蘇龍峰, 王濱濱

(上海飛奧燃?xì)庠O(shè)備有限公司 燃?xì)庵悄芟到y(tǒng)及產(chǎn)品研發(fā)中心，上海200120)

1 概述

2020年1月15日，國(guó)家信息中心發(fā)布《2019年中國(guó)網(wǎng)絡(luò)安全報(bào)告》，針對(duì)2019年惡意軟件、惡意網(wǎng)址、移動(dòng)安全、CVE漏洞、互聯(lián)網(wǎng)安全、Linux病毒及未來(lái)互聯(lián)網(wǎng)安全趨勢(shì)進(jìn)行了詳細(xì)分析。該報(bào)告顯示，2019年病毒樣本總量很大，勒索軟件和挖礦病毒呈現(xiàn)爆發(fā)態(tài)勢(shì)。

2019年1月，國(guó)家工業(yè)信息安全發(fā)展研究中心首次發(fā)布的《2018年度工業(yè)信息安全形勢(shì)分析》認(rèn)為，隨著改革開放的不斷深入，工業(yè)領(lǐng)域社會(huì)生產(chǎn)力得以迅猛發(fā)展，兩化融合日益深化，工業(yè)生產(chǎn)環(huán)境從封閉走向開放，工業(yè)控制系統(tǒng)由單機(jī)走向互聯(lián)，廣泛用于核設(shè)施、航天航空、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸?shù)葒?guó)家核心領(lǐng)域。然而，全球范圍內(nèi)針對(duì)工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊有增無(wú)減，信息竊取、勒索攻擊、病毒感染、網(wǎng)絡(luò)間諜、黑客入侵等攻擊手段花樣多變，攫取經(jīng)濟(jì)利益、盜取知識(shí)產(chǎn)權(quán)、攻擊關(guān)鍵信息基礎(chǔ)設(shè)施等大規(guī)模的安全事件屢有發(fā)生，對(duì)政治、經(jīng)濟(jì)、軍事、國(guó)家和社會(huì)安全等造成直接威脅和現(xiàn)實(shí)影響，工業(yè)信息安全成為各國(guó)政府高度關(guān)注的重大安全領(lǐng)域。

城市燃?xì)馐巧鐣?huì)公共事業(yè)中的重要組成部分，在物聯(lián)網(wǎng)的浪潮趨勢(shì)推動(dòng)下，遠(yuǎn)傳智能燃?xì)獗硪殃懤m(xù)進(jìn)入了千家萬(wàn)戶，物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)是對(duì)外公開的物聯(lián)網(wǎng)SAAS云產(chǎn)品，其信息安全面臨著諸多挑戰(zhàn)，除了滿足燃?xì)夤镜娜粘＿\(yùn)營(yíng)和業(yè)務(wù)，保障居民用戶的日常使用外，如何保證設(shè)備安全、用戶信息安全、燃?xì)獗碓O(shè)備安全、網(wǎng)絡(luò)安全、軟件平臺(tái)安全、數(shù)據(jù)安全，是本文研究的主要目的。

2 物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)信息安全框架

信息的3要素：信源、信道、信宿。在物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)中，信源是燃?xì)獗砀鶕?jù)居民用戶燃?xì)馐褂们闆r采集來(lái)的原始信息，包含用氣量、異常情況、電池電壓、網(wǎng)絡(luò)信號(hào)強(qiáng)度、報(bào)警等。信道是燃?xì)獗硗ㄟ^(guò)運(yùn)營(yíng)商提供的無(wú)線網(wǎng)絡(luò)信道，采集到的數(shù)據(jù)信息傳輸?shù)皆贫斯芾砥脚_(tái)中經(jīng)歷的所有通信設(shè)備；到達(dá)信息目的地存儲(chǔ)后供后續(xù)使用，即信宿。

物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)信息安全框架在設(shè)計(jì)之初，從信息的3要素出發(fā)，覆蓋了信息4個(gè)維度，4個(gè)維度的安全策略確保信息在時(shí)間空間上的安全。

