【摘要】随着互联网、大数据等计算机信息技术的发展应用,大数据已深入到住房城乡建设行业应用的每个角落,如何发挥密码技术在大数据安全保护方面的成效,也已成为我们在享有信息化带来便利的同时急需加强和考虑的一个问题。本文在分析了政府部门政务信息系统应用的基础上,分享了安徽省住房和城乡建设领域信息系统目前在密码技术方面所采取的措施和面临的挑战,并提出了有针对性的意见,希望对住房城乡建设领域信息化的发展有所帮助。
【关键词】密码技术;数据安全;密码评估
1.背景
近年来,随着计算机信息技术的快速发展,政府部门陆续建立起一批信息系统,这些信息系统有效提高了政府部门的业务监管手段,提升了行业及服务对象的办事效率。同时也给存储使用这些大数据的政府部门带来数据安全管理方面的困扰,政府部门在大数据的采集、存储、使用、交换、归档等各环节面临新形势下数据安全问题。商用密码是用来保护公民、法人和其他组织信息数据的很好的一种密码技术,特别是我国自主设计的国产加密算法为信息系统数据安全提供了技术支撑。本文就商用密码在安徽省住房城乡建设领域信息系统中的应用进行探讨。
2.密码概述
2.1密码技术原理
密码技术包括密码编码、实现、协议,安全防护、分析破译,以及密钥产生、分发、传递、使用,销毁等技术,典型的密码技术包括密码算法、密钥管理和密码协议。密码已成为保证信息系统安全的核心技术,在信息系统数据保护安全防护中发挥着重要的基础支撑作用。
2.2密码相关政策法规
随着计算机信息技术与国家经济、管理、社会事务的深度融合,信息系统建设运行单位对收集、存储、使用的公民个人信息的数据安全保护问题日益突显,现有的数据安全保护技术手段的局限性日趋明显,使用商用密码保护信息系统中大量数据信息的安全需求越来越强烈,越来越迫切。2017年6月1日实施的《网络安全法》、2021年9月1日实行的《数据安全法》都在都信息系统中存储运行的数据提出加密的相关要求。经过20多年的发展,我国商用密码技术已经逐渐成熟,应用到社会生产生活的各个方面,在信息系统运行保障、大数据安全保护方面发挥着越来越重要的基础支撑作用。
3.密码应用情况分析
3.1网络系统情况
近年来,安徽省住房城乡建设系统建设了覆盖全省全行业的城乡建设综合管理平台,该平台为全省全行业主管部门提供有利的信息化支撑保障,平台主要包括七大功能板块:综合管理、住房与房地产、工程建设、城建城管、村镇建设、住房公积金、阳光政务等。安徽省住房城乡建设省级数据中心机房部署了统一的网络安全设施,为全省全行业信息系统及大数据运行存储提供了安全物理网络环境。
3.2密码应用情况
根据信息系统密码保障系统建设的相关要求,政务信息系统实施商用密码技术保障需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面实施密码应用的改造,目前安徽省城乡建设综合管理平台等信息系统在密码技术保障方面仍然有许多工作值得去探讨应用。
4.密码应用的探索
安徽城乡建设综合管理平台系统是在互联网新形势下电子政务的持续需求、不断建设和更新发展中形成的,该平台的密码保障系统模块需根据国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》的要求进一步升级完善,需要通过增加密码设备、实施信息系统密码技术改造,来重构部分或局部的系统模块,以提高其密码应用的安全性。但以后的新系统建设以及现有系统需要怎么去适应密码应用的要求、发挥密码应用的作用、科学评估密码应用的安全性、创新住建领域密码应用,值得我们思考探索。
4.1密码应用建设
4.1.1新建系统密码应用
新建系统密码应用的建设应该做到同步规划、同步建设、同步运行即“三同步”,这在国家颁发的一系列文件制度中都有体现,要求在系统建设的规划阶段就应该考虑密码应用方案。本着解决需求就是目标的方式,系统的密码需求决定密码设计要求,密码设计要求决定密码应用解决方案,应用解决方案决定密码实施方案,密码实施方案决定了密码的应急处置方案。从总体性、科学性、完备性、可行性着手解决密码应用方案,再按照有关文件及密码应用安全性评估的要求,对于新建系统的密码应用方案再进行专家论证就可以更加保证在实际系统中应用的效果。按“三同步”原则进行的新系统密码应用的建设能够有针对性的、很好地解决系统对密码的需求,但这里对信息系统对密码应用的需求准确性提出了更高的要求,需要在系统规划阶段进行充分的调研和论证,否则密码应用方案就不能起到应有的作用。如何进行调研论证新系统建设的密码需求是系统建设者需要考虑的问题,笔者建议能够在新系统规划可研阶段进行,对系统密码需求进行专项工作,从新系统的功能和作用及发展考虑其密码应用的需求,不能单纯从此系统的某一方面入手。鉴于现在密码人才的欠缺,笔者认为可以考虑邀请密码主管部门或高校及专业人士进行论证,保证需求准确、完善、不过时,为后期密码应用方案的编写打下坚实基础。
4.1.2已建和改建系统密码应用
