PLC固件来源的合法性,可以使用SM2/SM9数字签名技术和MAC技术得到保障。

为确保PLC的固件完整性,可以对PLC固件使用SM2数字签名或者使用HMAC-SM3的消息鉴别码进行保护。如果签名验证失败或者消息鉴别码的结果不等于之前生成的结果,则验证失败并使PLC进入错误状态。SM2数字签名可以包含单个签名,也可以包括多个部分签名。需要指出的是,部分签名中的任何一个签名验证失败都应导致PLC进入错误状态。

为了在固件升级等应用场景中确保PLC升级固件包来源的真实性和合法性,可对PLC升级固件包采用SM2数字签名。PLC对下载得到的升级固件包的签名进行验证,只有通过时才执行升级,否则丢弃此固件包。

3.7 基于动态口令的身份认证解决方案

在执行工业主机登录、应用服务资源访问等过程中,使用一种因子的鉴别技术或多种因子组合的鉴别技术对用户进行身份进行认证,如口令密码、USB-key、动态口令、安全问题、指纹以及虹膜等,且其中一种鉴别技术最好使用密码技术来实现。此外,应分析身份鉴别方案的安全强度,如评估单次尝试身份鉴别方案的成功概率和1 min之内多次尝试的成功概率,需满足单次尝试身份鉴别方案的成功概率不大于百万分之一,1 min之内多次尝试的成功概率不大于十万分之一。

动态口令基于SM4或SM3算法实现。认证前双方共享密钥,认证时用户与认证服务端根据共享密钥、相同随机参数和密码算法生成认证动态冂令并进行比较。计算动态口令的步骤如下。

第1步:先将时间因子T、事件因子C、挑战因子Q顺序组装为至少128 bits的参数ID。

第2步:参数ID与种子密钥K一起作为密码算法输入。如果密码算法选用SM4,则执行加密方案SM4-OTP得到计算结果S。

基于国密算法的航油工业控制系统安全解决方案

SM4-OTP是一种类似CBC-MAC的算法,将CBC-MAC中的密文异或运算采用加法代替。如果算法选用SM3,则执行SM3-OTP计算S。SM3-OTP是将K和ID依次拼接后执行SM3杂凑运算:

基于国密算法的航油工业控制系统安全解决方案

第3步:对计算结果S进行截断得到32 bits数据OD。根据选用的密码算法的不同,使用的截断算法Truncate也不相同。

基于国密算法的航油工业控制系统安全解决方案

第4步:将截断结果取模得到动态口令P。此动态口令为N位的十进制数字,N通常为6~8。

基于国密算法的航油工业控制系统安全解决方案

3.8 应用数据传输安全

为保证重要应用数据,如鉴别数据、航油工业控制系统重要业务数据、重要审计数据、工程师站和PLC等的重要配置数据以及重要个人信息等在传输过程中的安全,仅在网络通信层面通过搭建安全通信链路的方式实现保密性保护,并不能完全满足航油工业控制系统安全要求。比如,在拥有多个应用的航油工业控制系统中实现通信层数据加密传输,但是不同应用的传输数据在内部网络中以明文形态传输仍然存在风险,如截获内部传输数据、非授权访问其他应用程序数据等。

因此,应在应用层面对重要的应用数据进行加密保护,并对数据采用MAC或数字签名技术实现完整性保护,以确保应用数据在传输和存储时的安全性。例如,在航油工业控制设备中内置密码模块对重要数据进行加密保护和完整性保护,或者将重要数据发送到服务器密码机和其他密码产品进行机密性和完整性保护。为了保证航油工业控制系统应用数据的安全存储,可以执行上述保护后再存入数据库或其他存储介质中,也可以选择放置在加密存储设备中进行安全保护,如加密硬盘、存储加密系统等。

4 结语

本文通过整理航油供应业务流程,分析航油工业控制系统的功能与部署,梳理航油工业控制系统在安全方面存在的风险隐患,提出综合应用基于国产密码算法电子门禁系统、视频监控系统、工业防火墙以及动态口令等技术和产品的安全解决方案,增强系统的综合安全保障能力。除了应用多种技术外,航油工业控制系统的整体安全还需要监、评、测、防的综合应用,同时需要管理层面的安全性,如制定安全法规、管理制度、操作流程和使用手册,消除因人员操作不当带来的安全隐患。

引用本文:成龙,董贵山,罗影,等.基于国密算法的航油工业控制系统安全解决方案[J].通信技术,2021,54(01):200-208.

作者简介

成龙,硕士,高级工程师,主要研究方向为机场供油系统;

董贵山,博士,高级工程师,主要研究方向为信息安全;

罗影,硕士,高级工程师,主要研究方向为密码技术应用与工业控制安全;

邹大均,硕士,工程师,主要研究方向为工业控制安全;

刘波,硕士,高级工程师,主要研究方向为工业控制信息安全。

选自《通信技术》2021年第1期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/101.html

发表评论

登录后才能评论
跳至工具栏