工业互联网密码应用模式白皮书.pdf

工 业 互 联 网 密 码 应 用 实 验 室 2020年 11月 28日 发 布工 业 互 联 网 密 码 应 用 模 式 白 皮 书V1.0.1 工 业 互 联 网 密 码 应 用 实 验 室 - 1 - 01作 为 新 基 建 的 重 要 组 成 部 分 ， 工 业 互 联 网 是 网 信 技 术 和 实 体 产 业 交 汇 融 合 的 重 要 领 域 ， 也 是 加 快发 展 现 代 产 业 体 系 、 提 升 产 业 链 现 代 化 水 平 的 重 要 抓 手 。 因 此 ， 工 业 互 联 网 安 全 直 接 关 系 社 会 、 经 济乃 至 国 家 总 体 战 略 安 全 。 然 而 ， 工 业 互 联 网 数 据 资 源 商 业 价 值 凸 显 ， 加 之 工 业 企 业 上 云 、 工 业 产 业 链上 下 游 加 速 协 同 ， 众 多 应 用 系 统 、 海 量 数 据 暴 露 在 互 联 网 上 ， 攻 击 面 极 大 拓 展 ， 工 业 互 联 网 正 面 临 强 对 抗 性 、 强 战 略 性 、 强 实 战 性 的 安 全 威 胁 。 而 密 码 作 为 网 络 空 间 安 全 的 核 心 支 撑 技 术 ， 在 工 业 互 联 网安 全 建 设 中 具 有 不 可 替 代 的 重 要 作 用 。 国 家 高 度 重 视 工 业 互 联 网 与 密 码 技 术 的 深 度 融 合 ， 从 顶 层 设 计不 断 完 善 数 据 安 全 法 治 体 系 ， 进 一 步 推 动 以 密 码 技 术 为 核 心 、 多 种 安 全 技 术 相 互 融 合 的 数 据 安 全 体 系建 设 ， 为 工 业 互 联 网 数 据 安 全 密 码 应 用 提 供 坚 实 的 制 度 保 障 。 工 业 互 联 网 密 码 应 用 模 式 白 皮 书 紧 紧 围 绕 工 业 互 联 网 安 全 问 题 展 开 深 入 探 讨 ， 按 照 “ 威 胁 分析 、 防 护 模 型 、 应 用 案 例 ” 这 一 逻 辑 主 线 ， 从 应 用 层 、 终 端 与 基 础 设 施 层 、 基 础 密 码 产 品 三 个 维 度 ，对 身 份 鉴 别 及 信 任 体 系 、 数 据 传 输 (通 信 安 全 )、 数 据 存 储 (数 据 资 产 安 全 )、 数 据 使 用 (数 据 共 享 与 安 全兼 得 )等 场 景 下 的 20种 密 码 用 创 新 模 式 进 行 全 面 而 详 细 的 展 示 。 希 望 白 皮 书 为 工 业 互 联 网 安 全 体 系 建设 提 供 助 力 ， 为 有 关 机 构 及 行 业 同 仁 开 展 产 业 安 全 体 系 建 设 提 供 参 考 。引 言Introduction 工 业 互 联 网 密 码 应 用 实 验 室 - 2 - 02工 业 互 联 网 密 码 应 用 实 验 室 由 中 电 工 业 互 联 网 有 限 公 司 与 北 京 炼 石 网 络 技 术 有 限 公 司 共 建 ， 面 向工 业 互 联 网 场 景 ， 加 强 密 码 及 系 统 安 全 技 术 研 究 和 能 力 建 设 ， 联 合 研 发 工 业 互 联 网 应 用 系 统 安 全 防 护产 品 ， 在 典 型 业 务 场 景 中 推 动 商 用 密 码 技 术 与 产 品 落 地 ， 打 造 以 密 码 技 术 为 核 心 、 多 种 技 术 相 互 融 合 的 实 战 化 安 全 防 护 体 系 。 实 验 室 聚 焦 深 度 融 合 工 业 互 联 网 应 用 的 、 性 能 卓 越 的 密 码 工 程 化 产 品 以 及 行业 前 瞻 研 究 ， 有 效 应 用 密 码 技 术 保 障 工 业 互 联 网 运 行 安 全 。编 写 单 位 :工 业 互 联 网 密 码 应 用 实 验 室Industrial Internet Password Application Laboratory 工 业 互 联 网 密 码 应 用 实 验 室 - 3 - 03习 总 书 记 指 出 ： 没 有 网 络 安 全 就 没 有 国 家 安 全 。 党 中 央 、 国 务 院 高 度 重 视 工 业 互 联 网 与 密 码 技 术的 融 合 发 展 ， 多 措 并 举 、 多 管 齐 下 ， 陆 续 健 全 与 工 业 互 联 网 安 全 相 关 法 律 体 系 。 