• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      淺談電力監(jiān)控系統(tǒng)商用密碼應(yīng)用安全性評(píng)估

      2023-01-11 12:21:39
      水電站設(shè)計(jì) 2022年1期
      關(guān)鍵詞:商用密鑰密碼

      謝 志 奇

      (貴州烏江水電開發(fā)有限責(zé)任公司,貴州 貴陽 550002)

      0 前 言

      商用密碼是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品,其具有防泄密(機(jī)密性)、防篡改(完整性)、防假冒(真實(shí)性)、防抵賴(不可否認(rèn)性),商用密碼應(yīng)用安全性評(píng)估(后簡(jiǎn)稱“密評(píng)”)是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng),對(duì)其中密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估[1]。

      1 密評(píng)特性介紹及具體步驟

      1.1 密評(píng)特點(diǎn)

      1.1.1 合規(guī)性

      按照《商用密碼管理?xiàng)l例》等密碼法規(guī)和行業(yè)相關(guān)的密碼使用要求,使用符合國(guó)家密碼法規(guī)和標(biāo)準(zhǔn)規(guī)定的商用密碼算法,使用經(jīng)過國(guó)家密碼管理局審批的密碼產(chǎn)品或服務(wù);按照《信息系統(tǒng)密碼應(yīng)用基本要求》等標(biāo)準(zhǔn),進(jìn)行相應(yīng)的密碼應(yīng)用解決方案設(shè)計(jì)。

      1.1.2 正確性

      系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制按照相應(yīng)的國(guó)家和行業(yè)密碼標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn);自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)正確,符合相關(guān)標(biāo)準(zhǔn)要求;密碼保障體系建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確。

      1.1.3 有效性

      密碼應(yīng)用安全立足系統(tǒng)安全、體系安全、動(dòng)態(tài)安全,信息系統(tǒng)中采用的密碼協(xié)議、密鑰管理系統(tǒng)、密碼應(yīng)用子系統(tǒng)和密碼防護(hù)機(jī)制不僅設(shè)計(jì)合理,而且在系統(tǒng)運(yùn)行過程中能夠發(fā)揮密碼效用,保障信息的機(jī)密性、完整性、真實(shí)性、抗抵賴性[2]。

      1.2 密評(píng)依據(jù)和基本原則

      評(píng)估工作應(yīng)當(dāng)遵循國(guó)家法律法規(guī)及相關(guān)標(biāo)準(zhǔn)。測(cè)評(píng)機(jī)構(gòu)開展評(píng)估應(yīng)當(dāng)遵循商用密碼管理政策和《信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼測(cè)評(píng)要求》等相關(guān)密碼標(biāo)準(zhǔn)的要求,遵循獨(dú)立、客觀、公正的原則[3]。

      1.3 密評(píng)步驟

      (1)評(píng)估準(zhǔn)備階段:確定評(píng)估依據(jù),資料審查,系統(tǒng)基本情況梳理,系統(tǒng)密碼應(yīng)用情況。

      (2)方案編制階段:確定測(cè)評(píng)對(duì)象,系統(tǒng)邊界范圍,確定測(cè)評(píng)指標(biāo),確定使用工具種類,根據(jù)網(wǎng)絡(luò)拓?fù)鋱D或初步調(diào)研結(jié)果,確定工具接入點(diǎn),最終確定整體的測(cè)評(píng)內(nèi)容,以及內(nèi)容對(duì)應(yīng)的測(cè)評(píng)方法。

      (3)評(píng)估就緒階段:確認(rèn)各主機(jī)數(shù)據(jù)是否已備份,保障數(shù)據(jù)安全,如果沒有備份則不進(jìn)行工具測(cè)試,工具測(cè)試過程可能產(chǎn)生的意外情況都已有應(yīng)急處理措施。

      (4)評(píng)估實(shí)施階段:確定被評(píng)估對(duì)象及測(cè)評(píng)工具、總體測(cè)評(píng)、技術(shù)應(yīng)用測(cè)評(píng)、密鑰管理測(cè)評(píng)、安全管理測(cè)評(píng)、工具測(cè)試接入點(diǎn)明確。

