商用密碼在城市建設(shè)領(lǐng)域的應(yīng)用探索與研究
2022-10-26 16:08:00 來源:本站 瀏覽:1136
密碼技術(shù)是保障網(wǎng)絡(luò)安全的核心技術(shù),密碼算法和密碼產(chǎn)品的自主可控是確保我國(guó)信息安全的重中之重。“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”,商用密碼技術(shù)作為實(shí)現(xiàn)網(wǎng)絡(luò)安全的核心技術(shù),在網(wǎng)絡(luò)安全防護(hù)工作中發(fā)揮著重要的基礎(chǔ)支撐作用。隨著互聯(lián)網(wǎng)、大數(shù)據(jù)等計(jì)算機(jī)信息技術(shù)的發(fā)展應(yīng)用,大數(shù)據(jù)已深入到住房城鄉(xiāng)建設(shè)行業(yè)應(yīng)用的每個(gè)角落,如何發(fā)揮密碼技術(shù)在大數(shù)據(jù)安全保護(hù)方面的成效,也已成為我們?cè)谙碛行畔⒒瘞肀憷耐瑫r(shí)急需加強(qiáng)和考慮的一個(gè)問題。
城鄉(xiāng)建設(shè)領(lǐng)域密碼應(yīng)用現(xiàn)狀及分析1、行業(yè)信息化現(xiàn)狀按照行業(yè)主管部門業(yè)務(wù)職能,相關(guān)業(yè)務(wù)板塊信息系統(tǒng)建設(shè)初顯成效,主要包括住房保障與房地產(chǎn)、建筑業(yè)、城鄉(xiāng)建設(shè)與管理等方面。住房保障與房地產(chǎn)——智慧社區(qū),在智慧社區(qū)中,包含水氣熱、小區(qū)門禁、攝像頭、進(jìn)出道閘等多類智能化終端設(shè)備和社區(qū)管理平臺(tái),通過對(duì)終端設(shè)備的控制使用和各類信息的采集,面向小區(qū)居民提供便捷、自動(dòng)化的社區(qū)服務(wù)以及對(duì)社區(qū)公共安全的管理。在智慧社區(qū)建設(shè)過程中需要廣泛運(yùn)用信息技術(shù),導(dǎo)致信息安全風(fēng)險(xiǎn)積聚升高,對(duì)此物聯(lián)網(wǎng)信息安全架構(gòu)的設(shè)計(jì)將為智慧社區(qū)建設(shè)與運(yùn)行期間產(chǎn)生和處理的海量信息數(shù)據(jù)提供安全保障,通過規(guī)劃設(shè)計(jì)物聯(lián)網(wǎng)安全構(gòu)架,對(duì)相關(guān)安全風(fēng)險(xiǎn)進(jìn)行規(guī)避、預(yù)防和控制。建筑業(yè)——智能建筑,在智能建筑的基礎(chǔ)環(huán)境的安全風(fēng)險(xiǎn)因人員的非法闖入將可能成為更大風(fēng)險(xiǎn)的誘因,建筑群設(shè)計(jì)中若未合理的規(guī)劃外部通信接入等將導(dǎo)致通信線路無法接入的風(fēng)險(xiǎn);由于建筑群的外部通信的接入來自一個(gè)局端,系統(tǒng)存在單點(diǎn)運(yùn)行故障的風(fēng)險(xiǎn),以及信息主動(dòng)或被動(dòng)泄露風(fēng)險(xiǎn);應(yīng)用系統(tǒng)實(shí)現(xiàn)信息共享和系統(tǒng)節(jié)能,操作權(quán)限設(shè)置不當(dāng)將會(huì)導(dǎo)致系統(tǒng)內(nèi)部信息非法泄露、任意修改或破壞等。城鄉(xiāng)建設(shè)與管理——市政綜合管廊智能化系統(tǒng)包括通信系統(tǒng)、環(huán)境與設(shè)備監(jiān)控、預(yù)警與報(bào)警系統(tǒng)、GIS系統(tǒng)、安全防范系統(tǒng)、信息管理平臺(tái)等。