工業(yè)互聯(lián)網(wǎng)平臺(tái)的典型密碼應(yīng)用

徐秀/馬聰
邊緣計(jì)算的安全防護(hù)能力薄弱,如果虛擬化技術(shù)安全防范不足,將導(dǎo)致上層系統(tǒng)面臨巨大的安全風(fēng)險(xiǎn)。設(shè)備在接入工業(yè)互聯(lián)網(wǎng)平臺(tái)時(shí),如果不使用密碼手段進(jìn)行身份鑒別,則不能確保數(shù)據(jù)來源于真實(shí)的設(shè)備。同時(shí)也需要對運(yùn)維用戶和工業(yè)App接入進(jìn)行身份鑒別與訪問控制。

工業(yè)互聯(lián)網(wǎng)平臺(tái)是工業(yè)互聯(lián)網(wǎng)體系的核心要素,平臺(tái)下連設(shè)備、上連應(yīng)用,其本質(zhì)是在傳統(tǒng)云平臺(tái)的基礎(chǔ)上疊加物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新興技術(shù)。當(dāng)前工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全威脅復(fù)雜多樣,工業(yè)互聯(lián)網(wǎng)平臺(tái)安全系數(shù)較低,存在平臺(tái)受攻擊面大、攻擊手段多樣化等問題,平臺(tái)的網(wǎng)絡(luò)安全、設(shè)備和控制的接入安全、應(yīng)用安全以及數(shù)據(jù)安全等均面臨較大的挑戰(zhàn)。據(jù)中國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟調(diào)查數(shù)據(jù)顯示,在2019年,60%以上的主流工業(yè)互聯(lián)網(wǎng)平臺(tái)都遭遇網(wǎng)絡(luò)安全攻擊事件,其中主要是病毒攻擊、DDoS攻擊和數(shù)據(jù)庫注入攻擊等。

當(dāng)前我國工業(yè)互聯(lián)網(wǎng)平臺(tái)面臨的安全威脅大體可分為幾個(gè)方面:

一是網(wǎng)絡(luò)安全。由于云計(jì)算的網(wǎng)絡(luò)邊界比較模糊,使得基于邊界的網(wǎng)絡(luò)安全技術(shù)變得不適用,而且安全認(rèn)證機(jī)制、訪問控制手段等安全防護(hù)力度不足,網(wǎng)絡(luò)易受到黑客的APT攻擊、拒絕服務(wù)攻擊等,導(dǎo)致辦公內(nèi)網(wǎng)、工廠內(nèi)外網(wǎng)、標(biāo)識(shí)解析系統(tǒng)、邊緣計(jì)算設(shè)備等之間信道的隱私數(shù)據(jù)泄露。

二是接入安全。邊緣計(jì)算的安全防護(hù)能力薄弱,如果虛擬化技術(shù)安全防范不足,將導(dǎo)致上層系統(tǒng)面臨巨大的安全風(fēng)險(xiǎn)。設(shè)備在接入工業(yè)互聯(lián)網(wǎng)平臺(tái)時(shí),如果不使用密碼手段進(jìn)行身份鑒別,則不能確保數(shù)據(jù)來源于真實(shí)的設(shè)備。同時(shí)也需要對運(yùn)維用戶和工業(yè)App接入進(jìn)行身份鑒別與訪問控制。

三是數(shù)據(jù)安全。工業(yè)互聯(lián)網(wǎng)平臺(tái)匯集和處理大量的敏感數(shù)據(jù)、隱私數(shù)據(jù)等,從數(shù)據(jù)的采集、傳輸、存儲(chǔ)、交換、處理、使用到銷毀的全生命流程都面臨竊聽、篡改的威脅。