对于已建和改建的系统,密码应用的建设就不建议按新建系统的思路进行了,要明确已建和改建信息系统的详细网络拓扑,清楚系统中已有的密码产品,梳理密钥管理层次,给出密钥全生命周期的管理过程,针对重要数据和敏感信息,梳理其在信息系统中的流转过程和受保护情况,从中提炼的密码应用方案可以通过两种途径进行完善符合。一种是可以通过第三方的评估机构进行密码评估后,依据国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》进行完善论证后实施密码应用改造;另外一种就是自行或者寻找有能力的系统集成单位进行标准性改造;两种途径都可以达到符合密码应用的要求。
4.1.3密码相关管理制度的完善
密码相关管理制度建立健全是此项工作得到有力推进的机制保障,信息化工作三分技术七分管理,这是长期工作总结的经验。作为密码应用的具体单位,笔者认为可以借鉴等保管理的相关做法,建立健全密码技术应用的管理制度机制,形成具有本单位特色的密码管理制度。
4.2密码应用评估
4.2.1技术层面
判断信息系统密码应用的是否正确、合规、有效,不是简单的从技术角度去衡量密码机服务器的冗余量、处理量、时间效率等,而是需要全面的从技术和管理两个大的维度去考量。考量的标准就是国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,如何与我们的工作进行对标呢?笔者认为这就需要按管理学提出的PDCA(Plan-Do-Check-Act)管理循环,即“计划一实施一检查一改进”即“戴明环”管理循环。经典的信息安全过程管理方式,在我们熟悉的信息安全及质量国际标准ISO/IEC27001-2005、ISO9001、ISO14001中,PDCA管理循环都是被证明是有效的模式。对信息系统密码应用情况进行定期评估。定期评估是对密码应用安全性评价的有效手段,分别对密码产品、密码系统应用、密码应用管理等进行考量。密码应用管理过程应遵循信息安全,管理科学规定。采用“计划—实施—检查—改进”循环,这样才能保证持续改进密码应用管理体系。密码应用安全性评估活动必须贯穿于密码应用管理过程整个生命周期,才能够保证各个阶段密码应用的有效性,并能够持续改进密码在信息系统应用的安全性,保障密码应用动态安全,为信息系统的安全提供坚实的基础支撑。
4.2.2政策法规层面
从政策法规层面,国家制定了一系列的政策来提供评估的依据,《中华人民共和国密码法》、国务院办公厅关于印发《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)等都对密码应用工作提出了明确的要求。根据本单位工作经验,笔者认为定期评估可以结合我们目前另一个信息安全评估的手段等保测评一并进行。从评估的工作流程和措施等来看,密码应用安全性评估与等保测评的流程,特别是现场测评阶段的流程基本类似,考量的内容结构一致,对于同一系统的密评和等保测评,会出现相同要求的情况,例如测评对象、测评手段等。从工作的精力和时间上,两者合并进行,可以减少不必要的现场配合时间,特别是协调时间。
4.3密码应用“一盘棋”
为了保障住房和城乡建设领域信息化安全建设与发展,笔者认为应该整合分散的密码应用场景,统筹政务信息系统密码技术资源,使得密码应用“一盘棋”统筹考虑。比如:在系统运维上专业密码人才比较少,一般开发单位,都不会单独配置专业密码人员,这样就会让系统开发单位为其额外增加运维成本;各个密码应用的数据相互调用可能因为加密算法和密码协议的选择不同,就需要额外增加相关资源池进行转换,造成调用流程复杂、效率不高,用户的体验感差,同时安全性还存在风险的情况。如何破解此种现象的出现,笔者认为需要重新考虑安全在系统的定位,用科学的发展观,综合评估现有系统的情况,从顶层设计开始考虑密码应用,一盘棋的思路使用密码。构建平台式的密码应用结构,需要做到总体架构的健壮性和系统架构的可扩展性,并充分考虑即将来临的物联网的使用要求。一方面将原有的分散的系统密码应用场景集合在平台上,充分发挥平台的集成密码机密性、完整性、真实性、不可否认性的特点,做到既解决调用的方便又解决不同性质密码保护调用的复杂度,同时因为基础资源配置的冗余解决了用户体验度问题。另一方面从财政资金投入绩效方面,可大大减少资金重复投入,提高资金使用效率,节约成本。
5.总结
总之,信息系统安全问题是贯彻信息化建设过程中一个长期而复杂的问题,如何充分发挥密码技术在系统运行、数据安全保障方面的效果,需要持续不断探索和持续改进,才能确保安徽省住房和城乡建设行业信息系统和数据的安全,才能更好为领导提供精准数据、安全数据,才能更好服务行业发展。
【参考文献】
[1]霍炜、郭启全、马原.商用密码应用与安全性评估电子工业出版社,2020.
[2]张汉青.《密码应用、5G技术,物联网安全论坛将畅议前沿科技热点》经济参考报2019.
[3]全国智标委.《守护第五空间,住房和城乡建设领域信息化安全建设迫在眉睫》2021.
[4]林锵,荆继武.密码实现与应用的安全挑战[J].中国信息安全,2018.
作者:刘宇 单位:安徽省住房和城乡建设信息中心
