本文來自微信公眾號(hào)“數(shù)觀天下”。
01
智慧城市密碼應(yīng)用研究背景
1)智慧城市國(guó)家安全政策
全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)于2019年發(fā)布《信息安全技術(shù)智慧城市安全體系框架》GB∕T 37971-2019,同時(shí)開展一系列國(guó)家標(biāo)準(zhǔn)研制項(xiàng)目,包括《信息安全技術(shù)智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)方法》《信息安全技術(shù)智慧城市建設(shè)信息安全保障指南》《信息安全技術(shù)智慧城市公共支撐與服務(wù)平臺(tái)安全要求》。
2)安全態(tài)勢(shì)需求
當(dāng)前密碼技術(shù)與產(chǎn)品尚無法完全滿足智慧城市的安全需求,在城市公共基礎(chǔ)設(shè)施、跨領(lǐng)域數(shù)據(jù)安全匯聚和共享交換、城市高帶寬融合通信網(wǎng)絡(luò)等方面,存在較為突出的需求缺口。
02
相關(guān)概念定義
1)智慧城市
中國(guó)智慧城市概念最初由住房和城鄉(xiāng)建設(shè)部提出,隨著智慧城市的實(shí)踐和認(rèn)知不斷變化,發(fā)展和改革委認(rèn)為:智慧城市是運(yùn)用物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、空間地理信息集成等新一代信息技術(shù),促進(jìn)城市規(guī)劃、建設(shè)、管理和服務(wù)智慧化的新理念和新模式。
2)商用密碼
根據(jù)《中華人民共和國(guó)密碼法》第一章第二條規(guī)定:“本法所稱密碼,是指采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)”。第一章第六條規(guī)定:“國(guó)家對(duì)密碼實(shí)行分類管理。密碼分為核心密碼、普通密碼和商用密碼”。第一章第八條規(guī)定:“商用密碼用于保護(hù)不屬于國(guó)家秘密的信息”。
3)密碼技術(shù)在智慧城市建設(shè)中的重要作用
智慧城市在建設(shè)過程中需要現(xiàn)代化信息技術(shù)的安全保障。系統(tǒng)在設(shè)計(jì)時(shí)無法窮盡所有邏輯組合,故而存在邏輯不全的缺陷,是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的本質(zhì)原因。密碼在智慧城市的重要作用主要體現(xiàn)在幾個(gè)方面:
保護(hù)智慧城市“數(shù)據(jù)共享價(jià)值鏈”
密碼技術(shù)在保護(hù)數(shù)據(jù)共享價(jià)值鏈安全的同時(shí),對(duì)信任鏈的構(gòu)建也起到了支撐作用。
助力打造智慧城市“網(wǎng)絡(luò)安全生態(tài)圈”
密碼技術(shù)作為網(wǎng)絡(luò)安全最基礎(chǔ)的防線,在其中發(fā)揮的作用至關(guān)重要。
與智慧城市“計(jì)算發(fā)展創(chuàng)新力”有共同促進(jìn)作用
密碼保證了算法的正確執(zhí)行,實(shí)現(xiàn)了算力的可控可管。同時(shí),智慧城市的計(jì)算要求也推動(dòng)了密碼技術(shù)的創(chuàng)新。
推進(jìn)發(fā)展智慧城市“智能協(xié)同神經(jīng)網(wǎng)”
密碼作為智慧城市“神經(jīng)系統(tǒng)”的重要因子,對(duì)于實(shí)現(xiàn)智慧城市的智能協(xié)同具有重要意義。
03
智慧城市密碼應(yīng)用現(xiàn)狀分析
1)智慧城市密碼應(yīng)用綜述
目前密碼技術(shù)在智慧城市的建設(shè)中發(fā)揮了相當(dāng)重要的作用,包括身份認(rèn)證、數(shù)據(jù)保護(hù)、簽名驗(yàn)簽等方面。與此同時(shí),國(guó)家也逐步發(fā)布了相關(guān)密碼標(biāo)準(zhǔn)規(guī)范。但從總體來看,智慧城市密碼應(yīng)用保障缺乏成體系化的規(guī)劃,需要提升密碼應(yīng)用的深度和廣度。
