商用密码在城市建设领域的应用探索与研究
2022-10-26 16:08:00 来源:本站 浏览:838

密码技术是保障网络安全的核心技术,密码算法和密码产品的自主可控是确保我国信息安全的重中之重。“没有网络安全就没有国家安全”,商用密码技术作为实现网络安全的核心技术,在网络安全防护工作中发挥着重要的基础支撑作用。随着互联网、大数据等计算机信息技术的发展应用,大数据已深入到住房城乡建设行业应用的每个角落,如何发挥密码技术在大数据安全保护方面的成效,也已成为我们在享有信息化带来便利的同时急需加强和考虑的一个问题。

01

城乡建设领域密码应用现状及分析
1、行业信息化现状按照行业主管部门业务职能,相关业务板块信息系统建设初显成效,主要包括住房保障与房地产、建筑业、城乡建设与管理等方面。

住房保障与房地产——智慧社区,在智慧社区中,包含水气热、小区门禁、摄像头、进出道闸等多类智能化终端设备和社区管理平台,通过对终端设备的控制使用和各类信息的采集,面向小区居民提供便捷、自动化的社区服务以及对社区公共安全的管理。在智慧社区建设过程中需要广泛运用信息技术,导致信息安全风险积聚升高,对此物联网信息安全架构的设计将为智慧社区建设与运行期间产生和处理的海量信息数据提供安全保障,通过规划设计物联网安全构架,对相关安全风险进行规避、预防和控制。

建筑业——智能建筑,在智能建筑的基础环境的安全风险因人员的非法闯入将可能成为更大风险的诱因,建筑群设计中若未合理的规划外部通信接入等将导致通信线路无法接入的风险;由于建筑群的外部通信的接入来自一个局端,系统存在单点运行故障的风险,以及信息主动或被动泄露风险;应用系统实现信息共享和系统节能,操作权限设置不当将会导致系统内部信息非法泄露、任意修改或破坏等。

城乡建设与管理——市政综合管廊智能化系统包括通信系统、环境与设备监控、预警与报警系统、GIS系统、安全防范系统、信息管理平台等。因采用大量传感器、摄像头、工业控制系统,存在硬件配置的脆弱性风险,对关键设备(包括监控中心设备、现场设备、便携设备、移动设备、外存储设备等)的物理防护措施不充分等。
02

商用密码应用整体需求
商用密码应用现状从城乡建设领域信息化建设情况看,网站和系统涉及业务范围广、人员规模大,系统大部分部署在物理机或云平台上。机房配备了防火墙、WAF、堡垒机、IDS、SSLVPN、IPS、安全审计、上网行为管理、态势感知等安全设备。

从密码应用情况看,虽然部分领域应用有一定的密码基础,但整体密码基础建设比较薄弱。部分系统采用了MD5或SHA-1作为身份认证方式,未采用国产密码算法或更高安全性的认证方式。另一方面,行业对于密码应用与网络安全的关系认识不清,行业密码应用的顶层规划和统筹推进有待加强,行业密码应用推进工作切实有效的体制机制亟须建立。

商用密码应用整体需求城乡建设领域信息化工作取得较好发展,国产密码技术已有初步应用,但仍存在一些薄弱环节,需要进一步开展工作,提升行业密码应用水平。

密码应用建设需求汇总如下:

1、密码管理效能的需求住建行业部分系统虽然已采用密码技术,但数字认证等依赖于第三方,其他密码基础资源几乎空白,迫切的密码应用需求与滞后的密码应用支撑环境矛盾突出,亟须从顶层统一规划,优化密码应用支撑模式,满足蓬勃发展的住建信息化建设对于密码技术的需求。

2、数据安全的需求“十四五”信息化规划总体任务中,建设住房和城乡建设大数据中心,加快推进住房和城乡建设信息系统整合。部、省、市(县)各级行业大数据中心的统筹建设,使信息化的维护管理成本大大节约,信息数据互联共享程度稳步提高,但数据共享的同时对数据安全提出更高的要求,特别是敏感数据、隐私数据在传输、存储的安全性问题。以密码技术为支撑,构建统一身份认证、统一门户管理、统一电子证照、数据共享交换、集中运维管理的基础平台。

