水既是人類生存和發(fā)展的基本保障條件,也是國家和社會發(fā)展的重要戰(zhàn)略資源和稀缺性資源,因此,水資源信息數(shù)據(jù)在采集、傳輸、存儲和應(yīng)用過程中需要具有相應(yīng)的可靠性、完整性和機(jī)密性保障,以支撐水資源數(shù)據(jù)信息在政治、經(jīng)濟(jì)、生態(tài)環(huán)境以及國家安全等諸多方面的關(guān)鍵性和戰(zhàn)略性地位。
在目前的水利部、流域、省三級水資源監(jiān)控管理體系中,水資源的信息數(shù)據(jù)安全主要依托國家計算機(jī)系統(tǒng)安全等級防護(hù)標(biāo)準(zhǔn),通過物理安全防護(hù)、網(wǎng)絡(luò)隔離、應(yīng)用訪問控制等手段實現(xiàn),但是,水資源信息數(shù)據(jù)在三級水資源信息管理系統(tǒng)中仍以明文形式存在,當(dāng)數(shù)據(jù)被非法監(jiān)聽或盜取后仍存在泄漏的風(fēng)險,水資源信息數(shù)據(jù)的機(jī)密性面臨著較大的挑戰(zhàn)。
首先,水資源數(shù)據(jù)在采集終端和中心站之間的傳輸容易被非法截獲。在我國三級水資源監(jiān)控管理系統(tǒng)中,省、流域和水利部之間的數(shù)據(jù)傳輸主要通過水利部政務(wù)內(nèi)網(wǎng)這個相對獨立的計算機(jī)域完成,可以構(gòu)建較好的信息安全體系,但在水資源數(shù)據(jù)采集點到省監(jiān)控中心之間,數(shù)據(jù)傳輸大部分還是承載在第三方電信運營商的無線移動通信網(wǎng)絡(luò)上,數(shù)據(jù)的機(jī)密性完全依托在移動通信網(wǎng)絡(luò)的安全機(jī)制上。GSM、CDMA制式的移動通信網(wǎng)絡(luò)在媒體傳輸層采用A5序列密碼算法,用于對從移動終端到移動基站之間的連接加密,特點是效率高,硬件上容易實現(xiàn),但A5算法較弱,算法雖然不公開,但實際已經(jīng)泄漏,一般認(rèn)為不能抵抗情報機(jī)構(gòu)的竊聽。因此,承載于移動通信網(wǎng)絡(luò)的水資源數(shù)據(jù)很容易通過空中接口被非法截獲,導(dǎo)致重要水資源數(shù)據(jù)的泄漏。
其次,水資源數(shù)據(jù)信息明文存儲存在潛在泄漏風(fēng)險。我國計算機(jī)信息安全保護(hù)等級標(biāo)準(zhǔn)規(guī)定了5個級別的信息系統(tǒng)安全保護(hù)能力,建議采用加密措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的存儲保密性,防止計算機(jī)系統(tǒng)在受到暴力侵入情況下,造成關(guān)鍵數(shù)據(jù)信息被非法獲取。水資源數(shù)據(jù)信息長期采用明文存儲同樣存在潛在的泄漏風(fēng)險,因此,在水資源這個較高安全級別的信息系統(tǒng)中需要使用密碼技術(shù),以進(jìn)一步提高安全功能。
為保證我國水資源監(jiān)控管理系統(tǒng)的數(shù)據(jù)安全防護(hù)能力,從國家戰(zhàn)略層面保證水資源數(shù)據(jù)信息的安全,在我國三級水資源監(jiān)控管理系統(tǒng)中,應(yīng)該建立基于密碼技術(shù)的統(tǒng)一支撐平臺,支持高強(qiáng)度身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性以及抗抵賴等安全功能的實現(xiàn)。
東進(jìn)金融數(shù)據(jù)密碼機(jī)(也稱加密機(jī)SJJ1617)就是這樣一個基于硬件加解密技術(shù)的統(tǒng)一支撐平臺,為水資源監(jiān)控管理系統(tǒng)提供密鑰管理、消息驗證、數(shù)據(jù)加密、簽名的產(chǎn)生和驗證等密碼服務(wù),保證水資源數(shù)據(jù)信息在采集、傳輸、存儲和應(yīng)用過程中的完整性、機(jī)密性和不可抵賴性。
圖:東進(jìn)加密機(jī)SJJ1617
1、依托三級水資源監(jiān)控管理體系構(gòu)建三級密鑰管理系統(tǒng)。
利用東進(jìn)加密機(jī)SJJ1617在水利部、流域、省三級監(jiān)控體系中建立三級密鑰管理系統(tǒng),各級系統(tǒng)由SJJ1617和運行于主機(jī)上密鑰管理軟件組成,水利部建立一級密鑰管理系統(tǒng),長江委、黃河委、淮河委等流域管理機(jī)構(gòu)建立二級密鑰管理系統(tǒng),各省水利廳建立三級密鑰管理系統(tǒng),分級負(fù)責(zé)生成、管理不同級別密鑰的密鑰管理系統(tǒng)。