針對上述安全問題,傳統(tǒng)的安全防護(hù)技術(shù)已不能滿足工業(yè)互聯(lián)網(wǎng)平臺(tái)的需求。密碼技術(shù)是保護(hù)網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐,可通過采用商用密碼算法、密碼硬件產(chǎn)品、密碼軟件模塊、密碼服務(wù)、可信計(jì)算等手段實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)平臺(tái)的接入認(rèn)證、身份鑒別、訪問控制、通信安全,以及數(shù)據(jù)的真實(shí)性、機(jī)密性和完整性保護(hù),通過部署工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼解決方案,構(gòu)建縱深防御整體密碼應(yīng)用體系,確保工業(yè)互聯(lián)網(wǎng)平臺(tái)的根本安全。

工業(yè)互聯(lián)網(wǎng)平臺(tái)的典型密碼應(yīng)用

通過對工業(yè)互聯(lián)網(wǎng)平臺(tái)的網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)等方面的密碼應(yīng)用,建設(shè)以密碼為核心的云安全保障體系。工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用主要包括密碼基礎(chǔ)設(shè)施、通用密碼服務(wù)、密碼管理以及邊緣層、IaaS層、PaaS層、SaaS層的密碼應(yīng)用。

密碼基礎(chǔ)設(shè)施層是工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用的基礎(chǔ)支撐。工業(yè)互聯(lián)網(wǎng)云密碼服務(wù)資源池是利用云密碼設(shè)備建設(shè)的密碼硬件資源池,支持虛擬化部署,即在多臺(tái)物理密碼設(shè)備的基礎(chǔ)上云化成密碼資源池,統(tǒng)一管理密碼資源集群,向應(yīng)用按需提供密碼計(jì)算資源和存儲(chǔ)資源服務(wù),在提供基于SM2/3/4/9的國密算法加解密、簽名驗(yàn)簽、密碼雜湊算法的密碼功能服務(wù)的同時(shí)提高資源利用率。

通用密碼服務(wù)主要包括數(shù)字證書系統(tǒng)、密鑰管理系統(tǒng)、隨機(jī)數(shù)生成器和時(shí)間戳等通用性服務(wù)。數(shù)字證書系統(tǒng)提供數(shù)字證書CA、RA的密碼安全服務(wù);密鑰管理系統(tǒng)負(fù)責(zé)密鑰全生命周期的管理;隨機(jī)數(shù)生成器根據(jù)密碼算法的設(shè)定,生成特定長度的隨機(jī)數(shù);時(shí)間戳是使用數(shù)字簽名技術(shù)產(chǎn)生的數(shù)據(jù),可驗(yàn)證這段數(shù)據(jù)在產(chǎn)生后是否經(jīng)過篡改。通用密碼服務(wù)主要是方便IaaS、PaaS、SaaS層典型密碼應(yīng)用的調(diào)用。

密碼管理主要是對密碼服務(wù)、密鑰以及訪問控制的管理。云密碼服務(wù)系統(tǒng)位于云的硬件環(huán)境中,用戶只能通過遠(yuǎn)程管理的方式登錄云密碼服務(wù)管理界面。在密鑰的管理上,由于工業(yè)互聯(lián)網(wǎng)平臺(tái)用戶數(shù)量多、數(shù)據(jù)量大且種類繁多,不同用戶和類型的數(shù)據(jù)需要不同的密鑰,根據(jù)不同等級的安全要求,提供多層次的密鑰隔離機(jī)制。訪問控制是云密碼服務(wù)接入的關(guān)鍵,通過集成證書認(rèn)證、OAuth認(rèn)證、OpenID等認(rèn)證形態(tài)提供多種模式的訪問控制。

在邊緣層,通過部署SSL VPN和IPSec VPN安全網(wǎng)關(guān)等,對通信網(wǎng)絡(luò)進(jìn)行安全認(rèn)證,實(shí)現(xiàn)設(shè)備的接入認(rèn)證和用戶的身份鑒別,同時(shí)對邊緣采集和處理的數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù),防止敏感數(shù)據(jù)泄露或被非授權(quán)篡改。

在IaaS層,服務(wù)形式一般包括計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源等,租戶租用的資源相對獨(dú)立,且與具體業(yè)務(wù)數(shù)據(jù)無關(guān),所以在IaaS層的密碼應(yīng)用主要集中在租戶的數(shù)據(jù)和虛擬機(jī)鏡像的加密保護(hù)以及用戶的身份鑒別。

