基于國密算法的航油工業控制系統安全解決方案*

成 龍，董貴山，羅 影，鄒大均，劉 波

（1.中國航空油料集團有限公司，北京 100088；2.中國電子科技網絡信息安全有限公司，四川 成都 610041；3.工業信息安全（四川）創新中心有限公司，四川 成都 610041）

0 引言

在兩化深度集成和工業轉型升級的同時，工業控制生產環境已從封閉轉向開放，生產過程從自動化轉向智能化。此外，工業控制系統安全漏洞數量在逐年遞增，各類工控信息安全事件層出不窮，安全威脅加速滲透，攻擊手段復雜多樣。2019 年7 月，紐約曼哈頓發生大規模停電，約4.2 萬名居民斷電，還有多人被困電梯。2019 年9 月，印度Kudankulam 核電站遭受了攻擊，惡意軟件感染了核電站的管理網絡，導致一個反應堆中止運行。2020年4 月，葡萄牙跨國能源公司EDP 遭到勒索軟件攻擊。

電力、石油天然氣和水利等工業控制系統，作為國家能源生產基礎和國家關鍵基礎設施的重要組成部分，面臨高科技網絡攻擊的威脅。我國高度重視工業控制系統安全并采取了各種舉措。根據《網絡安全法》，主管機構發布了一系列法規、政策、戰略規劃和指南，強調加強對關鍵信息基礎設施的保護以及使用國產密碼手段來增強安全保障能力的必要性。比如，國家互聯網信息辦公室起草公布《關鍵信息基礎設施安全保護條例（征求意見稿）》，兩辦2018 年36 號文《金融和重要領域密碼應用與創新發展工作規劃（2018—2022 年）的通知》，中辦、國辦發[2015]4 號文《關于加強重要領域密碼應用的指導意見》，均強調促進重要工業控制系統密碼應用。

航空燃油供應是機場正常運行的物資保障，在維護國家安全和經濟發展中發揮著重要作用。航油工業控制系統的自動化和集成度不斷提高，促使工業控制系統被越來越多地應用于各個領域，如油庫、輸油管線以及航空加油站等。航油工業控制系統的安全和穩定運行直接關系到人們的生命財產安全和強國建設。作為航油系統穩定運行的重要組成部分，工業控制系統是航油關鍵信息基礎設施的寶貴資產，而系統中運行的數據更是具有重要價值的重點保護對象，一旦出現安全問題，將影響航油供應的穩定性，并給國民經濟和生產帶來嚴重后果。

國內外諸多機構和學者已經開始工控系統安全應用研究。美國桑迪亞國家實驗室（Sandia National Labs，SNL）成立數據采集和監視控制系 統（Supervisory Control And Data Acquisition，SCADA）安全研究中心來研究工控系統安全。2015 年，美國國家標準與技術研究院（National Institute of Standards and Technology，NIST） 發布NIST SP800-82《工業控制系統安全指南》[1]。邸麗清等人[2]研究國外工業控制系統信息安全相關標準、指南及行業規范，分析其體系框架和安全技術要求。Tidrea 等人[3]提出基于可信平臺模塊TPM來解決使用Modbus TCP、DNP3 以及S7 等協議引起的安全性問題。Parvez 等人[4]以SCADA 無線通信加密為切入點分析比較基于SCADA 與AGA12的各種可用安全標準。Duka 等人[5]的研究表明，計算資源有限的可編程邏輯控制器（Programmable Logic Controller，PLC）也可開發基于密碼算法（如AES、SHA1、HMAC-SHA1、Speck 以及Simon 等）的應用程序，以保障應用數據安全。蘭昆等[6]研究如何應用密碼技術在控制站和受控設備間建立可靠可信的控制信道。