除此之外，如何預(yù)防IT運(yùn)維人員的誤操作也是考慮內(nèi)容之一。由于管理上漏洞，系統(tǒng)權(quán)限管理的不規(guī)范，IT業(yè)界經(jīng)常出現(xiàn)因運(yùn)維人員的誤操作導(dǎo)致的系統(tǒng)事故，例如數(shù)據(jù)文件或數(shù)據(jù)庫(kù)記錄被誤刪除，服務(wù)器文件被刪除，導(dǎo)致系統(tǒng)被破壞，無(wú)法正常運(yùn)行，事后也無(wú)法完全恢復(fù)。物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)的安全框架從“天災(zāi)”和“人禍”雙管齊下進(jìn)行防護(hù)，確保信息安全。

物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)信息安全框架的目的是服務(wù)于開放應(yīng)用系統(tǒng)和用戶，全方位保證數(shù)據(jù)和設(shè)備安全。其主要包括設(shè)備安全策略、平臺(tái)應(yīng)用安全策略、IT運(yùn)維管理、密鑰系統(tǒng)安全策略4個(gè)方面。設(shè)備安全策略主要包括燃?xì)獗碓O(shè)備和服務(wù)器設(shè)備，即數(shù)據(jù)的采集端和數(shù)據(jù)的收集端；平臺(tái)應(yīng)用安全策略側(cè)重于軟件系統(tǒng)的技術(shù)配置手段；IT運(yùn)維管理側(cè)重于如何進(jìn)行科學(xué)有效的運(yùn)維管理，防止因人為原因?qū)е乱馔獾陌l(fā)生；密鑰系統(tǒng)確保數(shù)據(jù)在傳輸過(guò)程中的安全性、唯一性和不可篡改性。

密鑰系統(tǒng)(Key Manage System)簡(jiǎn)稱KMS，在密鑰系統(tǒng)中，密鑰的生產(chǎn)、分配、下發(fā)、更新、銷毀、存儲(chǔ)以及安全高效的管理全部由密鑰系統(tǒng)進(jìn)行統(tǒng)一調(diào)度。原始信息從燃?xì)獗斫K端設(shè)備的數(shù)據(jù)采集，經(jīng)過(guò)運(yùn)營(yíng)商的網(wǎng)絡(luò)通信傳輸?shù)皆破脚_(tái)應(yīng)用系統(tǒng)中，密鑰是燃?xì)獗斫K端設(shè)備和云平臺(tái)之間交互的安全鑰匙，信息的下達(dá)和上傳經(jīng)過(guò)嚴(yán)密的驗(yàn)證后才可以通行。密鑰系統(tǒng)通過(guò)Restful API接口方式與其他系統(tǒng)對(duì)接，在最壞的情況下，即使數(shù)據(jù)在傳輸過(guò)程中被捕獲或者監(jiān)聽到，意外泄露，但是加密后的報(bào)文依然無(wú)法破解。

3 設(shè)備安全策略

3.1 物聯(lián)網(wǎng)智能燃?xì)獗?/h3>

物聯(lián)網(wǎng)智能燃?xì)獗硎钦麄€(gè)系統(tǒng)的終端實(shí)體部分，精益的制造工藝、鍍鋅鋼化外殼結(jié)構(gòu)確保燃?xì)獗淼奈锢硗暾院兔荛]性，從而保證內(nèi)部機(jī)械結(jié)構(gòu)、計(jì)數(shù)器等電子電路不會(huì)輕易外露和破壞，穩(wěn)定的結(jié)構(gòu)確保了智能燃?xì)獗碓谡＿\(yùn)轉(zhuǎn)下可以正常采集數(shù)據(jù)，從而保障了數(shù)據(jù)采集的安全性、可靠性和準(zhǔn)確性。

為了有效防止對(duì)結(jié)構(gòu)的人為惡意破壞，智能燃?xì)獗碓谠O(shè)計(jì)之初，內(nèi)置了安全報(bào)警觸發(fā)器。當(dāng)燃?xì)獗須んw受到外界物理惡意性破壞的時(shí)候，觸發(fā)報(bào)警機(jī)制會(huì)打開；當(dāng)燃?xì)獗硎艿酵饨绲膹?qiáng)磁干擾后，也會(huì)觸發(fā)報(bào)警機(jī)制。報(bào)警信息會(huì)上傳到后臺(tái)管理系統(tǒng)，后臺(tái)管理人員登錄系統(tǒng)后，可以第一時(shí)間發(fā)現(xiàn)和采取有效的對(duì)策。