在PaaS層,目前常見的服務(wù)包括數(shù)據(jù)庫服務(wù)、對象存儲(chǔ)服務(wù)、地圖服務(wù)、電子合同等,各租戶可根據(jù)應(yīng)用場景的密碼應(yīng)用需求通過云密碼接入適配中間件進(jìn)行按需對接使用,主要進(jìn)行數(shù)據(jù)加解密、安全認(rèn)證、授權(quán)管理以及協(xié)同簽名等密碼應(yīng)用。

在SaaS層,密碼應(yīng)用需求可以歸納為用戶安全接入、身份認(rèn)證、關(guān)鍵業(yè)務(wù)防抵賴和工業(yè)敏感數(shù)據(jù)的安全存儲(chǔ)等。比如在敏感的工業(yè)應(yīng)用程序中,應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù),實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴。

工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用如何發(fā)展

目前我國的工業(yè)互聯(lián)網(wǎng)平臺(tái)正處于發(fā)展建設(shè)階段,而工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用還處于緩慢的起步階段,尤其是國產(chǎn)密碼的使用率較低,市場上與工業(yè)互聯(lián)網(wǎng)平臺(tái)適配的密碼產(chǎn)品種類較少,定制化的工業(yè)互聯(lián)網(wǎng)密碼服務(wù)欠缺。因此,為了從根本上保障工業(yè)互聯(lián)網(wǎng)平臺(tái)安全,布局商用密碼應(yīng)用,筆者提出以下建議:

加大工業(yè)互聯(lián)網(wǎng)密碼應(yīng)用的監(jiān)管和投入力度。國家應(yīng)圍繞工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全需求,繼續(xù)加大對工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用的支持力度,從專項(xiàng)支持、試點(diǎn)示范等方面著力推進(jìn)工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用。國家應(yīng)監(jiān)督企業(yè)在建設(shè)工業(yè)互聯(lián)網(wǎng)平臺(tái)時(shí)優(yōu)先部署商用密碼算法、產(chǎn)品和服務(wù),進(jìn)行商用密碼應(yīng)用安全性評估,確保工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用合規(guī)有效。

建立完善的工業(yè)互聯(lián)網(wǎng)密碼標(biāo)準(zhǔn)體系。目前我國的工業(yè)互聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)較少,工業(yè)互聯(lián)網(wǎng)密碼相關(guān)標(biāo)準(zhǔn)極度匱乏。為了有序推進(jìn)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展,我國應(yīng)加快搭建包括工業(yè)企業(yè)、商用密碼企業(yè)和研究機(jī)構(gòu)在內(nèi)的跨領(lǐng)域組織,制定工業(yè)互聯(lián)網(wǎng)密碼應(yīng)用相關(guān)的技術(shù)標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),促進(jìn)智能制造、能源等行業(yè)的密碼應(yīng)用,并且鼓勵(lì)制定行之有效的團(tuán)體標(biāo)準(zhǔn)。

加強(qiáng)工業(yè)互聯(lián)網(wǎng)密碼應(yīng)用的技術(shù)攻關(guān)。工業(yè)互聯(lián)網(wǎng)平臺(tái)對虛擬化、保留數(shù)據(jù)格式加密、同態(tài)加密、輕量級密碼等技術(shù)提出了較高的要求,相關(guān)企業(yè)和科研機(jī)構(gòu)應(yīng)加強(qiáng)對上述密碼技術(shù)的研究和落地。為了適應(yīng)云環(huán)境的密碼應(yīng)用,密碼企業(yè)需研發(fā)與工業(yè)互聯(lián)網(wǎng)平臺(tái)相適配的密碼產(chǎn)品,提供一體化的工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼服務(wù),同時(shí)可建設(shè)密碼安全態(tài)勢感知平臺(tái),從全局視角提升對密碼應(yīng)用安全的感知。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論