淺談電力監(jiān)控系統(tǒng)商用密碼應用安全性評估

謝 志 奇

(貴州烏江水電開發(fā)有限責任公司，貴州 貴陽 550002)

0 前 言

商用密碼是指對不涉及國家秘密內(nèi)容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產(chǎn)品，其具有防泄密(機密性)、防篡改(完整性)、防假冒(真實性)、防抵賴(不可否認性)，商用密碼應用安全性評估(后簡稱“密評”)是指對采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)，對其中密碼應用的合規(guī)性、正確性、有效性進行評估[1]。

1 密評特性介紹及具體步驟

1.1 密評特點

1.1.1 合規(guī)性

按照《商用密碼管理條例》等密碼法規(guī)和行業(yè)相關的密碼使用要求，使用符合國家密碼法規(guī)和標準規(guī)定的商用密碼算法，使用經(jīng)過國家密碼管理局審批的密碼產(chǎn)品或服務；按照《信息系統(tǒng)密碼應用基本要求》等標準，進行相應的密碼應用解決方案設計。

1.1.2 正確性

系統(tǒng)中采用的標準密碼算法、協(xié)議和密鑰管理機制按照相應的國家和行業(yè)密碼標準進行正確的設計和實現(xiàn)；自定義密碼協(xié)議、密鑰管理機制的設計和實現(xiàn)正確，符合相關標準要求；密碼保障體系建設或改造過程中密碼產(chǎn)品和服務的部署和應用正確。

1.1.3 有效性

密碼應用安全立足系統(tǒng)安全、體系安全、動態(tài)安全，信息系統(tǒng)中采用的密碼協(xié)議、密鑰管理系統(tǒng)、密碼應用子系統(tǒng)和密碼防護機制不僅設計合理，而且在系統(tǒng)運行過程中能夠發(fā)揮密碼效用，保障信息的機密性、完整性、真實性、抗抵賴性[2]。

1.2 密評依據(jù)和基本原則

評估工作應當遵循國家法律法規(guī)及相關標準。測評機構開展評估應當遵循商用密碼管理政策和《信息系統(tǒng)密碼應用基本要求》《信息系統(tǒng)密碼測評要求》等相關密碼標準的要求，遵循獨立、客觀、公正的原則[3]。

1.3 密評步驟

(1)評估準備階段：確定評估依據(jù)，資料審查，系統(tǒng)基本情況梳理，系統(tǒng)密碼應用情況。

(2)方案編制階段：確定測評對象，系統(tǒng)邊界范圍，確定測評指標，確定使用工具種類，根據(jù)網(wǎng)絡拓撲圖或初步調(diào)研結果，確定工具接入點，最終確定整體的測評內(nèi)容，以及內(nèi)容對應的測評方法。

(3)評估就緒階段：確認各主機數(shù)據(jù)是否已備份，保障數(shù)據(jù)安全，如果沒有備份則不進行工具測試，工具測試過程可能產(chǎn)生的意外情況都已有應急處理措施。

(4)評估實施階段：確定被評估對象及測評工具、總體測評、技術應用測評、密鑰管理測評、安全管理測評、工具測試接入點明確。

(5)評估結果綜合分析：針對測評結果中存在的部分符合項和不符合項問題加以描述和分析，其中對于部分符合項進行風險分析，評定風險等級，作為整體評判的結果。

(6)分析與編制報告：找出整個系統(tǒng)的安全防護現(xiàn)狀與相應等級保護需求之間的差距，分析可能存在的風險并形成評估報告。

2 電力監(jiān)控系統(tǒng)商用密碼應用要求

生產(chǎn)控制大區(qū)要求允許提供縱向安全WEB服務，但應當優(yōu)先采用專用協(xié)議和專用瀏覽器的圖形瀏覽技術，也可采用經(jīng)過安全加固且支持HTTPS的安全WEB服務。生產(chǎn)控制大區(qū)重要業(yè)務(如SCADA/AGC/AVC等)的遠程通信應當采用加密認證機制。

