基于國密算法的航油工業(yè)控制系統(tǒng)安全解決方案

０引言在兩化深度集成和工業(yè)轉型升級的同時，工業(yè)控制生產環(huán)境已從封閉轉向開放，生產過程從自動化轉向智能化。此外，工業(yè)控制系統(tǒng)安全漏洞數(shù)量在逐年遞增，各類工控信息安全事件層出不窮，安全威脅加速滲透，攻擊手段復雜多樣。2019年7月，紐約曼哈頓發(fā)生大規(guī)模停電，約4.2萬名居民斷電，還有多人被困電梯。2019年9月，印度Kudankulam核電站遭受了攻擊，惡意軟件感染了核電站的管理網絡，導致一個反應堆中止運行。2020年4月，葡萄牙跨國能源公司EDP遭到勒索軟件攻擊。電力、石油天然氣和水利等工業(yè)控制系統(tǒng)，作為國家能源生產基礎和國家關鍵基礎設施的重要組成部分，面臨高科技網絡攻擊的威脅。我國高度重視工業(yè)控制系統(tǒng)安全并采取了各種舉措。根據(jù)《網絡安全法》，主管機構發(fā)布了一系列法規(guī)、政策、戰(zhàn)略規(guī)劃和指南，強調加強對關鍵信息基礎設施的保護以及使用國產密碼手段來增強安全保障能力的必要性。比如，國家互聯(lián)網信息辦公室起草公布《關鍵信息基礎設施安全保護條例（征求意見稿）》，兩辦2018年36號文《金融和重要領域密碼應用與創(chuàng)新發(fā)展工作規(guī)劃（2018—2022年）的通知》，中辦、國辦中辦發(fā)[2015]4號文《關于加強重要領域密碼應用的指導意見》，均強調促進重要工業(yè)控制系統(tǒng)密碼應用。航空燃油供應是機場正常運行的物資保障，在維護國家安全和經濟發(fā)展中發(fā)揮著重要作用。航油工業(yè)控制系統(tǒng)的自動化和集成度不斷提高，促使工業(yè)控制系統(tǒng)被越來越多地應用于各個領域，如油庫、輸油管線以及航空加油站等。航油工業(yè)控制系統(tǒng)的安全和穩(wěn)定運行直接關系到人們的生命財產安全和強國建設。作為航油系統(tǒng)穩(wěn)定運行的重要組成部分，工業(yè)控制系統(tǒng)是航油關鍵信息基礎設施的寶貴資產，而系統(tǒng)中運行的數(shù)據(jù)更是具有重要價值的重點保護對象，一旦出現(xiàn)安全問題，將影響航油供應的穩(wěn)定性，并給國民經濟和生產帶來嚴重后果。國內外諸多機構和學者已經開始工控系統(tǒng)安全應用研究。美國桑迪亞國家實驗室（SandiaNationalLabs，SNL）成立數(shù)據(jù)采集和監(jiān)視控制系統(tǒng)（SupervisoryControlAndDataAcquisition，SCADA）安全研究中心來研究工控系統(tǒng)安全。2015年，美國國家標準與技術研究院（NationalInstituteofStandardsandTechnology，NIST）發(fā)布NISTSP800-82《工業(yè)控制系統(tǒng)安全指南》。邸麗清等人研究國外工業(yè)控制系統(tǒng)信息安全相關標準、指南及行業(yè)規(guī)范，分析其體系框架和安全技術要求。提出基于可信平臺模塊TPM來解決使用ModbusTCP、DNP3以及S7等協(xié)議引起的安全性問題。以SCADA無線通信加密為切入點分析比較基于SCADA與AGA12的各種可用安全標準。研究表明，計算資源有限的可編程邏輯控制器（ProgrammableLogicController，PLC）也可開發(fā)基于密碼算法（如AES、SHA1、HMAC-SHA1、Speck以及Simon等）的應用程序，以保障應用數(shù)據(jù)安全。