1)智慧城市国家安全政策
全国信息安全标准化技术委员会(TC260)于2019年发布《信息安全技术智慧城市安全体系框架》GB∕T 37971-2019,同时开展一系列国家标准研制项目,包括《信息安全技术智慧城市网络安全评价方法》《信息安全技术智慧城市建设信息安全保障指南》《信息安全技术智慧城市公共支撑与服务平台安全要求》。
2)安全态势需求
当前密码技术与产品尚无法完全满足智慧城市的安全需求,在城市公共基础设施、跨领域数据安全汇聚和共享交换、城市高带宽融合通信网络等方面,存在较为突出的需求缺口。
1)智慧城市
中国智慧城市概念最初由住房和城乡建设部提出,随着智慧城市的实践和认知不断变化,发展和改革委认为:智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,促进城市规划、建设、管理和服务智慧化的新理念和新模式。
2)商用密码
根据《中华人民共和国密码法》第一章第二条规定:“本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。第一章第六条规定:“国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码”。第一章第八条规定:“商用密码用于保护不属于国家秘密的信息”。
3)密码技术在智慧城市建设中的重要作用
智慧城市在建设过程中需要现代化信息技术的安全保障。系统在设计时无法穷尽所有逻辑组合,故而存在逻辑不全的缺陷,是网络安全风险的本质原因。密码在智慧城市的重要作用主要体现在几个方面:
保护智慧城市“数据共享价值链”
密码技术在保护数据共享价值链安全的同时,对信任链的构建也起到了支撑作用。
助力打造智慧城市“网络安全生态圈”
密码技术作为网络安全最基础的防线,在其中发挥的作用至关重要。
与智慧城市“计算发展创新力”有共同促进作用
密码保证了算法的正确执行,实现了算力的可控可管。同时,智慧城市的计算要求也推动了密码技术的创新。
推进发展智慧城市“智能协同神经网”
密码作为智慧城市“神经系统”的重要因子,对于实现智慧城市的智能协同具有重要意义。
1)智慧城市密码应用综述
目前密码技术在智慧城市的建设中发挥了相当重要的作用,包括身份认证、数据保护、签名验签等方面。与此同时,国家也逐步发布了相关密码标准规范。但从总体来看,智慧城市密码应用保障缺乏成体系化的规划,需要提升密码应用的深度和广度。
2)智慧城市密码应用框架
随着人工智能、云计算、物联网、大数据等新兴技术的飞速发展和应用,从“密码基础支撑平台”、“密码应用安全技术保障”、“密码服务”、“密码安全管理体系”等四个方面来开展智慧城市的密码应用保障工作(见图1)。
图1 智慧城市密码应用架构图
3)智慧城市密码基础支撑平台
构建密码管理基础设施,为智慧城市的密码安全保障体系提供密码底层支撑。基础设施包含密码芯片、密钥管理系统、证书管理系统、VPN综合网关、协同签名系统、签名验签服务器、服务器密码机等。
4)智慧城市密码应用安全技术保障
智慧城市密码应用安全技术保障体系包含物联感知层密码应用、网络传输层密码应用、云平台层密码应用、接口层密码应用和应用层密码应用保障等五个层次。物联感知层密码应用主要体现在物端身份认证、物端数据安全、数据完整性、固定算法、SDK几个方面;网络传输层密码应用主要体现在网络可信接入、网络安全通道、网络传输加密三个方面;云平台层密码应用主要体现在授权管理、身份认证、不可否认性、云用户/业务数据安全四个方面;接口层密码应用体现在数据和文件两方面,包括签名验签接口、加解密接口以及完整性接口;应用层密码应用包括业务系统密码应用及大数据与服务密码应用。
5)智慧城市密码服务
搭建跨部门、跨行业的统一密码服务支撑平台,提供诸多密码服务,诸如数据认证、身份认证、电子签章、签名验签、加解密、数据库加密、数据完整性、加密文档等;以统一密服平台为基础,构建智慧城市大数据安全保障体系;对共享、开放的数据和标签信息做整体签名,对数据实施分类分级防护,实现数据的追踪溯源。
6)智慧城市密码安全管理体系
智慧城市密码安全管理体系包含密码政策管理、密码人员管理和密码设备管理。强化组织保障,加强密码的使用管理,使相关责任人具有明确的职权和责任划分,各司其职;编制密码安全管理制度,明确商用密码产品的管理办法、应急预案、应用接口规范等;推进密码应用安全性评估工作,在建设规划、实施、上线运行等多个阶段推广密码的安全性使用,将评估结果作为项目规划立项、申报财政性资金、建设验收的必备材料。
7)智慧城市建设情况
杭州市深耕互联网先发优势,逐渐成为国家新型智慧城市建设的典型和标杆。杭州城市大脑作为杭州智慧城市建设成果之一,受到了习近平总书记的高度评价。
