吴 波， 韦永霜， 陈 冲， 何英武， 陈剑飞

（1.工业和信息化部电子第五研究所， 广东 广州 511370； 2.智能制造装备通用质量技术及应用工业和信息化部重点实验室，广东 广州 511370； 3.广州数控设备有限公司， 广东 广州 510530）

0 引言

我国自1996 年确立商用密码发展战略以来，国家商用密码体系逐步发展， 已经形成了一套完善的技术体系和健全的标准体系，并且已经在金融、保险、交通运输和电子政务领域进行广泛的推广应用。 但数控系统中往往注重功能性和性能指标而忽略信息安全防护方面的投入，存在“重功能、轻安全”的问题。数控系统存在着“缺加密、无防护、少认证、弱授权”的问题，密码技术在数控系统中的应用相对较少[1-2]。

目前， 密码应用安全性测评工作处于起步和推广阶段， 测评结果评价和测评结论确定等关键环节在标准体系中的规范仍比较宏观， 在具体执行过程中的主观自由度过高，缺少可标准化的、易于实施的分类分级安全性评价体系[3]。 特别在数控机床等智能制造领域，现有密码应用安全性测评技术和工具无法直接使用， 同时专用数控协议和应用软件相对封闭， 使得数控等智能制造领域缺少有效密码应用安全性测评手段和能力。 随着两化融合的深入发展，数控系统联网已经势在必行，由原来封闭式的生产环境逐步向开放式环境转变， 不解决数控网络所面临的安全问题，将严重制约数控行业的发展，阻碍我国智能制造的进程[4]。 本研究基于信息安全、商用密码领域国家标准和规范开展，围绕数控系统产业及相关领域，从数控设备、控制流程、业务应用三个方面研究数控系统信息安全中的密码应用技术。

1 数控系统商用密码应用现状

数控系统原本是为封闭系统设计的， 在传统的制造业企业车间中， 数控系统一般通过实时总线或以太网连接，车间控制网络与企业业务网、办公网和互联网一般是物理隔离的，因此安全性要求不高。 数控系统长期在这种封闭环境中运行，系统的功能、性能、可靠性逐步发展，但信息安全防护能力的发展缓慢， 缺乏在信息系统中普遍应用的加密和认证机制[5-6]。

（1）数控系统中目前普遍没有采用加密措施进行数据的机密性和完整性保护。在数据存储方面，数控系统中的用户数控程序承载着用户的关键工艺信息， 在网络通信过程中， 目前数控系统使用的通信协议普遍缺乏加密机制，采用明文传输。如果攻击者可以通过网络嗅探等手段截获这些通信数据，就可以获取用户的控制信息，也会造成用户数据的泄露。

（2）数控系统目前普遍缺乏基于用户的完整身份认证功能。 数控系统目前还普遍采用基于角色的身份认证方式，并且采用无用户，仅需要某些特定的内置硬编码进行身份认证， 而且某些特定品牌和型号的数控系统的身份认证编码相对固定。目前在互联网已经广泛流传各厂商、各型号数控系统的启用密码， 这种身份认证方式灵活性差，其安全防护作用也名存实亡。

（3）数控系统的权限控制方式相对较弱。 由于缺乏高效灵活的身份认证方式，无法灵活的实现权限控制，仅能依托硬编码的设备启用码进行粗粒度的权限管理和控制。

2 数控系统商用密码应用目标要求

密码是信息安全的底层核心技术， 是信息安全的基因，是支撑构建数控系统安全防护体系的基石。基于密码技术的身份鉴别、访问控制、数据加密、可信计算、密文计算、数据脱敏等措施，可以实现数控系统安全防护架构的“真实性、机密性、完整性、不可否认性、限定性”等基本安全目标，有效解决数控系统的信息安全问题。数控系统应用密码技术，构成的密码应用技术体系由基础密码技术、密码产品、密码基础设施、密码服务、密码安全防护有机组成，构成了完整的数控系统密码应用目标要求，见图1。