調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡邊界要求在生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應當采取相應的安全隔離、加密、認證等防護措施。對于實時控制等重要業(yè)務，應通過縱向加密認證裝置或加密認證網(wǎng)關接入調(diào)度數(shù)據(jù)網(wǎng)。

橫向隔離要求正反向隔離裝置集中接收生產(chǎn)大區(qū)或管理大區(qū)的數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢驗等處理后，轉發(fā)給管理大區(qū)或生產(chǎn)大區(qū)；縱向加密要求調(diào)度中心和重要廠站兩側均應配置縱向加密認證裝置，傳統(tǒng)的基于專用通道的數(shù)據(jù)通信可逐步采用加密、身份認證等技術進行安全防護；電力調(diào)度數(shù)據(jù)證書系統(tǒng)要求為電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)上的關鍵應用、關鍵用戶和關鍵設備，提供數(shù)字證書服務、實現(xiàn)高強度的身份認證、安全的數(shù)據(jù)傳輸以及可靠的行為審計。電力調(diào)度數(shù)字證書應當經(jīng)過國家有關檢測機構檢測認證，符合國家相關安全要求。

通用安全防護措施要求如下：

(1)防水防潮、電子門禁等物理安全措施；

(2)非控制區(qū)應當支持HTTPS的縱向安全WEB服務，采用電力調(diào)度數(shù)字證書對瀏覽器客戶端訪問進行身份認證及加密傳輸；

(3)能量管理系統(tǒng)應當逐步采用電力調(diào)度數(shù)字證書，對用戶登錄本地操作系統(tǒng)、訪問系統(tǒng)資源等操作進行身份認證，根據(jù)身份與權限進行訪問控制，并且對操作行為進行安全審計；

(4)需遠程訪問生產(chǎn)控制大區(qū)的，要求遠方用戶使用安全加固的操作系統(tǒng)平臺，結合數(shù)字證書技術，進行登錄認證和訪問認證；

(5)基于專線通道與調(diào)度主站進行的數(shù)據(jù)通信，應采用必要的身份認證或加解密措施進行防護；

(6)生產(chǎn)控制大區(qū)應當具備安全審計功能，可對網(wǎng)絡運行日志、操作系統(tǒng)日志、數(shù)據(jù)庫重要操作日志、業(yè)務應用日志、安全設備日志等進行統(tǒng)一收集，自動分析；

(7)生產(chǎn)控制大區(qū)具備控制功能的系統(tǒng)應當逐步推廣應用以密碼硬件為核心的可信計算技術；

(8)電力監(jiān)控系統(tǒng)中商用密碼產(chǎn)品的配備、使用和管理等，應當嚴格執(zhí)行國家商用密碼管理局的有關規(guī)定。

3 電力監(jiān)控系統(tǒng)密評內(nèi)容和建議

3.1 總體安全

3.1.1 密碼算法

檢查系統(tǒng)使用的算法名稱、用途、位置、執(zhí)行算法的設備及實現(xiàn)方式，核查密碼算法合規(guī)性，電力監(jiān)控系統(tǒng)中使用的SM2、SM3國密算法為合規(guī)，不合規(guī)算法有RSA1024、SHA-1、AES等，建議使用經(jīng)國家密碼管理部門核準的密碼算法[4]。

3.1.2 密碼技術

核查密碼協(xié)議、密鑰管理等密碼技術是否符合相關標準規(guī)范，若密碼技術由合規(guī)的密碼產(chǎn)品實現(xiàn)，則重點評估技術使用是否符合標準規(guī)定。在電力監(jiān)控系統(tǒng)中不合規(guī)的密碼技術有HTTP、FTP、TELNET等。

建議使用數(shù)字證書技術，使用經(jīng)國家密碼管理部門核準的密碼模塊如SSL VPN、IPSEC VPN，并使用經(jīng)國家密碼管理部門核準的算法，建立遠程集中管理安全通道。

3.1.3 密碼產(chǎn)品

核查相關部件和設備是否取得國家密碼管理部門頒發(fā)的商用密碼產(chǎn)品型號證書，或是否具有被主管部門認可的測評機構出具的合格測評報告。密碼產(chǎn)品按形態(tài)劃分為六類：軟件、芯片、模塊、板卡、整機和系統(tǒng)；密碼產(chǎn)品按功能劃分為七類：密碼算法類、數(shù)據(jù)加解密類、認證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。

