商用密碼應用分析及監測感知平臺建設方案探究
摘要:密碼是維護網絡空間安全的核心技術之一,利用商用密碼在安全認證、加密保護、信任傳遞等方面的重要作用,能夠有效地消除或控制潛在的網絡空間安全風險隱患。2020 年,《中華人民共和國密碼法》正式頒布實施,為商用密碼應用推廣指明了方向。以推動商用密碼技術應用為出發點,整理國內外密碼技術發展歷程,梳理當前商用密碼技術應用所存在的問題,并針對商用密碼應用不規范問題,提出了商用密碼應用監測感知平臺建設方案。
《中華人民共和國密碼法》明確規定,關鍵信息基礎設施須使用商用密碼進行保護,并開展商用密碼應用安全性評估。目前,我國商用密碼產業化發展較快,在技術創新、產品供給、制度建設等方面取得了突出進展,但也存在商用密碼應用不規范等問題,亟需進一步加大支持力度。當前國內外已有密碼應用監測平臺等相關產品,本文系統地分析了商用密碼應用情況和存在的問題,結合國家政策標準要求,提出了商用密碼應用監測感知平臺建設方案,旨在將監測與感知技術相結合,準確掌握行業用戶密碼應用現狀,實現密碼應用安全合規。
1、商用密碼應用發展現狀
隨著新一代信息技術的不斷發展,由海量數據、異構網絡、復雜應用組成的網絡空間,已成為各國爭相搶奪的新陣地、新戰場。以網絡安全為代表的非傳統安全威脅持續蔓延,使得網絡空間安全風險疊加倍增,威脅挑戰日益嚴峻,安全形勢不容樂觀。密碼是保障網絡安全的核心技術,是構建網絡信任的基石。利用密碼在安全認證、加密保護、信任傳遞等方面的重要作用,能夠有效地消除或控制潛在的“安全風險”,實現從被動防御向主動免疫的戰略轉變。
1.1 國外高度重視密碼工作
國外高度重視密碼工作,以密碼產業化為基礎不斷增強應用,提升網絡空間安全綜合保障能力。各國圍繞密碼技術積極推動密碼產業化應用,以密碼為基礎加強網絡安全保障體系建設,特別是利用密碼在數據保護、安全接入、信任體系建設等方面的作用,不斷強化網絡安全保障體系的機密性,帶動密碼和網絡安全產業做大做強。
美國國家標準與技術研究院、歐洲電信標準化協會一直積極搶占密碼理論研究和算法前沿高地,形成算法、協議、接口、應用相互促進、互相銜接的技術體系 。主流軟硬件廠商組成了國際互聯網工程任務組等組織,從底層硬件到頂層功能服務做出了詳細要求,形成了全產業鏈兼容的協同生態。谷歌、微軟等頭部企業均具備獨立開展密碼研究和安全設計的能力,建設了密碼分析與量子計算、可信計算等團隊,形成了較為完善的對外服務體系。
1949 年,隨著美國數學家、信息論創始人香農《保密系統的通信理論》論文的發表,密碼技術逐漸建立起完善的理論基礎,成為一門現代意義上的學科。經過 70 余年的不斷發展,各國通過密碼技術、密碼產品、密碼服務等,不斷增強密碼產品產業化能力,形成了包括網絡基礎資源、信息設施、計算分析、應用服務、網絡通道、接入終端、設備控制等在內的全體系平臺安全防護體系。
1.2 國內積極布局商用密碼產業化應用推廣
如何合規、正確、有效、廣泛地使用商用密碼,充分發揮商用密碼在保障我國網絡空間安全中的核心技術及基礎支撐作用,關乎網絡空間安全、更關乎國家安全大局。為做好商用密碼應用推廣和產業化工作,我國積極布局相關工作,在制度體系建設、關鍵產品研發、基礎服務產業化等方面取得了階段性成效。2020 年1 月 1 日起《中華人民共和國密碼法》正式實施,明確了黨管密碼的根本原則,要求密碼工作堅持總體國家安全觀,遵循統一領導、分級負責,創新發展、服務大局,依法管理、保障安全的原則。在商用密碼應用推廣方面,明確提出“國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展”為商用密碼在更多領域、更廣范圍的產業化應用推廣奠定了堅實的制度基礎 。
