张嵩 孙忠伟 李雪岩
摘要:油气行业通过多年的建设已形成较为完整的信息化支撑,围绕数据和应用的安全防护已经成为建设重点。借鉴中台的基础理念和架构,把SM(商用密码拼音缩写)系列算法的密码安全服务用中台思路进行建设,利用平台化手段发现、沉淀与复用SM系列算法的密码服务能力,通过搭建一个服务平台、建设一个基础设施、形成一套密码体系与机制,成为面向前台提供可复用密码能力的载体,打造共享共用、统一管理的密码应用云平台。
关键词:油气行业;SM系列算法;中台;云平台
一、前言
没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全牵一发而动全身,已成为信息时代国家安全的战略基石。油气行业是经济社会运行的神经中枢,其数字化平台的安全防护直接影响着国家数字经济发展和网络强国建设。油气行业运营着大量关键信息基础设施和重要信息系统,承载着大量国家重要数据,成为了攻击者觊觎的目标,数据安全威胁已经成为关乎油气行业命运的关键业务风险。密码技术作为网络与信息安全保障的核心技术和基础支撑,是解决数据安全问题最有效、最可靠、最经济的手段。本文通过分析当前油气行业面临的数据安全风险和密码技术应用存在的挑战,借鉴中台的基础理念和架构,打造密码应用云平台,实现云环境下的“密码即服务”,进一步探索商用密码在油气行业的创新应用和落地实践。
二、油气行业数据亟待有效防护
油气行业是国民经济的命脉,是国家的基础和支柱行业,是社会运行、人民生活的基础和保障,关乎国计民生。油气行业的关键信息基础设施已成为网络空间作战重要目标,是整个国家安全保障体系的重要环节。伴随网络攻击国家化和组织化的趋势日益明显,油气行业的网络安全工作形势错综复杂,面临更加严峻的安全挑战。
近年来,油气行业成为黑客攻击的重灾区,数据泄漏事件频发。2021年7月,全球最大石油生产商沙特阿美(Saudi Aramco)的1TB机密数据遭泄露,被黑客勒索要求其支付5000万美元赎金,这些机密数据时间跨度长达27年,包括员工信息、项目规范和分析报告等敏感内容[1]。2021年6月,美国最大的丙烷供应商AmeriGas,在美国50个州服务超过200万客户,自曝遭遇数据泄露威胁。
依据《信息安全技术 重要数据识别指南(征求意见稿)》[2],考虑反映国家战略储备、反映重点目标等因素,油气行业涉及重要数据特征如表1所示。
油气行业通过多年的建设和迭代已形成较为完整的业务层信息化支撑,网络安全边界防御建设也相对完备,围绕数据和应用的安全防护成为当下建设重点。密码技术基于安全底线思维,利用密码在安全认证和加密保护等方面的重要作用,能够重构数据和应用安全防线,获得网络空间制网权。
三、油气行业密码应用面临挑战
由于油气行业信息化建设起步较早,部分早期建设的信息系统仍然采用安全强度较低、非受控的密码技术和体系。通过对油气行业信息化建设的深入分析,阻碍密码全面应用的挑战,可以概括为四方面:
(1)从管理上,各信息系统采用密码应用安全强度参差不齐,采用的密码技术也不相同,算法类型、密钥长度、实现方式等方面差异较大,系统安全强度参差不齐。密钥、算法及安全协议管理分散,更重要的是密钥的产生、传输、存储以及销毁等没有行业安全规范,存在安全隐患。
(2)从技术上,常规SM算法实现效率低,难以满足业务高性能需求。硬件产品的实现虽然增强了相应系统的安全性,但在云端、虚拟机端、移动端等新场景中无法灵活部署硬件密码产品,影响用户体验。
(3)从运维上,密码设备及密码系统运维不方便。增加信息系统,就相应增加密码设备或部署密码系统,而密码设备及系统接口不统一,且与各自业务系统关联性强,设备更换或升级复杂性高。