2)智慧城市密碼應(yīng)用框架
隨著人工智能、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新興技術(shù)的飛速發(fā)展和應(yīng)用,從“密碼基礎(chǔ)支撐平臺(tái)”、“密碼應(yīng)用安全技術(shù)保障”、“密碼服務(wù)”、“密碼安全管理體系”等四個(gè)方面來開展智慧城市的密碼應(yīng)用保障工作(見圖1)。
圖1智慧城市密碼應(yīng)用架構(gòu)圖
3)智慧城市密碼基礎(chǔ)支撐平臺(tái)
構(gòu)建密碼管理基礎(chǔ)設(shè)施,為智慧城市的密碼安全保障體系提供密碼底層支撐?;A(chǔ)設(shè)施包含密碼芯片、密鑰管理系統(tǒng)、證書管理系統(tǒng)、VPN綜合網(wǎng)關(guān)、協(xié)同簽名系統(tǒng)、簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)等。
4)智慧城市密碼應(yīng)用安全技術(shù)保障
智慧城市密碼應(yīng)用安全技術(shù)保障體系包含物聯(lián)感知層密碼應(yīng)用、網(wǎng)絡(luò)傳輸層密碼應(yīng)用、云平臺(tái)層密碼應(yīng)用、接口層密碼應(yīng)用和應(yīng)用層密碼應(yīng)用保障等五個(gè)層次。物聯(lián)感知層密碼應(yīng)用主要體現(xiàn)在物端身份認(rèn)證、物端數(shù)據(jù)安全、數(shù)據(jù)完整性、固定算法、SDK幾個(gè)方面;網(wǎng)絡(luò)傳輸層密碼應(yīng)用主要體現(xiàn)在網(wǎng)絡(luò)可信接入、網(wǎng)絡(luò)安全通道、網(wǎng)絡(luò)傳輸加密三個(gè)方面;云平臺(tái)層密碼應(yīng)用主要體現(xiàn)在授權(quán)管理、身份認(rèn)證、不可否認(rèn)性、云用戶/業(yè)務(wù)數(shù)據(jù)安全四個(gè)方面;接口層密碼應(yīng)用體現(xiàn)在數(shù)據(jù)和文件兩方面,包括簽名驗(yàn)簽接口、加解密接口以及完整性接口;應(yīng)用層密碼應(yīng)用包括業(yè)務(wù)系統(tǒng)密碼應(yīng)用及大數(shù)據(jù)與服務(wù)密碼應(yīng)用。
5)智慧城市密碼服務(wù)
搭建跨部門、跨行業(yè)的統(tǒng)一密碼服務(wù)支撐平臺(tái),提供諸多密碼服務(wù),諸如數(shù)據(jù)認(rèn)證、身份認(rèn)證、電子簽章、簽名驗(yàn)簽、加解密、數(shù)據(jù)庫加密、數(shù)據(jù)完整性、加密文檔等;以統(tǒng)一密服平臺(tái)為基礎(chǔ),構(gòu)建智慧城市大數(shù)據(jù)安全保障體系;對(duì)共享、開放的數(shù)據(jù)和標(biāo)簽信息做整體簽名,對(duì)數(shù)據(jù)實(shí)施分類分級(jí)防護(hù),實(shí)現(xiàn)數(shù)據(jù)的追蹤溯源。
6)智慧城市密碼安全管理體系
智慧城市密碼安全管理體系包含密碼政策管理、密碼人員管理和密碼設(shè)備管理。強(qiáng)化組織保障,加強(qiáng)密碼的使用管理,使相關(guān)責(zé)任人具有明確的職權(quán)和責(zé)任劃分,各司其職;編制密碼安全管理制度,明確商用密碼產(chǎn)品的管理辦法、應(yīng)急預(yù)案、應(yīng)用接口規(guī)范等;推進(jìn)密碼應(yīng)用安全性評(píng)估工作,在建設(shè)規(guī)劃、實(shí)施、上線運(yùn)行等多個(gè)階段推廣密碼的安全性使用,將評(píng)估結(jié)果作為項(xiàng)目規(guī)劃立項(xiàng)、申報(bào)財(cái)政性資金、建設(shè)驗(yàn)收的必備材料。
7)智慧城市建設(shè)情況