在技術創新方面,我國已取得一系列高水平、原創性的科技成果。橢圓曲線公鑰密碼算法SM2、密碼雜湊算法 SM3、分組密碼算法 SM4、序列密碼算法 ZUC、標識密碼算法 SM9 等標準相繼發布實施,ZUC 算法成為 4G 國際標準,SM2、SM3 和 SM9 算法成為國際標準。在產品供給方面,密碼產品不斷增多、功能愈發完善,據統計,已有 2 000 余款密碼產品通過審批,涵蓋了密碼芯片、密碼板卡、密碼機、密碼系統等多個方面,形成了較為完備的產業鏈條和服務體系。在制度建設方面,隨著商用密碼管理制度不斷完善,產品檢測能力顯著提升,商用密碼應用安全性評估試點逐步展開,密碼相關政策法規的落地與實施得到有力加強,全社會對密碼的認可度大幅提升。
2、問題及分析
目前,我國商用密碼產業化發展進程較快,在技術創新、產品供給、制度建設等方面取得突出進展,但是仍存在以下問題,亟需進一步加大支持力度。
2.1 商用密碼應用不廣泛
《中華人民共和國密碼法》對推廣商用密碼應用提出了明確要求,供給側企業加大技術、產品、服務的研發力度,形成了包括密碼芯片、板卡、加密機、系統在內的完整產品鏈條體系。同時,我國全國信息安全標準化技術委員會、密碼行業標準化技術委員會等標準化組織大力開展商用密碼標準化工作,以“急用先行、通用先立”為原則,加快推進標準化進程,研制發布與密碼算法、技術應用、產品接口、模塊檢測等相關的國家標準 40 余項,發揮標準引領和規范作用,指導商用密碼應用推廣工作。但是,我國網絡的整體安全防護能力仍然十分脆弱,大量網絡數據、網絡設備、信息系統處于“裸奔”狀態,沒有使用密碼技術保護,部分數據、設備和系統還存在密碼使用不合規的現象,存在巨大的網絡安全隱患,相關檢查數據顯示,有關部門所轄信息系統密碼應用比重仍然較低。此外,我國商用密碼產業鏈上下游的供需對接能力亟待進一步加強,產業鏈上游供給側與下游需求側之間存在信息不匹配、消息不透明等問題。供給側的供給能力和需求側的實際需求尚未及時有效對接,產業鏈上下游協同聯動、集成適配的能力有待提升。
2.2 商用密碼應用不規范
《中華人民共和國密碼法》明確規定,關鍵信息基礎設施須使用商用密碼進行保護,并開展商用密碼應用安全性評估。為貫徹落實法律要求,國家密碼管理局發布了《商用密碼應用安全性評估試點機構目錄》,在全國范圍遴選了一批優質技術服務資源,支撐商用密碼應用安全性評估工作加快實施。雖然國家、地方、行業相繼出臺了一些規定和配套的制度、要求,但在一些地區和部門并未得到有效實施。部分單位重信息化建設、輕信息安全保護,信息系統密碼使用不規范、不正確,在密鑰管理、密碼系統運行維護等方面存在風險 。目前,亟需建設商用密碼監測感知平臺,進一步豐富主管部門監管手段,準確地掌握工業和信息化行業商用密碼應用情況,并及時分析商用密碼應用風險隱患,幫助密碼應用企業對照國家標準、行業標準開展密碼應用合規性檢查評估,強化企業商用密碼的管理與運用,提升密碼應用風險消減與防范能力,確保密碼應用安全合規。
2.3 商用密碼應用不安全