物聯(lián)網(wǎng)智能燃?xì)獗磉\(yùn)行在廚房等相對(duì)復(fù)雜的環(huán)境下，涉及到可燃性氣體，在防爆等級(jí)方面屬于本質(zhì)安全型，實(shí)現(xiàn)了燃?xì)獗淼姆辣燃?jí)認(rèn)證。氣溫是影響燃?xì)獗淼闹匾獏?shù)，包括計(jì)量數(shù)據(jù)采集和電子元件的穩(wěn)定性，物聯(lián)網(wǎng)智能燃?xì)獗砜梢栽诟叩蜏?10～40 ℃環(huán)境下正常運(yùn)行、數(shù)據(jù)采集和通信。粉塵和空氣濕度也將影響燃?xì)獗淼姆€(wěn)定性和精準(zhǔn)性，物聯(lián)網(wǎng)智能燃?xì)獗硗瑫r(shí)也支持IP65級(jí)的防塵防水。

綜上所述，鍍鋅鋼化的外殼結(jié)構(gòu)、防爆等級(jí)認(rèn)證、高低溫運(yùn)行、IP65級(jí)防塵防水和觸發(fā)報(bào)警機(jī)制等手段都將確保燃?xì)獗碓诓杉瘮?shù)據(jù)時(shí)擁有一個(gè)穩(wěn)定的環(huán)境，防止數(shù)據(jù)被惡意篡改，預(yù)防外界的干擾，提高計(jì)量的精度，確保采集數(shù)據(jù)的準(zhǔn)確性，確保數(shù)據(jù)原始信息(信源)的安全真實(shí)與可靠。

3.2 服務(wù)器環(huán)境

服務(wù)器是網(wǎng)絡(luò)通信的重要環(huán)節(jié)，服務(wù)器環(huán)境的穩(wěn)定也保證了服務(wù)器物理安全性，阿里、百度、騰訊、華為、電信等云服務(wù)器廠商提供ECS云服務(wù)器，具有多重電路冗余防護(hù)，防止服務(wù)器意外斷電。聯(lián)通、電信、移動(dòng)多線冗余防止網(wǎng)絡(luò)單線路故障，超大的帶寬提高信息傳遞的速率。防震防災(zāi)提供穩(wěn)定的服務(wù)器環(huán)境，外界環(huán)境物理防護(hù)，保證機(jī)房應(yīng)用服務(wù)器的網(wǎng)絡(luò)和設(shè)備安全，確保云平臺(tái)的系統(tǒng)穩(wěn)定和可靠。

3.3 防火墻

防火墻的基本功能：監(jiān)控過(guò)濾進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)，預(yù)防網(wǎng)絡(luò)攻擊和報(bào)警，隔離網(wǎng)絡(luò)環(huán)境。傳統(tǒng)的防火墻已無(wú)法應(yīng)對(duì)互聯(lián)網(wǎng)的威脅，伴隨著防火墻的演變更新和升級(jí)，防火墻也分離出來(lái)不同的形態(tài)：下一代防火墻、云防火墻和Web防火墻(WAF)。云防火墻，是借助知名公司安全團(tuán)隊(duì)云端的技術(shù)經(jīng)驗(yàn)，量身定制的融合訪問(wèn)控制、業(yè)務(wù)隔離、流量識(shí)別等功能的網(wǎng)絡(luò)安全產(chǎn)品。集成了全網(wǎng)的威脅情報(bào)，實(shí)時(shí)監(jiān)測(cè)云上主機(jī)的失陷情況，可對(duì)惡意主動(dòng)外聯(lián)活動(dòng)智能攔截。同時(shí)集成了基于攻擊者視角的漏掃能力，針對(duì)新發(fā)現(xiàn)的0-day 及高危漏洞，可通過(guò) IPS 模塊的虛擬補(bǔ)丁技術(shù)，及時(shí)修復(fù)虛擬機(jī)的漏洞，無(wú)需重啟系統(tǒng)，不影響業(yè)務(wù)正常使用。云防火墻對(duì)云上的流量安全做到可信、可控、可審計(jì)，是云上流量安全中心、策略管控中心。Web防火墻可以監(jiān)控Web應(yīng)用下所有往來(lái)的請(qǐng)求和響應(yīng)的流量數(shù)據(jù)，阻止不正常的IP和過(guò)濾非法請(qǐng)求信息，預(yù)防SQL(數(shù)據(jù)庫(kù)腳本)注入和XSS(跨站腳本)攻擊，創(chuàng)建規(guī)則和策略等。