3、“新城建”安全的需求开展“新城建”,要系统推进各领域的感知体系建设,充分运用5G、物联网、工业互联网构建万物互联的网络体系,新城建领域不是单一的智能系统,而是泛在多智能系统的协同融合,算力受控使用、算法受控执行、系统受控协同等方面的安全需求激增。物物融合互联为攻击传导提供了途径,导致系统攻击面成指数级扩大,并且任何一处风险威胁都可能迅速传导到全网,直接危害现实物理世界,甚至危害到人的生命。
03

密码应用情况分析
密码应用情况根据信息系统密码保障系统建设的相关要求,政务信息系统实施商用密码技术保障需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面实施密码应用的改造。

(1)构建密码资源池,包括各类密码机,为住建行业密码应用和服务提供底层的密钥安全存储、密码运算支撑,为上层其他密码设备和应用系统提供基础性的密码运算服务支撑。

(2)基于密码资源层提供的基础性服务,增加提供专项密码服务的密码设备,向业务系统提供专项的密码服务支撑。根据业务的需要,主要提供数字认证系统、密钥管理等基础类服务,其中数字认证系统主要实现数字证书全生命周期的管理,密钥管理主要针对业务系统所需的密钥进行统一管理。密码管理基础设施部分针对在用的第三方运营数字证书认证系统进行设计和考虑,保证第三方运营数字证书认证系统发放的数字证书可以在住建行业应用。

(3)以密码资源层、密码支撑层提供的服务为基础,采用服务封装和调度技术,向上层业务系统提供可信身份、电子证照、电子签章等服务,同时提供密钥服务、证书服务、加解密服务、数字签验服务、证书验证、可信时间等支撑,满足业务系统多元化密码服务的需求。

(4)基于基础密码服务,根据业务的需要,实现电子政务密码服务、城市物联网密码服务。通过该层的服务为住建具体业务实现密码功能和服务提供保障。

(5)从机构、人员、制度、考核等维度入手,制定相应的规章制度,实现住建行业密码的统一、精细化管控,形成住建密码管控的抓手。

(6)建设规范、管理规范、接口规范、入网标准等,牵引住建行业密码基础支撑和服务平台的设计、建设、管理和应用相关工作。
04

密码应用建设思考
新建系统密码应用的建设应该做到同步规划、同步建设、同步运行即“三同步”,要求在系统建设的规划阶段就应该考虑密码应用方案。本着解决需求就是目标的方式,系统的密码需求决定密码设计要求,密码设计要求决定密码应用解决方案,应用解决方案决定密码实施方案,密码实施方案决定了密码的应急处置方案。从总体性、科学性、完备性、可行性着手解决密码应用方案,再按照有关文件及密码应用安全性评估的要求,对于新建系统的密码应用方案再进行专家论证就可以更加保证在实际系统中应用的效果。按“三同步”原则进行的新系统密码应用的建设能够有针对性的、很好地解决系统对密码的需求,但对信息系统对密码应用的需求准确性提出了更高的要求,需要在系统规划阶段进行充分的调研和论证。如何进行调研论证新系统建设的密码需求是系统建设者需要考虑的问题,笔者建议能够在新系统规划可研阶段进行,对系统密码需求进行专项工作,从新系统的功能和作用及发展考虑其密码应用的需求,不能单纯从此系统的某一方面入手。

已建和改建系统密码应用,对于已建和改建的系统,密码应用的建设就不建议按新建系统的思路进行了,要明确已建和改建信息系统的详细网络拓扑,清楚系统中已有的密码产品,梳理密钥管理层次,给出密钥全生命周期的管理过程,针对重要数据和敏感信息,梳理其在信息系统中的流转过程和受保护情况,从中提炼的密码应用方案可以通过两种途径进行完善符合。一种是可以通过第三方的评估机构进行密码评估后,依据国家标准GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》进行完善论证后实施密码应用改造;另外一种就是自行或者寻找有能力的系统集成单位进行标准性改造;两种途径都可以达到符合密码应用的要求。

密码相关管理制度的完善密码相关管理制度建立健全是此项工作得到有力推进的机制保障,信息化工作三分技术七分管理,这是长期工作总结的经验。作为密码应用的具体单位,可以借鉴等保管理的相关做法,建立健全密码技术应用的管理制度机制,形成具有本单位特色的密码管理制度。
05