蘭昆等研究如何應用密碼技術在控制站和受控設備間建立可靠可信的控制信道。本文整理航油供應業(yè)務流程，分析航油工業(yè)控制系統(tǒng)的功能與部署，梳理航油工業(yè)控制系統(tǒng)在安全方面存在的風險隱患，提出基于國產密碼算法的航油工業(yè)控制系統(tǒng)安全增強方案，以提升系統(tǒng)的綜合安全保障能力。本文組織如下：第1章介紹航油工業(yè)控制系統(tǒng)的背景現(xiàn)狀和航油工業(yè)控制系統(tǒng)的業(yè)務流程；第2章分析航油工業(yè)控制系統(tǒng)存在的安全性風險以及相關安全需求；第3章介紹國產密碼技術，并結合國產密碼技術提出航油工業(yè)控制系統(tǒng)的安全性增強方案；最后，總結全文。１航油業(yè)務現(xiàn)狀分析航油供油系統(tǒng)實現(xiàn)對油品的接卸、輸送、儲存以及加注等過程的自動控制，以及相關設備和測量儀表的運行狀態(tài)監(jiān)測和報警控制等功能。航空燃料的供應是進行航空運輸?shù)南葲Q條件，而機場是航空燃料供應的基礎。航油由煉油廠使用直餾、加氫裂化以及加氫精制等工藝生產，或從中轉油庫中轉，然后通過鐵路、公路、水上運輸或油料管道輸送到建設在機場附近的航空油料機場油庫。在對燃料進行技術處理后，將其通過飛機的專用加油車運輸?shù)斤w機。航油工業(yè)控制系統(tǒng)包括長輸管道輸油自動化控制系統(tǒng)、油庫供油自動化控制系統(tǒng)以及航空加油站加油自動化控制系統(tǒng)等，如圖1所示。供應地通過鐵路、公路、水路或油料管道將供應的航空油料輸送到中轉油庫，然后輸入機場附近的機場油庫，最后對油料進行技術處理，通過航空加油站、專用的飛機加油車等輸送到飛機上。圖1航油輸送示意大多自產航油直接從煉油廠運輸?shù)綑C場；進口航油則經海運至我國沿海碼頭，然后通過中轉運輸至各個機場。鐵路運輸運量大且適合長途運輸，運輸成本低，因此是國內眾多機場采用的主要運輸方式。公路運輸投資小，運輸靈活，適合短途運輸，因此公路運輸與鐵路運輸相結合成為小型機場的主要選擇。油輪運輸一次性容量大、成本低，但受地理限制較多，主要保障國內沿海機場的用油。管道運輸受到天氣影響小，成本低廉，安全可靠，還可以消除重復裝卸，但初期投資大、成本高，因此管道運輸多用于國內大中型機場的短途運輸。航空油料的儲存油庫是供油系統(tǒng)的必要設備，包括中轉油庫和機場油庫，具有接收、儲存、沉降、加注及油品質量檢查等功能。中轉油庫從鐵路、水路、公路或輸油管道接收來油，是為機場油庫轉輸油的場所。機場油庫為機坪管線加油系統(tǒng)供油和罐式加油車裝油。例如，上海虹橋機場和浦東機場的航油供應模式為綜合采用油輪、鐵路、公路以及管道等運輸方式，從五號溝碼頭、高橋石化碼頭、徐匯濱江云峰碼頭以及本地煉油廠等處來的油源進中轉油庫儲罐，然后經輸油管道輸送至機場使用油庫，最后經站坪輸油管道系統(tǒng)為機位加油或通過航空加油站的加油罐車給機位加油。航油工業(yè)控制系統(tǒng)涉及輸送管道輸油的工業(yè)控制系統(tǒng)、油庫供油的工業(yè)控制系統(tǒng)以及航空加油站加油工業(yè)控制系統(tǒng)等。與油庫相關的業(yè)務包括使用油庫、中轉油庫、卸油站油庫、供應站油庫以及中心油庫等。從實際業(yè)務的角度來看，上述各種類型的油庫可以歸類為與油庫相關的業(yè)務。管道相關的業(yè)務主要包括首站站控、末站站控和中間站站控。從實際的業(yè)務角度來看，此類站控制系統(tǒng)被歸類為與管道相關的服務。