黃宏基
(廣東省防汛保障與農(nóng)村水利中心,廣州 510635)
近年來,隨著我國(guó)綜合國(guó)力的逐步加強(qiáng),我國(guó)在信息化領(lǐng)域也發(fā)展得越來越好,但國(guó)際網(wǎng)絡(luò)環(huán)境形勢(shì)異常嚴(yán)峻,也導(dǎo)致了基于網(wǎng)絡(luò)的安全事件層出不窮。密碼技術(shù)是網(wǎng)絡(luò)安全的核心技術(shù)和基本的技術(shù)支撐,是保護(hù)國(guó)家安全的戰(zhàn)略性資源[1]。根據(jù)《網(wǎng)絡(luò)安全法》的要求,國(guó)家在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上對(duì)水利、能源、交通、金融、公共服務(wù)、公共通信和信息服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域?qū)嵭兄攸c(diǎn)保護(hù)[2]。水利行業(yè)作為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施重點(diǎn)行業(yè)之一,水利信息系統(tǒng)的安全穩(wěn)定運(yùn)行與人民生命財(cái)產(chǎn)安全息息相關(guān),水利信息系統(tǒng)的安全可靠有著重大意義[3]。
目前,我國(guó)的大量信息系統(tǒng)廣泛使用的算法仍為RSA、MD5、DES、AES等國(guó)際算法,使得我國(guó)網(wǎng)絡(luò)空間的“大門”鑰匙掌握在外國(guó)人手中[4]。按照國(guó)家對(duì)重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃,水利作為規(guī)劃中的重點(diǎn)行業(yè),要求在重要水利基礎(chǔ)設(shè)施、水文、水資源管理、防汛抗旱等重要信息系統(tǒng)中,完善密碼支撐體系,實(shí)現(xiàn)商用密碼廣泛使用。根據(jù)我國(guó)網(wǎng)絡(luò)安全法,信息系統(tǒng)應(yīng)該要嚴(yán)格網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求,而水利行業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè),更是存在不少信息系統(tǒng)是關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng),需要在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上進(jìn)行重點(diǎn)防護(hù)。商用密碼應(yīng)用安全作為保障網(wǎng)絡(luò)和信息系統(tǒng)安全的一項(xiàng)重要防護(hù)措施,更是保障關(guān)鍵基礎(chǔ)設(shè)施安全的重要手段,需要廣泛用于水利等關(guān)鍵行業(yè)。由于目前商用密碼推廣使用還處于起步階段,當(dāng)前,我國(guó)水利行業(yè)的非涉密信息系統(tǒng)密碼應(yīng)用還相對(duì)薄弱,本文將通過理論深入分析密碼應(yīng)用部署,完善水利信息系統(tǒng)密碼支撐體系建設(shè),為推進(jìn)水利行業(yè)信息系統(tǒng)密碼應(yīng)用改造,提高水利信息系統(tǒng)的安全保障能力和防護(hù)水平,確保網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運(yùn)行,確保水利數(shù)據(jù)信息的機(jī)密性、完整性、可用性、可控性和可審計(jì)性。
當(dāng)前水利信息化快速發(fā)展的同時(shí),信息系統(tǒng)也存在一定的問題,由于水利信息化起步早,在已建水利信息系統(tǒng)的密碼算法及產(chǎn)品應(yīng)用由開發(fā)廠家自行選擇為主,所建的信息系統(tǒng)使用的加密算法存在不符合相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的情況,造成重要水利信息數(shù)據(jù)存在容易泄露和被不法分子使用的可能性。水利非涉密應(yīng)用系統(tǒng)在商用密碼應(yīng)用過程中存在的問題與風(fēng)險(xiǎn)如下。