中 共 中 央 关 于 制 定国 民 经 济 和 社 会 发 展 第 十 四 个 五 年 规 划 和 二 三 五 年 远 景 目 标 的 建 议 明 确 提 出 ： 保 障 国 家 数 据 安 全 ，加 强 个 人 信 息 保 护 。 网 络 安 全 法 是 我 国 网 络 安 全 领 域 第 一 部 基 础 性 法 律 ， 明 确 关 键 信 息 基 础 设 施 的 运 行 安 全 。 要 求 “ 网 络 运 营 者 不 得 泄 露 、 篡 改 、 毁 损 其 收 集 的 个 人 信 息 ， 应 当 采 取 技 术 措 施 和 其 他必 要 措 施 ， 确 保 其 收 集 的 个 人 信 息 安 全 ， 防 止 信 息 泄 露 、 毁 损 、 丢 失 ” 。 数 据 安 全 法 （ 草 案 ） 提出 将 对 数 据 实 行 分 级 分 类 保 护 ， 明 确 开 展 数 据 活 动 的 组 织 、 个 人 的 数 据 安 全 保 护 义 务 ， 落 实 数 据 安 全保 护 责 任 ， 保 障 政 务 数 据 安 全 。 密 码 法 将 密 码 应 用 的 相 关 制 度 上 升 为 国 家 法 律 ， 明 确 密 码 作 为 保 障 数 据 安 全 的 核 心 技 术 路 线 ，关 基 、 等 保 三 级 、 国 家 政 务 系 统 等 ， 使 用 商 用 密 码 保 护 网 络 安 全 ， 已 成 法 定 要 求 。 国 家 政 务 信 息 化项 目 建 设 管 理 办 法 （ 国 办 发 2019 57号 ） ， 明 确 要 求 政 务 信 息 化 项 目 同 步 规 划 、 同 步 建 设 、 同 步运 行 密 码 保 障 系 统 并 定 期 进 行 评 估 。 贯 彻 落 实 网 络 安 全 等 级 保 护 制 度 和 关 键 信 息 基 础 设 施 安 全 保 护制 度 的 指 导 意 见 （ 公 网 安 2020 1960号 ） 对 等 保 三 级 以 上 系 统 、 关 键 信 息 础 设 施 明 确 密 码 应 用 要 求 。 关 键 信 息 基 础 设 施 安 全 保 护 条 例 （ 征 求 意 见 稿 ） 要 求 关 键 信 息 基 础 设 施 中 的 密 码 使 用 和 管 理 ，应 当 遵 守 密 码 法 律 、 行 政 法 规 的 规 定 。2020 年 10 月 ， 工 业 和 信 息 化 部 、 应 急 管 理 部 联 合 发 布 “ 工 业 互 联 网 +安 全 生 产 ” 行 动 计 划（ 2021-2023年 ） 提 出 ， 到 2023年 底 工 业 互 联 网 与 安 全 生 产 协 同 推 进 发 展 格 局 基 本 形 成 ， 工 业 企 业本 质 安 全 水 平 明 显 增 强 。 工 业 互 联 网 安 全 合 规 新 需 求New requirements for security compliance 工 业 互 联 网 密 码 应 用 实 验 室 - 4 - 04密 码 指 使 用 特 定 变 换 对 数 据 等 信 息 进 行 加 密 保 护 或 者 安 全 认 证 的 物 项 和 技 术 ， 因 其 解 决 网 络 安 全问 题 的 经 济 性 、 有 效 性 、 便 捷 性 ， 能 够 在 基 础 信 息 网 络 、 重 要 信 息 系 统 、 重 要 工 业 控 制 系 统 等 重 要 领域 发 挥 核 心 作 用 ， 是 实 现 数 据 安 全 及 网 络 安 全 的 核 心 技 术 。 密 码 应 用 模 式 梳 理 有 助 于 在 相 同 问 题 域 中 便 捷 、 正 确 使 用 密 码 技 术 。 工 业 互 联 网 行 业 流 程 多 样 性和 场 景 复 杂 度 加 大 了 密 码 应 用 建 设 的 难 度 ， 但 不 同 场 景 中 类 似 的 密 码 使 用 模 式 会 反 复 出 现 。 简 单 来 说 ，密 码 应 用 模 式 是 指 解 决 特 定 安 全 问 题 的 密 码 方 案 。 通 过 提 炼 可 复 用 的 密 码 应 用 设 计 ， 提 供 问 题 域 及 解法 有 关 的 密 码 算 法 、 协 议 清 单 、 安 全 性 说 明 等 ， 可 以 复 用 已 有 的 密 码 应 用 解 决 方 案 ， 并 尝 试 为 工 业 互联 网 行 业 提 供 一 套 密 码 应 用 标 准 术 语 。