其他典型網絡拓撲主要包括單一的上位機通過交換機連接PLC的網絡，但是在這類拓撲中有可能存在兩種情況，即交換機上連接多個PLC或一個PLC。另外，該類拓撲有可能存在上聯(lián)的辦公網，也可以是獨立的生產網絡。２航油工業(yè)控制系統(tǒng)安全需求分析目前，在航油工業(yè)控制系統(tǒng)中，很多地方存在安全性不足的隱患。系統(tǒng)中使用的協(xié)議包括工業(yè)控制協(xié)議和常見的TCP/IP網絡協(xié)議?，F(xiàn)場總線協(xié)議在設計之初幾乎不考慮安全保護功能，且許多協(xié)議都缺少身份認證、授權以及數(shù)據(jù)加密機制，如應用數(shù)據(jù)和控制信息以明文方式在網絡中傳遞。一旦攻擊者成功入侵現(xiàn)場控制層，整個現(xiàn)場設備將處于沒有防護措施的危險狀態(tài)。專用通信協(xié)議本身的安全性較脆弱，缺乏可靠的認證和加密機制，且忽略了消息完整性驗證機制。例如，Modbus協(xié)議沒有身份驗證機制，只需要合法的Modbus地址和功能代碼就能建立Modbus協(xié)議會話。網絡協(xié)議一般選擇EtherNet/IP協(xié)議和Modbus/TCP協(xié)議。由于航油工業(yè)控制系統(tǒng)的以太網采用了諸如TCP/IP之類的開放協(xié)議，因此協(xié)議本身的漏洞進一步加劇了航油工業(yè)控制系統(tǒng)網絡的風險，使得攻擊者可以更加容易地從外部網絡訪問過程控制層，為攻擊者發(fā)動多種攻擊（如DDoS攻擊）并收集系統(tǒng)信息提供了可乘之機。航油工業(yè)控制系統(tǒng)的各層間存在過程控制、監(jiān)視、測量等設備和計算機服務之間的基于專用通信協(xié)議（如Modbus、ProfiBus等）的通信，但缺乏相應的保護機制，因此有必要分析航空石油工業(yè)控制系統(tǒng)中工業(yè)控制協(xié)議的數(shù)據(jù)包，如MODBUS、S7、FINS以及EGD等，以便及時發(fā)現(xiàn)異常的通信行為。同時，在進行控制指令或交換相關數(shù)據(jù)時，采用加密、認證等手段實現(xiàn)身份認證、訪問控制和數(shù)據(jù)加密傳輸，從而保證通信數(shù)據(jù)的完整性、真實性和機密性。在航油工業(yè)控制系統(tǒng)層次結構中，頂層的航油企業(yè)網絡使得其他3個相連的層次面臨企業(yè)網絡帶來的安全風險，因此必須限制在企業(yè)網絡SCADA客戶端使用等，以加強該類資源的身份認證和訪問控制。在航油工業(yè)控制系統(tǒng)的4個層次間缺乏必要的網絡劃分和域控制機制，因此需要合理的網絡劃分和隔離策略。長輸管道輸油自動化控制系統(tǒng)、油庫供油自動化系統(tǒng)以及航空加油站加油自動化控制系統(tǒng)，與企業(yè)其他系統(tǒng)（如企業(yè)管理信息系統(tǒng)）之間應該劃分為不同的區(qū)域。區(qū)域之間應有清晰的網絡邊界并應進行網絡邊界隔離，同時部署具有訪問控制功能的網絡安全設備、安全可靠的工業(yè)防火墻或具有等效功能的設施。系統(tǒng)內部劃分為不同的安全域，各域之間采用技術隔離，在重要網絡區(qū)域與其他網絡區(qū)域之間應該考慮采取可靠的技術隔離手段。在系統(tǒng)與WAN之間的垂直交界處應考慮控制設備，實現(xiàn)雙向身份認證、訪問控制和數(shù)據(jù)加密傳輸。航油工業(yè)控制系統(tǒng)網絡在人員管理、權限管理等地方也存在缺陷。