在電力監(jiān)控系統(tǒng)中建議將使用的未經(jīng)國家密碼管理部門核準的密碼產(chǎn)品逐步更換為具有商密型號的同功能密碼產(chǎn)品，密碼產(chǎn)品的合規(guī)性可登陸商用密碼認證業(yè)務網(wǎng)(http://service.scctc.org.cn/)進行查詢。

3.1.4 密碼服務

核查為信息系統(tǒng)提供密碼服務的第三方電子認證服務組織機構，核查該機構是否獲得國家密碼管理局頒發(fā)的密碼服務許可證。電力監(jiān)控系統(tǒng)中暫未涉及，在此不做贅述。

3.2 基本安全

3.2.1 物理和環(huán)境

遵循物理和環(huán)境安全測評要求，對集中管理電力監(jiān)控系統(tǒng)所在機房環(huán)境進行測評；重點查看電子門禁是否具有商密型號，電子門禁記錄和視頻記錄是否使用密碼技術、密碼產(chǎn)品進行保護。

建議使用具有商密型號的門禁系統(tǒng)，確認進入各重要區(qū)域人員的身份，防止無關和假冒人員進入。建議使用數(shù)字簽名技術或HMAC方式對監(jiān)控記錄進行完整性保護，如服務器密碼機、數(shù)字簽名驗簽服務器，保護電子門禁系統(tǒng)進出記錄和視頻監(jiān)控音像記錄的完整性，防止被非授權篡改。

3.2.2 網(wǎng)絡和通信

檢查確認通信實體的身份，防止與假冒實體進行通信；保護通信過程中的數(shù)據(jù)，防止數(shù)據(jù)被非授權篡改，防止敏感數(shù)據(jù)泄露。

建議在網(wǎng)絡接入?yún)^(qū)部署符合GB/T 0022—2014的IPSec VPN/和符合GB/T 0024—2014的SSL VPN，對進行數(shù)據(jù)備份的設備在通信前進行身份鑒別和建立安全的集中管理通道，通過部署SSL VPN網(wǎng)關，對訪問控制信息完整性保護，在網(wǎng)絡邊界部署IPSec VPN、SSL VPN網(wǎng)關等設備，對網(wǎng)絡傳輸數(shù)據(jù)進行完整性和機密性保護。

3.2.3 設備和計算

檢查設備的特權用戶和普通用戶的身份是否進行識別和確認，防止假冒人員登錄；檢查遠程管理時，是否對管理員的身份鑒別信息進行機密性保護，防止鑒別信息泄漏；檢查是否保護計算機、服務器等設備中的系統(tǒng)資源訪問控制信息、重要信息資源安全標記、日志記錄和重要可執(zhí)行程序，防止被非授權篡改。

建議在網(wǎng)絡層建立合規(guī)的集中遠程管理通道；使用密碼技術或產(chǎn)品對登錄的用戶進行身份標識和鑒別；日志集中存儲的方式對日志進行集中管理，并使用數(shù)字簽名技術或 HMAC 方式對日志進行完整性保護。

3.2.4 應用和數(shù)據(jù)

檢查確認應用系統(tǒng)的管理員和普通用戶的身份，防止假冒人員登錄；檢查對應用系統(tǒng)的訪問控制策略、數(shù)據(jù)庫表訪問控制信息、重要信息資源安全標記等是否進行保護，防止被非授權篡改；檢查是否保護客戶端與服務器之間、應用系統(tǒng)之間在非安全網(wǎng)絡信道中傳輸?shù)闹匾獢?shù)據(jù)，防止數(shù)據(jù)泄露；檢查是否保護存儲的重要數(shù)據(jù)，防止數(shù)據(jù)泄露、非授權篡改；檢查是否保護重要日志記錄，防止被非授權篡改；檢查是否保護可能涉及法律責任認定的應用系統(tǒng)中的數(shù)據(jù)發(fā)送和數(shù)據(jù)接收操作，確保發(fā)送方和接收方對已經(jīng)發(fā)生的操作行為無法否認。