因采用大量傳感器、攝像頭、工業(yè)控制系統(tǒng),存在硬件配置的脆弱性風(fēng)險(xiǎn),對(duì)關(guān)鍵設(shè)備(包括監(jiān)控中心設(shè)備、現(xiàn)場(chǎng)設(shè)備、便攜設(shè)備、移動(dòng)設(shè)備、外存儲(chǔ)設(shè)備等)的物理防護(hù)措施不充分等。商用密碼應(yīng)用現(xiàn)狀從城鄉(xiāng)建設(shè)領(lǐng)域信息化建設(shè)情況看,網(wǎng)站和系統(tǒng)涉及業(yè)務(wù)范圍廣、人員規(guī)模大,系統(tǒng)大部分部署在物理機(jī)或云平臺(tái)上。機(jī)房配備了防火墻、WAF、堡壘機(jī)、IDS、SSLVPN、IPS、安全審計(jì)、上網(wǎng)行為管理、態(tài)勢(shì)感知等安全設(shè)備。從密碼應(yīng)用情況看,雖然部分領(lǐng)域應(yīng)用有一定的密碼基礎(chǔ),但整體密碼基礎(chǔ)建設(shè)比較薄弱。部分系統(tǒng)采用了MD5或SHA-1作為身份認(rèn)證方式,未采用國(guó)產(chǎn)密碼算法或更高安全性的認(rèn)證方式。另一方面,行業(yè)對(duì)于密碼應(yīng)用與網(wǎng)絡(luò)安全的關(guān)系認(rèn)識(shí)不清,行業(yè)密碼應(yīng)用的頂層規(guī)劃和統(tǒng)籌推進(jìn)有待加強(qiáng),行業(yè)密碼應(yīng)用推進(jìn)工作切實(shí)有效的體制機(jī)制亟須建立。商用密碼應(yīng)用整體需求城鄉(xiāng)建設(shè)領(lǐng)域信息化工作取得較好發(fā)展,國(guó)產(chǎn)密碼技術(shù)已有初步應(yīng)用,但仍存在一些薄弱環(huán)節(jié),需要進(jìn)一步開展工作,提升行業(yè)密碼應(yīng)用水平。密碼應(yīng)用建設(shè)需求匯總?cè)缦拢?/span>1、密碼管理效能的需求住建行業(yè)部分系統(tǒng)雖然已采用密碼技術(shù),但數(shù)字認(rèn)證等依賴于第三方,其他密碼基礎(chǔ)資源幾乎空白,迫切的密碼應(yīng)用需求與滯后的密碼應(yīng)用支撐環(huán)境矛盾突出,亟須從頂層統(tǒng)一規(guī)劃,優(yōu)化密碼應(yīng)用支撐模式,滿足蓬勃發(fā)展的住建信息化建設(shè)對(duì)于密碼技術(shù)的需求。2、數(shù)據(jù)安全的需求“十四五”信息化規(guī)劃總體任務(wù)中,建設(shè)住房和城鄉(xiāng)建設(shè)大數(shù)據(jù)中心,加快推進(jìn)住房和城鄉(xiāng)建設(shè)信息系統(tǒng)整合。部、省、市(縣)各級(jí)行業(yè)大數(shù)據(jù)中心的統(tǒng)籌建設(shè),使信息化的維護(hù)管理成本大大節(jié)約,信息數(shù)據(jù)互聯(lián)共享程度穩(wěn)步提高,但數(shù)據(jù)共享的同時(shí)對(duì)數(shù)據(jù)安全提出更高的要求,特別是敏感數(shù)據(jù)、隱私數(shù)據(jù)在傳輸、存儲(chǔ)的安全性問題。以密碼技術(shù)為支撐,構(gòu)建統(tǒng)一身份認(rèn)證、統(tǒng)一門戶管理、統(tǒng)一電子證照、數(shù)據(jù)共享交換、集中運(yùn)維管理的基礎(chǔ)平臺(tái)。