文｜全國智能建筑及居住區(qū)數(shù)字化標準化技術(shù)委員會 樊靜靜 張永剛 尚治宇 王鑫

密碼技術(shù)是保障網(wǎng)絡(luò)安全的核心技術(shù)，密碼算法和密碼產(chǎn)品的自主可控是確保我國信息安全的重中之重?！皼]有網(wǎng)絡(luò)安全就沒有國家安全”，商用密碼技術(shù)作為實現(xiàn)網(wǎng)絡(luò)安全的核心技術(shù)，在網(wǎng)絡(luò)安全防護工作中發(fā)揮著重要的基礎(chǔ)支撐作用。聚焦住房和城鄉(xiāng)建設(shè)領(lǐng)域，圍繞商用密碼的應(yīng)用現(xiàn)狀、應(yīng)用需求等內(nèi)容進行研究，提出相應(yīng)的發(fā)展建議與舉措。

1.商用密碼發(fā)展背景

隨著我國改革開放的不斷深入和社會主義市場經(jīng)濟體制的逐步建立，國家信息化進程不斷加快，國家經(jīng)濟、管理、社會事務(wù)以及公民個人信息在存儲和傳輸過程中的安全問題日益突出，使用商用密碼保護非國家秘密信息的需求越來越強烈。尤其是黨的十八大以來，在習(xí)近平總書記網(wǎng)絡(luò)強國戰(zhàn)略思想指引下，商用密碼實現(xiàn)了跨越式發(fā)展，管理體制逐漸建立健全、標準體系逐步完善、科技創(chuàng)新成果不斷涌現(xiàn)、商用密碼產(chǎn)業(yè)蓬勃發(fā)展。

2020年1月1日起，《密碼法》正式施行，標志著密碼成為國家的重要戰(zhàn)略資源，直接關(guān)系國家政治安全、經(jīng)濟安全、國防安全和信息安全。密碼是國家重要戰(zhàn)略資源，是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐。

2021年9月1日起，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式施行，該條例從關(guān)鍵信息基礎(chǔ)設(shè)施的認定、完善監(jiān)督管理體系、運營者責(zé)任義務(wù)、保障和促進措施與法律責(zé)任等多個方面提出總體監(jiān)管要求，在關(guān)鍵信息基礎(chǔ)設(shè)施保護法律體系建設(shè)中起到提綱挈領(lǐng)的作用。

2.城鄉(xiāng)建設(shè)領(lǐng)域密碼應(yīng)用現(xiàn)狀及分析

2.1 行業(yè)信息化現(xiàn)狀

按照行業(yè)主管部門業(yè)務(wù)職能，相關(guān)業(yè)務(wù)板塊信息系統(tǒng)建設(shè)初顯成效，主要包括住房保障與房地產(chǎn)、建筑業(yè)、城鄉(xiāng)建設(shè)與管理等方面。

2.1.1 住房保障與房地產(chǎn)——智慧社區(qū)

在智慧社區(qū)中，包含水氣熱、小區(qū)門禁、攝像頭、進出道閘等多類智能化終端設(shè)備和社區(qū)管理平臺，通過對終端設(shè)備的控制使用和各類信息的采集，面向小區(qū)居民提供便捷、自動化的社區(qū)服務(wù)以及對社區(qū)公共安全的管理。在智慧社區(qū)建設(shè)過程中需要廣泛運用信息技術(shù)，導(dǎo)致信息安全風(fēng)險積聚升高，對此物聯(lián)網(wǎng)信息安全架構(gòu)的設(shè)計將為智慧社區(qū)建設(shè)與運行期間產(chǎn)生和處理的海量信息數(shù)據(jù)提供安全保障，通過規(guī)劃設(shè)計物聯(lián)網(wǎng)安全構(gòu)架，對相關(guān)安全風(fēng)險進行規(guī)避、預(yù)防和控制。