建議在業(yè)務生產(chǎn)區(qū)PC客戶端部署安全瀏覽器，在業(yè)務服務區(qū)部署符合 GM/T 0024—2014的SSL VPN安全網(wǎng)關，并向相關用戶配發(fā) USBKey，實現(xiàn)對PC客戶端登錄應用用戶的安全身份鑒別，防止非授權人員登錄；應用通過調(diào)用服務器密碼機，對PC端登錄用戶身份鑒別數(shù)據(jù)、系統(tǒng)中流轉的業(yè)務數(shù)據(jù)進行傳輸、存儲機密性、完整性保護，實現(xiàn)身份鑒別數(shù)據(jù)、數(shù)據(jù)防竊取和防篡改保護；PC 端安全瀏覽器與 SSL VPN 安全網(wǎng)關之間使用合規(guī)的SSL 協(xié)議，建立安全的數(shù)據(jù)傳輸通道，實現(xiàn)數(shù)據(jù)傳輸機密性、完整性保護[5]。

3.2.5 密鑰管理

檢查密鑰生成、存儲、分發(fā)、導入、導出、使用、備份、恢復、歸檔、銷毀等全生命周期的安全性和正確性。

電力監(jiān)控系統(tǒng)密碼應用方案建議包含完整的密鑰管理方案，明確采用的密鑰種類及管理環(huán)節(jié)，并設計安全的技術實現(xiàn)方式，密鑰管理方案的技術實現(xiàn)可由通過檢測認證的商用密碼產(chǎn)品提供。

3.2.6 安全管理

檢查制度管理、人員管理、實施規(guī)劃、實施建設、實施運行、應急管理中法規(guī)和方案編制及執(zhí)行落實情況。

建議定期論證和審定密碼安全管理制度，明確相關管理制度發(fā)布流程；設置密鑰管理人員、安全審計人員、密碼操作人員等關鍵崗位；建立崗位責任制度，關鍵崗位多人共管制度；規(guī)劃階段制定密碼應用方案，實施階段應制定實施方案，選用被核準的密碼產(chǎn)品或被許可的密碼服務，投入運行前，應經(jīng)測評機構進行安全性評估，評估通過后方可投入正式運行；制定應急預案，做好應急資源準備；事件發(fā)生后應及時向上級主管部門和同級的密碼主管部門進行報告；事件處置完成后，應及時向同級的密碼主管部門報告事件發(fā)生的情況及處置結果。

4 結 語

密碼保障業(yè)務安全、密碼評測保障密碼體系完善，二者有機協(xié)同，才能建立完善的網(wǎng)絡安全環(huán)境。密碼體系是網(wǎng)絡安全環(huán)境的基礎，密碼評測是密碼體系建設是否優(yōu)良重要的考量，密碼應用與密碼評測工作同為網(wǎng)絡安全環(huán)境建設的重要部分，電力監(jiān)控系統(tǒng)的商用密碼應用安全性評估符合國家及相關主管部門的安全管控要求，使發(fā)電企業(yè)運維部門對電力監(jiān)控系統(tǒng)的商用密碼應用情況有了全面系統(tǒng)的認識，根據(jù)密評得出的整改建議在縱向傳輸上不只需要發(fā)電企業(yè)進行改造，同時也需要上級調(diào)度機構的實施配合才能保證業(yè)務的正常的運行；而在內(nèi)部橫向改造過程中，隨著當前電力生產(chǎn)自動化程度的提高，各類業(yè)務系統(tǒng)日益增多，需要發(fā)電企業(yè)對內(nèi)部系統(tǒng)進行逐一完善，這是一個循序漸進的過程，評估、檢測、建議、完善應該形成長期的良性循環(huán)，安全工作沒有終點只有起點，根據(jù)評估要求完成相關整改能保障整個電力監(jiān)控系統(tǒng)安全穩(wěn)定運行和重要業(yè)務的數(shù)據(jù)安全。