3、“新城建”安全的需求開展“新城建”,要系統(tǒng)推進(jìn)各領(lǐng)域的感知體系建設(shè),充分運(yùn)用5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)構(gòu)建萬物互聯(lián)的網(wǎng)絡(luò)體系,新城建領(lǐng)域不是單一的智能系統(tǒng),而是泛在多智能系統(tǒng)的協(xié)同融合,算力受控使用、算法受控執(zhí)行、系統(tǒng)受控協(xié)同等方面的安全需求激增。物物融合互聯(lián)為攻擊傳導(dǎo)提供了途徑,導(dǎo)致系統(tǒng)攻擊面成指數(shù)級(jí)擴(kuò)大,并且任何一處風(fēng)險(xiǎn)威脅都可能迅速傳導(dǎo)到全網(wǎng),直接危害現(xiàn)實(shí)物理世界,甚至危害到人的生命。密碼應(yīng)用情況根據(jù)信息系統(tǒng)密碼保障系統(tǒng)建設(shè)的相關(guān)要求,政務(wù)信息系統(tǒng)實(shí)施商用密碼技術(shù)保障需從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等方面實(shí)施密碼應(yīng)用的改造。(1)構(gòu)建密碼資源池,包括各類密碼機(jī),為住建行業(yè)密碼應(yīng)用和服務(wù)提供底層的密鑰安全存儲(chǔ)、密碼運(yùn)算支撐,為上層其他密碼設(shè)備和應(yīng)用系統(tǒng)提供基礎(chǔ)性的密碼運(yùn)算服務(wù)支撐。(2)基于密碼資源層提供的基礎(chǔ)性服務(wù),增加提供專項(xiàng)密碼服務(wù)的密碼設(shè)備,向業(yè)務(wù)系統(tǒng)提供專項(xiàng)的密碼服務(wù)支撐。根據(jù)業(yè)務(wù)的需要,主要提供數(shù)字認(rèn)證系統(tǒng)、密鑰管理等基礎(chǔ)類服務(wù),其中數(shù)字認(rèn)證系統(tǒng)主要實(shí)現(xiàn)數(shù)字證書全生命周期的管理,密鑰管理主要針對(duì)業(yè)務(wù)系統(tǒng)所需的密鑰進(jìn)行統(tǒng)一管理。密碼管理基礎(chǔ)設(shè)施部分針對(duì)在用的第三方運(yùn)營(yíng)數(shù)字證書認(rèn)證系統(tǒng)進(jìn)行設(shè)計(jì)和考慮,保證第三方運(yùn)營(yíng)數(shù)字證書認(rèn)證系統(tǒng)發(fā)放的數(shù)字證書可以在住建行業(yè)應(yīng)用。(3)以密碼資源層、密碼支撐層提供的服務(wù)為基礎(chǔ),采用服務(wù)封裝和調(diào)度技術(shù),向上層業(yè)務(wù)系統(tǒng)提供可信身份、電子證照、電子簽章等服務(wù),同時(shí)提供密鑰服務(wù)、證書服務(wù)、加解密服務(wù)、數(shù)字簽驗(yàn)服務(wù)、證書驗(yàn)證、可信時(shí)間等支撐,滿足業(yè)務(wù)系統(tǒng)多元化密碼服務(wù)的需求。(4)基于基礎(chǔ)密碼服務(wù),根據(jù)業(yè)務(wù)的需要,實(shí)現(xiàn)電子政務(wù)密碼服務(wù)、城市物聯(lián)網(wǎng)密碼服務(wù)。通過該層的服務(wù)為住建具體業(yè)務(wù)實(shí)現(xiàn)密碼功能和服務(wù)提供保障。(5)從機(jī)構(gòu)、人員、制度、考核等維度入手,制定相應(yīng)的規(guī)章制度,實(shí)現(xiàn)住建行業(yè)密碼的統(tǒng)一、精細(xì)化管控,形成住建密碼管控的抓手。