工 业 互 联 网 20 种 密 码 应 用 模 式Cryptography application mode 工 业 互 联 网 密 码 应 用 实 验 室 - 5 - 4.1 预 共 享 密 钥 的 身 份 鉴 别威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.1 攻 击 者 可 以 伪 装 成 运 维 用 户 ， 向 工 控 设 备 服 务 端发 起 请 求 ； 仿 冒 者 伪 装 工 控 设 备 服 务 端 ， 应 答 客户 端 请 求 。 环 境 /约 束 条 件 ： 如 果 远 程 访 问 工 控 设 备 服 务 器 上的 预 共 享 密 钥 发 生 更 改 ， 则 手 工 配 置 预 共 享 密 钥 的 客 户 端 将 无 法 连 接 到 该 服 务 器 上 ， 需 要 重 新 配置 。 模 式 威 胁 示 例 ： 一 般 需 要 用 户 手 动 输 入 预 共 享 密钥 ， 安 全 性 较 差 解 法 ： 认 证 双 方 预 先 共 享 密 钥 PSK， 基 于 询 问 -应 答 机 制 实 现 双 方 身 份 认 证 关 联 解 法 ： 通 过 使 用 连 接 管 理 器 管 理 工 具 包 CMAK向 导 ， 创 建 PSK 的 连 接 配 置 文 件 ， 用 户 不 必 键 入PSK， 通 过 用 PIN 码 加 密 PSK， 可 增 强 CMAK 配 置文 件 分 发 的 安 全 性 效 果 /注 意 点 /副 作 用 /局 限 性 ： 用 于 验 证L2TP/IPSec 连 接 、 安 全 性 相 对 较 差 Windows 基 于 L2TP/Ipsec 连 接 VPN 可 以 配 置 “ 路 由 和 远 程 访 问 ” 来 验 证 支 持 预 共 享密 钥 的 VPN连 接 。 许 多 操 作 系 统 都 支 持 使 用 预 共享 密 钥 ， 包 括 Windows Server 2003 家 族 和Windows Xp等 。 也 可 以 配 置 运 行 Windows Server“ 路 由 和 远 程 访 问 ” 的 服 务 器 ， 使 用 预 共 享 密 钥验 证 来 自 其 他 路 由 器 的 连 接 。 工 业 互 联 网 密 码 应 用 实 验 室 - 6 - 4.1 基 于 协 同 签 名 的 身 份 鉴 别威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.2 【 真 实 性 】 攻 击 者 可 以 伪 装 成 业 务 人 员 ， 向 控 制软 件 发 起 操 作 请 求 环 境 /约 束 条 件 ： 对 移 动 端 等 环 境 ， 很 难 支 持 USBKey， 只 能 用 软 证 书 ； 用 户 存 在 较 高 身 份 凭 证 丢 失风 险 ， 但 可 结 合 其 他 身 份 认 证 手 段 模 式 威 胁 示 例 ： 手 机 被 木 马 提 权 ， 窃 取 软 证 书 ；口 令 安 全 性 弱 ， 易 被 仿 冒 解 法 ： 基 于 PKI 的 身 份 鉴 别 关 联 解 法 ： 用 户 口 令 认 证 效 果 /注 意 点 /副 作 用 /局 限 性 ： 用 户 首 次 获 得 证书 ， 需 要 一 个 安 全 通 道 参 考 案 例 ： 手 机 网 银 的 协 同 软 认 证 ； 虚 拟 机 环 境的 协 同 软 认 证 基 于 协 同 签 名 的 国 密 区 块 链 软 节 点 工 业 互 联 网 密 码 应 用 实 验 室 - 7 - 4.1 基 于 PKI 的 信 任 体 系威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.3 工 业 互 联 网 平 台 之 间 无 法 识 别 对 方 身 份 ， 数 据 共享 过 程 中 容 易 被 攻 击 者 仿 冒 环 境 /约 束 条 件 ： 线 下 预 先 交 换 公 钥 （ 或 共 享 密 钥 ）的 方 式 ， 有 很 大 局 限 性 ； 用 户 可 以 预 信 任 一 个 权威 机 构 模 式 威 胁 示 例 ： 在 缺 乏 权 威 证 书 颁 发 机 构 的 情 况下 ， 容 易 被 攻 击 者 仿 冒 解 法 ： 公 钥 基 础 设 施 关 联 解 法 ： 线 下 交 换 密 钥 效 果 /注 意 点 /副 作 用 /局 限 性 ： B 需 要 预 先 信 任Trent； A私 钥 可 以 只 有 自 己 拥 有 ， 但 A公 钥 需 