1) 物理環(huán)境安全防護(hù)不達(dá)標(biāo)
水利行業(yè)的信息系統(tǒng)物理環(huán)境遍布相對(duì)較廣較分散,除了各級(jí)水行政主管部門存在機(jī)房,各水利工程運(yùn)營(yíng)單位也存在機(jī)房的使用需求。該層面存在的主要問題與風(fēng)險(xiǎn)如下:未設(shè)置或者按照國(guó)家密碼管理部門要求設(shè)置有效門禁系統(tǒng)、監(jiān)控系統(tǒng);未使用密碼技術(shù)進(jìn)行物理訪問身份認(rèn)證,而無法確保出入重要區(qū)域人員身份的真實(shí)性和進(jìn)出記錄的完整性[5],存在對(duì)重要水利系統(tǒng)、水利應(yīng)用系統(tǒng)破壞、水利核心數(shù)據(jù)泄露等威脅。
2) 網(wǎng)絡(luò)和通信安全防護(hù)不到位
水利信息系統(tǒng)的數(shù)據(jù)在應(yīng)急、氣象等各政府部門的系統(tǒng)之間需要進(jìn)行調(diào)用,同時(shí)各類汛情、雨情、水情的業(yè)務(wù)系統(tǒng)也供社會(huì)各類人員查閱。由于未對(duì)通信實(shí)體進(jìn)行身份認(rèn)證和訪問控制,數(shù)據(jù)在網(wǎng)絡(luò)進(jìn)行傳輸?shù)倪^程中存在被不法分子通過網(wǎng)絡(luò)監(jiān)聽軟件對(duì)信息進(jìn)行抓取與監(jiān)控,信息傳遞過程中涉及數(shù)據(jù)泄密,信息傳輸中被截取、篡改等風(fēng)險(xiǎn),無法確保通信過程中數(shù)據(jù)的完整性、真實(shí)性、機(jī)密性。
3) 設(shè)備和計(jì)算安全不可控
大部分水利單位未使用符合密碼安全要求的技術(shù)對(duì)設(shè)備的用戶進(jìn)行身份認(rèn)證,管理系統(tǒng)運(yùn)維人員僅依靠簡(jiǎn)單的口令登陸,不同的運(yùn)維人員對(duì)接不同的業(yè)務(wù)系統(tǒng),難以確保用戶身份的可靠性和真實(shí)性。從而使得設(shè)備中的重要信息、重要文件日志以及系統(tǒng)資源訪問控制信息容易被不法分子篡改、刪除,影響系統(tǒng)安全性及責(zé)任劃分。
4) 應(yīng)用數(shù)據(jù)易泄露
各級(jí)水利部門以及河長(zhǎng)制(由各級(jí)黨政主要負(fù)責(zé)人擔(dān)任河長(zhǎng)[6])使用用戶身份具有敏感、重要、眾多特點(diǎn),涉及到水庫(kù)移民的信息量巨大,存在賬號(hào)被非法破解,其他人員冒用等風(fēng)險(xiǎn)。行為審計(jì)不能保證真實(shí)性和抗抵賴性風(fēng)險(xiǎn)。存在程序被惡意卸載,破壞系統(tǒng)風(fēng)險(xiǎn)。系統(tǒng)內(nèi)部的運(yùn)維人員可以在運(yùn)維過程中獲取或篡改大量有效的數(shù)據(jù)信息。未使用符合密碼安全要求技術(shù)對(duì)用戶進(jìn)行身份真實(shí)性認(rèn)證,以此確保應(yīng)用系統(tǒng)訪問控制信息的完整性、保證應(yīng)用系統(tǒng)敏感信息資源安全標(biāo)記的完整性、保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)傳輸?shù)臋C(jī)密性、保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)存儲(chǔ)的機(jī)密性。
5) 密碼應(yīng)用管理機(jī)制不規(guī)范