缺乏專業(yè)操作技能的人員、外部人員以及內部惡意人員等在訪問系統(tǒng)時，可能會進行錯誤的配置或實施惡意攻擊等。所有這些將導致系統(tǒng)被攻擊并可能引發(fā)一系列嚴重后果，因此有必要實現(xiàn)基于密碼技術的安全保護功能，如身份驗證、權限控制等。航油工業(yè)控制系統(tǒng)使用的操作系統(tǒng)和應用程序正在逐步與IT系統(tǒng)融合，采用開放和統(tǒng)一的IT系統(tǒng)標準，使得IT系統(tǒng)的漏洞被移植到航油工業(yè)控制系統(tǒng)。但是，IT系統(tǒng)的解決方案可能不適用于航油工業(yè)控制系統(tǒng)，在實時性要求高的工業(yè)控制系統(tǒng)中使用傳統(tǒng)防護措施，導致的通信延時將會對工控系統(tǒng)服務連續(xù)性產生較大影響。３基于密碼技術的應用解決方案3.1國密算法簡介近年來我國發(fā)布了多款商用密碼算法，包括祖沖之序列密碼算法ZUC、分組密碼算法SM4、雜湊密碼算法SM3以及公鑰密碼算法SM2和SM9。祖沖之密碼算法的密鑰長度為128bits，由128bits種子密鑰和128bits初始向量共同作用生成32bits寬的密鑰流。ZUC可用于數(shù)據(jù)保密性和完整性保護。在2011年9月的3GPP會議上，我國的ZUC算法與AES、SNOW3G共同成為4G移動通信密碼算法的國際標準。SM4算法的分組長度為128bits，密鑰長度為128bits，加密與密鑰擴展算法都采用32輪非線性迭代結構。加密和解密使用完全相同的結構，解密時只需倒置密鑰的順序。因此，相比AES算法，SM4算法更易于實現(xiàn)。SM4算法于2012年作為密碼行業(yè)標準發(fā)布，并于2016年轉化為國家標準。SM3算法通過M-D模型處理輸入消息，生成256bits的雜湊值。與SHA256算法相比，SM3算法使用了多種新的設計技術，在安全性和效率上更具優(yōu)勢。SM3算法于2012年作為密碼行業(yè)標準發(fā)布，于2016年轉變?yōu)閲覙藴?，并?018年正式成為國際標準。SM2算法基于橢圓曲線離散對數(shù)問題，提供數(shù)據(jù)加密解密、簽名驗簽和密鑰協(xié)商功能。SM2算法推薦使用256bits素域上的參數(shù)集。與RSA算法相比，SM2算法具有安全性高、密鑰短、私鑰產生簡單以及簽名速度快等優(yōu)點。該算法已于2016年成為國家標準，并于2017年被ISO采納成為國際標準。SM9算法是一種標識密碼，是在傳統(tǒng)公鑰基礎設施PKI基礎上發(fā)展而來的，可以解決安全應用場景中PKI需要大量交換數(shù)字證書的問題，使應用更易部署和使用。SM9算法提供密鑰封裝、數(shù)據(jù)加密解密、簽名驗簽和密鑰協(xié)商功能。2017年，ISO將SM9數(shù)字簽名算法采納為國際標準的一部分。3.2密碼算法提供的常見安全功能密碼算法提供的4個主要功能為數(shù)據(jù)的機密性、信息來源的真實性、數(shù)據(jù)的完整性和行為的不可否認性。3.2.1機密性對稱密碼算法SM4和非對稱密碼算法SM2、SM9均可以實現(xiàn)數(shù)據(jù)的機密性保護。相比之下，SM2和SM9的加密和解密方式更靈活，但計算成本很高，主要用于少量數(shù)據(jù)保護和采用復雜共享方法的數(shù)據(jù)保護；SM4則可應用在大量信息的傳輸或存儲的保護中。SM2和SM9可以為SM4算法提供密鑰協(xié)商或密鑰的安全傳輸。