      (5)評(píng)估結(jié)果綜合分析:針對(duì)測(cè)評(píng)結(jié)果中存在的部分符合項(xiàng)和不符合項(xiàng)問題加以描述和分析,其中對(duì)于部分符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析,評(píng)定風(fēng)險(xiǎn)等級(jí),作為整體評(píng)判的結(jié)果。

      (6)分析與編制報(bào)告:找出整個(gè)系統(tǒng)的安全防護(hù)現(xiàn)狀與相應(yīng)等級(jí)保護(hù)需求之間的差距,分析可能存在的風(fēng)險(xiǎn)并形成評(píng)估報(bào)告。

      2 電力監(jiān)控系統(tǒng)商用密碼應(yīng)用要求

      生產(chǎn)控制大區(qū)要求允許提供縱向安全WEB服務(wù),但應(yīng)當(dāng)優(yōu)先采用專用協(xié)議和專用瀏覽器的圖形瀏覽技術(shù),也可采用經(jīng)過安全加固且支持HTTPS的安全WEB服務(wù)。生產(chǎn)控制大區(qū)重要業(yè)務(wù)(如SCADA/AGC/AVC等)的遠(yuǎn)程通信應(yīng)當(dāng)采用加密認(rèn)證機(jī)制。

      調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)邊界要求在生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應(yīng)當(dāng)采取相應(yīng)的安全隔離、加密、認(rèn)證等防護(hù)措施。對(duì)于實(shí)時(shí)控制等重要業(yè)務(wù),應(yīng)通過縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)接入調(diào)度數(shù)據(jù)網(wǎng)。

      橫向隔離要求正反向隔離裝置集中接收生產(chǎn)大區(qū)或管理大區(qū)的數(shù)據(jù),進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢驗(yàn)等處理后,轉(zhuǎn)發(fā)給管理大區(qū)或生產(chǎn)大區(qū);縱向加密要求調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認(rèn)證裝置,傳統(tǒng)的基于專用通道的數(shù)據(jù)通信可逐步采用加密、身份認(rèn)證等技術(shù)進(jìn)行安全防護(hù);電力調(diào)度數(shù)據(jù)證書系統(tǒng)要求為電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用戶和關(guān)鍵設(shè)備,提供數(shù)字證書服務(wù)、實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠的行為審計(jì)。電力調(diào)度數(shù)字證書應(yīng)當(dāng)經(jīng)過國(guó)家有關(guān)檢測(cè)機(jī)構(gòu)檢測(cè)認(rèn)證,符合國(guó)家相關(guān)安全要求。

      通用安全防護(hù)措施要求如下:

      (1)防水防潮、電子門禁等物理安全措施;

      (2)非控制區(qū)應(yīng)當(dāng)支持HTTPS的縱向安全WEB服務(wù),采用電力調(diào)度數(shù)字證書對(duì)瀏覽器客戶端訪問進(jìn)行身份認(rèn)證及加密傳輸;

      (3)能量管理系統(tǒng)應(yīng)當(dāng)逐步采用電力調(diào)度數(shù)字證書,對(duì)用戶登錄本地操作系統(tǒng)、訪問系統(tǒng)資源等操作進(jìn)行身份認(rèn)證,根據(jù)身份與權(quán)限進(jìn)行訪問控制,并且對(duì)操作行為進(jìn)行安全審計(jì);

      (4)需遠(yuǎn)程訪問生產(chǎn)控制大區(qū)的,要求遠(yuǎn)方用戶使用安全加固的操作系統(tǒng)平臺(tái),結(jié)合數(shù)字證書技術(shù),進(jìn)行登錄認(rèn)證和訪問認(rèn)證;

      (5)基于專線通道與調(diào)度主站進(jìn)行的數(shù)據(jù)通信,應(yīng)采用必要的身份認(rèn)證或加解密措施進(jìn)行防護(hù);