本文整理航油供應業務流程，分析航油工業控制系統的功能與部署，梳理航油工業控制系統在安全方面存在的風險隱患，提出基于國產密碼算法的航油工業控制系統安全增強方案，以提升系統的綜合安全保障能力。本文組織如下：第1 章介紹航油工業控制系統的背景現狀和航油工業控制系統的業務流程；第2 章分析航油工業控制系統存在的安全性風險以及相關安全需求；第3 章介紹國產密碼技術，并結合國產密碼技術提出航油工業控制系統的安全性增強方案；最后，總結全文。

1 航油業務現狀分析

航油供油系統實現對油品的接卸、輸送、儲存以及加注等過程的自動控制，以及相關設備和測量儀表的運行狀態監測和報警控制等功能[7]。航空燃料的供應是進行航空運輸的先決條件，而機場是航空燃料供應的基礎。航油由煉油廠使用直餾、加氫裂化以及加氫精制等工藝生產，或從中轉油庫中轉，然后通過鐵路、公路、水上運輸或油料管道輸送到建設在機場附近的航空油料機場油庫。在對燃料進行技術處理后，將其通過飛機的專用加油車運輸到飛機。航油工業控制系統包括長輸管道輸油自動化控制系統、油庫供油自動化控制系統以及航空加油站加油自動化控制系統等，如圖1 所示。供應地通過鐵路、公路、水路或油料管道將供應的航空油料輸送到中轉油庫，然后輸入機場附近的機場油庫，最后對油料進行技術處理，通過航空加油站、專用的飛機加油車等輸送到飛機上。

大多自產航油直接從煉油廠運輸到機場；進口航油則經海運至我國沿海碼頭，然后通過中轉運輸至各個機場。鐵路運輸運量大且適合長途運輸，運輸成本低，因此是國內眾多機場采用的主要運輸方式。公路運輸投資小，運輸靈活，適合短途運輸，因此公路運輸與鐵路運輸相結合成為小型機場的主要選擇。油輪運輸一次性容量大、成本低，但受地理限制較多，主要保障國內沿海機場的用油。管道運輸受到天氣影響小，成本低廉，安全可靠，還可以消除重復裝卸，但初期投資大、成本高，因此管道運輸多用于國內大中型機場的短途運輸。航空油料的儲存油庫是供油系統的必要設備，包括中轉油庫和機場油庫，具有接收、儲存、沉降、加注及油品質量檢查等功能。中轉油庫從鐵路、水路、公路或輸油管道接收來油，是為機場油庫轉輸油的場所。機場油庫為機坪管線加油系統供油和罐式加油車裝油。例如，上海虹橋機場和浦東機場的航油供應模式[8]為綜合采用油輪、鐵路、公路以及管道等運輸方式，從五號溝碼頭、高橋石化碼頭、徐匯濱江云峰碼頭以及本地煉油廠等處來的油源進中轉油庫儲罐，然后經輸油管道輸送至機場使用油庫，最后經站坪輸油管道系統為機位加油或通過航空加油站的加油罐車給機位加油。

圖1 航油輸送示意

航油工業控制系統涉及輸送管道輸油的工業控制系統、油庫供油的工業控制系統以及航空加油站加油工業控制系統等。與油庫相關的業務包括使用油庫、中轉油庫、卸油站油庫、供應站油庫以及中心油庫等。從實際業務的角度來看，上述各種類型的油庫可以歸類為與油庫相關的業務。管道相關的業務主要包括首站站控、末站站控和中間站站控。從實際的業務角度來看，此類站控制系統被歸類為與管道相關的服務。其他典型網絡拓撲主要包括單一的上位機通過交換機連接PLC 的網絡，但是在這類拓撲中有可能存在兩種情況，即交換機上連接多個PLC 或一個PLC。另外，該類拓撲有可能存在上聯的辦公網，也可以是獨立的生產網絡。