物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)采用下一代防火墻和Web防火墻結(jié)合的方式，這些防火墻在面臨新的威脅時(shí)，更加智能化、人性化，應(yīng)對(duì)的手段更加多樣化，防護(hù)體系更加完善，加上云端的大數(shù)據(jù)支持，使得系統(tǒng)安全性大大提升。

4 平臺(tái)應(yīng)用安全策略

4.1 HTTP/HTTPS

HTTPS= HTTP協(xié)議(超文本傳輸協(xié)議) + SSL/TLS協(xié)議，隨著數(shù)據(jù)安全的要求越來(lái)越高，HTTPS的覆蓋范圍會(huì)越來(lái)越大。在數(shù)據(jù)傳輸過(guò)程中，HTTP報(bào)文一旦被捕獲，可以查看到所有傳輸?shù)臄?shù)據(jù)信息，我們需要確保傳輸過(guò)程中信息的絕對(duì)安全，即使在傳輸過(guò)程中被捕獲也要確保信息無(wú)法被破解，HTTPS加密機(jī)制是最好的應(yīng)對(duì)策略。當(dāng)然HTTPS也有不足之處，HTTPS的加密和解密機(jī)制中，加密意味著解密，雙向的加解密會(huì)降低服務(wù)器的性能和吞吐量，影響打開速度和增加服務(wù)器的負(fù)荷。目前的Web架構(gòu)基本上都是前后端分離的形式，靜態(tài)資源和媒體類文件都會(huì)使用CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))，CDN可以有效減小服務(wù)器的壓力，提升服務(wù)器的性能，同時(shí)加速Web應(yīng)用的訪問(wèn)速度。Web應(yīng)用后端數(shù)據(jù)接口時(shí)使用HTTPS，JSON數(shù)據(jù)的內(nèi)容相對(duì)文件類數(shù)據(jù)要小很多，這樣既可以有效提高網(wǎng)站的性能，同時(shí)也可以保證核心數(shù)據(jù)的安全。

4.2 反爬蟲機(jī)制

HTTP的基本原理就是請(qǐng)求響應(yīng)，用戶在瀏覽器和服務(wù)器之間是無(wú)狀態(tài)的連接。當(dāng)用戶在瀏覽網(wǎng)頁(yè)時(shí)，輸入網(wǎng)址，DNS服務(wù)器找到域名對(duì)應(yīng)的IP地址，本地網(wǎng)絡(luò)和遠(yuǎn)程IP進(jìn)行握手通信，建立TCP/IP的連接，連接通道建立進(jìn)行數(shù)據(jù)傳輸和通信，服務(wù)器根據(jù)客戶端的請(qǐng)求進(jìn)行響應(yīng)，客戶端得到數(shù)據(jù)后在瀏覽器進(jìn)行渲染和呈現(xiàn)。瀏覽器的每個(gè)請(qǐng)求信息中均包含請(qǐng)求的地址、Host、URL參數(shù)、POST參數(shù)、支持的格式編碼壓縮、是否需要保持連接、Refer、User-Agent、Cookie、代理等信息，這些請(qǐng)求信息會(huì)送達(dá)到服務(wù)器后端，后端接收到請(qǐng)求信息后會(huì)進(jìn)行復(fù)雜的邏輯判斷，從而識(shí)別此次請(qǐng)求是否合法。