      (6)生產(chǎn)控制大區(qū)應(yīng)當(dāng)具備安全審計(jì)功能,可對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)日志、數(shù)據(jù)庫重要操作日志、業(yè)務(wù)應(yīng)用日志、安全設(shè)備日志等進(jìn)行統(tǒng)一收集,自動(dòng)分析;

      (7)生產(chǎn)控制大區(qū)具備控制功能的系統(tǒng)應(yīng)當(dāng)逐步推廣應(yīng)用以密碼硬件為核心的可信計(jì)算技術(shù);

      (8)電力監(jiān)控系統(tǒng)中商用密碼產(chǎn)品的配備、使用和管理等,應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家商用密碼管理局的有關(guān)規(guī)定。

      3 電力監(jiān)控系統(tǒng)密評(píng)內(nèi)容和建議

      3.1 總體安全

      3.1.1 密碼算法

      檢查系統(tǒng)使用的算法名稱、用途、位置、執(zhí)行算法的設(shè)備及實(shí)現(xiàn)方式,核查密碼算法合規(guī)性,電力監(jiān)控系統(tǒng)中使用的SM2、SM3國(guó)密算法為合規(guī),不合規(guī)算法有RSA1024、SHA-1、AES等,建議使用經(jīng)國(guó)家密碼管理部門核準(zhǔn)的密碼算法[4]。

      3.1.2 密碼技術(shù)

      核查密碼協(xié)議、密鑰管理等密碼技術(shù)是否符合相關(guān)標(biāo)準(zhǔn)規(guī)范,若密碼技術(shù)由合規(guī)的密碼產(chǎn)品實(shí)現(xiàn),則重點(diǎn)評(píng)估技術(shù)使用是否符合標(biāo)準(zhǔn)規(guī)定。在電力監(jiān)控系統(tǒng)中不合規(guī)的密碼技術(shù)有HTTP、FTP、TELNET等。

      建議使用數(shù)字證書技術(shù),使用經(jīng)國(guó)家密碼管理部門核準(zhǔn)的密碼模塊如SSL VPN、IPSEC VPN,并使用經(jīng)國(guó)家密碼管理部門核準(zhǔn)的算法,建立遠(yuǎn)程集中管理安全通道。

      3.1.3 密碼產(chǎn)品

      核查相關(guān)部件和設(shè)備是否取得國(guó)家密碼管理部門頒發(fā)的商用密碼產(chǎn)品型號(hào)證書,或是否具有被主管部門認(rèn)可的測(cè)評(píng)機(jī)構(gòu)出具的合格測(cè)評(píng)報(bào)告。密碼產(chǎn)品按形態(tài)劃分為六類:軟件、芯片、模塊、板卡、整機(jī)和系統(tǒng);密碼產(chǎn)品按功能劃分為七類:密碼算法類、數(shù)據(jù)加解密類、認(rèn)證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。

      在電力監(jiān)控系統(tǒng)中建議將使用的未經(jīng)國(guó)家密碼管理部門核準(zhǔn)的密碼產(chǎn)品逐步更換為具有商密型號(hào)的同功能密碼產(chǎn)品,密碼產(chǎn)品的合規(guī)性可登陸商用密碼認(rèn)證業(yè)務(wù)網(wǎng)(http://service.scctc.org.cn/)進(jìn)行查詢。

      3.1.4 密碼服務(wù)

      核查為信息系統(tǒng)提供密碼服務(wù)的第三方電子認(rèn)證服務(wù)組織機(jī)構(gòu),核查該機(jī)構(gòu)是否獲得國(guó)家密碼管理局頒發(fā)的密碼服務(wù)許可證。電力監(jiān)控系統(tǒng)中暫未涉及,在此不做贅述。

      3.2 基本安全

      3.2.1 物理和環(huán)境

      遵循物理和環(huán)境安全測(cè)評(píng)要求,對(duì)集中管理電力監(jiān)控系統(tǒng)所在機(jī)房環(huán)境進(jìn)行測(cè)評(píng);重點(diǎn)查看電子門禁是否具有商密型號(hào),電子門禁記錄和視頻記錄是否使用密碼技術(shù)、密碼產(chǎn)品進(jìn)行保護(hù)。