要Trent验 证 用 户 身 份 后 颁 发 参 考 案 例 ： 公 共 PKI； 企 业 自 建 PKI 自 建 CA和 公 共 CA 工 业 互 联 网 密 码 应 用 实 验 室 - 8 - 4.1 基 于 IBC 的 信 任 体 系威 胁 分 析 ： 防 护 模 型 ： 4.4 工 业 互 联 网 平 台 之 间 数 据 共 享 ， 但 无 法 识 别 对 方身 份 ， 容 易 被 攻 击 者 仿 冒 环 境 /约 束 条 件 ： 线 下 预 先 交 换 公 钥 （ 或 共 享 密 钥 ） 的 方 式 ， 有 很 大 局 限 性 ； 用 户 可 以 绝 对 信 任 一 个权 威 机 构 模 式 威 胁 示 例 ： 在 缺 乏 权 威 证 书 颁 发 机 构 的 情 况下 ， 容 易 被 攻 击 者 仿 冒 解 法 ： 公 钥 基 础 设 施 关 联 解 法 ： 线 下 交 换 密 钥 效 果 /注 意 点 /副 作 用 /局 限 性 ： B 需 要 预 先 信 任Trent； A私 钥 可 以 只 有 自 己 拥 有 ， 但 A公 钥 需 要Trent验 证 A身 份 后 颁 发 参 考 案 例 ： 公 共 PKI； 企 业 自 建 PKI 工 业 互 联 网 密 码 应 用 实 验 室 - 9 - 4.1 离 线 通 信 消 息 加 密威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.5 中 间 人 Eve 窃 听 ； 中 间 人 Mallory 篡 改 环 境 /约 束 条 件 ： 对 A来 讲 B 是 离 线 状 态 ； A把 消息 发 给 服 务 器 ， B定 期 从 服 务 器 更 新 消 模 式 威 胁 示 例 ： 发 邮 件 被 劫 持 ； 发 短 信 被 劫 持 ； IM聊 天 被 劫 持 解 法 ： 基 于 PKI的 数 字 信 封 加 密 ； 推 荐 软 件 ： GnuPG 关 联 解 法 ： ID-based encryption； PKG及 证 书 机 制 有 待 完 善 ； SM9算 法 性 能 远 低 于 SM2 效 果 /注 意 点 /副 作 用 /局 限 性 ： 通 信 双 方 需 要 对 方公 钥 参 考 案 例 ： 商 业 秘 密 通 过 PGP 邮 件 安 全 收 ； 防 范短 信 敏 感 信 息 泄 露 或 篡 改 PGP邮 件 安 全 工 业 互 联 网 密 码 应 用 实 验 室 - 1 0 - 4.1 代 理 重 加 密 受 控 分 发 消 息威 胁 分 析 ： 防 护 模 型 ： 4.6 代 理 Proxy 窃 听 和 篡 改 消 息 ； 传 统 中 间 人 窃 听 和篡 改 消 息 环 境 /约 束 条 件 ： 智 能 传 感 设 备 A 发 消 息 给 Proxy 委 托 时 ， 并 不 确 定 消 息 要 发 给 哪 些 接 收 者 ； 或 与智 能 传 感 设 备 B 无 法 直 接 通 信 ； Proxy 可 以 提 供二 次 加 密 服 务 模 式 威 胁 示 例 ： 网 盘 代 理 分 发 共 享 秘 密 文 件 解 法 ： 基 于 PRE+PKI 的 数 字 信 封 加 密 关 联 解 法 ： PGP邮 件 加 密 效 果 /注 意 点 /副 作 用 /局 限 性 ： 智 能 传 感 设 备 A解耦 了 消 息 加 密 动 作 、 和 授 权 智 能 传 感 设 备 B解 密 ，增 加 了 管 控 灵 活 度 ； 通 信 双 方 需 要 对 方 公 钥 参 考 案 例 ： 网 盘 二 次 分 发 机 密 信 息 ； 企 业 内 文 件授 权 分 发 工 业 互 联 网 密 码 应 用 实 验 室 - 1 1 - 4.1 在 线 通 信 消 息 加 密威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.7 中 间 人 Eve 窃 听 ； 中 间 人 Mallory 篡 改 环 境 /约 束 条 件 ： 当 现 场 控 制 器 PLC向 现 场 设 备 发出 操 作 指 令 ， 现 场 设 备 会 实 时 响 应 模 式 威 胁 示 例 ： 实 时 通 信 被 劫 持 ； 用 户 浏 览 网 站 被 劫 持 ； 服 务 调 用 被 劫 持 解 法 ： 标 准 TLS协 议 的 各 种 实 现 、 TLS扩 展 （ HTTPS、SMTP/IMAP/POP3 over TLS、 