物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)在安全架構(gòu)設(shè)計(jì)時(shí)涵蓋了所有輸入點(diǎn)的安全風(fēng)險(xiǎn)，軟件層面，在開發(fā)的過(guò)程中，利用正則表達(dá)，前端后端都會(huì)同時(shí)限制字符的輸入、數(shù)據(jù)的長(zhǎng)度、類型、格式等，后臺(tái)代碼與數(shù)據(jù)庫(kù)交互的過(guò)程中全部參數(shù)化查詢，正則表達(dá)敏感信息過(guò)濾等，防止SQL腳本注入的安全漏洞，在預(yù)防機(jī)器人爬蟲方面使用圖片驗(yàn)證碼機(jī)制。

爬蟲無(wú)法完全限制，為防止機(jī)器人爬蟲，除了在網(wǎng)站添加和遵循Robot協(xié)議外，還會(huì)對(duì)云平臺(tái)系統(tǒng)反爬蟲進(jìn)行限制和防護(hù)，例如：沒有User-Agent信息的請(qǐng)求都視為非法請(qǐng)求，使用網(wǎng)站的圖片請(qǐng)求中沒有refer信息的視為非法請(qǐng)求，若單個(gè)IP單位時(shí)間內(nèi)，請(qǐng)求次數(shù)過(guò)大，也屬于非法請(qǐng)求或者視為攻擊行為，這些限制策略和防控策略可以增加爬蟲獲取信息的復(fù)雜度、時(shí)間和成本。

4.3 數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是指對(duì)某些敏感信息通過(guò)脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對(duì)真實(shí)數(shù)據(jù)進(jìn)行改造并提供測(cè)試使用，如身份證號(hào)、手機(jī)號(hào)、卡號(hào)、客戶號(hào)等個(gè)人信息都需要進(jìn)行數(shù)據(jù)脫敏。例如：手機(jī)號(hào)顯示為188****2707。

智能燃?xì)獗硐到y(tǒng)中，燃?xì)夤镜臉I(yè)務(wù)涵蓋了居民用戶的個(gè)人信息，如果居民用戶到燃?xì)夤鹃_戶，需要用自己的個(gè)人信息，有手機(jī)號(hào)、家庭地址、身份證信息，甚至房產(chǎn)證信息等，這些數(shù)據(jù)屬于居民用戶極其敏感的信息，如何保證這些信息安全極其重要，一旦數(shù)據(jù)泄露將產(chǎn)生不可估量的影響?，F(xiàn)在的互聯(lián)網(wǎng)行業(yè)中，隨著技術(shù)的發(fā)展，技術(shù)工種分類越來(lái)越精細(xì)，DBA數(shù)據(jù)庫(kù)管理員和IT運(yùn)維人員對(duì)系統(tǒng)擁有最高管理權(quán)限，權(quán)限和風(fēng)險(xiǎn)并存，如何預(yù)防系統(tǒng)內(nèi)部信息泄露也是信息安全需要重點(diǎn)考慮的問(wèn)題。

智能燃?xì)獗硐到y(tǒng)安全架構(gòu)在設(shè)計(jì)之初，充分考慮到數(shù)據(jù)持久化存儲(chǔ)后加密的加密機(jī)制，在敏感信息上進(jìn)行加密操作。在現(xiàn)在主流的關(guān)系型數(shù)據(jù)庫(kù)中，表信息通過(guò)字段冗余、多字段存儲(chǔ)、加密真實(shí)數(shù)據(jù)字段、脫敏模糊處理顯示字段、數(shù)據(jù)的加密和解密通過(guò)密鑰系統(tǒng)進(jìn)行數(shù)據(jù)加工。例如手機(jī)號(hào)字段，用戶在Web端應(yīng)用打開瀏覽器，提交手機(jī)號(hào)和驗(yàn)證碼，注冊(cè)自己的身份信息時(shí)，手機(jī)號(hào)從前端表單提交到后端，后端調(diào)用密鑰系統(tǒng)的API進(jìn)行數(shù)據(jù)加密操作，加密后的數(shù)據(jù)將全部存儲(chǔ)，在保證信息全面和保證業(yè)務(wù)功能的情況下，確保數(shù)據(jù)存儲(chǔ)的安全性。如果需要短信通知用戶，使用明文手機(jī)號(hào)(即全部顯示的手機(jī)號(hào))，那么需要再次調(diào)用密鑰系統(tǒng)API接口，解密加密后的手機(jī)號(hào)，得到明文手機(jī)號(hào)，然后再發(fā)送短信通知燃?xì)庥脩簟Ｓ直热?，在智能燃?xì)獗硐到y(tǒng)中，對(duì)于用戶賬號(hào)和密碼數(shù)據(jù)，用戶登錄的密碼信息采用MD5哈希算法進(jìn)行加密，并對(duì)哈希值再次進(jìn)行加鹽的處理，以防止攻擊者窮舉MD5哈希值進(jìn)行暴力破解，在最壞的工況下，即使數(shù)據(jù)庫(kù)備份文件被人為獲取，MD5加鹽的方式依然可以保護(hù)真實(shí)的密碼不會(huì)泄露。