密碼應用涉及領域廣、行業多,系統架構多元多樣,對商用密碼技術、產品、服務提出了更高的要求。在電子政務、電子商務、金融、移動互聯網領域,現有大量信息系統仍然在使用 MD5、SHA-1、RSA-512、RSA-1024、 數 據加密標準(Data Encryption Standard,DES)等已被警示有安全風險的商用密碼算法 [5]。此外,在裝備制造、石油、化工、冶金、電力等重點工業領域,基于上述密碼算法提供的密碼服務仍在廣泛運行,給信息系統、工控系統帶來了嚴重安全隱患。亟需開展產業基礎公共服務平臺建設,帶動更多技術力量和社會資本加大對密碼應用供給能力的投入,豐富密碼應用產業鏈上游供給。通過將國產商用密碼芯片、算法、軟件、板卡、模塊與安全防護產品深度集成和適配,形成適用于工業和信息化典型行業且基于國產密碼的網絡安全成套防護方案,實現商用密碼技術、產品和服務的綜合集成和合規性評估,帶動國產商用密碼技術、產品、服務能力提升,幫助產業鏈下游企業將密碼“基因”植入網絡安全技術保障體系,促進網絡安全綜合防護能力提升。
3、商用密碼應用監測感知平臺
保障商用密碼應用規范性和安全性是推動商用密碼廣泛應用的首要前提,監測感知技術是提高規范性與安全性的重要手段。本文面向商用密碼應用存在的問題,提出了一套商用密碼監測感知平臺建設方案。
商用密碼應用監測感知平臺包含密碼數據感知系統和密碼數據監測系統。商用密碼數據感知系統的建設,關鍵是數據來源、數據采集、智能分析等模塊的研發,實現聯網重要網絡資產識別、信息采集與智能分析,定位資產所屬位置、所屬企業,評估密碼應用情況,及時形成預警信息,并通過聯盟供需對接門戶及時開展信息報送與通報工作,提升企業密碼安全應用水平。商用密碼數據監測系統的建設,包括密碼數據分析模塊、合規性評估模塊、監測展示模塊,通過部署在密碼云基礎設施上的探針,實時監測分析密碼產品資質、算法合規、算法正確和隨機數質量等,并利用呈現系統展示安全態勢、設備運行狀態、資產和用戶管理、規則告警信息等,幫助應用密碼云基礎服務、應用服務的需求側企業持續提升密碼應用安全合規水平。
3.1 密碼數據感知系統
商用密碼數據感知系統的建設在于數據來源、數據采集、智能分析等模塊的研發。在數據來源方面,需要利用全鏡像流量分析和探針的方式,提取安全設備、終端安全、操作系統、中間件、網絡設備等的信息數據,輔以漏洞利用、威脅情報分析、異常流量識別等技術,實現聯網重要網絡資產的識別。在數據采集方面,將來源數據進行科學分類,提取審計數據、異常行為、違規訪問、安全日志、情報信息等,為滲透測試工作提供元數據和安全檢測日志。在智能分析方面,運用引擎分析、情報關聯、異常識別等技術,全方位分析聯網網絡設備資產情況,定位資產所屬位置、所屬企業,評估密碼應用情況,及時形成預警信息。
密碼數據感知系統具備針對我國商用密碼應用狀況的監測能力,平臺通過主動監測手段搜集互聯網聯網商密算法潛在應用系統的分布情況、全國重點商密算法潛在應用企業網絡安全情況,并結合威脅情報和安全大數據對網絡威脅形成實時的感知和分析能力;通過數據挖掘、深度學習、可視化計算等技術,并結合云端威脅情報實現未知網絡攻擊威脅的自動化發現及預警,形成對未知安全威脅的監測與發現能力,同時利用實時感知和分析能力建立安全事件通報、周期安全態勢報告機制以及安全事件的應急處置能力。密碼數據感知系統架構如圖 1 所示。
圖 1 密碼數據感知系統架構
數據感知層。通過主動監測手段搜集互聯網聯網系統的分布情況、針對信息系統攻擊行為的分布情況,全國重點商密算法潛在應用企業網絡安全情況等多個渠道采集海量安全信息與事件數據。
數據存儲分析層。對采集的海量數據進行關鍵信息提取、格式歸一化轉換和信息富化處理,將處理后的信息分別輸送到存儲和大數據分析部分,由支撐大數據的安全存儲層完成對海量安全數據的安全保存,流式計算引擎對流量進行實時處理后送至威脅感知、脆弱分析、安全風險分析等安全引擎完成安全威脅分析功能。結合威脅情報和安全大數據,通過數據挖掘、機器學習、人工智能等技術,對商用密碼算法應用情況進行綜合研判和分析。