(6)建設(shè)規(guī)范、管理規(guī)范、接口規(guī)范、入網(wǎng)標(biāo)準(zhǔn)等,牽引住建行業(yè)密碼基礎(chǔ)支撐和服務(wù)平臺(tái)的設(shè)計(jì)、建設(shè)、管理和應(yīng)用相關(guān)工作。新建系統(tǒng)密碼應(yīng)用的建設(shè)應(yīng)該做到同步規(guī)劃、同步建設(shè)、同步運(yùn)行即“三同步”,要求在系統(tǒng)建設(shè)的規(guī)劃階段就應(yīng)該考慮密碼應(yīng)用方案。本著解決需求就是目標(biāo)的方式,系統(tǒng)的密碼需求決定密碼設(shè)計(jì)要求,密碼設(shè)計(jì)要求決定密碼應(yīng)用解決方案,應(yīng)用解決方案決定密碼實(shí)施方案,密碼實(shí)施方案決定了密碼的應(yīng)急處置方案。從總體性、科學(xué)性、完備性、可行性著手解決密碼應(yīng)用方案,再按照有關(guān)文件及密碼應(yīng)用安全性評(píng)估的要求,對(duì)于新建系統(tǒng)的密碼應(yīng)用方案再進(jìn)行專家論證就可以更加保證在實(shí)際系統(tǒng)中應(yīng)用的效果。按“三同步”原則進(jìn)行的新系統(tǒng)密碼應(yīng)用的建設(shè)能夠有針對(duì)性的、很好地解決系統(tǒng)對(duì)密碼的需求,但對(duì)信息系統(tǒng)對(duì)密碼應(yīng)用的需求準(zhǔn)確性提出了更高的要求,需要在系統(tǒng)規(guī)劃階段進(jìn)行充分的調(diào)研和論證。如何進(jìn)行調(diào)研論證新系統(tǒng)建設(shè)的密碼需求是系統(tǒng)建設(shè)者需要考慮的問題,筆者建議能夠在新系統(tǒng)規(guī)劃可研階段進(jìn)行,對(duì)系統(tǒng)密碼需求進(jìn)行專項(xiàng)工作,從新系統(tǒng)的功能和作用及發(fā)展考慮其密碼應(yīng)用的需求,不能單純從此系統(tǒng)的某一方面入手。已建和改建系統(tǒng)密碼應(yīng)用,對(duì)于已建和改建的系統(tǒng),密碼應(yīng)用的建設(shè)就不建議按新建系統(tǒng)的思路進(jìn)行了,要明確已建和改建信息系統(tǒng)的詳細(xì)網(wǎng)絡(luò)拓?fù)洌宄到y(tǒng)中已有的密碼產(chǎn)品,梳理密鑰管理層次,給出密鑰全生命周期的管理過程,針對(duì)重要數(shù)據(jù)和敏感信息,梳理其在信息系統(tǒng)中的流轉(zhuǎn)過程和受保護(hù)情況,從中提煉的密碼應(yīng)用方案可以通過兩種途徑進(jìn)行完善符合。一種是可以通過第三方的評(píng)估機(jī)構(gòu)進(jìn)行密碼評(píng)估后,依據(jù)國(guó)家標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行完善論證后實(shí)施密碼應(yīng)用改造;另外一種就是自行或者尋找有能力的系統(tǒng)集成單位進(jìn)行標(biāo)準(zhǔn)性改造;兩種途徑都可以達(dá)到符合密碼應(yīng)用的要求。密碼相關(guān)管理制度的完善密碼相關(guān)管理制度建立健全是此項(xiàng)工作得到有力推進(jìn)的機(jī)制保障,信息化工作三分技術(shù)七分管理,這是長(zhǎng)期工作總結(jié)的經(jīng)驗(yàn)。