5 密鑰系統(tǒng)安全策略

5.1 密鑰系統(tǒng)簡(jiǎn)介

在整個(gè)物聯(lián)網(wǎng)智能燃?xì)庀到y(tǒng)信息安全架構(gòu)體系中，密鑰系統(tǒng)獨(dú)立于平臺(tái)內(nèi)的其他應(yīng)用系統(tǒng)，其他應(yīng)用系統(tǒng)接入到密鑰系統(tǒng)只能通過(guò)內(nèi)網(wǎng)架構(gòu)Web API接口訪問(wèn)。各應(yīng)用系統(tǒng)之間調(diào)用環(huán)境隔離，在日常業(yè)務(wù)開展和數(shù)據(jù)實(shí)際使用過(guò)程中，密鑰系統(tǒng)設(shè)計(jì)人員會(huì)對(duì)信息的重要性和保密等級(jí)進(jìn)行統(tǒng)一分類，涉及到用戶個(gè)人敏感信息數(shù)據(jù)時(shí)必須接入密鑰系統(tǒng)，燃?xì)獗碓O(shè)備密鑰的分配和更新必須接入到密鑰系統(tǒng)中。加密就意味著解密，加解密意味著系統(tǒng)資源占用，占用內(nèi)存和CPU等資源，而日常燃?xì)獗砩蠄?bào)后解密的數(shù)據(jù)在持久化存儲(chǔ)的時(shí)候無(wú)需再次加密。

燃?xì)獗碓O(shè)備和平臺(tái)之間加解密方式取決于多種因素，在加密機(jī)制中，非對(duì)稱加密和對(duì)稱加密要根據(jù)實(shí)際情況進(jìn)行選擇，軟件加密和安全芯片加密也是需要根據(jù)硬件的性能進(jìn)行選擇，往往實(shí)際的設(shè)備運(yùn)行性能和計(jì)算能力決定了我們采取哪一種加密方式。在國(guó)際加密算法和國(guó)密算法中，我們會(huì)優(yōu)先使用國(guó)密算法SM2、SM3、SM4。

5.2 密鑰系統(tǒng)的系統(tǒng)架構(gòu)

密鑰系統(tǒng)的核心功能是密鑰的管理，包括密鑰的生成、密鑰生命周期管理、系統(tǒng)其他管理等。物聯(lián)網(wǎng)燃?xì)獗硗ㄟ^(guò)軟硬件加密的方式，將采集的數(shù)據(jù)進(jìn)行統(tǒng)一加密，上行傳輸?shù)矫荑€系統(tǒng)。密鑰系統(tǒng)進(jìn)行解密，解密后的數(shù)據(jù)推送到應(yīng)用系統(tǒng)；應(yīng)用系統(tǒng)下發(fā)明文報(bào)文到密鑰系統(tǒng)，密鑰系統(tǒng)加密下行報(bào)文，傳輸?shù)轿锫?lián)網(wǎng)燃?xì)獗?。密鑰系統(tǒng)位于數(shù)據(jù)加解密的核心環(huán)節(jié)，其他應(yīng)用系統(tǒng)接入密鑰系統(tǒng)也可以實(shí)現(xiàn)數(shù)據(jù)加解密的操作。

5.3 密鑰系統(tǒng)的密鑰生命周期

① 密鑰初始化(密鑰注入)

