叶 茂,杨仕瑞,马壮壮
(江苏金盾检测技术股份有限公司,江苏 南京 210042)
近日,中共中央、国务院印发了《数字中国建设整体布局规划》[1],随着国家加快数字中国的建设步伐,以5G网络、人工智能、云计算、物联网、大数据等细分领域为首的“新基建”极大地推动了信创产业再一次迎来了新的发展。
在2018年美国开始对华实行高科技出口管制,以国家力量打压以华为为首的中国科技企业的背景下,我国于2019年正式发布并实施了等保2.0标准体系,2020年又迎来了“信创产业元年”,国产化替代进程便如火如荼地展开。此后,2022年美国总统乔·拜登又签署了《2022年芯片与科学法案》,目的是加强美国在芯片半导体领域的非公平竞争,这让我国更加清醒地认识到科技独立自主的必要性和重要性,必将形成以国产化芯片为核心,国产化硬件为基石,国产化软件为应用的独立自主创新的新局面。
“信创”即信创产业、信息技术应用创新产业,是国家基于国产芯片和操作系统的PC、服务器、网络设备、存储设备、数据库、中间件等基础设施的技术创新。
信创产业大体分为基础硬件、基础软件、应用软件、信息安全共计4个方向。其中,基础硬件包括芯片、服务器/PC、存储等;基础软件包括操作系统、数据库、中间件等;应用软件包括OA办公软件、ERP和其他软件等;信息安全包括硬件安全、软件安全、安全服务等各类产品。
信创产业的主要目的是实现信息技术领域的自主可控,保障国家信息安全,其核心手段在于通过党政部门和八大行业的大规模应用,逐步完成国产化信息技术软硬件底层架构体系和全周期生态体系的构建,最终实现信息与通信技术(Information and Communications Technology, ICT)产业的全面国产化替代,为我国发展“数字中国”奠定坚实的基础。
目前,国家已经针对信创产业建立了“2+8+N”体系,并按照这个顺序逐步实现国产化替代。“2”是指党、政。“8”是指关于国计民生的八大行业,即金融、电力、电信、石油、交通、教育、医疗、航空航天。“N”则指的是各行各业,如图1所示。
图1 “2+8+N”体系
信创产业是改善现代网络安全现状、推动数字经济发展的基础,也是“新基建”的重要内容,将成为拉动中国经济增长,实现国家“十四五”规划发展目标和2035年远景目标的重要驱动之一[2]。
信息安全等级保护(简称“等保”)是指对国家秘密信息、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是我国网络安全领域的基本制度、基本国策。
等级保护分为5个等级,自低到高分别为“用户自主保护级”“系统审计保护级”“安全标记保护级”“结构化保护级”“访问验证保护级”,等级越高要求越严。等级保护又分为5个阶段,分别是定级、备案、建设整改、等级测评、监督检查,其中建设整改是目的,等级测评是手段,最终目的都是提高系统网络的安全防护能力。
自1994年国务院第147号令发布以来,《计算机信息系统安全保护条例》中提出了计算机信息系统实行安全等级保护,奠定了信息安全等级保护的基础。随后,2007年公安部发布了《信息安全等级保护管理办法》,标志着等保1.0正式启动。此后,2016年又发布了《中华人民共和国网络安全法》,在第二十一条提到“国家实行网络安全等级保护制度”,此举将等级保护正式上升到法律高度。2019年等保2.0相关标准系列发布,意味着等保正式迈入新的时代。
等保测评自迈入2.0时代后,与1.0时代明显不同的是,在对安全通用要求修订的基础上,新提出了云计算、物联网、工业控制系统、移动互联、大数据安全扩展要求,构建了“一个中心,三重防护”的安全防护体系[3],如图2所示。
3.2.1 阅读故事,分类图片 提供四幅图片并在学案中配备描述图片的故事(表1)。四幅图片分别为: 蚯蚓为觅食多次被电、美国红雀喂金鱼、黑猩猩钓白蚁和婴儿袋鼠爬向育儿袋。引导学生通过小组讨论选出最能准确描述每种动物行为的不干贴,同时将四种动物行为两两分类,贴在思维导图(图1)对应的位置上。
图2 等保2.0十大层面
基于国家推荐标准《信息安全技术 网络安全等级保护测评要求》制定了针对党政机关电子公文系统的信创行业标准——《党政机关电子公文系统安全可靠应用等级保护测评要求》,其核心要求即为“国密改造”,在其规范中要求信创信息系统密码技术和产品均应由国家密码管理主管部门核准和认证。