水利信息化人才在各基層單位中普遍存在人員不足技術(shù)水平不高的情況,缺乏對(duì)重要崗位人才的密碼安全應(yīng)用能力的培養(yǎng);人員的密碼安全意識(shí)不高,人員工作流程不規(guī)范;沒有形成密碼應(yīng)用安全管理相關(guān)規(guī)范流程制度的制定、發(fā)布、修訂,沒有制定應(yīng)急預(yù)案和開展開展演練;未形成有效的處理密碼應(yīng)用安全相關(guān)的應(yīng)急突發(fā)事件的能力要求。
密碼分為商用密碼、普通密碼和核心密碼,其中商用密碼在很多領(lǐng)域均有應(yīng)用,用于保護(hù)不屬于國(guó)家秘密的信息,其主要作用是針對(duì)不涉密但又敏感的信息等進(jìn)行加密保護(hù)[3]。為保障我國(guó)商用密碼的安全,國(guó)家相關(guān)部門已設(shè)計(jì)一套具有自主知識(shí)產(chǎn)權(quán)的密碼算法,經(jīng)過多輪安全性分析評(píng)估,具有較高安全性,并得到國(guó)家密碼管理局認(rèn)可和得到社會(huì)的廣泛認(rèn)可和應(yīng)用。本文所涉及的信息系統(tǒng)為非涉密應(yīng)用系統(tǒng),但又有必要對(duì)系統(tǒng)的數(shù)據(jù)、信息進(jìn)行加密保護(hù)。通過構(gòu)建基于國(guó)密算法的安全體系,重點(diǎn)保障數(shù)據(jù)在傳輸、存儲(chǔ)過程中的機(jī)密性、完整性保護(hù)。主要使用算法如下。
分組密碼算法SM1,分組長(zhǎng)度為128位,該算法安全性高且不公開,僅以IP核的形式存在于芯片中。適用于門禁讀卡器、智能密鑰、加密卡、加密機(jī)、芯片等安全產(chǎn)品,實(shí)現(xiàn)1卡1密,能夠有效解決物理訪問身份鑒別真實(shí)性問題。
橢圓曲線公鑰密碼算法SM2,分組長(zhǎng)度為256位,在國(guó)密體系中被用來替換RSA國(guó)際算法,該算法包括橢圓曲線數(shù)字簽名算法SM2-1,橢圓曲線密鑰交換協(xié)議SM2-2,橢圓曲線公鑰加密算法SM2-3[8],這類算法常用于實(shí)現(xiàn)數(shù)字簽名密鑰協(xié)商、數(shù)據(jù)加密等密碼功能。用戶在客戶端調(diào)用客戶端控件使用SM2數(shù)字簽名算法中的數(shù)字簽名生成算法對(duì)發(fā)送文件進(jìn)行簽名,使用SM2數(shù)字簽名算法中的數(shù)字簽名驗(yàn)證算法對(duì)接收文件進(jìn)行簽名驗(yàn)證;另外,數(shù)據(jù)傳輸使用的文件加密密鑰在系統(tǒng)服務(wù)端和客戶端需要使用SM2公鑰加密算法進(jìn)行加解密??蛻舳擞呻娮用荑€提供SM2密碼算法支持,系統(tǒng)服務(wù)器端由密碼機(jī)提供SM2密碼算法支持。
密碼雜湊算法SM3,雜湊值長(zhǎng)度為32字節(jié),分組長(zhǎng)度為256位,該算法用于消息認(rèn)證碼的生成與驗(yàn)證、商用密碼應(yīng)用中的數(shù)字簽名和驗(yàn)證、隨機(jī)數(shù)的生成等多種密碼應(yīng)用安全需求[9]。在對(duì)信息進(jìn)行數(shù)字簽名生成和驗(yàn)證前,密碼算法SM2需要對(duì)信息調(diào)用SM3密碼算法生成雜湊值。系統(tǒng)服務(wù)器端SM3密碼算法支持由密碼機(jī)提供,客戶端SM3密碼算法由電子密鑰提供支持。
分組密碼算法SM4,分組長(zhǎng)度為128位,該算法用于實(shí)現(xiàn)數(shù)據(jù)加密和解密操作運(yùn)算,以此保證數(shù)據(jù)和信息機(jī)密性[10]。SM4的解密算法與加密算法結(jié)構(gòu)相同,只是輪密鑰的使用順序相反,解密輪密鑰是加密輪密鑰的逆序[5]。用戶在客戶端調(diào)用客戶端控件使用SM4密碼算法對(duì)發(fā)送文件進(jìn)行加密或者對(duì)接收文件進(jìn)行解密。應(yīng)用系統(tǒng)在服務(wù)端通過調(diào)用數(shù)據(jù)加解密系統(tǒng),使用SM4密碼算法對(duì)文件進(jìn)行加密,或者對(duì)文件進(jìn)行解密。