2 航油工業控制系統安全需求分析

目前，在航油工業控制系統中，很多地方存在安全性不足的隱患。

系統中使用的協議包括工業控制協議和常見的TCP/IP 網絡協議。現場總線協議在設計之初幾乎不考慮安全保護功能，且許多協議都缺少身份認證、授權以及數據加密機制，如應用數據和控制信息以明文方式在網絡中傳遞。一旦攻擊者成功入侵現場控制層，整個現場設備將處于沒有防護措施的危險狀態。專用通信協議本身的安全性較脆弱，缺乏可靠的認證和加密機制，且忽略了消息完整性驗證機制。例如，Modbus 協議沒有身份驗證機制，只需要合法的Modbus 地址和功能代碼就能建立Modbus協議會話。

網絡協議一般選擇EtherNet/IP 協議和Modbus/TCP 協議。由于航油工業控制系統的以太網采用了諸如TCP/IP 之類的開放協議，因此協議本身的漏洞進一步加劇了航油工業控制系統網絡的風險，使得攻擊者可以更加容易地從外部網絡訪問過程控制層，為攻擊者發動多種攻擊（如DDoS 攻擊）并收集系統信息提供了可乘之機。

航油工業控制系統的各層間存在過程控制、監視、測量等設備和計算機服務之間的基于專用通信協議（如Modbus、ProfiBus 等）的通信，但缺乏相應的保護機制，因此有必要分析航空石油工業控制系統中工業控制協議的數據包，如MODBUS、S7、FINS 以及EGD 等，以便及時發現異常的通信行為。同時，在進行控制指令或交換相關數據時，采用加密、認證等手段實現身份認證、訪問控制和數據加密傳輸，從而保證通信數據的完整性、真實性和機密性。

在航油工業控制系統層次結構中，頂層的航油企業網絡使得其他3 個相連的層次面臨企業網絡帶來的安全風險，因此必須限制在企業網絡SCADA客戶端使用等，以加強該類資源的身份認證和訪問控制。在航油工業控制系統的4 個層次間缺乏必要的網絡劃分和域控制機制，因此需要合理的網絡劃分和隔離策略。長輸管道輸油自動化控制系統、油庫供油自動化系統以及航空加油站加油自動化控制系統，與企業其他系統（如企業管理信息系統）之間應該劃分為不同的區域。區域之間應有清晰的網絡邊界并應進行網絡邊界隔離，同時部署具有訪問控制功能的網絡安全設備、安全可靠的工業防火墻或具有等效功能的設施。系統內部劃分為不同的安全域，各域之間采用技術隔離，在重要網絡區域與其他網絡區域之間應該考慮采取可靠的技術隔離手段。在系統與WAN 之間的垂直交界處應考慮控制設備，實現雙向身份認證、訪問控制和數據加密傳輸。

航油工業控制系統網絡在人員管理、權限管理等地方也存在缺陷。缺乏專業操作技能的人員、外部人員以及內部惡意人員等在訪問系統時，可能會進行錯誤的配置或實施惡意攻擊等。所有這些將導致系統被攻擊并可能引發一系列嚴重后果，因此有必要實現基于密碼技術的安全保護功能，如身份驗證、權限控制等。

航油工業控制系統使用的操作系統和應用程序正在逐步與IT 系統融合，采用開放和統一的IT 系統標準，使得IT 系統的漏洞被移植到航油工業控制系統。但是，IT 系統的解決方案可能不適用于航油工業控制系統，在實時性要求高的工業控制系統中使用傳統防護措施，導致的通信延時將會對工控系統服務連續性產生較大影響。

3 基于密碼技術的應用解決方案

3.1 國密算法簡介

近年來我國發布了多款商用密碼算法，包括祖沖之序列密碼算法ZUC、分組密碼算法SM4、雜湊密碼算法SM3 以及公鑰密碼算法SM2 和SM9。

祖沖之密碼算法[9]的密鑰長度為128 bits，由128 bits 種子密鑰和128 bits 初始向量共同作用生成32 bits 寬的密鑰流。ZUC 可用于數據保密性和完整性保護。在2011 年9 月的3GPP 會議上，我國的ZUC 算法與AES、SNOW 3G 共同成為4G 移動通信密碼算法的國際標準。

