奥联入选工信部密码应用研究中心首届全国商用密码应用优秀案例
为深入贯彻落实《密码法》,加快推进商用密码规范应用,在工业和信息化部和国家密码管理局的指导下,工业和信息化部密码应用研究中心组织开展了首届全国商用密码应用优秀案例征集活动,奥联提交的“基于轻量级国密算法的物联网安全解决方案”成功入选,收录至《全国商用密码应用优秀案例汇编》。
本次活动征集到涵盖了工业互联网、车联网、电子政务、信息通信等重点行业领域案例共计102项。为实现本次活动的公正、严谨,中心组织开展两轮案例评审。其中,第一轮重点针对申报材料的专业性、编写质量、与密码应用的相关性等方面开展评价,共选出25项案例进入次轮评审。第二轮评审,成立了以中国工程院院士冯登国为组长、以密码行业产、学、研、政等领域专家为评委的评审组,通过集中评审,现场质询、材料查阅等环节,最终评选出15项优秀案例。
同时,为持续发挥案例征集活动产业促进效用,进一步凝聚智慧、形成合力,研究中心统筹安排相关单位对案例内容进行提炼总结,编制形成《全国商用密码应用优秀案例汇编》。该汇编聚焦于商用密码新业态,详细介绍了商用密码在工业互联网、车联网、信息通信等重要行业领域的的应用现状、风险挑战以及应对策略,可为商用密码厂商、商用密码检测机构以及广大信息系统运营者的建设应用提供思路。
案例介绍:基于轻量级国密算法的物联网安全解决方案
本案例以某石油工控系统安全建设为背景,阐述轻量级国密算法在石油行业物联网场景下的安全应用及技术优势:
一、行业挑战
石油控制系统以往依赖于互联网或者 TCP/IP 网络对工业设备及终端进行管控,工控系统从硬件层到软件应用层均可能存在安全隐患,且随着信息化系统的复杂程度越来越高,系统脆弱点和漏洞越来越多,传统的网络安全技术已不能保障工控系统的安全性。
在该案例中,项目的油田信息化系统建设初期规划已不能满足现代安全需求,各办公设备、业务系统、密码使用相对独立和分散,缺少统一管理。一是当前在用的办公设备主要包括:云桌面、交换机、监管系统等,这些设备目前数据传输均采用明文方式,且接入服务端系统的认证仍使用传统方式;二是在工控网络、视频监控网络中的设备缺少统一认证、统一管理及数据安全存储;三是针对现有工作人员,以往口令式的身份认证系统已不能满足现有业务发展需要。亟需建设一套安全轻量的密码服务设施,为办公系统、工业控制系统、视频监控系统等提供数据全生命周期安全保护。
二、案例简介
本案例按照石油控制系统中网络传输、认证、存储安全需求,以轻量级密码算法SM9为核心,综合部署轻量级密码产品体系,为石油工控系统提供“轻量、高效、安全”的整体安全解决方案,在人员办公协助系统、工业控制操作系统、视频监控系统、终端设备数据采集方面,实现身份认证、传输加密、存储加密、防泄密、防篡改、抗抵赖等功能,避免了越权访问、横向控制等多种安全问题,达到密码测评三级要求。
总体方案架构
三、应用场景架构图及讲解
在xx油田项目中,分为二期工程进行实施:
一是改造办公区业务系统,实现密码安全能力集成。在不改变原业务系统情况下,通过部署密钥基础设施及统一身份认证平台实现增强级的人员身份认证、安全接入、以及数据加密传输、存储保护,覆盖办公类桌面系统、云平台、监控系统、监管系统等,经过授权机制实现单点登录,即授权工作人员一次安全认证即可登录多个系统,目前已为该油田项目4万多工作人员提供安全服务。
二是建设工控系统安全接入平台,为操作系统、视频监控系统及物联网设备终端采集系统提供数据全生命周期安全保护。项目上涉及种类多样的操作业务系统、摄像头、RTU、TTU等终端设备或软件程序,需要对采集的数据进行加密处理。本案例核心应用SM9算法,具有标识加密、无证书、速度快、低带宽占用等优势,非常适合海量物场景下的数据加密及认证,在项目上已为8000+终端设提供安全保障,为业务系统数据采集、传输、存储、共享进行全方位保护。以下是应用场景架构:
石油工控系统密码应用架构
案例基于四个层面(应用层-安全层-网络层-感知层)实现数据流转的整体安全,从感知层终端数据采集开始,在磕头机、RTU、TTU、LoRa网关、无线通信、摄像头等终端设备前端部署安全网关/模块,提供安全认证及安全接入,再与网络层间构建安全传输通道,在数据流转过程中保证数据的完整性、真实性、可用性及防篡改。安全层为密码产品应用层,通过构建密码基础设施及密码安全平台,以标准接口对接石油工控系统各个平台及业务系统。在应用层通过人员强身份认证及授权访问机制进入业务系统获取并使用数据图表。针对敏感信息,结合数据脱敏技术,保障数据不被非法窃取和泄露,实现“数据可信,安全可控”的防护目标。
四、实施效果
(一)助力客户实现自主可控,安全升级
方案采用全国产化设备及操作系统,实现安全合规,且符合等保、密评三级要求,以信息安全政策为主导,完善了客户业务系统密码建设需求,提高了客户自主可控安全能力,规范了客户数据安全管理流程及使用,解决了明文传输、数据泄露、防护能力不足等安全问题,同步实现人员身份认证、数据加密传输存储,有效防止黑客攻击、数据泄露、数据篡改,提升系统整体安全能力,保障数据安全。
(二)为石油行业提供轻量级密码应用示范
案例以轻量级密码算法SM9为核心,具备高效、短签名、低延时、低消耗等特点,能够为超大量数据提供高效率的加解密、传输、存储、交换等安全功能。通过部署统一密码服务平台,提供密码综合治理能力,全方位保障数据隐私,方便客户自我管理和维护,降低人工及维护成本,并支持后期业务拓展需求,为客户提供一次建设,多级使用的密码安全服务。项目完成后,已服务4万+用户,采集端设备覆盖8000+个,为产业形成示范效益。
(三)降低系统损耗,减少部署成本
在案例实践中,传统PKI/CA证书费用较高,而且面临一个主要挑战“物联网场景下由于传输带宽不足导致的网络延时问题”。项目通过应用轻量级算法SM9,由于算法的无证书特性,在安全可靠的同时节省了大量的证书费用。在带宽方面,通过软件密码模块结合无线通讯方式,每个信道占用带宽只有几十K,不容易受到同频干扰,误码率极低,保证了工业数据传输的稳定和准确性,且在上位机易控组态软件中,轻松完成通讯,在PLC端无需编写任何程序,使用简单,大大降低了设备的维修费用、备件费用和人工费用,创造了良好的经济效益。