在水利部一級密鑰管理系統(tǒng)中,東進(jìn)加密機(jī)SJJ1617生成全網(wǎng)傳輸?shù)囊患壝荑,并通過水利部一級密鑰管理系統(tǒng)向各流域二級密鑰管理系統(tǒng)分散,在各級密鑰管理系統(tǒng)中,SJJ1617通過分散依次生成各級密鑰,生成跨水利部、流域、省以及采集終端的的全網(wǎng)傳輸主密鑰,從而構(gòu)成分層分級的分布式密鑰管理體系。
2、對采集終端和中心站之間的數(shù)據(jù)進(jìn)行加解密運算,實現(xiàn)關(guān)鍵數(shù)據(jù)的加密傳輸。
采集終端內(nèi)置的安全加密模塊與位于中心站SJJ1617構(gòu)成一個承載于第三方移動通信網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸通道。在采集終端和中心站通信建立連接之前,終端安全加密模塊和SJJ1617利用加密算法進(jìn)行會話初始化驗證,實現(xiàn)采集終端和中心站之間的雙向認(rèn)證,保證數(shù)據(jù)傳輸過程中的完整性;當(dāng)雙向認(rèn)證通過后,終端安全加密模塊和SJJ1617即可對關(guān)鍵報文或會話過程進(jìn)行加密,并通過第三方移動通信網(wǎng)絡(luò)進(jìn)行傳輸,實現(xiàn)重要業(yè)務(wù)數(shù)據(jù)的保密性傳輸。
3、通過數(shù)據(jù)加密,實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)存儲機(jī)密性和完整性。
對于需要存儲的關(guān)鍵數(shù)據(jù),信息管理系統(tǒng)首先調(diào)用東進(jìn)加密機(jī)SJJ1617接口,將數(shù)據(jù)加載到SJJ1617內(nèi)進(jìn)行加密,然后再由信息管理系統(tǒng)對每次加密后的數(shù)據(jù)進(jìn)行存儲,當(dāng)需要從存儲系統(tǒng)中調(diào)用數(shù)據(jù)時,再反方向進(jìn)行解密。SJJ1617加解密操作對數(shù)據(jù)使用者來說是完全透明的,可根據(jù)需要進(jìn)行明文和密文的轉(zhuǎn)換工作。
隨著水資源在我國政治、經(jīng)濟(jì)以及安全等方面戰(zhàn)略性地位的逐漸上升,水資源數(shù)據(jù)已經(jīng)成為我國重要的關(guān)鍵性戰(zhàn)略信息,保證水資源數(shù)據(jù)在傳輸、存儲以及應(yīng)用過程的完整性、機(jī)密性和不可抵賴性是一種重要的戰(zhàn)略安全舉措,東進(jìn)加密機(jī)SJJ1617支持國密SM2/SM3/SM4算法,支持DES、3DES、IDEA、AES對稱算法,支持MD5、SHA-1、SHA-256散列算法,支持1024位和2048位RSA非對稱算法,能為水資源信息的數(shù)據(jù)安全提供強(qiáng)大的保護(hù),完全滿足我國水資源監(jiān)測管理系統(tǒng)的數(shù)據(jù)安全需求。
關(guān)于東進(jìn)技術(shù):
深圳市東進(jìn)技術(shù)股份有限公司,簡稱東進(jìn)技術(shù),是全球領(lǐng)先的行業(yè)設(shè)備和方案供應(yīng)商。公司聚集了一流的產(chǎn)品研發(fā)工程師和技術(shù)服務(wù)隊伍,東進(jìn)產(chǎn)品廣泛應(yīng)用于政府、銀行、證券、軍隊等行業(yè)以及金融電子支付、信息安全、企業(yè)通信、呼叫中心、電信運營、應(yīng)急指揮等領(lǐng)域,東進(jìn)在全球擁有數(shù)千家產(chǎn)業(yè)鏈合作伙伴,營銷及服務(wù)網(wǎng)絡(luò)遍布全球,致力于為客戶提供快速、優(yōu)質(zhì)的產(chǎn)品與服務(wù)。依托20多年自主知識產(chǎn)權(quán)的積累,東進(jìn)技術(shù)陸續(xù)推出了一系列針對金融行業(yè)的產(chǎn)品,并已應(yīng)用到包括中國建行、中國農(nóng)行、中國銀行以及民生、光大在內(nèi)的超過100家國有、股份、商業(yè)銀行、金融企業(yè)和支付平臺中,獲得廣泛贊譽(yù)。