隨著信息技術(shù)的高速發(fā)展,工業(yè)控制系統(tǒng)、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)等新一代信息技術(shù)已融入水利行業(yè)的業(yè)務(wù)工作中,在新技術(shù)的場(chǎng)景下,商用密碼也將會(huì)發(fā)揮越來越大的作用[11]。
針對(duì)已建和在建的水利信息系統(tǒng),通過在前端及核心區(qū)域部署使用多種國(guó)產(chǎn)密碼設(shè)備,分別實(shí)現(xiàn)物理和環(huán)境、設(shè)備和計(jì)算、網(wǎng)絡(luò)通信接入、應(yīng)用和數(shù)據(jù)以及密碼應(yīng)用管理安全等五方面的系統(tǒng)商密體系架構(gòu)設(shè)計(jì)(如圖1所示)。
圖1 系統(tǒng)商密體系的架構(gòu)設(shè)計(jì)示意
1) 為保障物理和環(huán)境安全,除了為信息系統(tǒng)選擇一個(gè)合理安全的物理位置,還要對(duì)該區(qū)域做好物理防護(hù),在機(jī)房邊界部署電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng),保證重要區(qū)域進(jìn)出人員身份的真實(shí)性和記錄數(shù)據(jù)(包括進(jìn)出、視頻監(jiān)控音像)的存儲(chǔ)完整性。
2) 為保障網(wǎng)絡(luò)通信安全,系統(tǒng)應(yīng)該結(jié)合商密技術(shù)通過認(rèn)證協(xié)議、國(guó)密VPN、訪問控制等技術(shù),實(shí)現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)通信傳輸過程中的真實(shí)性、保密性、完整性、可用性。在用戶端接口部署用戶電子密鑰(USBKey)和核心區(qū)域服務(wù)端接口部署服務(wù)器密碼機(jī),實(shí)現(xiàn)工作人員提交數(shù)據(jù)時(shí)實(shí)現(xiàn)數(shù)據(jù)的加密傳輸。同時(shí),通過使用密碼技術(shù)在水利信息系統(tǒng)中建立一條安全的信息傳輸通道部署VPN虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān),實(shí)現(xiàn)對(duì)訪問鏈路的加密管理。
3) 為保障設(shè)備和計(jì)算安全,加強(qiáng)登錄的用戶進(jìn)行身份鑒別,通過在前端部署電子密鑰(USBKey)和核心區(qū)域部署身份認(rèn)證系統(tǒng)實(shí)現(xiàn)用戶端的身份鑒別、記錄查詢服務(wù),實(shí)現(xiàn)在本地及遠(yuǎn)程管理過程對(duì)用戶身份統(tǒng)一認(rèn)證。
4) 為保障應(yīng)用和數(shù)據(jù)安全,保證重要數(shù)據(jù)在傳輸過程、存儲(chǔ)過程中的機(jī)密性、完整性,對(duì)重要程序的加載和卸載進(jìn)行安全控制,實(shí)現(xiàn)實(shí)體行為的不可否認(rèn)性。通過在核心區(qū)域部署服務(wù)器密碼機(jī)、密鑰管理及數(shù)據(jù)加解密平臺(tái)實(shí)現(xiàn)對(duì)密鑰的統(tǒng)一管理和數(shù)據(jù)加解密服務(wù),同時(shí)部署簽名驗(yàn)簽服務(wù)器實(shí)現(xiàn)數(shù)據(jù)簽名驗(yàn)簽。