自2020年《中华人民共和国密码法》的正式实施以来,密码产业进入了有法可依的快速发展阶段。在数据要素市场化的趋势下,传统的以网络为中心的安全构建将会转变为以“数据为中心,与网络边界保护相结合”的双轴驱动,而密码将会被融入数据要素和数据安全的每一个环节,密码行业将会在很长一段时间内持续稳步发展。
为实现密码技术的全面自主可控,我国持续加强国产密码建设,实现了对称加密算法、非对称加密算法、杂凑算法等算法类型的全面自研,形成了包括SM1、SM2、SM3、SM4、SM7、SM9等SM系列算法以及祖冲之ZUC算法在内的国产密码算法体系。
国密算法在面向密码技术应用的三大场景方面,完成了和国际算法的完整对应,具备全面替代能力,如图3所示。
图3 国密算法与国际算法的对应关系
(1)数据加密。在数据加密传输、加密存储方面,主要通过国产的对称加密算法SM4替换DES/AES等国际算法。
(2)身份认证。在防止身份信息被篡改、冒用方面,主要通过国产的非对称加密算法SM2替换RSA等国际算法。
除此之外,SM1算法的安全保密强度及相关软硬件能够实现的性能可与AES媲美,主要用来实现芯片领域的国密替换,而ZUC算法主要用于移动通信加密。
我国自主研发的SM等系列算法日益成熟,且相比国际算法具备一定优势,国密替代势在必行,尤其在国家政务信息化项目中,明确了密码和项目建设的“三同步一评估”原则,而在其他关键基础设施行业,信创推动和行业政策要求中,国密应用均成为刚需,如电力行业广泛的物联网终端需求、金融行业进入核心系统的改造需求[4]。
针对信创网络安全防护设计,按照等级保护相关标准要求,从“一个中心,三重防护”,即安全管理中心、安全通信网络、安全区域边界、安全计算环境4个层面进行安全设计。
3.1.1 安全通信网络设计
安全通信网络从整体网络架构、链路、带宽以及设备的冗余等多个角度来进行安全设计,确保其通信网络的可持续性和稳定性,为应用系统提供安全、可靠的保障。通过对关键网络节点、重要设备以及通信链路进行冗余部署,保证其高可用性;部署信创防火墙、网闸提供区域边界隔离;部署信创VPN保证在远程连接过程中重要数据的完整性和保密性。
3.1.2 安全区域边界设计
安全区域边界通过对进出安全边界的信息流进行安全核查,既能够防止应用系统中的敏感信息被泄露,同时也可以保证其不受到外界的恶意攻击和破坏。通过部署信创准入控制系统实现对非授权设备私自联到内部网络的行为进行检查或限制;部署信创终端威胁防御系统实现对内部用户非授权联到外部网络的行为进行控制;部署信创Web应用防火墙实现基于应用协议和应用内容的访问控制;部署信创入侵防御/检测系统实现检测、防止或限制从内外部发起的网络攻击行为;部署信创抗APT攻击系统实现对新型网络攻击的检测和分析;部署信创防病毒系统实现对网络层恶意代码检测和清除;部署信创网络流量审计系统实现对网络流量进行统计、关键分析、识别和筛选。
3.1.3 安全计算环境设计
安全计算环境可以从主机、应用和数据安全等角度出发,通过部署信创堡垒机实现对(管理)用户进行身份鉴别和权限管理;部署信创数据库审计系统实现对重要的用户行为和重要安全事件进行集中审计;部署信创漏洞扫描、终端威胁防御等系统来保障终端及服务器安全;采用信创VPN密码设备来保障重要数据的完整性和保密性;部署容灾备份系统来保障重要数据的可用性;部署网页防篡改实现对重要网站系统提供网页防篡改、网站安全监控等保护机制。
3.1.4 安全管理中心设计
安全管理中心是信创网络安全管理的中心大脑,通过安全管理中心实现对全网的安全监测预警、分析研判、态势感知、应急处置等。通过信创堡垒机实现集中的身份鉴别、访问授权和操作审计;部署信创网络管理系统,网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;部署信创日志审计系统,对分散在网络中的审计数据进行收集汇总和集中分析;部署信创态势感知平台,支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。
针对信创网络安全防护设计,形成了信创网络安全防护架构体系,如图4所示。
图4 信创网络安全防护架构体系
设计方案符合国家等保2.0和国家电子政务外网安全防护相关要求,为用户构建纵深安全防护体系,提高监测、预警、响应、处置、追溯能力,且符合国家信创相关政策要求,全面采用信创安全防护产品,为客户提供更加完善的国产化网络安全防御能力。