浅谈电力监控系统商用密码应用安全性评估

谢 志 奇

(贵州乌江水电开发有限责任公司，贵州 贵阳 550002)

0 前 言

商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品，其具有防泄密(机密性)、防篡改(完整性)、防假冒(真实性)、防抵赖(不可否认性)，商用密码应用安全性评估(后简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统，对其中密码应用的合规性、正确性、有效性进行评估[1]。

1 密评特性介绍及具体步骤

1.1 密评特点

1.1.1 合规性

按照《商用密码管理条例》等密码法规和行业相关的密码使用要求，使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局审批的密码产品或服务；按照《信息系统密码应用基本要求》等标准，进行相应的密码应用解决方案设计。

1.1.2 正确性

系统中采用的标准密码算法、协议和密钥管理机制按照相应的国家和行业密码标准进行正确的设计和实现；自定义密码协议、密钥管理机制的设计和实现正确，符合相关标准要求；密码保障体系建设或改造过程中密码产品和服务的部署和应用正确。

1.1.3 有效性

密码应用安全立足系统安全、体系安全、动态安全，信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码防护机制不仅设计合理，而且在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性、抗抵赖性[2]。

1.2 密评依据和基本原则

评估工作应当遵循国家法律法规及相关标准。测评机构开展评估应当遵循商用密码管理政策和《信息系统密码应用基本要求》《信息系统密码测评要求》等相关密码标准的要求，遵循独立、客观、公正的原则[3]。

1.3 密评步骤

(1)评估准备阶段：确定评估依据，资料审查，系统基本情况梳理，系统密码应用情况。

(2)方案编制阶段：确定测评对象，系统边界范围，确定测评指标，确定使用工具种类，根据网络拓扑图或初步调研结果，确定工具接入点，最终确定整体的测评内容，以及内容对应的测评方法。

(3)评估就绪阶段：确认各主机数据是否已备份，保障数据安全，如果没有备份则不进行工具测试，工具测试过程可能产生的意外情况都已有应急处理措施。

(4)评估实施阶段：确定被评估对象及测评工具、总体测评、技术应用测评、密钥管理测评、安全管理测评、工具测试接入点明确。

(5)评估结果综合分析：针对测评结果中存在的部分符合项和不符合项问题加以描述和分析，其中对于部分符合项进行风险分析，评定风险等级，作为整体评判的结果。

(6)分析与编制报告：找出整个系统的安全防护现状与相应等级保护需求之间的差距，分析可能存在的风险并形成评估报告。

2 电力监控系统商用密码应用要求

生产控制大区要求允许提供纵向安全WEB服务，但应当优先采用专用协议和专用浏览器的图形浏览技术，也可采用经过安全加固且支持HTTPS的安全WEB服务。生产控制大区重要业务(如SCADA/AGC/AVC等)的远程通信应当采用加密认证机制。

调度数据网网络边界要求在生产控制大区与电力调度数据网的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务，应通过纵向加密认证装置或加密认证网关接入调度数据网。

横向隔离要求正反向隔离装置集中接收生产大区或管理大区的数据，进行签名验证、内容过滤、有效性检验等处理后，转发给管理大区或生产大区；纵向加密要求调度中心和重要厂站两侧均应配置纵向加密认证装置，传统的基于专用通道的数据通信可逐步采用加密、身份认证等技术进行安全防护；电力调度数据证书系统要求为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备，提供数字证书服务、实现高强度的身份认证、安全的数据传输以及可靠的行为审计。电力调度数字证书应当经过国家有关检测机构检测认证，符合国家相关安全要求。

通用安全防护措施要求如下：

(1)防水防潮、电子门禁等物理安全措施；

(2)非控制区应当支持HTTPS的纵向安全WEB服务，采用电力调度数字证书对浏览器客户端访问进行身份认证及加密传输；

(3)能量管理系统应当逐步采用电力调度数字证书，对用户登录本地操作系统、访问系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计；

(4)需远程访问生产控制大区的，要求远方用户使用安全加固的操作系统平台，结合数字证书技术，进行登录认证和访问认证；

(5)基于专线通道与调度主站进行的数据通信，应采用必要的身份认证或加解密措施进行防护；

(6)生产控制大区应当具备安全审计功能，可对网络运行日志、操作系统日志、数据库重要操作日志、业务应用日志、安全设备日志等进行统一收集，自动分析；

(7)生产控制大区具备控制功能的系统应当逐步推广应用以密码硬件为核心的可信计算技术；

(8)电力监控系统中商用密码产品的配备、使用和管理等，应当严格执行国家商用密码管理局的有关规定。

3 电力监控系统密评内容和建议

3.1 总体安全

3.1.1 密码算法

检查系统使用的算法名称、用途、位置、执行算法的设备及实现方式，核查密码算法合规性，电力监控系统中使用的SM2、SM3国密算法为合规，不合规算法有RSA1024、SHA-1、AES等，建议使用经国家密码管理部门核准的密码算法[4]。

3.1.2 密码技术

核查密码协议、密钥管理等密码技术是否符合相关标准规范，若密码技术由合规的密码产品实现，则重点评估技术使用是否符合标准规定。在电力监控系统中不合规的密码技术有HTTP、FTP、TELNET等。

建议使用数字证书技术，使用经国家密码管理部门核准的密码模块如SSL VPN、IPSEC VPN，并使用经国家密码管理部门核准的算法，建立远程集中管理安全通道。

3.1.3 密码产品

核查相关部件和设备是否取得国家密码管理部门颁发的商用密码产品型号证书，或是否具有被主管部门认可的测评机构出具的合格测评报告。密码产品按形态划分为六类：软件、芯片、模块、板卡、整机和系统；密码产品按功能划分为七类：密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。