SM4 算法[10]的分組長度為128 bits，密鑰長度為128 bits，加密與密鑰擴展算法都采用32 輪非線性迭代結構。加密和解密使用完全相同的結構，解密時只需倒置密鑰的順序。因此，相比AES 算法，SM4 算法更易于實現。SM4 算法于2012 年作為密碼行業標準發布，并于2016 年轉化為國家標準。

SM3 算法[11]通過M-D 模型處理輸入消息，生成256 bits 的雜湊值。與SHA256 算法相比，SM3算法使用了多種新的設計技術，在安全性和效率上更具優勢。SM3 算法于2012 年作為密碼行業標準發布，于2016 年轉變為國家標準，并于2018 年正式成為國際標準。

SM2 算法[12]基于橢圓曲線離散對數問題，提供數據加密解密、簽名驗簽和密鑰協商功能。SM2算法推薦使用256 bits 素域上的參數集。與RSA 算法相比，SM2 算法具有安全性高、密鑰短、私鑰產生簡單以及簽名速度快等優點。該算法已于2016年成為國家標準，并于2017 年被ISO 采納成為國際標準。

SM9 算法[13]是一種標識密碼，是在傳統公鑰基礎設施PKI 基礎上發展而來的，可以解決安全應用場景中PKI 需要大量交換數字證書的問題，使應用更易部署和使用。SM9 算法提供密鑰封裝、數據加密解密、簽名驗簽和密鑰協商功能。2017 年，ISO 將SM9 數字簽名算法采納為國際標準的一部分。

3.2 密碼算法提供的常見安全功能

密碼算法提供的4 個主要功能為數據的機密性、信息來源的真實性、數據的完整性和行為的不可否認性。

3.2.1 機密性

對稱密碼算法SM4 和非對稱密碼算法SM2、SM9 均可以實現數據的機密性保護。相比之下，SM2 和SM9 的加密和解密方式更靈活，但計算成本很高，主要用于少量數據保護和采用復雜共享方法的數據保護；SM4 則可應用在大量信息的傳輸或存儲的保護中[14]。SM2 和SM9 可以為SM4 算法提供密鑰協商或密鑰的安全傳輸。在SM4 保護數據時需注意，CBC 模式的初始向量一般需要隨機產生，可以通過調用品質優良的隨機數發生器來生成。隨機數發生器產生的隨機數應進行必要的隨機性檢測[15]，如單比特頻數檢測[16]、塊內頻數檢測[16]、撲克檢測[17]以及Maurer 通用統計檢測[18]等。

3.2.2 完整性

數據完整性保護的實現方式一般為SM2、SM9的數字簽名機制或消息鑒別碼MAC 機制。消息鑒別碼可以是基于SM4 算法的CMAC-SM4、CCMSM4 以及GMAC-SM4 等[19]，也可以是基于SM3 的HMAC-SM3。SM3 的快速實現[20]可提升HMACSM3 的性能。利用MAC 實現完整性保護的機制：消息發送者發送消息，并通過共享密鑰計算MAC值（如HMAC-SM3）；消息接收者通過共享密鑰和收到的消息重新計算MAC 值，如果二者一致，則確認消息的完整性。利用數字簽名實現完整性保護的機制：消息發送方發送消息，并使用自己的私鑰調用SM2/SM9 簽名功能計算得到的簽名值；接收者用發送方公鑰對簽名調用SM2/SM9 簽名驗證功能，驗證收到消息的完整性。

3.2.3 真實性

實現真實性的核心是基于身份鑒別技術，如使用基于密碼技術的身份鑒別。在基于SM4 的身份驗證中，雙方共享對稱密鑰以執行加密和解密，并使用挑戰&應答機制來抵抗重放攻擊，如果驗證者成功解密該消息，則相信消息來自聲稱者。基于SM2/SM9 的鑒別機制類似，聲稱者使用私鑰對消息簽名，驗證者使用公鑰驗證簽名有效性，如果驗證通過，則相信聲稱者是本人。