智能燃?xì)獗碓谂抗I(yè)化生產(chǎn)的時(shí)候需要一個(gè)初始化密鑰調(diào)用密鑰系統(tǒng)的接口，生成對(duì)稱密鑰，或者非對(duì)稱密鑰的密鑰對(duì)，密鑰會(huì)保存在燃?xì)獗砉碳膬?nèi)部存儲(chǔ)中或者安全芯片中。伴隨著燃?xì)獗淼恼Q生和制造的初始化，初始化密鑰數(shù)據(jù)也伴隨而生。

② 密鑰存活期

在密鑰指定的生命周期中，密鑰處于活躍的使用狀態(tài)。燃?xì)獗砻刻觳杉瘉?lái)的計(jì)量數(shù)據(jù)，會(huì)使用密鑰進(jìn)行數(shù)據(jù)加解密操作，加密完成后進(jìn)行上報(bào)，服務(wù)端進(jìn)行數(shù)據(jù)的解密操作，以此完成數(shù)據(jù)的上行操作。對(duì)于下行數(shù)據(jù)，首先服務(wù)端進(jìn)行命令的加密操作，然后設(shè)備端進(jìn)行數(shù)據(jù)的解密操作，完成下行操作。對(duì)稱加密使用相同的密鑰信息，非對(duì)稱加密使用公私鑰方式進(jìn)行操作。

③ 密鑰分配

密鑰系統(tǒng)的密鑰分發(fā)機(jī)制以顆粒度最小的獨(dú)立個(gè)體為單位，密鑰的分配原則是按照設(shè)備區(qū)分，即一臺(tái)獨(dú)立的燃?xì)獗沓钟幸惶转?dú)立的密鑰，數(shù)以萬(wàn)計(jì)的燃?xì)獗韺a(chǎn)生數(shù)以萬(wàn)計(jì)套密鑰信息，分配的密鑰信息會(huì)持久化存儲(chǔ)在服務(wù)端和燃?xì)獗碓O(shè)備端。

④ 密鑰更新

任何加密的數(shù)據(jù)理論上都有被破解的可能，燃?xì)獗淼纳蠄?bào)數(shù)據(jù)也不例外。加密破解的時(shí)間長(zhǎng)度決定了數(shù)據(jù)的安全性，在理論范圍內(nèi)需要對(duì)密鑰進(jìn)行更新操作，確保即使上一套數(shù)據(jù)在N年的時(shí)間內(nèi)被破解，那么下一次破解依然需要逾N年時(shí)間，通過(guò)周期性的作廢機(jī)制，確保數(shù)據(jù)安全性。

⑤ 密鑰銷毀

在密鑰生命周期即將結(jié)束時(shí)，密鑰生命將被銷毀，銷毀后的數(shù)據(jù)存儲(chǔ)備份，用于備查。雖然密鑰被銷毀，但在密鑰整個(gè)生命周期中，產(chǎn)生的所有數(shù)據(jù)都將保存到系統(tǒng)中。

⑥ 密鑰存儲(chǔ)

根據(jù)燃?xì)獗淼慕尤肓?，密鑰信息會(huì)持久化存儲(chǔ)在數(shù)據(jù)庫(kù)中，數(shù)據(jù)庫(kù)在查詢時(shí)需要分表分庫(kù)，掛入的數(shù)據(jù)表越多，查詢的效率就越高。為確保數(shù)以萬(wàn)計(jì)的燃?xì)獗碚＋@取、存取、更新和刪除密鑰信息，密鑰系統(tǒng)根據(jù)設(shè)備號(hào)、時(shí)間、哈希值進(jìn)行分表分庫(kù)，建議使用數(shù)據(jù)庫(kù)的讀寫分離、集群和主從復(fù)制的部署方式，通過(guò)定時(shí)任務(wù)或調(diào)度主動(dòng)緩存和被動(dòng)緩存的結(jié)合方式。對(duì)于密鑰系統(tǒng)中的熱數(shù)據(jù)，還需要以Key-Value 形式存儲(chǔ)在分布式集群緩存服務(wù)器(例如Redis)中，從而減輕數(shù)據(jù)庫(kù)查詢的壓力，提高獲取密鑰信息的有效性和及時(shí)性。