在SM4保護數(shù)據(jù)時需注意，CBC模式的初始向量一般需要隨機產生，可以通過調用品質優(yōu)良的隨機數(shù)發(fā)生器來生成。隨機數(shù)發(fā)生器產生的隨機數(shù)應進行必要的隨機性檢測，如單比特頻數(shù)檢測、塊內頻數(shù)檢測、撲克檢測以及Maurer通用統(tǒng)計檢測等。3.2.2完整性數(shù)據(jù)完整性保護的實現(xiàn)方式一般為SM2、SM9的數(shù)字簽名機制或消息鑒別碼MAC機制。消息鑒別碼可以是基于SM4算法的CMAC-SM4、CCM-SM4以及GMAC-SM4等，也可以是基于SM3的HMAC-SM3。SM3的快速實現(xiàn)可提升HMAC-SM3的性能。利用MAC實現(xiàn)完整性保護的機制：消息發(fā)送者發(fā)送消息，并通過共享密鑰計算MAC值（如HMAC-SM3）；消息接收者通過共享密鑰和收到的消息重新計算MAC值，如果二者一致，則確認消息的完整性。利用數(shù)字簽名實現(xiàn)完整性保護的機制：消息發(fā)送方發(fā)送消息，并使用自己的私鑰調用SM2/SM9簽名功能計算得到的簽名值；接收者用發(fā)送方公鑰對簽名調用SM2/SM9簽名驗證功能，驗證收到消息的完整性。3.2.3真實性實現(xiàn)真實性的核心是基于身份鑒別技術，如使用基于密碼技術的身份鑒別。在基于SM4的身份驗證中，雙方共享對稱密鑰以執(zhí)行加密和解密，并使用挑戰(zhàn)&應答機制來抵抗重放攻擊，如果驗證者成功解密該消息，則相信消息來自聲稱者。基于SM2/SM9的鑒別機制類似，聲稱者使用私鑰對消息簽名，驗證者使用公鑰驗證簽名有效性，如果驗證通過，則相信聲稱者是本人。3.2.4不可否認性不可否認能夠在產生糾紛時提供可靠的證據(jù)以幫助解決糾紛，主要采用數(shù)字簽名技術來實現(xiàn)。例如，消息發(fā)送方用自己的私鑰對要進行不可否認性保護的數(shù)據(jù)進行簽名并將其發(fā)給接收者，簽名就是不可否認的證據(jù)。數(shù)據(jù)接收方存儲此消息和數(shù)字簽名，以用作將來解決爭議的證據(jù)。3.3基于電子門禁系統(tǒng)的物理訪問控制解決方案電子門禁系統(tǒng)是實現(xiàn)物理訪問控制安全最常見最有效的手段之一。密碼行業(yè)標準GM/T0036針對采用密碼技術的非接觸式卡門禁系統(tǒng)，規(guī)定了系統(tǒng)中使用的密碼設備、密碼算法、密碼協(xié)議和密鑰管理的相關要求。電子門禁系統(tǒng)通常由后臺管理系統(tǒng)、門禁讀卡器以及門禁卡等構成。該系統(tǒng)的內部安全保護由每個組件內的密碼模塊提供，如圖2所示。圖2電子門禁系統(tǒng)組成電子門禁系統(tǒng)的門禁卡和讀卡器/后臺管理系統(tǒng)中具有內置的安全模塊，用于讀卡器和后臺管理系統(tǒng)對門禁卡進行身份驗證。讀卡器射頻接口模塊負責與門禁卡的射頻通信。微控制單元MCU負責內部數(shù)據(jù)交換，并與后臺管理系統(tǒng)進行通信。密鑰管理及發(fā)卡系統(tǒng)提供密鑰管理及發(fā)卡系統(tǒng)中的密碼設備，提供諸如密鑰生成、密鑰分散及身份鑒別之類的密碼服務。電子門禁系統(tǒng)身份鑒別的過程有多種，以下是認證門禁卡的一種執(zhí)行流程。第1步：讀卡器讀取門禁卡信息。門禁卡將卡片唯一標識和用于卡片密鑰分散的發(fā)行信息發(fā)送給讀卡器。第2步：讀卡器發(fā)送內部認證命令和隨機數(shù)給門禁卡。第3步：門禁卡內部用存在卡片中的卡密鑰對該隨機數(shù)用SM4算法做加密運算，并將計算得到的結果并回發(fā)給讀卡器。