數據應用層。應用層主要由各安全應用系統組成,可以通過可視化技術,將潛在商用密碼應用用戶系統在線聯網情況以及安全態勢綜合分析結果進行實時呈現,幫助主管部門快速掌握商用密碼應用情況,并根據實際情況做出相應的決策,快速有效地應對網絡安全威脅。
3.2 密碼數據監測系統
3.2.1 遵循的技術標準
研制過程中嚴格遵循商用密碼主管單位的管理要求,參照的技術標準如表 1 所示。
表 1 遵循的技術標準
3.2.2 系統組成
密碼數據監測系統如圖 2 所示,由密碼數據分析模塊、合規性評估模塊和監測呈現模塊組成。
圖 2 密碼數據監測系統
密碼數據分析模塊。通過主動采集、定時上報或旁路抓包的方式與各類密碼設備、密碼系統或密碼模塊進行對接,實現監測數據的采集、處理和建模分析,從而發現接入的業務系統在密碼使用過程中存在的問題和安全隱患。
合規性評估模塊。主要對監測對象進行密碼設備自檢、檢測工具檢查和人工檢查等,完成全流程檢查后進行被測對象綜合評估。檢查內容包括密碼算法實現的正確性、密鑰的完整性、產品功能正確性、加密流量安全性、傳輸協議安全性、產品資質情況、密碼使用情況等方面。
監測呈現模塊。主要包括資產管理、設備運行狀態監測、告警管理、預警管理、系統管理、規則管理、日志管理、用戶管理和報表管理等功能。
3.2.3 主要業務流程
(1)監測數據采集流程。監測系統數據采集流程如圖 3 所示。
圖 3 密碼監測數據采集流程
數據采集模塊通過《密碼設備管理 設備管理技術規范》、RESTful、SNMP 等協議采集密碼產品相關數據;數據采集模塊將數據發送到消息隊列;數據處理模塊消費信息;數據采集模塊處理數據;數據處理模塊將數據存儲到搜索服務器(Elastic Search,ES)中;數據處理模塊將數據發送到消息隊列;數據分析模塊消費信息;數據分析模塊分析數據;數據分析模塊將分析的數據發送到消息隊列;呈現模塊消費信息,并存儲到 mysql 中。
(2)鏡像流量識別流程。鏡像流量識別系統具有加密流量惡意行為分析、檢測的能力,可以在不解密情況下提高對網絡流量的監控能力,避免網絡攻擊行為和失泄密事件發生。平臺包括數據采集層、數據存儲層、威脅感知層、態勢感知層和運維管理層,如圖 4 所示。
圖 4 鏡像流量識別系統架構
鏡像流量識別系統基于網絡流量和數據包分析;通過機器學習方法和密碼分析手段,結合規則庫與黑名單規則,發現安全威脅和未知網絡密碼攻擊;迭代機器學習模型和數據倉庫;形成安全威脅態勢和統計報表。
(3)事件分析處理流程。安全事件分析子系統將預處理完成的初始化安全事件數據進行進一步的事件分析,安全事件關聯分析流程如圖5所示。
圖 5 安全事件關聯分析流程
通過事件采集模塊對原始事件進行預處理;通過事件實時分析模塊對經過預處理的安全事件進行實時分析,并對危急安全事件進行告警;通過事后關聯分析模塊對時間跨度大的歷史安全事件進行關聯分析,并對潛在安全風險和危險行為進行安全預警。
4、結語
本文根據當前商用密碼應用情況及存在的問題,結合相應的國家政策和標準,將傳統的安全態勢感知技術與商用密碼技術成果相結合,提出了商用密碼應用監測感知平臺的建設方案。經驗證,該平臺通過主動掃描提取重要設備的關鍵信息數據,對數據進行分類、提取以及智能分析,定位資產所屬位置、所屬企業,評估密碼應用情況,實現聯網安全設備主動掃描感知;結合云基礎設施的探針部署模式,基于數據分析模塊可以實時監測分析密碼算法、隨機數、證書等合規性和有效性,同時通過多種形式展現密碼資產、設備狀態、預警信息等密碼應用現狀和風險隱患,幫助密碼應用企業開展密碼應用合規性檢查評估,強化商用密碼的管理運用,提升密碼應用風險消減與防范能力,確保密碼應用安全合規。
