張琰

（西安中核核儀器股份有限公司，西安710061）

1 引言

密碼，是保障網(wǎng)絡與信息安全的核心技術和基礎支撐，是解決網(wǎng)絡與信息安全問題最有效、 最可靠、 最經(jīng)濟的手段。2020 年《中華人民共和國密碼法》（以下簡稱《密碼法》）的頒布實施，從法律層面為開展商用密碼應用提供了根本遵循。2021年， 國家繼續(xù)出臺 《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》），標志著我國在網(wǎng)絡與信息安全領域的法律法規(guī)體系得到進一步的完善。 2021 年，GB/T 39786—2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》（以下簡稱 《基本要求》）的發(fā)布，這是商用密碼應用與安全性評估工作的重要里程碑，進一步促進了商用密碼的全面應用。

實物保護系統(tǒng)——基于物理隔離網(wǎng)絡構架的信息集成系統(tǒng)，利用實體屏障、探測延遲技術及人員的響應能力，使核電廠重要設備被破壞、 核材料被盜或非法轉移的可能性減到最低程度。 它是保證核電廠安全措施的重要組成部分，是核燃料進場的先決條件。 根據(jù)《中華人民共和國核材料管制條例》及實施細則的規(guī)定和要求， 核電廠必須建立一套完善和有效的實物保護系統(tǒng)，利用實體屏障、探測延遲技術及人員的響應能力，使核電廠重要設備被破壞、核材料被盜或非法轉移的可能性減到最低。 盡管實物保護系統(tǒng)不屬于核安全物項，但卻是保證核電廠安全措施的重要組成部分， 其遵照縱深防御和平衡防護的基本設計原則，根據(jù)設計基準威脅、確定的保護目標及響應能力確定系統(tǒng)保護方案。

由于密碼相關法律法規(guī)的推行， 作為核電廠安全措施的關鍵，實物保護系統(tǒng)有必要做好自身保護，加強信息安全及網(wǎng)絡防護，充分利用現(xiàn)有密碼技術，按照《密碼法》《數(shù)據(jù)安全法》《基本要求》等相關法律法規(guī)的指導，建立有密碼防護的實物保護系統(tǒng)。

2 實物保護系統(tǒng)

面對目前的嚴峻的網(wǎng)絡形勢，網(wǎng)絡安全保護工作由3 保1評組成。現(xiàn)有的實物保護系統(tǒng)大部分是非涉密網(wǎng)絡設計，按照GB/T 22239—2019 《信息安全技術網(wǎng)絡安全等級保護基本要求》等保三級進行網(wǎng)絡安全防護，但是暫時都未采用符合國密要求的技術進行傳輸、數(shù)據(jù)及應用的保護，根據(jù)《基本要求》和《密碼法》 對系統(tǒng)進行風險分析與需求分析， 從物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、安全管理等層面，考慮如何將保衛(wèi)核電廠安全運行的實物保護系統(tǒng)與密碼技術有機結合，并進行有效應用，為核電安全保駕護航。

實物保護系統(tǒng)覆蓋整個廠區(qū)，包括各個出入口、周界及重點部位，由集成管理系統(tǒng)、出入口控制系統(tǒng)、視頻監(jiān)控系統(tǒng)、周界入侵報警系統(tǒng)等多個子系統(tǒng)組成。 各子系統(tǒng)既能各自獨立工作， 又能在服務器統(tǒng)一調度下協(xié)同工作， 實現(xiàn)系統(tǒng)的信息化、集成化、智能化管理。 實物保護系統(tǒng)具有集成化，系統(tǒng)安全、靈活，冗余、有效、實用、可靠的特點。

所有實物保護系統(tǒng)都是依托于自身專用網(wǎng)進行部署，各子系統(tǒng)通過專網(wǎng)專線接入，對系統(tǒng)進行業(yè)務訪問。 信息資產(chǎn)均部署在置于要害區(qū)內(nèi)的控制中心。 網(wǎng)絡通信過程可能遇到通信雙方的身份信息被截獲、假冒、重用，或網(wǎng)絡邊界和系統(tǒng)資源訪問控制信息被竊取，導致系統(tǒng)被非法訪問；通信傳輸過程中被監(jiān)聽，導致通信數(shù)據(jù)發(fā)生泄漏；通信傳輸過程中數(shù)據(jù)被篡改，導致通信數(shù)據(jù)失實等。

通過對實物保護系統(tǒng)合理有效分析， 有針對性地制定解決辦法，運用先進的技術手段，輔助高效的管理方法，對實物保護系統(tǒng)運行安全進行梳理和規(guī)劃。 構建初步的解決思路，有針對性地建立實物保護系統(tǒng)的密碼防護體系。

由于實物保護系統(tǒng)覆蓋面廣泛、子系統(tǒng)分支多、設備品類繁雜，此次討論的范圍僅限于集成管理系統(tǒng)、出入口控制系統(tǒng)及視頻監(jiān)控系統(tǒng)，其他子系統(tǒng)暫不深入研究。