第4步：讀卡器傳送、、和到后臺管理系統(tǒng)。第5步：后臺管理系統(tǒng)認證門禁卡。（1）后臺管理系統(tǒng)鑒別卡片唯一標識是否在黑名單內，若是，則反饋認證失敗與原因。（2）計算門禁卡的卡密鑰，即對和等分散因子以及保存在安全模塊中的系統(tǒng)根密鑰，使用基于SM4的密鑰導出函數(shù)SM4-KDF算法分散得到門禁卡的卡密鑰：（3）用此卡密鑰計算鑒別信息，即計算：（4）比較鑒別值。如果，則對門禁卡的身份鑒別正確，否則鑒別不通過。若以上鑒別通過，則發(fā)出開門信息到門禁執(zhí)行機構開門，同時產生下一次門禁讀卡器用于身份鑒別的隨機數(shù)，并同地篡改、刪除、替換，電子門禁系統(tǒng)進出記錄可以使用消息鑒別碼或數(shù)字簽名技術進行保護（參見3.2節(jié)）。3.4基于視頻監(jiān)控系統(tǒng)的環(huán)境安全增強解決方案工業(yè)控制站點現(xiàn)場、計算機室等可以使用視頻監(jiān)控系統(tǒng)來進一步增強物理環(huán)境安全。國家標準GB35114對公共安全視頻監(jiān)控聯(lián)的基本功能、性能以及安全等做了詳細規(guī)定，并根據(jù)安全保護力度的強弱，將具有安全功能的前端設備的安全能力分為3個等級，由弱到強分別是A級、B級和C級。A級基于數(shù)字證書與管理平臺之間的雙向身份認證能力，達到身份真實的目標；B級具備基于數(shù)字證書與管理平臺之間的雙向身份認證的能力和對視頻數(shù)據(jù)簽名的能力，達到身份真實和視頻來源于真實設備的能力，能夠校驗視頻內容是否遭到篡改的目標；C級具備基于數(shù)字證書與管理平臺之間的雙向身份認證的能力、視頻數(shù)據(jù)簽名能力和視頻數(shù)據(jù)加密能力，確保身份真實和視頻來源于真實設備，能夠校驗視頻內容是否遭到篡改，達到對視頻內容加密保護的目的。因此，選擇具有安全功能B級或C級的具有安全功能的前端設備，并且將視頻監(jiān)控系統(tǒng)所使用的密碼算法配置為符合相關國家標準和行業(yè)標準的密碼算法，如SM系列算法，以確保視頻監(jiān)控音像記錄數(shù)據(jù)完整性。此外，有必要進一步驗證視頻監(jiān)控音像記錄數(shù)據(jù)的正確性和密碼保護功能的有效性。3.5基于工業(yè)防火墻的通信網絡安全解決方案為了使航油工業(yè)控制系統(tǒng)的長輸管道輸油自動化控制系統(tǒng)、油庫供油自動化系統(tǒng)以及航空加油站加油自動化控制系統(tǒng)達到通信網絡安全的邊界隔離、邊界防護、通信傳輸安全等需求，中國航油工業(yè)防火墻以TCP/IP和相關的應用協(xié)議為基礎，在應用層、傳輸層、網絡層與數(shù)據(jù)鏈路層對內外通信進行監(jiān)控，阻止異常數(shù)據(jù)流入航油工控系統(tǒng)，并阻斷針對工控系統(tǒng)進行的網絡攻擊和非法數(shù)據(jù)竊取行為，保證航油工控系統(tǒng)正常運轉。該工業(yè)防火墻將網絡信息劃分為不同的安全通道，并根據(jù)每個安全通道定義不同的安全策略，結構如圖3所示。圖3工業(yè)防火墻部署結構工業(yè)防火墻以用戶為核心進行用戶身份認證和訪問控制。用戶認證系統(tǒng)實現(xiàn)了用戶的認證、授權、記帳功能。認證控制服務器支持多種認證方式，并可以根據(jù)用戶需求擴展其他認證方式。工業(yè)防火墻支持SM系列國產商用密碼算法。商用密碼算法的應用主要分為設備端和接入端。