      建議使用具有商密型號(hào)的門禁系統(tǒng),確認(rèn)進(jìn)入各重要區(qū)域人員的身份,防止無關(guān)和假冒人員進(jìn)入。建議使用數(shù)字簽名技術(shù)或HMAC方式對(duì)監(jiān)控記錄進(jìn)行完整性保護(hù),如服務(wù)器密碼機(jī)、數(shù)字簽名驗(yàn)簽服務(wù)器,保護(hù)電子門禁系統(tǒng)進(jìn)出記錄和視頻監(jiān)控音像記錄的完整性,防止被非授權(quán)篡改。

      3.2.2 網(wǎng)絡(luò)和通信

      檢查確認(rèn)通信實(shí)體的身份,防止與假冒實(shí)體進(jìn)行通信;保護(hù)通信過程中的數(shù)據(jù),防止數(shù)據(jù)被非授權(quán)篡改,防止敏感數(shù)據(jù)泄露。

      建議在網(wǎng)絡(luò)接入?yún)^(qū)部署符合GB/T 0022—2014的IPSec VPN/和符合GB/T 0024—2014的SSL VPN,對(duì)進(jìn)行數(shù)據(jù)備份的設(shè)備在通信前進(jìn)行身份鑒別和建立安全的集中管理通道,通過部署SSL VPN網(wǎng)關(guān),對(duì)訪問控制信息完整性保護(hù),在網(wǎng)絡(luò)邊界部署IPSec VPN、SSL VPN網(wǎng)關(guān)等設(shè)備,對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行完整性和機(jī)密性保護(hù)。

      3.2.3 設(shè)備和計(jì)算

      檢查設(shè)備的特權(quán)用戶和普通用戶的身份是否進(jìn)行識(shí)別和確認(rèn),防止假冒人員登錄;檢查遠(yuǎn)程管理時(shí),是否對(duì)管理員的身份鑒別信息進(jìn)行機(jī)密性保護(hù),防止鑒別信息泄漏;檢查是否保護(hù)計(jì)算機(jī)、服務(wù)器等設(shè)備中的系統(tǒng)資源訪問控制信息、重要信息資源安全標(biāo)記、日志記錄和重要可執(zhí)行程序,防止被非授權(quán)篡改。

      建議在網(wǎng)絡(luò)層建立合規(guī)的集中遠(yuǎn)程管理通道;使用密碼技術(shù)或產(chǎn)品對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別;日志集中存儲(chǔ)的方式對(duì)日志進(jìn)行集中管理,并使用數(shù)字簽名技術(shù)或 HMAC 方式對(duì)日志進(jìn)行完整性保護(hù)。

      3.2.4 應(yīng)用和數(shù)據(jù)

      檢查確認(rèn)應(yīng)用系統(tǒng)的管理員和普通用戶的身份,防止假冒人員登錄;檢查對(duì)應(yīng)用系統(tǒng)的訪問控制策略、數(shù)據(jù)庫表訪問控制信息、重要信息資源安全標(biāo)記等是否進(jìn)行保護(hù),防止被非授權(quán)篡改;檢查是否保護(hù)客戶端與服務(wù)器之間、應(yīng)用系統(tǒng)之間在非安全網(wǎng)絡(luò)信道中傳輸?shù)闹匾獢?shù)據(jù),防止數(shù)據(jù)泄露;檢查是否保護(hù)存儲(chǔ)的重要數(shù)據(jù),防止數(shù)據(jù)泄露、非授權(quán)篡改;檢查是否保護(hù)重要日志記錄,防止被非授權(quán)篡改;檢查是否保護(hù)可能涉及法律責(zé)任認(rèn)定的應(yīng)用系統(tǒng)中的數(shù)據(jù)發(fā)送和數(shù)據(jù)接收操作,確保發(fā)送方和接收方對(duì)已經(jīng)發(fā)生的操作行為無法否認(rèn)。

