实物保护系统信息安全密码技术应用浅析

张琰

（西安中核核仪器股份有限公司，西安710061）

1 引言

密码，是保障网络与信息安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、 最可靠、 最经济的手段。2020 年《中华人民共和国密码法》（以下简称《密码法》）的颁布实施，从法律层面为开展商用密码应用提供了根本遵循。2021年， 国家继续出台 《中华人民共和国数据安全法》（以下简称《数据安全法》），标志着我国在网络与信息安全领域的法律法规体系得到进一步的完善。 2021 年，GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》（以下简称 《基本要求》）的发布，这是商用密码应用与安全性评估工作的重要里程碑，进一步促进了商用密码的全面应用。

实物保护系统——基于物理隔离网络构架的信息集成系统，利用实体屏障、探测延迟技术及人员的响应能力，使核电厂重要设备被破坏、 核材料被盗或非法转移的可能性减到最低程度。 它是保证核电厂安全措施的重要组成部分，是核燃料进场的先决条件。 根据《中华人民共和国核材料管制条例》及实施细则的规定和要求， 核电厂必须建立一套完善和有效的实物保护系统，利用实体屏障、探测延迟技术及人员的响应能力，使核电厂重要设备被破坏、核材料被盗或非法转移的可能性减到最低。 尽管实物保护系统不属于核安全物项，但却是保证核电厂安全措施的重要组成部分， 其遵照纵深防御和平衡防护的基本设计原则，根据设计基准威胁、确定的保护目标及响应能力确定系统保护方案。

由于密码相关法律法规的推行， 作为核电厂安全措施的关键，实物保护系统有必要做好自身保护，加强信息安全及网络防护，充分利用现有密码技术，按照《密码法》《数据安全法》《基本要求》等相关法律法规的指导，建立有密码防护的实物保护系统。

2 实物保护系统

面对目前的严峻的网络形势，网络安全保护工作由3 保1评组成。现有的实物保护系统大部分是非涉密网络设计，按照GB/T 22239—2019 《信息安全技术网络安全等级保护基本要求》等保三级进行网络安全防护，但是暂时都未采用符合国密要求的技术进行传输、数据及应用的保护，根据《基本要求》和《密码法》 对系统进行风险分析与需求分析， 从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等层面，考虑如何将保卫核电厂安全运行的实物保护系统与密码技术有机结合，并进行有效应用，为核电安全保驾护航。

实物保护系统覆盖整个厂区，包括各个出入口、周界及重点部位，由集成管理系统、出入口控制系统、视频监控系统、周界入侵报警系统等多个子系统组成。 各子系统既能各自独立工作， 又能在服务器统一调度下协同工作， 实现系统的信息化、集成化、智能化管理。 实物保护系统具有集成化，系统安全、灵活，冗余、有效、实用、可靠的特点。

所有实物保护系统都是依托于自身专用网进行部署，各子系统通过专网专线接入，对系统进行业务访问。 信息资产均部署在置于要害区内的控制中心。 网络通信过程可能遇到通信双方的身份信息被截获、假冒、重用，或网络边界和系统资源访问控制信息被窃取，导致系统被非法访问；通信传输过程中被监听，导致通信数据发生泄漏；通信传输过程中数据被篡改，导致通信数据失实等。

通过对实物保护系统合理有效分析， 有针对性地制定解决办法，运用先进的技术手段，辅助高效的管理方法，对实物保护系统运行安全进行梳理和规划。 构建初步的解决思路，有针对性地建立实物保护系统的密码防护体系。

由于实物保护系统覆盖面广泛、子系统分支多、设备品类繁杂，此次讨论的范围仅限于集成管理系统、出入口控制系统及视频监控系统，其他子系统暂不深入研究。

实物保护系统按物理区域分为控制区、保护区及要害区，3 个区域防护手段逐层递进，逐步加强，提供出入口管控、视频监控和入侵报警等防护措施，为核电厂提供安全保障、防范恶意攻击的重要系统。 系统部署在自组专用网络上，与其他网络系统实现完全的物理隔离。

3 需求分析与密码防护部署体系

实物保护系统中的集成系统和信息资产均部署在置于要害区内的控制中心， 包括子系统在内的所有实物保护系统数据均汇聚并存储于此。 密码防护体系从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等层面按照第三级的密码应用技术要求进行部署， 建立全方位立体保障架构。

根据《基本要求》除上述技术层面的要求外，还对应管理制度、人员管理、建设运行和应急处置4 个方面进行密码管理要求，这里暂不赘述。

根据实物保护系统的组成和业务需求， 密码应用部署遵循原则[1]如下。

总体性原则——通过从整体层面，对系统的密码应用开展顶层设计，明确密码应用需求和预期目标，并与系统网络安全保护等级相结合，通过系统的设计形成涵盖技术、管理、实施保障的整体方案，为在系统中落实密码应用相关要求奠定基础。

安全分区保护原则——根据核设施网络安全区域划分（包含控制区、保护区和要害区等）的重要程度，实施安全分级保护。 要害区、保护区域的保护措施，安全保护等级要求应高于控制区。