(4)从成本上,密码计算资源相对分散,不能有效集中利用,导致密码设备的计算资源浪费,同时带来信息化建设成本的增加。
四、油气行业密码应用设计思想
借鉴中台的基础理念和架构[3],把密码安全服务用中台的思路进行建设,利用平台化手段发现、沉淀与复用密码能力,成为面向前台提供可复用密码能力的载体,打造共享共用、统一管理的密码应用云平台。
密码应用云平台设计原则如下:一是解耦,抽象密码服务后台业务能力,减少应用系统与硬件的耦合度和绑定关系;二是分层,从底层硬件、中层驱动和硬件运算、上层应用接口都进行了清晰的层次划分;三是统一,平台整合应用程序接口,对外提供统一密码服务接口;四是分域,根据不同的功能定位,对认证类、签名、加密等不同密码应用类别设计不同的接口与功能模块。
秉承“以数据为中心”的新安全理念,在密码应用云平台建设中,通过免开发改造应用或轻量级改造应用的模式,将密码与业务在技术上解耦,有效解决业务与密码开发对接不吻合等情况,封装调用底层密码硬件接口,实现信息系统灵活选择不同厂商、不同型号的硬件密码设备,从而能更好地适应油气业务对密码技术的多样化需求。
五、密码应用云平台设计与实现
(一)密码应用云平台总体架构
通过密码应用云平台,将各类密码资源和密码服务应用进行有效的整合,并通过服务的方式面向油气行业信息系统提供统一的、标准的、可监控、可计量的综合密码服务。
云环境下的“密码即服务”,通过建设密码云平台,可为业务应用提供如下密码支撑服务。
(1)IaaS服务:也称为密码基础设施层,密码能力最终以密码模块、密码机等形式提供,通过密码设备完成密码功能。
(2)PaaS服务:也称为密码应用支撑层,业务系统无需关注硬件和系统,只需通过开放平台即可使用密码云所提供的密码能力。如移动终端连接密码云完成所需的数字签名,可以提供信息系统免改造的数据加解密能力。
(3)SaaS服务:也称为密码应用服务层,密码云还支持各种密码功能的业务化封装,形成若干逻辑上独立的业务单元,完整交付用户。如电子合同服务,将电子合同所需的数字证书、数字签名、时间戳等功能集成到电子合同签署逻辑中。
(4)安全接入层:密码云面向应用系统提供统一的接口,屏蔽不同密码产品和服务的差异性,并且负责应用系统安全可信的接入密码云平台。
(5)应用层:油气行业的各类各级应用系统,应用系统和密码云平台对接实现了统一化管理与维护。
(6)密码应用模块:密码云平台提供软件代理模块(Agent),应用系统直接安装Agent实现应用系统“零代码”,通过应用系统加载已开发的密码功能模块,实现应用系统“低代码”。
(7)密钥保护:密钥的安全管理采用层次化的保护方法,密钥管理分层管理机制将密钥分为三层,即根密钥、密钥加密密钥和工作密钥,下层密钥为上层密钥提供加密保护。
(二)密码应用云平台技术实现
对于密码应用云平台,IaaS、PaaS、SaaS层的密码服务分类组装,通过微服务架构提供统一的服务支撑,密码应用云平台的微服务架构部署如图1所示。
基于密码应用安全性评估要求的密码应用体系,密码应用云平台涵盖:密码硬件资源池、密码云平台、运维系统、运营系统及开放管理平台五个部分。
(1)密码硬件资源池:主要提供密码计算资源,由密码计算能力的实体密码设备组成的物理密码资源池,密码设备服务层以接口的方式为密码服务层提供服务,同时进行统一密码资源调度和统一密钥管理。
(2)密码云平台:由基础密码服务、扩展密码服务和定制密码服务组成,基础密码服务提供签名验签服务、加解密服务、摘要运算服务、密钥管理服务。典型密码服务提供网络加密服务、移动认证服务、动态密码服务、电子印章服务等密码服务。定制密码服务提供虚拟密码模块、安全套件服务、数据治理服务、数据防泄漏服务等密码服务。密码服务层通过统一接入层为信息系统提供密码服务,在统一接入层实现API管理、权限认证、流量控制和数据统计等功能。