图1 数控系统商用密码应用目标要求

2.1 基础密码技术

数控系统所适用的密码算法、密码协议和密码接口，以及其选用的范围。

2.2 密码产品

主要利用密码技术，实现具体的密码功能，从产品形态上分为芯片、模块、板卡、整机、系统和软件，为具体的密码应用提供机密性、完整性、真实性和不可否认性服务。

2.3 密码基础设施

主要利用密码技术， 为重要领域网络和信息系统提供认证和密钥管理服务， 主要包括CA/KMC 或包含有相关功能的密码应用管理服务器。

2.4 密码服务

主要包括抽象的机密性、完整性、真实性和不可否认性服务，以及具体的身份鉴别、访问控制、存储安全、传输安全、数字签名和安全审计等具体的密码功能。

2.5 密码安全防护

主要指密码技术的保障对象， 包含数控系统中物理环境、网络与通信、设备与计算、应用与数据、以及云端工业互联服务的安全。

2.6 密码功能服务

数控系统信息安全防护中，使用身份鉴别功能，实现设备、主机、操作系统和数据库系统、应用系统等设备身份真实性，登录用户身份的真实性。

2.7 密码安全防护对象

数控系统信息安全防护中， 密码安全防护对象即为数控系统本身，在数控系统的设备、流程、服务中使用密码技术，保障物理环境安全、网络与通信安全、设备与计算安全、应用与数据安全以及云端工业互联服务安全。

3 数控系统商用密码安全性测评

在GM/T0054-2018 《信息系统密码应用基本要求》、GM/T 0028-2014《密码模块安全技术要求》、《数控系统密码应用技术要求》（制定中）、《信息系统密码应用测评要求》、GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》等标准指南的基础上，根据现有数控系统商用密码应用技术的发展水平， 提出一套适用于数控系统商用密码应用安全性评估方案。

3.1 数控系统密码应用安全性测评总体要求

数控系统密码应用安全性测评总体要求根据数控系统密码应用实现方式的不同，对密码在机密性、完整性、抗抵赖、身份鉴别、访问控制、安全审计以及密码配置7种特性的全面检测，向上可归属为安全技术检测、安全管理检测和密钥管理安全检测3 个大类，见图2。

图2 数控系统商用密码应用安全性测评总体要求

（1）安全技术检测主要是通过配置检查、技术测试等手段检测密码在信息系统中应用的合规性、 正确性及有效性。安全技术检测包括总体要求安全检测、物理和环境安全检测、网络和通信安全检测、设备和计算安全检测、应用和数据安全检测5 个层面。

（2）安全管理检测主要围绕制度、人员、实施、应急，从政策、制度、规范、流程以及记录等方面检测密码在信息系统中应用的合规性、正确性及有效性。

（3）密钥管理安全检测是针对密码的特点，从密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等全生命周期， 检测密钥管理和策略制定是否符合国家政策和有关标准要求。

3.2 数控系统密码应用安全评估分级

根据密码安全技术要求不同， 结合 《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》， 将数控系统密码应用划分为五个级别，在各个级别规定了数控系统应支持的最低安全防范措施， 其安全强度逐渐提高。用户可根据不同的安全需求进行级别选择，详见表1。

表1 数控系统密码安全技术要求

第一级别适用于一些对安全性不高的应用， 应采用身份鉴别、访问控制和安全审计功能。

第二级别适用于一些对安全性具有一定要求的应用，应采用机密性、完整性、身份鉴别、访问控制、安全审计和密码配置功能，采用的密码产品，应达到GB/T 37092一级及以上安全要求。

第三级别适用于一些对安全性具有较高要求的应用，应采用机密性、完整性、抗抵赖性、身份鉴别、访问控制、安全审计和密码配置功能，采用的密码产品，应达到GB/T 37092 二级及以上安全要求。

第四级别适用于一些对安全性具有很高要求的应用，应采用机密性、完整性、抗抵赖性、身份鉴别、访问控制、安全审计和密码配置功能，采用的密码产品，应达到GB/T 37092 三级及以上安全要求。

暂不存在安全级别为五级的系统， 故暂不对第五级信息系统提出具体的密码技术要求。

4 结束语

本文适时提出一种符合国家有关标准和要求的商用密码的数控系统安全性测评体系，对于提升数控系统、智能制造等领域的信息安全防护水平， 促进制造业转型升级发展，切实保障关键基础设施网络空间安全，提升相关领域测评技术的科学性和先进性。