经济性原则——结合本系统规模， 在合理、 够用的前提下，设计满足《基本要求》的密码应用方案，确保本系统密码应用投资合理，规模适度，避免资金浪费和过度保护。

逐步推进原则——针对已建在运行系统， 结合系统的特殊性进行改造，如经评估确实不能改造，在确保业务可用前提下，加强其他安全防护措施，逐步推进系统安全建设。

3.1 物理和环境安全

针对控制中心机房的物理和环境安全， 在出入口布置电子门禁系统，使用标准国密算法进行密钥分发，并基于标准国密算法对人员身份进行鉴别。

机房外、内布置国密视频监控系统，与数字证书认证系统对接，由数字认证系统统一完成设备证书的颁发及管理，实现对前端国密摄像机设备的身份鉴别。

使用国密技术对出入口系统记录数据和视频监控系统视频记录数据进行完整性保护。

3.2 网络和通信安全

在出入口系统门禁控制器与集成管理系统通道采用安全网关， 在通信前安全网关基于SM2 证书的挑战-响应机制实现对通信实体的身份鉴别。

部署的VPN 安全网关采用合规的密码技术实现访问控制信息的完整性保护； 使用VPN 安全通道中的数据传输，基于SM4 对称加解密技术进行保护，保证通信过程中数据的机密性。

3.3 设备和计算安全

工作站到SSL VPN 安全网关， 采用基于SM2 证书的挑战-响应机制，实现客户端与安全网关间的身份鉴别。

工作站访问应用服务器/ 数据库服务器， 使用SSH 建立与应用服务器、数据库服务器之间的数据传输通道。

对系统服务器、 视频管理服务器等设备日志记录进行完整性保护。

3.4 应用和数据安全

密码保护的重要数据：重要业务数据、身份鉴别信息、日志数据等。

密码支撑平台组成：密码支撑平台由CA 证书认证系统、密钥管理系统、服务器密码机、数据库透明加密系统、VPN 网关、智能密码钥匙等组成。

采用的密码措施： 在门禁系统网络链路部署VPN 网关，业务主链路部署综合网关， 在密码服务区部署CA 系统和服务器密码机等密码应用， 工作站安装身份鉴别客户端并使用智能密码钥匙，集成管理系统、文件服务器安装数据库透明加密系统，实现系统的身份鉴别、访问控制信息完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性[2]。

3.4.1 身份鉴别

视频管理系统如采用前端设备接入视频管理系统， 采用SM2 数字签名技术的“挑战一响应”机制实现前端设备的身份鉴别。

工作站用户在PC 终端上安装VPN 客户端， 使用智能密码钥匙，结合VPN 安全网关，实现终端基于SM2 数字签名技术的“挑战一响应”机制登录。

工作站客户端安装时绑定对应服务器IP， 服务器侧设置工作站名称和端口号建立通信。 系统管理员采用账户+ 口令通过客户端直接登录服务器。

日志记录授权登录的工作站，并记录所有操作行为。

3.4.2 访问控制信息完整性

访问控制信息采用HMAC-SM3 密码技术对业务系统的访问控制信息进行完整性防护。 如存在无法改造时，通过严格的系统访问授权机制、 日志审计以及工作管理措施来缓解该项面临的风险。

3.4.3 重要数据存储机密性

对集成管理系统上的重要业务数据采用数据库透明加密系统进行存储加密。 数据库透明加密系统实现SM4 算法的CBC 模式的对称加密。

对视频监控系统使用SM4 算法对视频数据进行存储机密性保护。

对文件服务器存储的打包的数据库备份文件，文件服务器通过部署主机监控与审计系统，工作管理措施增加安全防护。

3.4.4 数据存储完整性

数据存储完整性的数据对象主要针对用户口令、 集成管理服务系统、视频管理系统与文件服务器存储的数据。 针对用户口令，有些系统会使用MD5 算法对用户口令进行存储完整性保护。

在不影响原业务系统的情况下， 采用文件服务器存储的事件等日志信息，使用相应的密码算法进行“篡改检验”完整性保护；视频数据重要业务数据，通过调用服务器密码机，对存储的重要业务数据采用HMAC-SM3 技术实现数据完整性保护。

3.4.5 数据传输机密性和完整性

采用安全网关对系统业务数据传输完整性进行弥补，门禁系统数据上传、配置及授权数据下发，由VPN 安全网关保证数据传输的机密性和完整性。

工作站访问业务系统涉及的重要业务数据通信， 由VPN安全网关实现集成管理系统数据的传输机密性和完整性。

4 结语

实物保护系统未来发展的前景不会局限于自组局域网，子系统大规模组网、集中控制、物联网、云计算、大数据是其必然的方向。 结合核电运行的需要，无论是已建成、在建项目，还是规划的核电，安全要求将会越来越高。 加上国家对于网络安全的法律法规的完善，对已有系统进行密码应用改造、对新建系统提出加密需求是必然的趋势。