守護工業(yè)互聯(lián)網(wǎng)安全，信安世紀工業(yè)控制系統(tǒng)密碼應(yīng)用案例入選“樣板工程”

近日，北京信安世紀科技股份有限公司（以下簡稱“信安世紀”）貴州省水庫工業(yè)控制系統(tǒng)密碼應(yīng)用案例憑借行業(yè)典型性和方案先進性，成功入選 “工業(yè)互聯(lián)網(wǎng)安全”方向“2022安全樣板工程”。

2018年，國家發(fā)布關(guān)于金融和重要領(lǐng)域的密碼應(yīng)用工作規(guī)劃相關(guān)政策文件，在文件中對水利行業(yè)密碼應(yīng)用的建設(shè)提出了要求。水利部門辦公機構(gòu)發(fā)布的《2020年水利網(wǎng)信工作要點》文件中要求，落實、持續(xù)推進三峽水利樞紐、南水北調(diào)工程等重要水利基礎(chǔ)設(shè)施和國家水資源管理系統(tǒng)等重要信息系統(tǒng)的密碼應(yīng)用。

貴州省水庫是貴州省重要的水利工程，也是國家民生重點項目，作為水庫關(guān)鍵的業(yè)務(wù)系統(tǒng)，其工業(yè)控制系統(tǒng)的數(shù)據(jù)保護是重中之重。信安世紀通過深入分析該水庫業(yè)務(wù)系統(tǒng)信息安全的現(xiàn)狀，發(fā)現(xiàn)存在如下痛點：

用戶身份難鑒別：業(yè)務(wù)系統(tǒng)采用傳統(tǒng)賬號口令登錄方式，用戶口令易遭到惡意破解，用戶身份安全難以得到保障。

數(shù)據(jù)傳輸未加密：水庫應(yīng)用系統(tǒng)與水投集團間數(shù)據(jù)傳輸未進行密碼保護，易造成數(shù)據(jù)的泄露和篡改。

數(shù)據(jù)存儲隱患高：數(shù)據(jù)庫及存儲中數(shù)據(jù)文件易被竊取、損壞或修改，存在數(shù)據(jù)泄露風(fēng)險。

實施過程

根據(jù)國家相關(guān)法律、法規(guī)及技術(shù)標準，結(jié)合了水利行業(yè)信息化發(fā)展趨勢，兼顧了當(dāng)前該水庫業(yè)務(wù)系統(tǒng)商用密碼應(yīng)用需求，信安世紀為貴州水庫的業(yè)務(wù)系統(tǒng)建設(shè)了統(tǒng)一管理、配置合理、安全可控的商用密碼應(yīng)用平臺，構(gòu)建了從前端采集單元到水庫分支節(jié)點、分支節(jié)點到中心端的全流程數(shù)據(jù)安全防護密碼應(yīng)用解決方案，保證了水庫業(yè)務(wù)系統(tǒng)身份安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全。

該方案綜合采用SSL加密、數(shù)字證書、簽名驗簽、動態(tài)密碼等成熟的密碼技術(shù)，實現(xiàn)了工業(yè)采集端數(shù)據(jù)的加密、水庫工業(yè)控制系統(tǒng)本地機房管理端與服務(wù)器端數(shù)據(jù)傳輸加密，采集端設(shè)備接入水庫中心機房、水庫管理公司接入水投集團、系統(tǒng)用戶登錄應(yīng)用系統(tǒng)的身份鑒別，以及數(shù)據(jù)庫業(yè)務(wù)數(shù)據(jù)的安全存儲以及系統(tǒng)所有設(shè)備的統(tǒng)一運維管理。

圖 1 貴州省水庫密碼應(yīng)用拓撲圖

實施效果

1. 身份安全性驗證

信安世紀通過動態(tài)密碼、動態(tài)令牌、數(shù)字證書技術(shù)等為整體業(yè)務(wù)流程構(gòu)建了雙因素認證登錄方案，實現(xiàn)了針對用戶、運維人員以及采集端設(shè)備接入水庫中心機房、水庫管理公司接入水投集團、系統(tǒng)用戶登錄應(yīng)用系統(tǒng)的身份鑒別，保證身份的真實性與唯一性。

2.工業(yè)數(shù)據(jù)采集端的數(shù)據(jù)加密保護

工業(yè)采集端通過加密模塊與后臺密鑰管理系統(tǒng)相結(jié)合，并通過數(shù)字信封技術(shù)及HMAC-SM3技術(shù)，實現(xiàn)工業(yè)采集重要數(shù)據(jù)在傳輸過程中的機密性及完整性。

3.水庫中心機房與水投集團之間數(shù)據(jù)傳輸加密

水庫工業(yè)控制系統(tǒng)本地機房管理端與服務(wù)器端通信采用信安世紀SSL客戶端與SSL應(yīng)用網(wǎng)關(guān)完成通道的加密，保證通信雙方數(shù)據(jù)的機密性、完整性及身份的真實性，為水情、工情、墑情的數(shù)據(jù)傳輸提供了安全保障。

4.數(shù)據(jù)存儲安全

業(yè)務(wù)系統(tǒng)在對重要數(shù)據(jù)進行存儲時，通過對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進行加密，將密文存儲至數(shù)據(jù)庫中，實現(xiàn)對各業(yè)務(wù)系統(tǒng)關(guān)鍵數(shù)據(jù)、用戶信息數(shù)據(jù)、審計數(shù)據(jù)、應(yīng)用配置數(shù)據(jù)等的完整性及機密性保護。

5.工控系統(tǒng)統(tǒng)一運維管理

該水庫工業(yè)控制系統(tǒng)所有設(shè)備通過SSL VPN技術(shù)建立安全的信息傳輸通道，實現(xiàn)統(tǒng)一、集中的安全運維管理；當(dāng)運維人員從外部訪問內(nèi)部運維區(qū)域時，采用數(shù)字證書技術(shù)對運維人員進行身份鑒別，實現(xiàn)通信數(shù)據(jù)完整性、保密性。

隨著智慧水利建設(shè)的推進，水利領(lǐng)域的網(wǎng)絡(luò)安全建設(shè)也上升到新高度。作為信息安全專業(yè)企業(yè)，信安世紀將積極響應(yīng)國家水利建設(shè)相關(guān)政策，深入研究行業(yè)信息化安全建設(shè)需求，運用信息安全技術(shù)手段，保障智慧水利的高質(zhì)量發(fā)展，為國家水治理體系和治理能力的現(xiàn)代化提供強有力的安全支撐。