設備端主要是指防火墻本身，而接入端主要是指需要通過防火墻訪問系統(tǒng)網絡的接入設備，如操作員站等。商用密碼算法主要應用于兩個方面，即基于商用密碼算法的身份認證和基于商用密碼算法的數(shù)據(jù)加密。商用密碼算法身份認證主要是指通過使用SM2算法和SM2數(shù)字證書進行簽名和驗簽來實現(xiàn)身份認證。商用密碼算法數(shù)據(jù)加密是指通過使用SM4加密算法實現(xiàn)數(shù)據(jù)通信時的數(shù)據(jù)加密功能（參見3.2節(jié)）。虛擬專用網采用IPSecVPN實現(xiàn)，支持路由/網關兩種模式，滿足相關的國密技術標準GM/T0022—2014《IPSecVPN技術規(guī)范》，實現(xiàn)了ESP安全封裝協(xié)議和AH認證頭協(xié)議。KE協(xié)商支持主模式，IPsecVPN支持隧道模式和傳輸模式，認證算法支持國產密碼算法。同時，工業(yè)防火墻實現(xiàn)了支持安全策略精細化管理，支持協(xié)議和端口安全策略配置，支持對選定工業(yè)協(xié)議加密。該工業(yè)防火墻支持多種工控協(xié)議，并對OPC、Modbus/TCP、DNP3、S7、FF、Profinet/IO、Ethernet/IP、IEC104、IEC61850以及FINS等協(xié)議進行深度檢測。應用層主要側重于檢測連接中使用的特定協(xié)議內容，如OPC與MODBUS等；傳輸層和網絡層主要實現(xiàn)對IP、ICMP、TCP和UDP協(xié)議的訪問控制；數(shù)據(jù)鏈路層主要實現(xiàn)MAC地址檢查，以防止IP欺騙。采用這樣的體系結構形成立體的防護系統(tǒng)，防火墻能夠提供最直接的網絡安全保障。3.6基于密碼技術的PLC固件完整性和真實性解決方案航油工業(yè)控制系統(tǒng)內涉及大量的PLC。這些PLC的固件完整性和PLC固件來源的合法性，可以使用SM2/SM9數(shù)字簽名技術和MAC技術得到保障。為確保PLC的固件完整性，可以對PLC固件使用SM2數(shù)字簽名或者使用HMAC-SM3的消息鑒別碼進行保護。如果簽名驗證失敗或者消息鑒別碼的結果不等于之前生成的結果，則驗證失敗并使PLC進入錯誤狀態(tài)。SM2數(shù)字簽名可以包含單個簽名，也可以包括多個部分簽名。需要指出的是，部分簽名中的任何一個簽名驗證失敗都應導致PLC進入錯誤狀態(tài)。為了在固件升級等應用場景中確保PLC升級固件包來源的真實性和合法性，可對PLC升級固件包采用SM2數(shù)字簽名。PLC對下載得到的升級固件包的簽名進行驗證，只有通過時才執(zhí)行升級，否則丟棄此固件包。3.7基于動態(tài)口令的身份認證解決方案在執(zhí)行工業(yè)主機登錄、應用服務資源訪問等過程中，使用一種因子的鑒別技術或多種因子組合的鑒別技術對用戶進行身份進行認證，如口令密碼、USB-key、動態(tài)口令、安全問題、指紋以及虹膜等，且其中一種鑒別技術最好使用密碼技術來實現(xiàn)。此外，應分析身份鑒別方案的安全強度，如評估單次嘗試身份鑒別方案的成功概率和1min之內多次嘗試的成功概率，需滿足單次嘗試身份鑒別方案的成功概率不大于百萬分之一，1min之內多次嘗試的成功概率不大于十萬分之一。動態(tài)口令基于SM4或SM3算法實現(xiàn)。認證前雙方共享密鑰，認證時用戶與認證服務端根據(jù)共享密鑰、相同隨機參數(shù)和密碼算法生成認證動態(tài)冂令并進行比較。計算動態(tài)口令的步驟如下。第1