2.1.2 建筑業(yè)——智能建筑

智能建筑的基礎(chǔ)環(huán)境的安全風(fēng)險因人員的非法闖入將可能成為更大風(fēng)險的誘因，建筑群設(shè)計中若未合理的規(guī)劃外部通信接入等將導(dǎo)致通信線路無法接入的風(fēng)險；由于建筑群的外部通信的接入來自一個局端，系統(tǒng)存在單點運行故障的風(fēng)險，以及信息主動或被動泄露風(fēng)險；應(yīng)用系統(tǒng)實現(xiàn)信息共享和系統(tǒng)節(jié)能，操作權(quán)限設(shè)置不當將會導(dǎo)致系統(tǒng)內(nèi)部信息非法泄露、任意修改或破壞等。

2.1.3 城鄉(xiāng)建設(shè)與管理——市政綜合管廊

市政綜合管廊智能化系統(tǒng)包括通信系統(tǒng)、環(huán)境與設(shè)備監(jiān)控、預(yù)警與報警系統(tǒng)、GIS 系統(tǒng)、安全防范系統(tǒng)、信息管理平臺等。因采用大量傳感器、攝像頭、工業(yè)控制系統(tǒng)，存在硬件配置的脆弱性風(fēng)險，對關(guān)鍵設(shè)備（包括監(jiān)控中心設(shè)備、現(xiàn)場設(shè)備、便攜設(shè)備、移動設(shè)備、外存儲設(shè)備等）的物理防護措施不充分等。

2.2 商用密碼應(yīng)用現(xiàn)狀

從城鄉(xiāng)建設(shè)領(lǐng)域信息化建設(shè)情況看，網(wǎng)站和系統(tǒng)涉及業(yè)務(wù)范圍廣、人員規(guī)模大，系統(tǒng)大部分部署在物理機或云平臺上。機房配備了防火墻、WAF、堡壘機、IDS、SSL VPN、IPS、安全審計、上網(wǎng)行為管理、態(tài)勢感知等安全設(shè)備。從密碼應(yīng)用情況看，雖然部分領(lǐng)域應(yīng)用有一定的密碼基礎(chǔ)，但整體密碼基礎(chǔ)建設(shè)比較薄弱。部分系統(tǒng)采用了MD5 或SHA-1 作為身份認證方式，未采用國產(chǎn)密碼算法或更高安全性的認證方式。另一方面，行業(yè)對于密碼應(yīng)用與網(wǎng)絡(luò)安全的關(guān)系認識不清，行業(yè)密碼應(yīng)用的頂層規(guī)劃和統(tǒng)籌推進有待加強，行業(yè)密碼應(yīng)用推進工作切實有效的體制機制亟需建立。

2.3 商用密碼應(yīng)用整體需求

城鄉(xiāng)建設(shè)領(lǐng)域信息化工作取得較好發(fā)展，國產(chǎn)密碼技術(shù)已有初步應(yīng)用，但仍存在一些薄弱環(huán)節(jié)，需要進一步開展工作，提升行業(yè)密碼應(yīng)用水平。密碼應(yīng)用建設(shè)需求匯總?cè)缦拢?/p>

2.3.1 密碼管理效能的需求

住建行業(yè)部分系統(tǒng)雖然已采用密碼技術(shù)，但數(shù)字認證等依賴于第三方，其他密碼基礎(chǔ)資源幾乎空白，迫切的密碼應(yīng)用需求與滯后的密碼應(yīng)用支撐環(huán)境矛盾突出，亟需從頂層統(tǒng)一規(guī)劃，優(yōu)化密碼應(yīng)用支撐模式，滿足蓬勃發(fā)展的住建信息化建設(shè)對于密碼技術(shù)的需求。