SSLVPN） 验 证 方 式 ： 单 向 SSL、 双 向 SSL； 推 荐 软 件 选 择 ：MesaLink/OpenSSL 关 联 解 法 ： SSH方 案 ， 比 如 OpenSSH； IPSec VPN 效 果 /注 意 点 /副 作 用 /局 限 性 ： TLS 会 增 加 约5-10%的 工 控 服 务 端 资 源 消 耗 参 考 案 例 ： VPN保 护 商 业 秘 密 信 息 在 互 联 网 传 输 ；HTTPS保 护 Web应 用 中 数 据 传 输 安 全 企 业 通 信 加 密 案 例 -SSL VPN、 IPSEC VPN 当 使 用 互 联 网 服 务 处 理 商 业 秘 密 信 息 ， 可 采 用VPN技 术 保 护 。 IPSec VPN 是 基 于 IP网 络 的 VPN，适 用 于 总 部 与 分 支 机 构 之 间 ； IPSec VPN 是 基 于SSL/TLS协 议 的 VPN， 支 持 浏 览 器 接 入 ， 适 用 于 用户 从 远 程 接 入 。 工 业 互 联 网 密 码 应 用 实 验 室 - 1 2 - 4.1 可 感 知 窃 听 的 专 线 通 信威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.8 中 间 人 Eve 窃 听 ； 环 境 /约 束 条 件 ： 假 如 被 Eve 窃 听 ， ， 控 制 软 件 和工 控 设 备 都 不 知 情 模 式 威 胁 示 例 ： 实 时 通 信 被 劫 持 解 法 ： 基 于 BB84的 量 子 密 钥 分 发 关 联 解 法 ： 物 理 安 全 专 线 ， 但 无 法 感 知 窃 听 效 果 /注 意 点 /副 作 用 /局 限 性 ： 缺 乏 身 份 认 证 ； 带宽 很 低 ； 工 程 实 现 难 度 极 大 参 考 案 例 ： 量 子 密 钥 分 发 网 络 QKD量 子 密 钥 分 发 工 业 互 联 网 密 码 应 用 实 验 室 - 1 3 - 4.1 AOE面 向 切 面 加 密威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.9 攻 击 者 可 以 从 数 据 库 或 文 件 服 务 器 直 接 窃 取 敏 感数 据 环 境 /约 束 条 件 ： 敏 感 数 据 可 在 PLM/ERP等 工 业 应用 内 处 理 计 算 ， 或 无 需 在 数 据 库 进 行 复 杂 计 算 模 式 威 胁 示 例 ： ERP 中 配 方 泄 露 ； 业 务 系 统 中 个人 信 息 数 据 泄 露 解 法 ： 面 向 切 面 加 密 关 联 解 法 ： 数 据 库 TDE 加 密 ， 需 要 适 配 不 同 数 据 库 及 多 版 本 参 考 案 例 ： 业 务 应 用 系 统 对 个 人 信 息 加 密 免 开 发 改 造 应 用 ， 敏 捷 实 施 数 据 加 密 防 护 ； 结 合用 户 身 份 解 密 细 控 ， 不 改 变 用 户 习 惯 CASB业 务 数 据 安 全 平 台 全 面 防 护 企 业 数 据 将 安 全 组 件 与 业 务 从 技 术 上 解 耦 、 但 又 实 现 了 能力 融 合 交 织 ， 免 开 发 改 造 应 用 实 现 细 粒 度 业 务 数据 保 护 ， 将 密 码 应 用 从 传 统 “ 外 挂 式 ” 升 级 为 “ 内嵌 式 ” ， 有 效 提 升 信 息 化 系 统 的 有 效 安 全 能 力 。面 向 服 务 侧 ， 可 实 现 敏 感 数 据 的 加 密 存 储 ， 有 效防 范 外 部 黑 客 及 内 部 IT人 员 ； 面 向 用 户 侧 ， 又 可以 结 合 用 户 身 份 信 息 动 态 脱 敏 ， 有 效 防 范 内 部 业务 人 员 越 权 访 问 。 