3.2.4 不可否認性

不可否認能夠在產生糾紛時提供可靠的證據以幫助解決糾紛，主要采用數字簽名技術來實現。例如，消息發送方用自己的私鑰對要進行不可否認性保護的數據進行簽名并將其發給接收者，簽名就是不可否認的證據。數據接收方存儲此消息和數字簽名，以用作將來解決爭議的證據。

3.3 基于電子門禁系統的物理訪問控制解決方案

電子門禁系統是實現物理訪問控制安全最常見最有效的手段之一。密碼行業標準GM/T 0036 針對采用密碼技術的非接觸式卡門禁系統，規定了系統中使用的密碼設備、密碼算法、密碼協議和密鑰管理的相關要求。電子門禁系統通常由后臺管理系統、門禁讀卡器以及門禁卡等構成。該系統的內部安全保護由每個組件內的密碼模塊提供，如圖2 所示。

電子門禁系統的門禁卡和讀卡器/后臺管理系統中具有內置的安全模塊，用于讀卡器和后臺管理系統對門禁卡進行身份驗證。讀卡器射頻接口模塊負責與門禁卡的射頻通信。微控制單元MCU 負責內部數據交換，并與后臺管理系統進行通信。密鑰管理及發卡系統提供密鑰管理及發卡系統中的密碼設備，提供諸如密鑰生成、密鑰分散及身份鑒別之類的密碼服務。電子門禁系統身份鑒別的過程有多種，以下是認證門禁卡的一種執行流程[21]。

圖2 電子門禁系統組成

第1 步：讀卡器讀取門禁卡信息。門禁卡將卡片唯一標識UID和用于卡片密鑰分散的發行信息CT發送給讀卡器。

第2 步：讀卡器發送內部認證命令和隨機數Ra給門禁卡。

第3 步：門禁卡內部用存在卡片中的卡密鑰KC對該隨機數用SM4 算法做加密運算，并將計算得到的結果Ra′并回發給讀卡器。

第4 步：讀卡器傳送Ra、Ra′、UID和CT到后臺管理系統。

第5 步：后臺管理系統認證門禁卡。

（1）后臺管理系統鑒別卡片唯一標識是否在黑名單內，若是，則反饋認證失敗與原因。

（2）計算門禁卡的卡密鑰，即對UID和CT等分散因子以及保存在安全模塊中的系統根密鑰KR，使用基于SM4 的密鑰導出函數SM4-KDF 算法分散得到門禁卡的卡密鑰KC：

（3）用此卡密鑰計算鑒別信息，即計算：

（4）比較鑒別值。如果Ra′=Ra′，則對門禁卡的身份鑒別正確，否則鑒別不通過。若以上鑒別通過，則發出開門信息到門禁執行機構開門，同時產生下一次門禁讀卡器用于身份鑒別的隨機數Ra+1，并同本次鑒別結果發送至讀卡器。

為確保電子門禁系統進出記錄不被非授權地篡改、刪除、替換，電子門禁系統進出記錄可以使用消息鑒別碼或數字簽名技術進行保護（參見3.2 節）。

3.4 基于視頻監控系統的環境安全增強解決方案

工業控制站點現場、計算機室等可以使用視頻監控系統來進一步增強物理環境安全。國家標準GB 35114 對公共安全視頻監控聯的基本功能、性能以及安全等做了詳細規定，并根據安全保護力度的強弱，將具有安全功能的前端設備的安全能力分為3 個等級，由弱到強分別是A 級、B 級和C 級。

A 級基于數字證書與管理平臺之間的雙向身份認證能力，達到身份真實的目標；B 級具備基于數字證書與管理平臺之間的雙向身份認證的能力和對視頻數據簽名的能力，達到身份真實和視頻來源于真實設備的能力，能夠校驗視頻內容是否遭到篡改的目標；C 級具備基于數字證書與管理平臺之間的雙向身份認證的能力、視頻數據簽名能力和視頻數據加密能力，確保身份真實和視頻來源于真實設備，能夠校驗視頻內容是否遭到篡改，達到對視頻內容加密保護的目的。