實物保護系統(tǒng)按物理區(qū)域分為控制區(qū)、保護區(qū)及要害區(qū)，3 個區(qū)域防護手段逐層遞進，逐步加強，提供出入口管控、視頻監(jiān)控和入侵報警等防護措施，為核電廠提供安全保障、防范惡意攻擊的重要系統(tǒng)。 系統(tǒng)部署在自組專用網(wǎng)絡上，與其他網(wǎng)絡系統(tǒng)實現(xiàn)完全的物理隔離。

3 需求分析與密碼防護部署體系

實物保護系統(tǒng)中的集成系統(tǒng)和信息資產(chǎn)均部署在置于要害區(qū)內(nèi)的控制中心， 包括子系統(tǒng)在內(nèi)的所有實物保護系統(tǒng)數(shù)據(jù)均匯聚并存儲于此。 密碼防護體系從物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、安全管理等層面按照第三級的密碼應用技術要求進行部署， 建立全方位立體保障架構。

根據(jù)《基本要求》除上述技術層面的要求外，還對應管理制度、人員管理、建設運行和應急處置4 個方面進行密碼管理要求，這里暫不贅述。

根據(jù)實物保護系統(tǒng)的組成和業(yè)務需求， 密碼應用部署遵循原則[1]如下。

總體性原則——通過從整體層面，對系統(tǒng)的密碼應用開展頂層設計，明確密碼應用需求和預期目標，并與系統(tǒng)網(wǎng)絡安全保護等級相結合，通過系統(tǒng)的設計形成涵蓋技術、管理、實施保障的整體方案，為在系統(tǒng)中落實密碼應用相關要求奠定基礎。

安全分區(qū)保護原則——根據(jù)核設施網(wǎng)絡安全區(qū)域劃分（包含控制區(qū)、保護區(qū)和要害區(qū)等）的重要程度，實施安全分級保護。 要害區(qū)、保護區(qū)域的保護措施，安全保護等級要求應高于控制區(qū)。

經(jīng)濟性原則——結合本系統(tǒng)規(guī)模， 在合理、 夠用的前提下，設計滿足《基本要求》的密碼應用方案，確保本系統(tǒng)密碼應用投資合理，規(guī)模適度，避免資金浪費和過度保護。

逐步推進原則——針對已建在運行系統(tǒng)， 結合系統(tǒng)的特殊性進行改造，如經(jīng)評估確實不能改造，在確保業(yè)務可用前提下，加強其他安全防護措施，逐步推進系統(tǒng)安全建設。

3.1 物理和環(huán)境安全

針對控制中心機房的物理和環(huán)境安全， 在出入口布置電子門禁系統(tǒng)，使用標準國密算法進行密鑰分發(fā)，并基于標準國密算法對人員身份進行鑒別。

機房外、內(nèi)布置國密視頻監(jiān)控系統(tǒng)，與數(shù)字證書認證系統(tǒng)對接，由數(shù)字認證系統(tǒng)統(tǒng)一完成設備證書的頒發(fā)及管理，實現(xiàn)對前端國密攝像機設備的身份鑒別。

使用國密技術對出入口系統(tǒng)記錄數(shù)據(jù)和視頻監(jiān)控系統(tǒng)視頻記錄數(shù)據(jù)進行完整性保護。

3.2 網(wǎng)絡和通信安全

在出入口系統(tǒng)門禁控制器與集成管理系統(tǒng)通道采用安全網(wǎng)關， 在通信前安全網(wǎng)關基于SM2 證書的挑戰(zhàn)-響應機制實現(xiàn)對通信實體的身份鑒別。

部署的VPN 安全網(wǎng)關采用合規(guī)的密碼技術實現(xiàn)訪問控制信息的完整性保護； 使用VPN 安全通道中的數(shù)據(jù)傳輸，基于SM4 對稱加解密技術進行保護，保證通信過程中數(shù)據(jù)的機密性。

3.3 設備和計算安全

工作站到SSL VPN 安全網(wǎng)關， 采用基于SM2 證書的挑戰(zhàn)-響應機制，實現(xiàn)客戶端與安全網(wǎng)關間的身份鑒別。

工作站訪問應用服務器/ 數(shù)據(jù)庫服務器， 使用SSH 建立與應用服務器、數(shù)據(jù)庫服務器之間的數(shù)據(jù)傳輸通道。

對系統(tǒng)服務器、 視頻管理服務器等設備日志記錄進行完整性保護。

3.4 應用和數(shù)據(jù)安全

密碼保護的重要數(shù)據(jù)：重要業(yè)務數(shù)據(jù)、身份鑒別信息、日志數(shù)據(jù)等。

密碼支撐平臺組成：密碼支撐平臺由CA 證書認證系統(tǒng)、密鑰管理系統(tǒng)、服務器密碼機、數(shù)據(jù)庫透明加密系統(tǒng)、VPN 網(wǎng)關、智能密碼鑰匙等組成。