工 业 互 联 网 密 码 应 用 实 验 室 - 1 4 - 4.1 数 据 库 存 储 加 密威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.10 攻 击 者 可 从 工 控 服 务 端 或 备 份 文 件 窃 取 敏 感 数 据 环 境 /约 束 条 件 ： 数 据 计 算 前 需 要 先 解 密 模 式 威 胁 示 例 ： 文 件 存 储 明 文 落 盘 ； Hadoop数 据明 文 落 盘 ； 数 据 库 明 文 落 盘 解 法 ： 结 合 文 件 存 储 、 Hadoop或 DB， 对 文 件 、 块文 件 、 表 空 间 等 进 行 加 密 关 联 解 法 ： 全 磁 盘 加 密 ： 粒 度 粗 ， 只 能 防 拔 盘 ；部 署 在 应 用 与 DB间 的 数 据 库 加 密 网 关 ： 密 文 计 算难 以 工 业 级 交 付 效 果 /注 意 点 /副 作 用 /局 限 性 ： 要 结 合 目 标 文 件 系统 或 数 据 库 品 牌 版 本 等 参 考 案 例 ： TFE 透 明 文 件 加 密 防 商 业 文 档 泄 露 ；Hadoop敏 感 数 据 块 防 泄 露 ； 数 据 库 TDE防 范 库 文 件 泄 漏 通 过 在 Windows/Linux驱 动 层 安 装 炼 石 TFE模 块 ，应 用 免 改 造 实 现 存 盘 文 件 密 文 存 储 。 TFE驱 动 模块 与 文 件 加 密 管 理 平 台 交 互 ， 获 取 加 解 密 策 略 以及 密 钥 。 可 指 定 要 加 密 的 文 件 夹 ， 该 文 件 夹 （ 及 其 子 文 件 夹 ） 的 文 件 在 保 存 时 被 加 密 ， 也 可 选 择 全 盘 加 密 ；可 选 择 要 授 权 的 应 用 ， 通 过 白 名 单 机 制 使 应 用 正常 访 问 ； 而 未 授 权 应 用 或 者 直 接 拷 贝 文 件 ， 只 能读 取 密 文 文 件 。 密 钥 生 命 周 期 管 理 平 台 统 一 进 行 加 解 密 所 使 用 密钥 的 管 理 工 作 。 文 件 加 密 管 理 平 台 与 密 钥 生 命 周期 管 理 平 台 进 行 交 互 ， 获 取 加 解 密 所 使 用 的 密 钥 。 工 业 互 联 网 密 码 应 用 实 验 室 - 1 5 - 4.1 文 件 存 储 加 密威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.11 内 部 人 员 、 攻 击 者 可 以 从 PLM/SCM/ERP/MES 等 含有 核 心 文 件 的 工 控 服 务 端 或 备 份 文 件 窃 取 关 键 文件 ， 获 取 不 当 利 益 文 件 安 全 插 件 安 装 在 PLM/SCM/ERP/MES等 文 件 服务 器 操 作 系 统 的 驱 动 层 ， 客 户 资 料 、 产 品 参 数 /视 频 、 工 业 供 应 链 订 单 等 重 要 文 件 在 被 应 用 写 入的 过 程 中 可 对 文 件 进 行 加 密 ； 在 读 取 的 过 程 中 进行 解 密 。 同 时 ， 文 件 进 出 存 储 磁 盘 的 过 程 ， 都 可 以 被 插 件记 录 ， 进 行 安 全 审 计 ， 进 一 步 对 审 计 记 录 进 行 综合 分 析 ， 可 以 全 方 位 获 得 敏 感 文 件 的 被 使 用 情 况 ，及 时 发 现 存 在 的 威 胁 。 TFE透 明 文 件 加 密 在 PLM/SCM/MES等 应 用 系 统 内 安 装 TFE安 全 插 件 ； TFE 安 全 插 件 与 文 件 加 密 管 理 平 台 交 互 ， 获 取 加解 密 策 略 以 及 密 钥 ； 指 定 要 加 密 的 文 件 夹 ， 该 文 件 夹 （ 及 其 子 文 件 夹 ）文 件 在 保 存 时 被 加 密 ， 也 可 选 择 全 盘 加 密 ； 可 选 择 要 授 权 的 应 用 ， 通 过 白 名 单 机 制 使 应 用 正常 访 问 ； 未 授 权 应 用 或 者 直 接 拷 贝 文 件 ， 只 能 读 取 密 文 文件 。 工 业 互 联 网 密 码 应 用 实 验 室 - 1 6 - 4.1 基 于 分 隐 私 的 数 据 匿 名 化威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.12 攻 击 者 根 据 SCM/CRM/PLM/ERP 等 应 用 中 数 据 集 的一 组 值 以 及 已 经 获 取 到 的 背 景 知 识 ， 来 推 断 出 某个 客 户 敏 感 属 性 值 攻 击 方 法 ： 链 接 攻 击 ； K-匿 名 ( K-Anonymity )；同 质 化 攻 击 ( Homogeneity Attack )； L-散 度 ( L-Diversity ) ； 相 似 性 攻 击 ； T- 保 密( T-Closeness ) 解 法 ： 对 SCM/CRM/PLM/ERP 