5.4 密鑰的生成和其他管理功能

密鑰系統(tǒng)會(huì)根據(jù)加密算法的生成規(guī)則，隨機(jī)生產(chǎn)出不重復(fù)的密鑰，確保密鑰的唯一性。密鑰系統(tǒng)還包含其他管理功能，比如權(quán)限、日志、登錄驗(yàn)證等。

5.5 密鑰系統(tǒng)的應(yīng)用場(chǎng)景

智能燃?xì)獗砗推脚_(tái)之間，數(shù)據(jù)在設(shè)備采集端進(jìn)行加密，加密完成后進(jìn)行數(shù)據(jù)通信；對(duì)燃?xì)獗磉M(jìn)行命令下發(fā)操作時(shí)，下發(fā)到表端的數(shù)據(jù)，服務(wù)端會(huì)進(jìn)行數(shù)據(jù)的加密操作。系統(tǒng)的核心敏感數(shù)據(jù)加密，例如身份證、手機(jī)號(hào)等的加密；對(duì)外開放的第三方API接口調(diào)用和認(rèn)證；第三方系統(tǒng)生成密鑰功能。

6 IT運(yùn)維管理

互聯(lián)網(wǎng)新聞中經(jīng)常出現(xiàn)IT業(yè)界網(wǎng)站故障、數(shù)據(jù)丟失的報(bào)道，往往用戶規(guī)模越大的互聯(lián)網(wǎng)公司，其影響也越大。雖然外部攻擊影響逐漸降低，內(nèi)部安全策略也逐步提高，但公司內(nèi)部的IT運(yùn)維管理漏洞仍然頻繁出現(xiàn)。在數(shù)據(jù)信息安全事件中，往往跟IT運(yùn)維管理和權(quán)限分配混亂有著很大的關(guān)系，層出不窮的刪庫(kù)跑路也時(shí)常發(fā)生，服務(wù)器也會(huì)因?yàn)槲锢砦募G失導(dǎo)致無(wú)法正常對(duì)外服務(wù)。IT運(yùn)維人員在權(quán)限足夠的情況下可以進(jìn)行毀滅性的操作，系統(tǒng)跌機(jī)后無(wú)法正常打開，影響公司正常的業(yè)務(wù)開展，數(shù)據(jù)恢復(fù)時(shí)間加長(zhǎng)，數(shù)據(jù)丟失，用戶體驗(yàn)下降，滿意度降低，給公司造成不可估量的損失。

在人才選拔層面上，我們需要判別技術(shù)人員的道德水平和職業(yè)素質(zhì)，同時(shí)需要加強(qiáng)職業(yè)素養(yǎng)的培養(yǎng)，提高自我意識(shí)，防范于未然。在技術(shù)規(guī)范化管理層面上，對(duì)系統(tǒng)的操作權(quán)限進(jìn)行限制和分級(jí)，敏感操作必須進(jìn)行雙重命令復(fù)合，某些危險(xiǎn)命令有必要?jiǎng)h除或者進(jìn)行改造優(yōu)化，入口權(quán)限采用多人復(fù)合、去中心化的策略，取消研發(fā)人員對(duì)數(shù)據(jù)庫(kù)的直接訪問(wèn)權(quán)限，以防止因內(nèi)部運(yùn)維人員因素導(dǎo)致意外的發(fā)生。

隨著時(shí)間的推移和系統(tǒng)的升級(jí)更新，不管是windows系統(tǒng)還是Linux系統(tǒng)，總會(huì)有各種各樣的缺陷和漏洞。全球的黑白客和開發(fā)者，會(huì)把系統(tǒng)的漏洞和滲透方法代碼片段公布到論壇和網(wǎng)站，安全技術(shù)人員可以及時(shí)關(guān)注這些發(fā)布咨詢，并在現(xiàn)實(shí)系統(tǒng)中去驗(yàn)證和演練，及時(shí)為系統(tǒng)打上補(bǔ)丁，修復(fù)系統(tǒng)漏洞，提升操作系統(tǒng)的安全性。