因此，選擇具有安全功能B 級或C 級的具有安全功能的前端設備，并且將視頻監控系統所使用的密碼算法配置為符合相關國家標準和行業標準的密碼算法，如SM 系列算法，以確保視頻監控音像記錄數據完整性。此外，有必要進一步驗證視頻監控音像記錄數據的正確性和密碼保護功能的有效性。

3.5 基于工業防火墻的通信網絡安全解決方案

為了使航油工業控制系統的長輸管道輸油自動化控制系統、油庫供油自動化系統以及航空加油站加油自動化控制系統達到通信網絡安全的邊界隔離、邊界防護、通信傳輸安全等需求，中國航油工業防火墻以TCP/IP 和相關的應用協議為基礎，在應用層、傳輸層、網絡層與數據鏈路層對內外通信進行監控，阻止異常數據流入航油工控系統，并阻斷針對工控系統進行的網絡攻擊和非法數據竊取行為，保證航油工控系統正常運轉。

該工業防火墻將網絡信息劃分為不同的安全通道，并根據每個安全通道定義不同的安全策略，結構如圖3 所示。

圖3 工業防火墻部署結構

工業防火墻以用戶為核心進行用戶身份認證和訪問控制。用戶認證系統實現了用戶的認證、授權、記帳功能。認證控制服務器支持多種認證方式，并可以根據用戶需求擴展其他認證方式。工業防火墻支持SM 系列國產商用密碼算法。商用密碼算法的應用主要分為設備端和接入端。設備端主要是指防火墻本身，而接入端主要是指需要通過防火墻訪問系統網絡的接入設備，如操作員站等。商用密碼算法主要應用于兩個方面，即基于商用密碼算法的身份認證和基于商用密碼算法的數據加密。商用密碼算法身份認證主要是指通過使用SM2 算法和SM2數字證書進行簽名和驗簽來實現身份認證。商用密碼算法數據加密是指通過使用SM4 加密算法實現數據通信時的數據加密功能（參見3.2 節）。

虛擬專用網采用IPSec VPN 實現，支持路由/網關兩種模式，滿足相關的國密技術標準GM/T 0022—2014《IPSec VPN 技術規范》，實現了ESP 安全封裝協議和AH 認證頭協議。KE 協商支持主模式，IPsec VPN 支持隧道模式和傳輸模式，認證算法支持國產密碼算法。同時，工業防火墻實現了支持安全策略精細化管理，支持協議和端口安全策略配置，支持對選定工業協議加密。

該工業防火墻支持多種工控協議，并對OPC、Modbus/TCP、DNP3、S7、FF、Profinet/IO、Ethernet/IP、IEC104、IEC61850 以及FINS 等協議進行深度檢測。應用層主要側重于檢測連接中使用的特定協議內容，如OPC 與MODBUS 等；傳輸層和網絡層主要實現對IP、ICMP、TCP 和UDP 協議的訪問控制；數據鏈路層主要實現MAC 地址檢查，以防止IP 欺騙。采用這樣的體系結構形成立體的防護系統，防火墻能夠提供最直接的網絡安全保障。

3.6 基于密碼技術的PLC 固件完整性和真實性解決方案

航油工業控制系統內涉及大量的PLC。這些PLC 的固件完整性和PLC 固件來源的合法性，可以使用SM2/SM9 數字簽名技術和MAC 技術得到保障。

為確保PLC 的固件完整性，可以對PLC 固件使用SM2 數字簽名或者使用HMAC-SM3 的消息鑒別碼進行保護。如果簽名驗證失敗或者消息鑒別碼的結果不等于之前生成的結果，則驗證失敗并使PLC 進入錯誤狀態。SM2 數字簽名可以包含單個簽名，也可以包括多個部分簽名。需要指出的是，部分簽名中的任何一個簽名驗證失敗都應導致PLC 進入錯誤狀態。