8)智慧城市密码应用情况
随着密码技术的发展,密码技术通用体系确立,如图2所示。
图2 密码技术通用体系图
密码技术通用体系包含密码资源、支撑、服务、应用等四个层次,同时还具备密码管理基础设施,提供相应的管理服务。密码资源层提供基础性的密码算法;上层以算法软件、算法IP核、算法芯片等形态对底层的基础密码算法进行封装。
密码支撑层:提供密码资源调用,由安全芯片类、密码模块类、密码整机类等各类商用密码产品组成。
密码服务层:提供密码应用接口,对称密码服务为上层应用数据的提供机密性保护功能;公钥密码算法为上层应用提供身份认证、数据完整性保护和抗抵赖的功能。
密码应用层:调用密码服务层提供的密码应用程序接口,实现所需的数据加解密、数字签名验签等功能,并列举了一些典型应用。
密码管理基础设施:作为相对独立的组件,作为服务管理层,上述四层提供运维管理、信任管理、设备管理、密钥管理等功能。
9)智慧城市密码安全体系架构
智慧城市密码应用的建设和使用中,要体系化使用商用密码技术,通过规范、合理使用商用密码技术,整体提升智慧城市密码应用的安全防护水平。密码安全体系如下:
物理和环境安全:在系统所在机房、重要设备间部署国家密码管理部门核准的门禁系统和视频监控系统。
网络和通信安全:通过IPSec/SSLVPN实现网络逻辑边界的流量进出管控,构建系统内部的网络,对接入网络的设备进行安全接入认证,保护通信双方进行身份通信过程中的机密性和完整性。使用数字证书认证系统去校验信息设备及使用人员身份的真实性;通过服务器密码机实现访问控制功能并计算MAC或签名后保存,以此保证访问控制信息的完整性。
计算和设备安全:通过智能密码钥匙对设备管理员的登录操作进行身份鉴别;使用IPSec/SSLVPN网关搭建加密隧道,在登录堡垒机进行设备运维,对远程管理通道的安全及数据传输的机密性进行保护。
应用和数据安全:使用“数字证书+PIN码”的登录方式实现对登录用户的身份鉴别,确保仅具备权限的用户才能执行相关重要操作;通过SSLVPN网关及签名验签服务器对重要数据传输做机密性和完整性保护;通过服务器密码机或数据库加密机对重要数据存储做机密性和完整性保护。
10)商用密码市场规模
《中华人民共和国密码法》颁布实施后,我国在密码管理和应用等方面的法律保障得到加强,商用密码产业应用已延伸到金融和通信、公安、税务、交通、能源、电子政务等重要领域。产业引导政策陆续出台,市场需求不断增加,从而刺激了商用密码产业发展。
商用密码产业引导政策陆续出台,市场需求不断增加,刺激商用密码产业快速发展。数据显示,我国商用密码产业规模由2016年的151.6亿元增长至2020年的466亿元,复合年均增长率为32.4%。预计2022年我国商用密码产业规模将达593.7亿元,其中智慧城市集中占比较为突出。
1)法律法规
首先要遵循《密码法》确定的法律框架和基本原则,健全完善商用密码法规制度体系。在充分调研、科学论证基础上,进一步细化智慧城市密码应用各项制度措施。系统规划智慧城市商用密码科研生产、检测认证、标准规范、涉外管理、执法监督等各方面配套规章制度,确保智慧城市密码应用管理职权履行无“盲区”、程序要素无“缺项”。
2)标准规范
加快智慧城市密码应用标准国际化进程,推动国产商用密码算法和协议成为国际标准,提升我国在密码技术领域的国际影响力。
3)管理体系
以国家安全观为指导,加快构建新的密码应用管理体系,明确职责划分,建立健全部省市县四级商用密码工作管理体系。
4)融合发展
不断强化密码应用与智慧城市的融合,构建关键信息基础设施安全保障体系,推进数据加解密、完整性验证等安全技术的应用。强化商用密码应用。
5)统筹设计
智慧城市建设是“一把手”工程,需要统筹规划智慧城市安全基础框架。通过统筹需求和资源,配合法律法规、标准规范、组织管理、密码技术、密码基础支撑及服务、人才培养、城市安全综合治理等方面的综合性保障建设,为智慧城市的发展保驾护航。
[1]中华人民共和国密码法[J].中华人民共和国全国人民代表大会常务委员会公报,2019(6):912-916.
[2]姜钰.密码算法和商用密码体系架构[DB/OL].密码科普,2022.https://zhuanlan.zhihu.com/p/455803060
[3]全斌,韦玮,郭莉丽.商用密码技术在国家重点行业商密网中的应用[J].数字技术与应用,2022,40(2):232-236.
[4]中国工业互联网研究院.全国商用密码应用优秀案例汇编[M].2022.
声明:本文来自数观天下,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。