在电力监控系统中建议将使用的未经国家密码管理部门核准的密码产品逐步更换为具有商密型号的同功能密码产品，密码产品的合规性可登陆商用密码认证业务网(http://service.scctc.org.cn/)进行查询。

3.1.4 密码服务

核查为信息系统提供密码服务的第三方电子认证服务组织机构，核查该机构是否获得国家密码管理局颁发的密码服务许可证。电力监控系统中暂未涉及，在此不做赘述。

3.2 基本安全

3.2.1 物理和环境

遵循物理和环境安全测评要求，对集中管理电力监控系统所在机房环境进行测评；重点查看电子门禁是否具有商密型号，电子门禁记录和视频记录是否使用密码技术、密码产品进行保护。

建议使用具有商密型号的门禁系统，确认进入各重要区域人员的身份，防止无关和假冒人员进入。建议使用数字签名技术或HMAC方式对监控记录进行完整性保护，如服务器密码机、数字签名验签服务器，保护电子门禁系统进出记录和视频监控音像记录的完整性，防止被非授权篡改。

3.2.2 网络和通信

检查确认通信实体的身份，防止与假冒实体进行通信；保护通信过程中的数据，防止数据被非授权篡改，防止敏感数据泄露。

建议在网络接入区部署符合GB/T 0022—2014的IPSec VPN/和符合GB/T 0024—2014的SSL VPN，对进行数据备份的设备在通信前进行身份鉴别和建立安全的集中管理通道，通过部署SSL VPN网关，对访问控制信息完整性保护，在网络边界部署IPSec VPN、SSL VPN网关等设备，对网络传输数据进行完整性和机密性保护。

3.2.3 设备和计算

检查设备的特权用户和普通用户的身份是否进行识别和确认，防止假冒人员登录；检查远程管理时，是否对管理员的身份鉴别信息进行机密性保护，防止鉴别信息泄漏；检查是否保护计算机、服务器等设备中的系统资源访问控制信息、重要信息资源安全标记、日志记录和重要可执行程序，防止被非授权篡改。

建议在网络层建立合规的集中远程管理通道；使用密码技术或产品对登录的用户进行身份标识和鉴别；日志集中存储的方式对日志进行集中管理，并使用数字签名技术或 HMAC 方式对日志进行完整性保护。

3.2.4 应用和数据

检查确认应用系统的管理员和普通用户的身份，防止假冒人员登录；检查对应用系统的访问控制策略、数据库表访问控制信息、重要信息资源安全标记等是否进行保护，防止被非授权篡改；检查是否保护客户端与服务器之间、应用系统之间在非安全网络信道中传输的重要数据，防止数据泄露；检查是否保护存储的重要数据，防止数据泄露、非授权篡改；检查是否保护重要日志记录，防止被非授权篡改；检查是否保护可能涉及法律责任认定的应用系统中的数据发送和数据接收操作，确保发送方和接收方对已经发生的操作行为无法否认。

建议在业务生产区PC客户端部署安全浏览器，在业务服务区部署符合 GM/T 0024—2014的SSL VPN安全网关，并向相关用户配发 USBKey，实现对PC客户端登录应用用户的安全身份鉴别，防止非授权人员登录；应用通过调用服务器密码机，对PC端登录用户身份鉴别数据、系统中流转的业务数据进行传输、存储机密性、完整性保护，实现身份鉴别数据、数据防窃取和防篡改保护；PC 端安全浏览器与 SSL VPN 安全网关之间使用合规的SSL 协议，建立安全的数据传输通道，实现数据传输机密性、完整性保护[5]。

3.2.5 密钥管理

检查密钥生成、存储、分发、导入、导出、使用、备份、恢复、归档、销毁等全生命周期的安全性和正确性。

电力监控系统密码应用方案建议包含完整的密钥管理方案，明确采用的密钥种类及管理环节，并设计安全的技术实现方式，密钥管理方案的技术实现可由通过检测认证的商用密码产品提供。

3.2.6 安全管理

检查制度管理、人员管理、实施规划、实施建设、实施运行、应急管理中法规和方案编制及执行落实情况。

建议定期论证和审定密码安全管理制度，明确相关管理制度发布流程；设置密钥管理人员、安全审计人员、密码操作人员等关键岗位；建立岗位责任制度，关键岗位多人共管制度；规划阶段制定密码应用方案，实施阶段应制定实施方案，选用被核准的密码产品或被许可的密码服务，投入运行前，应经测评机构进行安全性评估，评估通过后方可投入正式运行；制定应急预案，做好应急资源准备；事件发生后应及时向上级主管部门和同级的密码主管部门进行报告；事件处置完成后，应及时向同级的密码主管部门报告事件发生的情况及处置结果。

4 结 语

密码保障业务安全、密码评测保障密码体系完善，二者有机协同，才能建立完善的网络安全环境。密码体系是网络安全环境的基础，密码评测是密码体系建设是否优良重要的考量，密码应用与密码评测工作同为网络安全环境建设的重要部分，电力监控系统的商用密码应用安全性评估符合国家及相关主管部门的安全管控要求，使发电企业运维部门对电力监控系统的商用密码应用情况有了全面系统的认识，根据密评得出的整改建议在纵向传输上不只需要发电企业进行改造，同时也需要上级调度机构的实施配合才能保证业务的正常的运行；而在内部横向改造过程中，随着当前电力生产自动化程度的提高，各类业务系统日益增多，需要发电企业对内部系统进行逐一完善，这是一个循序渐进的过程，评估、检测、建议、完善应该形成长期的良性循环，安全工作没有终点只有起点，根据评估要求完成相关整改能保障整个电力监控系统安全稳定运行和重要业务的数据安全。