為了在固件升級等應用場景中確保PLC 升級固件包來源的真實性和合法性，可對PLC 升級固件包采用SM2 數字簽名。PLC 對下載得到的升級固件包的簽名進行驗證，只有通過時才執行升級，否則丟棄此固件包。

3.7 基于動態口令的身份認證解決方案

在執行工業主機登錄、應用服務資源訪問等過程中，使用一種因子的鑒別技術或多種因子組合的鑒別技術對用戶進行身份進行認證，如口令密碼、USB-key、動態口令、安全問題、指紋以及虹膜等，且其中一種鑒別技術最好使用密碼技術來實現。此外，應分析身份鑒別方案的安全強度，如評估單次嘗試身份鑒別方案的成功概率和1 min 之內多次嘗試的成功概率，需滿足單次嘗試身份鑒別方案的成功概率不大于百萬分之一，1 min 之內多次嘗試的成功概率不大于十萬分之一[22]。

動態口令基于SM4 或SM3 算法實現。認證前雙方共享密鑰，認證時用戶與認證服務端根據共享密鑰、相同隨機參數和密碼算法生成認證動態冂令并進行比較。計算動態口令的步驟如下[23]。

第1 步：先將時間因子T、事件因子C、挑戰因子Q順序組裝為至少128 bits 的參數ID。

第2 步：參數ID與種子密鑰K一起作為密碼算法輸入。如果密碼算法選用SM4，則執行加密方案SM4-OTP 得到計算結果S。

SM4-OTP 是一種類似CBC-MAC 的算法，將CBC-MAC 中的密文異或運算采用加法代替。如果算法選用SM3，則執行SM3-OTP 計算S。SM3-OTP 是將K和ID依次拼接后執行SM3 雜湊運算：

第3 步：對計算結果S進行截斷得到32 bits 數據OD。根據選用的密碼算法的不同，使用的截斷算法Truncate 也不相同。

第4 步：將截斷結果取模得到動態口令P。此動態口令為N位的十進制數字，N通常為6～8。

3.8 應用數據傳輸安全

為保證重要應用數據，如鑒別數據、航油工業控制系統重要業務數據、重要審計數據、工程師站和PLC 等的重要配置數據以及重要個人信息等在傳輸過程中的安全，僅在網絡通信層面通過搭建安全通信鏈路的方式實現保密性保護，并不能完全滿足航油工業控制系統安全要求。比如，在擁有多個應用的航油工業控制系統中實現通信層數據加密傳輸，但是不同應用的傳輸數據在內部網絡中以明文形態傳輸仍然存在風險，如截獲內部傳輸數據、非授權訪問其他應用程序數據等。

因此，應在應用層面對重要的應用數據進行加密保護，并對數據采用MAC 或數字簽名技術實現完整性保護，以確保應用數據在傳輸和存儲時的安全性。例如，在航油工業控制設備中內置密碼模塊對重要數據進行加密保護和完整性保護，或者將重要數據發送到服務器密碼機和其他密碼產品進行機密性和完整性保護。為了保證航油工業控制系統應用數據的安全存儲，可以執行上述保護后再存入數據庫或其他存儲介質中，也可以選擇放置在加密存儲設備中進行安全保護，如加密硬盤、存儲加密系統等。

4 結語

本文通過整理航油供應業務流程，分析航油工業控制系統的功能與部署，梳理航油工業控制系統在安全方面存在的風險隱患，提出綜合應用基于國產密碼算法電子門禁系統、視頻監控系統、工業防火墻以及動態口令等技術和產品的安全解決方案，增強系統的綜合安全保障能力。除了應用多種技術外，航油工業控制系統的整體安全還需要監、評、測、防的綜合應用，同時需要管理層面的安全性，如制定安全法規、管理制度、操作流程和使用手冊，消除因人員操作不當帶來的安全隱患。