等 应 用 的 目 标 函 数 添加 一 定 的 噪 声 ； 在 梯 度 上 加 噪 声 ； 在 模 型 输 出 上加 噪 声 参 考 案 例 ： 基 于 差 分 隐 私 的 数 据 匿 名 化 ， 防 范 工业 互 联 网 企 业 用 户 隐 私 数 据 泄 露 威 胁 本 地 化 差 分 隐 私 工 业 互 联 网 密 码 应 用 实 验 室 - 1 7 - 4.1 不 可 信 环 境 中 的 数 据 运 算威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.13 SCADA/DCS/PLC/HMI 等 应 用 服 务 端 不 可 信 ， 但 必须 把 数 据 交 付 服 务 端 进 行 计 算 环 境 /约 束 条 件 ： 不 可 信 环 境 下 提 交 数 据 进 行 计 算 模 式 威 胁 示 例 ： 云 端 对 敏 感 数 据 计 算 解 法 ： 同 态 加 密 、 MPC 多 方 计 算 、 零 知 识 证 明 等隐 私 计 算 技 术 关 联 解 法 ： 用 户 掌 控 证 明 的 SCADA/DCS/PLC/HMI等 服 务 端 可 信 技 术 效 果 /注 意 点 /副 作 用 /局 限 性 ： 同 态 加 密 效 率 低 ，并 且 效 率 改 进 与 高 安 全 性 无 法 兼 得 参 考 案 例 ： 基 于 同 态 加 密 的 数 据 库 加 密 网 关 ， 防范 工 控 服 务 端 威 胁 zCryptDB是 MIT的 开 源 项 目 ， 支 持 MySQL， 部 署在 应 用 服 务 器 和 数 据 库 服 务 器 之 间 ， 实 现 数 据 库透 明 加 密 网 关 。 采 用 洋 葱 加 密 模 型 实 现 MySQL 的可 计 算 密 文 ， 需 要 在 MySQL 安 装 UDF 插 件 。 服 务端 数 字 计 算 采 用 了 同 态 加 密 。 工 业 互 联 网 密 码 应 用 实 验 室 - 1 8 - 可 验 证 结 果 的 计 算 外 包威 胁 分 析 ： 防 护 模 型 ： 4.14 公 有 云 、 三 方 大 数 据 分 析 等 服 务 端 不 可 信 ， 但 需要 把 数 据 交 付 服 务 端 进 行 计 算 环 境 /约 束 条 件 ： 不 可 信 环 境 下 提 交 数 据 进 行 计 算 模 式 威 胁 示 例 ： 区 块 链 单 节 点 处 理 能 力 有 限 ， 每笔 交 易 需 要 各 节 点 验 证 计 算 解 法 ： 工 业 互 联 网 用 户 将 复 杂 计 算 外 包 给 第 三 方 ，利 用 第 三 方 强 大 的 计 算 处 理 能 力 ， 扩 展 单 节 点 的计 算 能 力 ， 而 且 不 损 失 安 全 性 。 关 联 解 法 ： 第 三 方 算 力 提 供 者 需 要 在 完 成 计 算 任务 的 同 时 ， 提 交 一 份 关 于 计 算 结 果 的 正 确 性 证 明用 于 验 证 效 果 /注 意 点 /副 作 用 /局 限 性 ： 验 证 和 计 算 的 速 度成 本 应 都 远 低 于 直 接 计 算 参 考 案 例 ： 区 块 链 扩 展 性 提 升 工 业 互 联 网 密 码 应 用 实 验 室 - 1 9 - 4.1 基 于 属 性 加 密 的 访 问 控 制威 胁 分 析 ： 防 护 模 型 ： 4.15 数 据 使 用 方 权 限 过 大 ， 对 核 心 产 品 、 重 要 客 户 资料 、 企 业 内 部 人 事 资 料 等 数 据 可 以 不 受 限 的 访 问 环 境 /约 束 条 件 ： 数 据 集 合 包 含 了 不 同 的 属 性 ， 数 据 使 用 方 根 据 属 性 拥 有 不 同 密 钥 模 式 威 胁 示 例 ： 数 据 分 享 场 景 下 滥 用 数 据 解 法 ： 基 于 ABE 的 细 粒 度 访 问 控 制 关 联 解 法 ： 数 据 外 发 时 脱 敏 效 果 /注 意 点 /副 作 用 /局 限 性 ： 数 据 使 用 方 要 具 备细 粒 度 密 钥 信 息 参 考 案 例 ： 基 于 ABE 的 云 端 数 据 共 享 工 业 互 联 网 密 码 应 用 实 验 室 - 2 0 - 4.1 锚 点 解 密 的 防 绕 过 数 据 安 全威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.16 