采用的密碼措施： 在門禁系統(tǒng)網(wǎng)絡鏈路部署VPN 網(wǎng)關，業(yè)務主鏈路部署綜合網(wǎng)關， 在密碼服務區(qū)部署CA 系統(tǒng)和服務器密碼機等密碼應用， 工作站安裝身份鑒別客戶端并使用智能密碼鑰匙，集成管理系統(tǒng)、文件服務器安裝數(shù)據(jù)庫透明加密系統(tǒng)，實現(xiàn)系統(tǒng)的身份鑒別、訪問控制信息完整性、重要數(shù)據(jù)傳輸機密性、重要數(shù)據(jù)存儲機密性、重要數(shù)據(jù)傳輸完整性、重要數(shù)據(jù)存儲完整性[2]。

3.4.1 身份鑒別

視頻管理系統(tǒng)如采用前端設備接入視頻管理系統(tǒng)， 采用SM2 數(shù)字簽名技術的“挑戰(zhàn)一響應”機制實現(xiàn)前端設備的身份鑒別。

工作站用戶在PC 終端上安裝VPN 客戶端， 使用智能密碼鑰匙，結合VPN 安全網(wǎng)關，實現(xiàn)終端基于SM2 數(shù)字簽名技術的“挑戰(zhàn)一響應”機制登錄。

工作站客戶端安裝時綁定對應服務器IP， 服務器側設置工作站名稱和端口號建立通信。 系統(tǒng)管理員采用賬戶+ 口令通過客戶端直接登錄服務器。

日志記錄授權登錄的工作站，并記錄所有操作行為。

3.4.2 訪問控制信息完整性

訪問控制信息采用HMAC-SM3 密碼技術對業(yè)務系統(tǒng)的訪問控制信息進行完整性防護。 如存在無法改造時，通過嚴格的系統(tǒng)訪問授權機制、 日志審計以及工作管理措施來緩解該項面臨的風險。

3.4.3 重要數(shù)據(jù)存儲機密性

對集成管理系統(tǒng)上的重要業(yè)務數(shù)據(jù)采用數(shù)據(jù)庫透明加密系統(tǒng)進行存儲加密。 數(shù)據(jù)庫透明加密系統(tǒng)實現(xiàn)SM4 算法的CBC 模式的對稱加密。

對視頻監(jiān)控系統(tǒng)使用SM4 算法對視頻數(shù)據(jù)進行存儲機密性保護。

對文件服務器存儲的打包的數(shù)據(jù)庫備份文件，文件服務器通過部署主機監(jiān)控與審計系統(tǒng)，工作管理措施增加安全防護。

3.4.4 數(shù)據(jù)存儲完整性

數(shù)據(jù)存儲完整性的數(shù)據(jù)對象主要針對用戶口令、 集成管理服務系統(tǒng)、視頻管理系統(tǒng)與文件服務器存儲的數(shù)據(jù)。 針對用戶口令，有些系統(tǒng)會使用MD5 算法對用戶口令進行存儲完整性保護。

在不影響原業(yè)務系統(tǒng)的情況下， 采用文件服務器存儲的事件等日志信息，使用相應的密碼算法進行“篡改檢驗”完整性保護；視頻數(shù)據(jù)重要業(yè)務數(shù)據(jù)，通過調用服務器密碼機，對存儲的重要業(yè)務數(shù)據(jù)采用HMAC-SM3 技術實現(xiàn)數(shù)據(jù)完整性保護。

3.4.5 數(shù)據(jù)傳輸機密性和完整性

采用安全網(wǎng)關對系統(tǒng)業(yè)務數(shù)據(jù)傳輸完整性進行彌補，門禁系統(tǒng)數(shù)據(jù)上傳、配置及授權數(shù)據(jù)下發(fā)，由VPN 安全網(wǎng)關保證數(shù)據(jù)傳輸?shù)臋C密性和完整性。

工作站訪問業(yè)務系統(tǒng)涉及的重要業(yè)務數(shù)據(jù)通信， 由VPN安全網(wǎng)關實現(xiàn)集成管理系統(tǒng)數(shù)據(jù)的傳輸機密性和完整性。

4 結語

實物保護系統(tǒng)未來發(fā)展的前景不會局限于自組局域網(wǎng)，子系統(tǒng)大規(guī)模組網(wǎng)、集中控制、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)是其必然的方向。 結合核電運行的需要，無論是已建成、在建項目，還是規(guī)劃的核電，安全要求將會越來越高。 加上國家對于網(wǎng)絡安全的法律法規(guī)的完善，對已有系統(tǒng)進行密碼應用改造、對新建系統(tǒng)提出加密需求是必然的趨勢。