作為密碼應(yīng)用的具體單位,可以借鑒等保管理的相關(guān)做法,建立健全密碼技術(shù)應(yīng)用的管理制度機(jī)制,形成具有本單位特色的密碼管理制度。需要全面從技術(shù)和管理兩個(gè)大的維度去考量。考量的標(biāo)準(zhǔn)就是國(guó)家標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》,對(duì)信息系統(tǒng)密碼應(yīng)用情況進(jìn)行定期評(píng)估。定期評(píng)估是對(duì)密碼應(yīng)用安全性評(píng)價(jià)的有效手段,分別對(duì)密碼產(chǎn)品、密碼系統(tǒng)應(yīng)用、密碼應(yīng)用管理等進(jìn)行考量。密碼應(yīng)用管理過程應(yīng)遵循信息安全,管理科學(xué)規(guī)定。采用“計(jì)劃—實(shí)施—檢查—改進(jìn)”循環(huán),這樣才能保證持續(xù)改進(jìn)密碼應(yīng)用管理體系。密碼應(yīng)用安全性評(píng)估活動(dòng)必須貫穿于密碼應(yīng)用管理過程整個(gè)生命周期,才能夠保證各個(gè)階段密碼應(yīng)用的有效性,并能夠持續(xù)改進(jìn)密碼在信息系統(tǒng)應(yīng)用的安全性,保障密碼應(yīng)用動(dòng)態(tài)安全,為信息系統(tǒng)的安全提供堅(jiān)實(shí)的基礎(chǔ)支撐。政策法規(guī)層面,從政策法規(guī)層面,國(guó)家制定了一系列的政策來提供評(píng)估的依據(jù),《中華人民共和國(guó)密碼法》、國(guó)務(wù)院辦公廳關(guān)于印發(fā)《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》(國(guó)辦發(fā)〔2019〕57號(hào))等都對(duì)密碼應(yīng)用工作提出了明確的要求。密碼應(yīng)用“一盤棋”為了保障住房和城鄉(xiāng)建設(shè)領(lǐng)域信息化安全建設(shè)與發(fā)展,應(yīng)該整合分散的密碼應(yīng)用場(chǎng)景,統(tǒng)籌政務(wù)信息系統(tǒng)密碼技術(shù)資源,使得密碼應(yīng)用“一盤棋”統(tǒng)籌考慮。比如:在系統(tǒng)運(yùn)維上專業(yè)密碼人才比較少,一般開發(fā)單位,都不會(huì)單獨(dú)配置專業(yè)密碼人員,這樣就會(huì)讓系統(tǒng)開發(fā)單位為其額外增加運(yùn)維成本;各個(gè)密碼應(yīng)用的數(shù)據(jù)相互調(diào)用可能因?yàn)榧用芩惴ê兔艽a協(xié)議的選擇不同,就需要額外增加相關(guān)資源池進(jìn)行轉(zhuǎn)換,造成調(diào)用流程復(fù)雜、效率不高,用戶的體驗(yàn)感差,同時(shí)安全性還存在風(fēng)險(xiǎn)的情況。如何破解此種現(xiàn)象的出現(xiàn),需要重新考慮安全在系統(tǒng)的定位,用科學(xué)的發(fā)展觀,綜合評(píng)估現(xiàn)有系統(tǒng)的情況,從頂層設(shè)計(jì)開始考慮密碼應(yīng)用,一盤棋的思路使用密碼。構(gòu)建平臺(tái)式的密碼應(yīng)用結(jié)構(gòu),需要做到總體架構(gòu)的健壯性和系統(tǒng)架構(gòu)的可擴(kuò)展性,并充分考慮即將來臨的物聯(lián)網(wǎng)的使用要求。