数 据 在 SCADA/DCS/PLC/HMI 等 工 控 服 务 端 可 直 接窃 取 ， 访 问 控 制 可 以 被 绕 过 ， 同 时 审 计 置 信 度 较低 ； 这 既 会 带 来 数 据 威 胁 ， 也 是 对 安 全 机 制 本 身的 破 坏 环 境 /约 束 条 件 ： 数 据 是 流 动 的 ， 缺 乏 一 个 数 据 集 中 控 制 点 模 式 威 胁 示 例 ： 应 用 -数 据 库 模 式 下 ， 存 在 应 用 外数 据 访 问 ， 比 如 DBA窃 取 ； 数 据 共 享 场 景 下 的 数据 流 转 解 法 ： 用 加 密 构 建 一 个 数 据 的 集 中 控 制 点 ， 在 该 控 制 点 进 行 细 控 ， 并 留 存 日 志 提 供 高 置 信 度 审 计 关 联 解 法 ： 直 接 用 访 问 控 制 和 审 计 ， 但 存 在 “ 马其 诺 防 线 ” 被 绕 过 效 果 /注 意 点 /副 作 用 /局 限 性 ： 缺 点 是 复 杂 数 据 加密 后 对 计 算 有 影 响 ， 因 此 需 要 结 合 业 务 使 用 ， 适用 于 重 要 数 据 参 考 案 例 ： 企 业 应 用 CASB实 现 防 绕 过 安 全 机 制 密 码 控 审 一 体 化 ， 安 全 机 制 防 绕 过 消 息 安 全 性 等 同 于 密 钥 安 全 性 ， 数 据 很 大 ， 但 密钥 很 小 。 加 密 技 术 将 安 全 问 题 缩 小 到 密 钥 管 理 问题 。 将 密 钥 管 理 与 访 问 控 制 、 审 计 结 合 ， 构 建 “ 防绕 过 ” 安 全 防 线 。 工 业 互 联 网 密 码 应 用 实 验 室 - 2 1 - 可 追 溯 的 数 字 水 印威 胁 分 析 ： 防 护 模 型 ： 4.17 核 心 工 业 产 品 、 重 要 客 户 等 数 据 违 规 外 发 （ 或 泄露 ） 后 ， 无 法 追 溯 泄 露 源 环 境 /约 束 条 件 ： 数 据 格 式 允 许 添 加 附 加 信 息 ， 通 过 可 见 水 印 或 不 可 见 水 印 （ 隐 写 术 ） 模 式 威 胁 示 例 ： 数 据 分 享 场 景 下 违 规 外 发 ； 数 据泄 露 发 生 后 的 追 溯 问 责 解 法 ： 基 于 密 码 技 术 的 数 字 水 印 关 联 解 法 ： TDF技 术 效 果 /注 意 点 /副 作 用 /局 限 性 ： 存 在 水 印 信 息 被 擦除 的 风 险 ； 结 构 化 数 据 难 以 添 加 水 印 参 考 案 例 ： 对 外 发 图 片 、 文 档 添 加 水 印 工 业 互 联 网 密 码 应 用 实 验 室 - 2 2 - 4.1 基 于 密 码 校 验 的 防 篡 改威 胁 分 析 ： 防 护 模 型 ： 应 用 案 例 ： 4.18 【 完 整 性 】 数 据 在 分 发 过 程 中 可 能 被 篡 改 环 境 /约 束 条 件 ： 和 原 始 数 据 获 取 相 比 ， 散 列 值 获取 有 更 安 全 的 通 道 模 式 威 胁 示 例 ： 下 载 关 键 软 件 时 内 容 被 篡 改 解 法 ： 用 散 列 值 校 验 数 据 完 整 性 关 联 解 法 ： HMAC， 但 需 要 预 共 享 密 钥 效 果 /注 意 点 /副 作 用 /局 限 性 ： 散 列 值 获 取 方 式 ，要 比 数 据 更 安 全 参 考 案 例 ： 用 公 钥 验 签 技 术 防 护 DNS解 析 ， 保 障DNS记 录 正 确 ； 下 载 关 键 软 件 的 散 列 值 安 全 校 验 DNSSEC （ Domain Name System SecurityExtensions） 是 IETF对 确 保 由 DNS中 提 供 的 关 于IP 网 络 使 用 特 定 类 型 的 信 息 规 格 包 。 DNSSEC 对DNS 提 供 给 DNS 客 户 端 （ Resolver） 的 DNS 数 据来 源 进 行 认 证 ， 并 验 证 不 存 在 性 和 校 验 数 据 完 整性 验 证 ， 但 不 提 供 或 机 密 性 和 可 用 性 。 目 前 仅 部署 在 域 名 和 .gov（ 美 国 政 府 域 名 ） 以 及 部 分国 家 和 地 区 顶 级 域 （ ccTLD） 。 2010年 7月 18日 ，根 域 名 服 务 器 （ root-） 已 经 完 成DNSSEC