2.3.2 數(shù)據(jù)安全的需求

“十四五”信息化規(guī)劃總體任務(wù)中，建設(shè)住房和城鄉(xiāng)建設(shè)大數(shù)據(jù)中心，加快推進住房和城鄉(xiāng)建設(shè)信息系統(tǒng)整合。部、省、市（縣）各級行業(yè)大數(shù)據(jù)中心的統(tǒng)籌建設(shè)，使信息化的維護管理成本大大節(jié)約，信息數(shù)據(jù)互聯(lián)共享程度穩(wěn)步提高，但數(shù)據(jù)共享的同時對數(shù)據(jù)安全提出更高的要求，特別是敏感數(shù)據(jù)、隱私數(shù)據(jù)在傳輸、存儲的安全性問題。以密碼技術(shù)為支撐，構(gòu)建統(tǒng)一身份認證、統(tǒng)一門戶管理、統(tǒng)一電子證照、數(shù)據(jù)共享交換、集中運維管理的基礎(chǔ)平臺。

2.3.3 “新城建”安全的需求

開展“新城建”，要系統(tǒng)推進各領(lǐng)域的感知體系建設(shè)，充分運用5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)構(gòu)建萬物互聯(lián)的網(wǎng)絡(luò)體系，新城建領(lǐng)域不是單一的智能系統(tǒng)，而是泛在多智能系統(tǒng)的協(xié)同融合，算力受控使用、算法受控執(zhí)行、系統(tǒng)受控協(xié)同等方面的安全需求激增。物物融合互聯(lián)為攻擊傳導(dǎo)提供了途徑，導(dǎo)致系統(tǒng)攻擊面成指數(shù)級擴大，并且任何一處風(fēng)險威脅都可能迅速傳導(dǎo)到全網(wǎng)，直接危害現(xiàn)實物理世界，甚至危害到人的生命。

3.行業(yè)密碼平臺應(yīng)用架構(gòu)

3.1 總體框架

結(jié)合城鄉(xiāng)建設(shè)領(lǐng)域的密碼應(yīng)用整體需求，規(guī)劃了行業(yè)密碼平臺，密碼應(yīng)用總體框架。

3.2 功能介紹

（1）密碼資源

密碼資源主要構(gòu)件密碼資源池，包括各類密碼機，為住建行業(yè)密碼應(yīng)用和服務(wù)提供底層的密鑰安全存儲、密碼運算支撐，為上層其他密碼設(shè)備和應(yīng)用系統(tǒng)提供基礎(chǔ)性的密碼運算服務(wù)支撐。

（2）密碼應(yīng)用支撐

密碼應(yīng)用支撐主要是基于密碼資源層提供的基礎(chǔ)性服務(wù)，增加提供專項密碼服務(wù)的密碼設(shè)備，向業(yè)務(wù)系統(tǒng)提供專項的密碼服務(wù)支撐。根據(jù)業(yè)務(wù)的需要，主要提供數(shù)字認證系統(tǒng)、密鑰管理等基礎(chǔ)類服務(wù)，其中數(shù)字認證系統(tǒng)主要實現(xiàn)數(shù)字證書全生命周期的管理，密鑰管理主要針對業(yè)務(wù)系統(tǒng)所需的密鑰進行統(tǒng)一管理。密碼管理基礎(chǔ)設(shè)施部分針對在用的第三方運營數(shù)字證書認證系統(tǒng)進行設(shè)計和考慮，保證第三方運營數(shù)字證書認證系統(tǒng)發(fā)放的數(shù)字證書可以在住建行業(yè)應(yīng)用。

（3）密碼應(yīng)用服務(wù)接口

該層次以密碼資源層、密碼支撐層提供的服務(wù)為基礎(chǔ)，采用服務(wù)封裝和調(diào)度技術(shù)，向上層業(yè)務(wù)系統(tǒng)提供可信身份、電子證照、電子簽章等服務(wù)，同時提供密鑰服務(wù)、證書服務(wù)、加解密服務(wù)、數(shù)字簽驗服務(wù)、證書驗證、可信時間等支撐，滿足業(yè)務(wù)系統(tǒng)多元化密碼服務(wù)的需求。

（4）密碼應(yīng)用服務(wù)