5) 密碼應(yīng)用管理安全,在對(duì)信息系統(tǒng)密碼應(yīng)用要求上,除了對(duì)以上4個(gè)技術(shù)層面的分析以外,還需要在管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置等4個(gè)方面進(jìn)行管理[5],加強(qiáng)對(duì)密碼管理相關(guān)環(huán)節(jié)的管理,包含對(duì)密鑰的生成、存儲(chǔ)、分發(fā)、導(dǎo)入、導(dǎo)出、使用、備份、恢復(fù)、歸檔以及銷毀等全過程進(jìn)行管理和策略制定[7]。在管理上信息系統(tǒng)應(yīng)該按照等保和密評(píng)要求,嚴(yán)格落實(shí)完成網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)和商用密碼密測(cè)評(píng)兩項(xiàng)評(píng)估。信息系統(tǒng)責(zé)任單位,應(yīng)該在系統(tǒng)建設(shè)初期委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估,在系統(tǒng)上線前完成網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)相關(guān)工作。其中商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接,避免重復(fù)評(píng)估和測(cè)評(píng)[3](見圖1)。
針對(duì)系統(tǒng)商用密碼體系的應(yīng)用架構(gòu),對(duì)4個(gè)技術(shù)層面進(jìn)行具體的應(yīng)用部署,實(shí)現(xiàn)對(duì)重要應(yīng)用系統(tǒng)的商用密碼改造,實(shí)現(xiàn)系統(tǒng)商密應(yīng)用部署(如圖2所示)。
圖2 系統(tǒng)商密應(yīng)用部署示意
4.2.1電子門禁系統(tǒng)的安全加密
電子門禁系統(tǒng)是物理和環(huán)境安全的重要保障,其主要由門禁卡、門禁讀卡器、后臺(tái)管理系統(tǒng)組成,通過部署具有國(guó)密算法的門禁系統(tǒng)解決物理訪問身份鑒別真實(shí)性問題。門禁系統(tǒng)采用國(guó)家密碼管理局指定的商用分組加密算法(SM1、SM4)進(jìn)行密鑰分散,實(shí)現(xiàn)1卡1密,進(jìn)行門禁卡與門禁讀卡器之間的身份鑒別,保證身份識(shí)別的真實(shí)性;電子門禁后臺(tái)管理系統(tǒng)可以通過自身的密碼模塊對(duì)門禁進(jìn)出記錄數(shù)據(jù)進(jìn)行MAC記錄與驗(yàn)證,以保證數(shù)據(jù)的完整性。
4.2.2視頻監(jiān)控?cái)?shù)據(jù)的安全性
安全視頻監(jiān)控系統(tǒng)從前端設(shè)備、監(jiān)控中心、展示終端3個(gè)層面實(shí)現(xiàn)安全視頻監(jiān)控的業(yè)務(wù)功能,從證書管理、密鑰管理、設(shè)備管理3個(gè)方面為系統(tǒng)提供數(shù)字證書管理、密鑰生命周期管理、設(shè)備管理配置等基礎(chǔ)安全服務(wù),共同支撐視頻監(jiān)控安全可靠運(yùn)行。視頻記錄數(shù)據(jù)的完整性采用安全視頻監(jiān)控系統(tǒng)來實(shí)現(xiàn),使用密碼技術(shù)進(jìn)行完整性保護(hù),通過部署密碼管理服務(wù)平臺(tái)來提供數(shù)據(jù)完整性驗(yàn)證等密碼運(yùn)算服務(wù)。
4.2.3基于數(shù)字證書的身份鑒別
為應(yīng)用系統(tǒng)提供基于數(shù)字證書的身份驗(yàn)證機(jī)制,終端用戶如果要進(jìn)行操作,需要先通過身份認(rèn)證過程,保證所有用戶操作合法有效。系統(tǒng)提供用戶基于軟硬件相結(jié)合的安全終端設(shè)備電子密鑰(USBKey)的強(qiáng)雙因素認(rèn)證(數(shù)字證書認(rèn)證)。數(shù)字證書信息實(shí)現(xiàn)安全存儲(chǔ)、私鑰不出Key,客戶端加解密數(shù)據(jù)在電子密鑰(USBKey)內(nèi)進(jìn)行運(yùn)算,安全可靠。身份鑒別采取強(qiáng)度、唯一性、不可否認(rèn)性、失敗/失效機(jī)制等安全機(jī)制。身份鑒別信息采取基于國(guó)密的加密保護(hù)。對(duì)于網(wǎng)絡(luò)應(yīng)用系統(tǒng),未采用包含數(shù)字證書的電子密鑰登陸的用戶實(shí)現(xiàn)單向驗(yàn)證,采用包含數(shù)字證書的電子密鑰登陸的用戶實(shí)現(xiàn)雙向驗(yàn)證。支持SM2/SM3/SM4算法。