密码应用评估
需要全面从技术和管理两个大的维度去考量。考量的标准就是国家标准GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,对信息系统密码应用情况进行定期评估。定期评估是对密码应用安全性评价的有效手段,分别对密码产品、密码系统应用、密码应用管理等进行考量。密码应用管理过程应遵循信息安全,管理科学规定。采用“计划—实施—检查—改进”循环,这样才能保证持续改进密码应用管理体系。密码应用安全性评估活动必须贯穿于密码应用管理过程整个生命周期,才能够保证各个阶段密码应用的有效性,并能够持续改进密码在信息系统应用的安全性,保障密码应用动态安全,为信息系统的安全提供坚实的基础支撑。

政策法规层面,从政策法规层面,国家制定了一系列的政策来提供评估的依据,《中华人民共和国密码法》、国务院办公厅关于印发《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)等都对密码应用工作提出了明确的要求。

密码应用“一盘棋”为了保障住房和城乡建设领域信息化安全建设与发展,应该整合分散的密码应用场景,统筹政务信息系统密码技术资源,使得密码应用“一盘棋”统筹考虑。比如:在系统运维上专业密码人才比较少,一般开发单位,都不会单独配置专业密码人员,这样就会让系统开发单位为其额外增加运维成本;各个密码应用的数据相互调用可能因为加密算法和密码协议的选择不同,就需要额外增加相关资源池进行转换,造成调用流程复杂、效率不高,用户的体验感差,同时安全性还存在风险的情况。如何破解此种现象的出现,需要重新考虑安全在系统的定位,用科学的发展观,综合评估现有系统的情况,从顶层设计开始考虑密码应用,一盘棋的思路使用密码。构建平台式的密码应用结构,需要做到总体架构的健壮性和系统架构的可扩展性,并充分考虑即将来临的物联网的使用要求。一方面将原有的分散的系统密码应用场景集合在平台上,充分发挥平台的集成密码机密性、完整性、真实性、不可否认性的特点,做到既解决调用的方便又解决不同性质密码保护调用的复杂度,同时因为基础资源配置的冗余解决了用户体验度问题。另一方面从财政资金投入绩效方面,可大大减少资金重复投入,提高资金使用效率,节约成本
06

总结
1、加强技术研发推广;建议遵循统一规划、顶层设计、分步实施、分级部署方式,采用集约化建设行业密码应用体系。技术路线选取充分考虑现有法律法规标准及已有密码应用情况,既要保证全行业一盘棋,实现互联互通,又要考虑不同的应用的实际情况,在不影响使用的情况下,可以裁剪不必要的或暂时用不到的模块,减少系统的复杂度和整体的部署成本,实现最优性价比。同时,充分重视标准的牵引作用,做好行业密码标准规范的制定和修编工作,保证整个建设目标一致、推进有序。

2、成立行业密码研究中心,开展住建行业规划的编制、规范的制定、各类平台的建立、密码应用的研究、人员的培训和密码应用安全性评估等工作,大力推动住建行业密码的广泛和深度应用。

建立人员和组织保障机制从人员角度,组建专业密码人员队伍,作为密码应用、运营管理和测评的人员保障;建立密码专家库,作为行业密码应用与发展指导。从组织角度,建议成立密码工作领导小组,从顶层统一管理部署密码工作

3、优化商用密码产业生态环境城乡建设领域应用国产商用密码顺应国家政策,作为筑牢“新基建”自主、创新、安全底座的基石,从目前来看其发展不仅能补足我国信息产业在信息与网络安全上的短板,更有助于构建国家完整的自主创新技术体系的数字经济产业体系。建议以重大工程、重大专项等为牵引,统筹利用政、产、学、研、用等各类资源,实现人才、知识、技术、资本等各类创新要素的优势互补和深度耦合,统筹推动城乡建设领域商用密码基础理论研究、标准化推进、产业链融合、检测认证同步实施,促进商用密码产业多样化、全覆盖发展,打造城乡建设领域商用密码发展新业态。

甘公网安备 62010002000517号

陇ICP备15001871号-1

联系地址:甘肃省兰州市城关区南滨河东路58号

©版权所有 2011-2020 甘肃安信信息安全技术有限公司

Copyright © 2011-2020 Gansu Anxin information Safe Technology Ltd