該層次基于基礎(chǔ)密碼服務(wù)，根據(jù)業(yè)務(wù)的需要，實現(xiàn)電子政務(wù)密碼服務(wù)、城市物聯(lián)網(wǎng)密碼服務(wù)。通過該層的服務(wù)為住建具體業(yè)務(wù)實現(xiàn)密碼功能和服務(wù)提供保障。

（5）密碼運營

密碼運營主要從機構(gòu)、人員、制度、考核等維度入手，制定相應(yīng)的規(guī)章制度，實現(xiàn)住建行業(yè)密碼的統(tǒng)一、精細化管控，形成住建密碼管控的抓手。

（6）標準規(guī)范

該層次主要包括建設(shè)規(guī)范、管理規(guī)范、接口規(guī)范、入網(wǎng)標準等，牽引住建行業(yè)密碼基礎(chǔ)支撐和服務(wù)平臺的設(shè)計、建設(shè)、管理和應(yīng)用相關(guān)工作。

4.下一步工作建議

4.1 加強技術(shù)研發(fā)推廣

建議遵循統(tǒng)一規(guī)劃、頂層設(shè)計、分步實施、分級部署方式，采用集約化建設(shè)行業(yè)密碼應(yīng)用體系。技術(shù)路線選取充分考慮現(xiàn)有法律法規(guī)標準及已有密碼應(yīng)用情況，既要保證全行業(yè)一盤棋，實現(xiàn)互聯(lián)互通，又要考慮不同的應(yīng)用的實際情況，在不影響使用的情況下，可以裁剪不必要的或暫時用不到的模塊，減少系統(tǒng)的復(fù)雜度和整體的部署成本，實現(xiàn)最優(yōu)性價比。同時，充分重視標準的牽引作用，做好行業(yè)密碼標準規(guī)范的制定和修編工作，保證整個建設(shè)目標一致、推進有序。

4.2 住建行業(yè)密碼研究中心

成立行業(yè)密碼研究中心，開展住建行業(yè)規(guī)劃的編制、規(guī)范的制定、各類平臺的建立、密碼應(yīng)用的研究、人員的培訓(xùn)和密碼應(yīng)用安全性評估等工作，大力推動住建行業(yè)密碼的廣泛和深度應(yīng)用。

4.3 建立人員和組織保障機制

從人員角度，組建專業(yè)密碼人員隊伍，作為密碼應(yīng)用、運營管理和測評的人員保障；建立密碼專家?guī)?，作為行業(yè)密碼應(yīng)用與發(fā)展指導(dǎo)。從組織角度，建議成立密碼工作領(lǐng)導(dǎo)小組，從頂層統(tǒng)一管理部署密碼工作。

4.4 優(yōu)化商用密碼產(chǎn)業(yè)生態(tài)環(huán)境

城鄉(xiāng)建設(shè)領(lǐng)域應(yīng)用國產(chǎn)商用密碼順應(yīng)國家政策，作為筑牢“新基建”自主、創(chuàng)新、安全底座的基石，從目前來看其發(fā)展不僅能補足我國信息產(chǎn)業(yè)在信息與網(wǎng)絡(luò)安全上的短板，更有助于構(gòu)建國家完整的自主創(chuàng)新技術(shù)體系的數(shù)字經(jīng)濟產(chǎn)業(yè)體系。建議以重大工程、重大專項等為牽引，統(tǒng)籌利用政、產(chǎn)、學(xué)、研、用等各類資源，實現(xiàn)人才、知識、技術(shù)、資本等各類創(chuàng)新要素的優(yōu)勢互補和深度耦合，統(tǒng)籌推動城鄉(xiāng)建設(shè)領(lǐng)域商用密碼基礎(chǔ)理論研究、標準化推進、產(chǎn)業(yè)鏈融合、檢測認證同步實施，促進商用密碼產(chǎn)業(yè)多樣化、全覆蓋發(fā)展，打造城鄉(xiāng)建設(shè)領(lǐng)域商用密碼發(fā)展新業(yè)態(tài)。