4.2.4數(shù)據(jù)傳輸?shù)募用鼙Wo(hù)
應(yīng)用系統(tǒng)在數(shù)據(jù)通信過程中傳輸鏈路采取VPN虛擬專用網(wǎng)絡(luò)進(jìn)行加密保護(hù),關(guān)鍵數(shù)據(jù)采取信源加密。傳輸鏈路采取VPN虛擬專用網(wǎng)絡(luò)通過服務(wù)端安全網(wǎng)關(guān)完成。關(guān)鍵信息采取信源加密保護(hù),數(shù)據(jù)傳輸采用基于密碼算法的認(rèn)證以及加密技術(shù),建立安全的數(shù)據(jù)傳輸通道。
4.2.5面向應(yīng)用系統(tǒng)的數(shù)據(jù)加密服務(wù)
數(shù)據(jù)加密服務(wù)是建設(shè)的面向應(yīng)用系統(tǒng)的密碼服務(wù)。從安全風(fēng)險(xiǎn)角度分析,應(yīng)用系統(tǒng)數(shù)據(jù)量巨大而且涉及的使用權(quán)限復(fù)雜,不適宜使用單一的密鑰對(duì)整個(gè)系統(tǒng)進(jìn)行加密設(shè)計(jì)。因此,應(yīng)用系統(tǒng)應(yīng)該根據(jù)實(shí)際情況對(duì)密碼機(jī)進(jìn)行資源調(diào)度,實(shí)現(xiàn)數(shù)據(jù)和密鑰最小顆粒度的對(duì)應(yīng)調(diào)用,以此達(dá)到“一文一密、一數(shù)據(jù)一密”的精準(zhǔn)數(shù)據(jù)安全機(jī)制。
4.2.6時(shí)間戳服務(wù)
時(shí)間戳服務(wù)可以為應(yīng)用系統(tǒng)提供精確可信的時(shí)間源,保證應(yīng)用獲取權(quán)威、統(tǒng)一、精準(zhǔn)的時(shí)間信息,實(shí)現(xiàn)數(shù)據(jù)的可追溯、可溯源以及出現(xiàn)安全事件時(shí)進(jìn)行司法取證,為應(yīng)用系統(tǒng)中的時(shí)間抗抵賴提供基礎(chǔ)服務(wù)。
隨著科技的發(fā)展,水利信息化已經(jīng)成為重要的建設(shè)內(nèi)容之一[12],然而國(guó)際網(wǎng)絡(luò)環(huán)境形勢(shì)嚴(yán)峻,信息泄露事件也日趨復(fù)雜,為此我國(guó)建立了較為完備的密碼標(biāo)準(zhǔn)體系。水利行業(yè)涉及到防洪、供水、生態(tài)等水利公共產(chǎn)品和服務(wù)供給[13],其中重要水利基礎(chǔ)設(shè)施、水工程管理、防汛抗旱指揮、水災(zāi)害防御、水文水資源管理、水土保持、山洪災(zāi)害、水生態(tài)等重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)關(guān)乎國(guó)家安全和社會(huì)安全,信息化系統(tǒng)的建設(shè)直接影響著預(yù)警工作的成效[14]。水利作為關(guān)鍵信息設(shè)施行業(yè),迫切需要建立以商用密碼技術(shù)為核心的水利信息密碼體系,保障在信息時(shí)代的數(shù)據(jù)安全?!八こ萄a(bǔ)短板、水利行業(yè)強(qiáng)監(jiān)管”已成為新時(shí)期水利工作的總基調(diào),堅(jiān)持問題導(dǎo)向,對(duì)標(biāo)“安全、實(shí)用”的水利信息化發(fā)展總要求[15],在水利信息系統(tǒng)建設(shè)的設(shè)計(jì)、實(shí)施、運(yùn)行階段,應(yīng)加強(qiáng)商用密碼的建設(shè),全面規(guī)范各類密碼系統(tǒng)中及不同水利應(yīng)用業(yè)務(wù)系統(tǒng)下密碼技術(shù)使用,各類信息系統(tǒng)應(yīng)當(dāng)遵循國(guó)家標(biāo)準(zhǔn)實(shí)現(xiàn)所需的安全功能,整體提高水利行業(yè)的網(wǎng)絡(luò)安全防護(hù)。