车业蒙
中国大唐集团科学技术研究院有限公司
摘要:商用密码是国之重器,是国家的重要战略资源,是保护网络安全的核心技术和基础支持。发电行业是关系国计民生的重要基础行业,如何实现商用密码在发电企业的融合应用,意义重大。本文在分析商用密码算法体系的基础上,对商用密码在发电企业的应用现状和原因进行了分析,提出了身份认证、数据全生命周期管理、新技术应用和检测评估的商用密码应用场景。
关键词:商用密码 网络安全 发电行业 数据管理 检测评估
一、商用密码概述
密码是网络安全的基础性和核心技术,在在身份识别、数据保密、数据完整性和抗抵赖性等方面作用巨大,商用密码技术是我国自主可控网络安全技术的典型代表,在金融、电力、通信等行业的应用意义重大。
我国也制定相关标准和法规推广商用密码技术,在等保2.0、《关键信息基础设施安全保护条例(征求意见稿)》《密码法》中都对商用密码的使用提出了要求。在国产密码算法和国产密码产品等方面都取得了一系列成果。
根据密钥和应用不同,密码算法可以分为对称密码算法、非对称密码算法和密码杂凑算法。其中,对称密码算法有SM1、SM4、SM7和ZUC算法,非对称密码算法(也叫公钥密码算法)有SM2、SM9,杂凑密码算法为 SM3,各算法的应用范围和与国外算法的区别如下表所示。
表1 国产密码算法介绍
二、商用密码在发电企业的应用分析
通过对各大发电集团下属电厂的调研发现,发电企业对商用密码技术的应用处于基础建设和试点应用阶段,未形成体系化、规模化应用。主要原因在于:
一是发电企业的工控系统早期大多采用国外产品,应用程序和协议在设计开发时未采用认证和加密机制或其他安全策略来防护系统安全,重新升级可能导致未知风险。
二是由于国产密码算法起步较晚,部分工控产品预先集成了国外密码算法,重新更换成本较高,市场接受周期长。
三是工控系统本身的关键性和对实时性的要求高,集成密码算法会影响系统性能,消耗设备的计算能力。
因此,提升发电企业工控系统网络安全,解决制约国产密码应用的重大难题,需要对发电企业的密码应用场景进行深入分析,加强工控系统和国产密码的融合应用研究,从而实现发电企业工控系统网络安全的本质提升。
三、商用密码在发电企业的应用场景
发电企业作为工业互联网的重要组成部分,迫切需要国商用密码技术保证其网络安全,综合来看,可考虑以下几方面的应用:
3.1 身份认证
目前,发电企业的工控系统、网站和其他重要信息系统的身份认证大多采用用户名+口令的方式,这种单因素认证方式不能确保用户身份的真实、合法,不能对用户对敏感信息的操作进行追溯,采用商用密码技术实现工控系统等的身份认证需求迫切。可以通过电子签名技术,实现对操作人员的身份识别和操作追溯;可以部署身份认证系统,采用SM2算法,基于数字证书对网站管理员进行身份校验。
3.2 数据全生命周期管理
将数据的生命周期分为创建、存储、传输、处理、销毁阶段,按照结构化数据和非结构化数据进行分类,对两类数据在每个阶段的国产密码技术使用进行简单分析如下表所示:
表2 商用密码在数据全生命周期的应用
3.3 新技术应用
云计算
随着云计算的发展,部分发电企业的外网业务会租用云平台,或者在管理信息大区部署私有云,由于生产控制大区的特殊性,云计算在生产控制大区的安全应用有待进一步论证。发电企业中已经采用云计算平台的重要信息系统(等保三级系统)也需满符合国家密码管理局关于商用密码的相关管理要求和国家标准。通过合规应用商用密码技术,保证云平台的自主可控、安全可靠、完整可信。
大数据
发电企业的大数据主要是生产数据,为有效保证电力大数据环境下的系统安全隐私,实现数据资产的效益,可参考3.2节数据全生命周期管理的分析,对数据采集、传输、使用、 发布、共享、统计分析各个阶段采用商用密码进行防护,基于商用密码算法自主开发电力大数据分析平台,在保护电力企业数据安全隐私保护的前提下,深入挖掘电力海量数据价值, 更好的为电力企业和电力用户服务。
物联网
物联网技术逐渐在发电企业中发挥作用,物联网技术的应用也为实现智慧电厂奠定了良好的基础。物联网环境下系统及设备的安全可以通过轻量级商用密码技术实现,通过对物联网安全通信模型和轻量级加密认证技术的研究,设计适用于电力物联网特定环境的轻量级商用密码认证协议、研制轻量级的商用密码应用、检测设备,形成物联网环境下轻量级商用密码应用技术体系。
区块链
区块链技术的应用处于早期阶段,发电企业也并未有区块链技术的实质应用,所以,区块链技术的安全应用更为重用,对于商用密码和区块链的融合应用,发电企业要在现有系统的基础上进行,通过旁路上链的方式,融合商用密码技术,循序渐进的解决场景中的存证问题和节点间的信任问题。
3.4检测评估
随着商用密码技术的发展,发电企业的密码设备及系统种类会逐渐增多,密码算法、密码设备、密钥管理的合规性日益重要,在做好商用密码应用安全性评估的基础上,还需要加强商用密码产品的检测评估。目前多数的密码产品检测只是针对密码设备的某一模块进行检测,未涉及密码设备的具体应用场景,同时也没有开展核心密码设备上下游产业链的系统性测试,因此,亟需建立健全统一的电力行业密码设备检测体系。
四、结语
密码是保障网络安全的核心技术和基础支撑,是解决网络安全问题的有效手段,能够在身份认证、数据存储、传输、新技术应用等方面发挥重要作用。当前我国网络安全形势异常严峻,发电企业工控系统安全防护能力仍然薄弱,必须全面推进商用密码在发电企业中的应用,充分发挥商用密码技术的核心保障作用,切实提升发电企业的整体安全防护能力。
参考文献
[1]王莉菲,兰天.工业控制系统的信息安全与密码应用[J].集成电路与应用,2020,37(2): 15-17.
[2]柳彩云,陈雪鸿,杨帅锋. 国产密码算法与工业互联网平台的结合势在必行[J],网域前沿,2019,04: 86--89.
[3]李兆森,杨洋. 基于国产密码算法的物联网应用[J],信息安全研究,2019,5(10): 924-928.
[4]廖正赟,石淑英. 基于国密商用密码服务的关键信息基础设施安全保障实践[J],信息安全研究,2018,4(5): 453-457.
[5]陈梅. 商用密码技术在电力行业中的应用研究[J].信息安全与通信保密, 2018,5: 50-55.
[6]周文,李亚楠,吴波. 商用密码在中央企业数据安全治理中的应用[J]. 信息安全与通信保密, 2018,5: 57-62.
[7]刘磊.信息安全等级保护中的商用密码技术综述[J],加解密技术与图像识别2019:49.