杭州市深耕互聯(lián)網(wǎng)先發(fā)優(yōu)勢(shì),逐漸成為國(guó)家新型智慧城市建設(shè)的典型和標(biāo)桿。杭州城市大腦作為杭州智慧城市建設(shè)成果之一,受到了習(xí)近平總書記的高度評(píng)價(jià)。
8)智慧城市密碼應(yīng)用情況
隨著密碼技術(shù)的發(fā)展,密碼技術(shù)通用體系確立,如圖2所示。
圖2密碼技術(shù)通用體系圖
密碼技術(shù)通用體系包含密碼資源、支撐、服務(wù)、應(yīng)用等四個(gè)層次,同時(shí)還具備密碼管理基礎(chǔ)設(shè)施,提供相應(yīng)的管理服務(wù)。密碼資源層提供基礎(chǔ)性的密碼算法;上層以算法軟件、算法IP核、算法芯片等形態(tài)對(duì)底層的基礎(chǔ)密碼算法進(jìn)行封裝。
密碼支撐層:提供密碼資源調(diào)用,由安全芯片類、密碼模塊類、密碼整機(jī)類等各類商用密碼產(chǎn)品組成。
密碼服務(wù)層:提供密碼應(yīng)用接口,對(duì)稱密碼服務(wù)為上層應(yīng)用數(shù)據(jù)的提供機(jī)密性保護(hù)功能;公鑰密碼算法為上層應(yīng)用提供身份認(rèn)證、數(shù)據(jù)完整性保護(hù)和抗抵賴的功能。
密碼應(yīng)用層:調(diào)用密碼服務(wù)層提供的密碼應(yīng)用程序接口,實(shí)現(xiàn)所需的數(shù)據(jù)加解密、數(shù)字簽名驗(yàn)簽等功能,并列舉了一些典型應(yīng)用。
密碼管理基礎(chǔ)設(shè)施:作為相對(duì)獨(dú)立的組件,作為服務(wù)管理層,上述四層提供運(yùn)維管理、信任管理、設(shè)備管理、密鑰管理等功能。
9)智慧城市密碼安全體系架構(gòu)
智慧城市密碼應(yīng)用的建設(shè)和使用中,要體系化使用商用密碼技術(shù),通過規(guī)范、合理使用商用密碼技術(shù),整體提升智慧城市密碼應(yīng)用的安全防護(hù)水平。密碼安全體系如下:
物理和環(huán)境安全:在系統(tǒng)所在機(jī)房、重要設(shè)備間部署國(guó)家密碼管理部門核準(zhǔn)的門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)。
網(wǎng)絡(luò)和通信安全:通過IPSec/SSLVPN實(shí)現(xiàn)網(wǎng)絡(luò)邏輯邊界的流量進(jìn)出管控,構(gòu)建系統(tǒng)內(nèi)部的網(wǎng)絡(luò),對(duì)接入網(wǎng)絡(luò)的設(shè)備進(jìn)行安全接入認(rèn)證,保護(hù)通信雙方進(jìn)行身份通信過程中的機(jī)密性和完整性。使用數(shù)字證書認(rèn)證系統(tǒng)去校驗(yàn)信息設(shè)備及使用人員身份的真實(shí)性;通過服務(wù)器密碼機(jī)實(shí)現(xiàn)訪問控制功能并計(jì)算MAC或簽名后保存,以此保證訪問控制信息的完整性。
計(jì)算和設(shè)備安全:通過智能密碼鑰匙對(duì)設(shè)備管理員的登錄操作進(jìn)行身份鑒別;使用IPSec/SSLVPN網(wǎng)關(guān)搭建加密隧道,在登錄堡壘機(jī)進(jìn)行設(shè)備運(yùn)維,對(duì)遠(yuǎn)程管理通道的安全及數(shù)據(jù)傳輸?shù)臋C(jī)密性進(jìn)行保護(hù)。
應(yīng)用和數(shù)據(jù)安全:使用“數(shù)字證書+PIN碼”的登錄方式實(shí)現(xiàn)對(duì)登錄用戶的身份鑒別,確保僅具備權(quán)限的用戶才能執(zhí)行相關(guān)重要操作;通過SSLVPN網(wǎng)關(guān)及簽名驗(yàn)簽服務(wù)器對(duì)重要數(shù)據(jù)傳輸做機(jī)密性和完整性保護(hù);通過服務(wù)器密碼機(jī)或數(shù)據(jù)庫加密機(jī)對(duì)重要數(shù)據(jù)存儲(chǔ)做機(jī)密性和完整性保護(hù)。
10)商用密碼市場(chǎng)規(guī)模
