水既是人类生存和发展的基本保障条件,也是国家和社会发展的重要战略资源和稀缺性资源,因此,水资源信息数据在采集、传输、存储和应用过程中需要具有相应的可靠性、完整性和机密性保障,以支撑水资源数据信息在政治、经济、生态环境以及国家安全等诸多方面的关键性和战略性地位。
在目前的水利部、流域、省三级水资源监控管理体系中,水资源的信息数据安全主要依托国家计算机系统安全等级防护标准,通过物理安全防护、网络隔离、应用访问控制等手段实现,但是,水资源信息数据在三级水资源信息管理系统中仍以明文形式存在,当数据被非法监听或盗取后仍存在泄漏的风险,水资源信息数据的机密性面临着较大的挑战。
首先,水资源数据在采集终端和中心站之间的传输容易被非法截获。在我国三级水资源监控管理系统中,省、流域和水利部之间的数据传输主要通过水利部政务内网这个相对独立的计算机域完成,可以构建较好的信息安全体系,但在水资源数据采集点到省监控中心之间,数据传输大部分还是承载在第三方电信运营商的无线移动通信网络上,数据的机密性完全依托在移动通信网络的安全机制上。GSM、CDMA制式的移动通信网络在媒体传输层采用A5序列密码算法,用于对从移动终端到移动基站之间的连接加密,特点是效率高,硬件上容易实现,但A5算法较弱,算法虽然不公开,但实际已经泄漏,一般认为不能抵抗情报机构的窃听。因此,承载于移动通信网络的水资源数据很容易通过空中接口被非法截获,导致重要水资源数据的泄漏。
其次,水资源数据信息明文存储存在潜在泄漏风险。我国计算机信息安全保护等级标准规定了5个级别的信息系统安全保护能力,建议采用加密措施实现系统管理数据、鉴别信息和重要业务数据的存储保密性,防止计算机系统在受到暴力侵入情况下,造成关键数据信息被非法获取。水资源数据信息长期采用明文存储同样存在潜在的泄漏风险,因此,在水资源这个较高安全级别的信息系统中需要使用密码技术,以进一步提高安全功能。
为保证我国水资源监控管理系统的数据安全防护能力,从国家战略层面保证水资源数据信息的安全,在我国三级水资源监控管理系统中,应该建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性以及抗抵赖等安全功能的实现。
东进金融数据密码机(也称加密机SJJ1617)就是这样一个基于硬件加解密技术的统一支撑平台,为水资源监控管理系统提供密钥管理、消息验证、数据加密、签名的产生和验证等密码服务,保证水资源数据信息在采集、传输、存储和应用过程中的完整性、机密性和不可抵赖性。
图:东进加密机SJJ1617
1、依托三级水资源监控管理体系构建三级密钥管理系统。
利用东进加密机SJJ1617在水利部、流域、省三级监控体系中建立三级密钥管理系统,各级系统由SJJ1617和运行于主机上密钥管理软件组成,水利部建立一级密钥管理系统,长江委、黄河委、淮河委等流域管理机构建立二级密钥管理系统,各省水利厅建立三级密钥管理系统,分级负责生成、管理不同级别密钥的密钥管理系统。
在水利部一级密钥管理系统中,东进加密机SJJ1617生成全网传输的一级密钥,并通过水利部一级密钥管理系统向各流域二级密钥管理系统分散,在各级密钥管理系统中,SJJ1617通过分散依次生成各级密钥,生成跨水利部、流域、省以及采集终端的的全网传输主密钥,从而构成分层分级的分布式密钥管理体系。
2、对采集终端和中心站之间的数据进行加解密运算,实现关键数据的加密传输。
采集终端内置的安全加密模块与位于中心站SJJ1617构成一个承载于第三方移动通信网络的数据安全传输通道。在采集终端和中心站通信建立连接之前,终端安全加密模块和SJJ1617利用加密算法进行会话初始化验证,实现采集终端和中心站之间的双向认证,保证数据传输过程中的完整性;当双向认证通过后,终端安全加密模块和SJJ1617即可对关键报文或会话过程进行加密,并通过第三方移动通信网络进行传输,实现重要业务数据的保密性传输。
3、通过数据加密,实现数据库数据存储机密性和完整性。
对于需要存储的关键数据,信息管理系统首先调用东进加密机SJJ1617接口,将数据加载到SJJ1617内进行加密,然后再由信息管理系统对每次加密后的数据进行存储,当需要从存储系统中调用数据时,再反方向进行解密。SJJ1617加解密操作对数据使用者来说是完全透明的,可根据需要进行明文和密文的转换工作。
随着水资源在我国政治、经济以及安全等方面战略性地位的逐渐上升,水资源数据已经成为我国重要的关键性战略信息,保证水资源数据在传输、存储以及应用过程的完整性、机密性和不可抵赖性是一种重要的战略安全举措,东进加密机SJJ1617支持国密SM2/SM3/SM4算法,支持DES、3DES、IDEA、AES对称算法,支持MD5、SHA-1、SHA-256散列算法,支持1024位和2048位RSA非对称算法,能为水资源信息的数据安全提供强大的保护,完全满足我国水资源监测管理系统的数据安全需求。
关于东进技术:
深圳市东进技术股份有限公司,简称东进技术,是全球领先的行业设备和方案供应商。公司聚集了一流的产品研发工程师和技术服务队伍,东进产品广泛应用于政府、银行、证券、军队等行业以及金融电子支付、信息安全、企业通信、呼叫中心、电信运营、应急指挥等领域,东进在全球拥有数千家产业链合作伙伴,营销及服务网络遍布全球,致力于为客户提供快速、优质的产品与服务。依托20多年自主知识产权的积累,东进技术陆续推出了一系列针对金融行业的产品,并已应用到包括中国建行、中国农行、中国银行以及民生、光大在内的超过100家国有、股份、商业银行、金融企业和支付平台中,获得广泛赞誉。