一方面將原有的分散的系統(tǒng)密碼應(yīng)用場(chǎng)景集合在平臺(tái)上,充分發(fā)揮平臺(tái)的集成密碼機(jī)密性、完整性、真實(shí)性、不可否認(rèn)性的特點(diǎn),做到既解決調(diào)用的方便又解決不同性質(zhì)密碼保護(hù)調(diào)用的復(fù)雜度,同時(shí)因?yàn)榛A(chǔ)資源配置的冗余解決了用戶體驗(yàn)度問題。另一方面從財(cái)政資金投入績(jī)效方面,可大大減少資金重復(fù)投入,提高資金使用效率,節(jié)約成本。1、加強(qiáng)技術(shù)研發(fā)推廣;建議遵循統(tǒng)一規(guī)劃、頂層設(shè)計(jì)、分步實(shí)施、分級(jí)部署方式,采用集約化建設(shè)行業(yè)密碼應(yīng)用體系。技術(shù)路線選取充分考慮現(xiàn)有法律法規(guī)標(biāo)準(zhǔn)及已有密碼應(yīng)用情況,既要保證全行業(yè)一盤棋,實(shí)現(xiàn)互聯(lián)互通,又要考慮不同的應(yīng)用的實(shí)際情況,在不影響使用的情況下,可以裁剪不必要的或暫時(shí)用不到的模塊,減少系統(tǒng)的復(fù)雜度和整體的部署成本,實(shí)現(xiàn)最優(yōu)性價(jià)比。同時(shí),充分重視標(biāo)準(zhǔn)的牽引作用,做好行業(yè)密碼標(biāo)準(zhǔn)規(guī)范的制定和修編工作,保證整個(gè)建設(shè)目標(biāo)一致、推進(jìn)有序。2、成立行業(yè)密碼研究中心,開展住建行業(yè)規(guī)劃的編制、規(guī)范的制定、各類平臺(tái)的建立、密碼應(yīng)用的研究、人員的培訓(xùn)和密碼應(yīng)用安全性評(píng)估等工作,大力推動(dòng)住建行業(yè)密碼的廣泛和深度應(yīng)用。建立人員和組織保障機(jī)制從人員角度,組建專業(yè)密碼人員隊(duì)伍,作為密碼應(yīng)用、運(yùn)營(yíng)管理和測(cè)評(píng)的人員保障;建立密碼專家?guī)欤鳛樾袠I(yè)密碼應(yīng)用與發(fā)展指導(dǎo)。從組織角度,建議成立密碼工作領(lǐng)導(dǎo)小組,從頂層統(tǒng)一管理部署密碼工作。3、優(yōu)化商用密碼產(chǎn)業(yè)生態(tài)環(huán)境城鄉(xiāng)建設(shè)領(lǐng)域應(yīng)用國(guó)產(chǎn)商用密碼順應(yīng)國(guó)家政策,作為筑牢“新基建”自主、創(chuàng)新、安全底座的基石,從目前來看其發(fā)展不僅能補(bǔ)足我國(guó)信息產(chǎn)業(yè)在信息與網(wǎng)絡(luò)安全上的短板,更有助于構(gòu)建國(guó)家完整的自主創(chuàng)新技術(shù)體系的數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)體系。建議以重大工程、重大專項(xiàng)等為牽引,統(tǒng)籌利用政、產(chǎn)、學(xué)、研、用等各類資源,實(shí)現(xiàn)人才、知識(shí)、技術(shù)、資本等各類創(chuàng)新要素的優(yōu)勢(shì)互補(bǔ)和深度耦合,統(tǒng)籌推動(dòng)城鄉(xiāng)建設(shè)領(lǐng)域商用密碼基礎(chǔ)理論研究、標(biāo)準(zhǔn)化推進(jìn)、產(chǎn)業(yè)鏈融合、檢測(cè)認(rèn)證同步實(shí)施,促進(jìn)商用密碼產(chǎn)業(yè)多樣化、全覆蓋發(fā)展,打造城鄉(xiāng)建設(shè)領(lǐng)域商用密碼發(fā)展新業(yè)態(tài)。