《中華人民共和國(guó)密碼法》頒布實(shí)施后,我國(guó)在密碼管理和應(yīng)用等方面的法律保障得到加強(qiáng),商用密碼產(chǎn)業(yè)應(yīng)用已延伸到金融和通信、公安、稅務(wù)、交通、能源、電子政務(wù)等重要領(lǐng)域。產(chǎn)業(yè)引導(dǎo)政策陸續(xù)出臺(tái),市場(chǎng)需求不斷增加,從而刺激了商用密碼產(chǎn)業(yè)發(fā)展。
商用密碼產(chǎn)業(yè)引導(dǎo)政策陸續(xù)出臺(tái),市場(chǎng)需求不斷增加,刺激商用密碼產(chǎn)業(yè)快速發(fā)展。數(shù)據(jù)顯示,我國(guó)商用密碼產(chǎn)業(yè)規(guī)模由2016年的151.6億元增長(zhǎng)至2020年的466億元,復(fù)合年均增長(zhǎng)率為32.4%。預(yù)計(jì)2022年我國(guó)商用密碼產(chǎn)業(yè)規(guī)模將達(dá)593.7億元,其中智慧城市集中占比較為突出。
04
推進(jìn)智慧城市密碼應(yīng)用的建議
1)法律法規(guī)
首先要遵循《密碼法》確定的法律框架和基本原則,健全完善商用密碼法規(guī)制度體系。在充分調(diào)研、科學(xué)論證基礎(chǔ)上,進(jìn)一步細(xì)化智慧城市密碼應(yīng)用各項(xiàng)制度措施。系統(tǒng)規(guī)劃智慧城市商用密碼科研生產(chǎn)、檢測(cè)認(rèn)證、標(biāo)準(zhǔn)規(guī)范、涉外管理、執(zhí)法監(jiān)督等各方面配套規(guī)章制度,確保智慧城市密碼應(yīng)用管理職權(quán)履行無“盲區(qū)”、程序要素?zé)o“缺項(xiàng)”。
2)標(biāo)準(zhǔn)規(guī)范
加快智慧城市密碼應(yīng)用標(biāo)準(zhǔn)國(guó)際化進(jìn)程,推動(dòng)國(guó)產(chǎn)商用密碼算法和協(xié)議成為國(guó)際標(biāo)準(zhǔn),提升我國(guó)在密碼技術(shù)領(lǐng)域的國(guó)際影響力。
3)管理體系
以國(guó)家安全觀為指導(dǎo),加快構(gòu)建新的密碼應(yīng)用管理體系,明確職責(zé)劃分,建立健全部省市縣四級(jí)商用密碼工作管理體系。
4)融合發(fā)展
不斷強(qiáng)化密碼應(yīng)用與智慧城市的融合,構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,推進(jìn)數(shù)據(jù)加解密、完整性驗(yàn)證等安全技術(shù)的應(yīng)用。強(qiáng)化商用密碼應(yīng)用。
5)統(tǒng)籌設(shè)計(jì)
智慧城市建設(shè)是“一把手”工程,需要統(tǒng)籌規(guī)劃智慧城市安全基礎(chǔ)框架。通過統(tǒng)籌需求和資源,配合法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、組織管理、密碼技術(shù)、密碼基礎(chǔ)支撐及服務(wù)、人才培養(yǎng)、城市安全綜合治理等方面的綜合性保障建設(shè),為智慧城市的發(fā)展保駕護(hù)航。
參考文獻(xiàn)
[1]中華人民共和國(guó)密碼法[J].中華人民共和國(guó)全國(guó)人民代表大會(huì)常務(wù)委員會(huì)公報(bào),2019(6):912-916.
[2]姜鈺.密碼算法和商用密碼體系架構(gòu)[DB/OL].密碼科普,2022.https://zhuanlan.zhihu.com/p/455803060
[3]全斌,韋瑋,郭莉麗.商用密碼技術(shù)在國(guó)家重點(diǎn)行業(yè)商密網(wǎng)中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用,2022,40(2):
232-236.
[4]中國(guó)工業(yè)互聯(lián)網(wǎng)研究院.全國(guó)商用密碼應(yīng)用優(yōu)秀案例匯編[M].2022.