(3)运维系统:主要包含服务注册、监控报警、统一日志、统一配置和统一调度。
(4)运营系统:由策略配置、应用接入、密码应用情况统计、异常问题监管、安全态势感知组成,实现对云平台、租户业务系统的应用情况的统一监管。
(5)开放管理平台:供用户在线查看密码应用情况、在线接口调试等。
六、密码应用云平台的应用场景
油气行业产业链涉猎众多细分领域,包括勘探、开发、炼油、化工、管道、储备、销售等,每个细分领域又包括业务管理信息系统和生产工业控制系统两大类别。通过密码应用云平台及附属密码模块为油气行业赋能,实现其安全访问控制、机密性传输、数据完整性和机密性保障。
(一)密码基础设施层服务
密码基础设施层服务涵盖所有传统商用密码机、密码卡的功能,支持商用密码算法,如SM系列算法,提供HTTP/HTTPS Restful(representational state transfer)接口以及标准SM系列算法接口。
(二)密码应用支撑层服务
密码应用支撑层通过云服务的体系,通过开放服务的方式来接入,涵盖了绝大多数的密码及泛密码服务。典型的密码应用支撑服务如下:
(1)证书服务:在线完成企业、个人的身份核验,并发放证书,证书既支持优盾介质证书,也支持移动证书,在授权客户鉴别用户信息后,通过在线接口直接为用户身份标识。
(2)密钥管理服务:为数字证书认证系统提供密钥管理,主要包括密钥生成、派发、导入、导出、备份、恢复、更新、归档、销毁、查询等生命周期管理。
(3)签名服务:用户鉴证、发证和用证一体化服务,支持带用户管理和身份核验的协同签名服务,支持移动证书等各种签名方式。
(4)数据加密服务:支持基于SM4分组密码算法等提供对称加解密服务,提供在线的加解密服务及密钥托管服务,可应用在数据流转的多个层次环节中,对数据进行加密保护,有效保护结构化与非结构化数据。
(5)去标识化服务:提供基于密码技术的去标识化技术能力服务,可保障业务数据在安全合规的前提下,能够高效地共享流转。
(6)身份认证服务:支持基于SM2密码算法等,通过PKI(Public Key Infrastructure)技术,以云服务的方式支持用户的身份鉴别服务。
(三)密码应用服务层服务
密码应用服务是针对具体的业务场景开发的一系列泛密码业务,密码应用服务通过云服务的体系,提供解决共性需求的云服务,典型密码应用服务如下:
(1)电子合同:包括云认证、云合同等核心产品,为用户提供实名认证、数字证书、电子合同签署与管理等服务。
(2)电子印章服务:包括电子印章管理、应用、备案等电子印章相关的功能,为信息系统和电子印章应用子系统提供电子签章支撑。
(3)电子证据:提供电子证据的存证及保全服务,使用 PKI 技术,对用户的数据进行保全和固化,支持哈希和原文保全,提供丰富的电子签名报告、签署证明、存证报告、保全报告、电子证据包等功能。
七、结语
油气行业密码应用云平台通过搭建一个服务平台、建设一个基础设施、形成一套密码体系,解决了油气行业安全认证和加密保护存在的问题,面向广泛业务应用,打造高效安全、兼顾实战与合规的密码防护体系。H
参考文献
[1]黄培昭.沙特阿美被黑客勒索5000万美元[EB/OL].(2021-07-23)[2022-03-10].https://finance.huanqiu.com/article/443J2H8qKWS
[2]全国信息安全标准化技术委员会.信息安全技术重要数据识别指南(征求意见稿)[S].中国国家标准化管理委员会,2021.
[3]钟华.企业IT架构转型之道:阿里巴巴中台战略思想与架构实战[M].北京:机械工业出版社,2017.