      建議在業(yè)務(wù)生產(chǎn)區(qū)PC客戶端部署安全瀏覽器,在業(yè)務(wù)服務(wù)區(qū)部署符合 GM/T 0024—2014的SSL VPN安全網(wǎng)關(guān),并向相關(guān)用戶配發(fā) USBKey,實(shí)現(xiàn)對(duì)PC客戶端登錄應(yīng)用用戶的安全身份鑒別,防止非授權(quán)人員登錄;應(yīng)用通過調(diào)用服務(wù)器密碼機(jī),對(duì)PC端登錄用戶身份鑒別數(shù)據(jù)、系統(tǒng)中流轉(zhuǎn)的業(yè)務(wù)數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)機(jī)密性、完整性保護(hù),實(shí)現(xiàn)身份鑒別數(shù)據(jù)、數(shù)據(jù)防竊取和防篡改保護(hù);PC 端安全瀏覽器與 SSL VPN 安全網(wǎng)關(guān)之間使用合規(guī)的SSL 協(xié)議,建立安全的數(shù)據(jù)傳輸通道,實(shí)現(xiàn)數(shù)據(jù)傳輸機(jī)密性、完整性保護(hù)[5]。

      3.2.5 密鑰管理

      檢查密鑰生成、存儲(chǔ)、分發(fā)、導(dǎo)入、導(dǎo)出、使用、備份、恢復(fù)、歸檔、銷毀等全生命周期的安全性和正確性。

      電力監(jiān)控系統(tǒng)密碼應(yīng)用方案建議包含完整的密鑰管理方案,明確采用的密鑰種類及管理環(huán)節(jié),并設(shè)計(jì)安全的技術(shù)實(shí)現(xiàn)方式,密鑰管理方案的技術(shù)實(shí)現(xiàn)可由通過檢測(cè)認(rèn)證的商用密碼產(chǎn)品提供。

      3.2.6 安全管理

      檢查制度管理、人員管理、實(shí)施規(guī)劃、實(shí)施建設(shè)、實(shí)施運(yùn)行、應(yīng)急管理中法規(guī)和方案編制及執(zhí)行落實(shí)情況。

      建議定期論證和審定密碼安全管理制度,明確相關(guān)管理制度發(fā)布流程;設(shè)置密鑰管理人員、安全審計(jì)人員、密碼操作人員等關(guān)鍵崗位;建立崗位責(zé)任制度,關(guān)鍵崗位多人共管制度;規(guī)劃階段制定密碼應(yīng)用方案,實(shí)施階段應(yīng)制定實(shí)施方案,選用被核準(zhǔn)的密碼產(chǎn)品或被許可的密碼服務(wù),投入運(yùn)行前,應(yīng)經(jīng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全性評(píng)估,評(píng)估通過后方可投入正式運(yùn)行;制定應(yīng)急預(yù)案,做好應(yīng)急資源準(zhǔn)備;事件發(fā)生后應(yīng)及時(shí)向上級(jí)主管部門和同級(jí)的密碼主管部門進(jìn)行報(bào)告;事件處置完成后,應(yīng)及時(shí)向同級(jí)的密碼主管部門報(bào)告事件發(fā)生的情況及處置結(jié)果。

      4 結(jié) 語

      密碼保障業(yè)務(wù)安全、密碼評(píng)測(cè)保障密碼體系完善,二者有機(jī)協(xié)同,才能建立完善的網(wǎng)絡(luò)安全環(huán)境。密碼體系是網(wǎng)絡(luò)安全環(huán)境的基礎(chǔ),密碼評(píng)測(cè)是密碼體系建設(shè)是否優(yōu)良重要的考量,密碼應(yīng)用與密碼評(píng)測(cè)工作同為網(wǎng)絡(luò)安全環(huán)境建設(shè)的重要部分,電力監(jiān)控系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估符合國(guó)家及相關(guān)主管部門的安全管控要求,使發(fā)電企業(yè)運(yùn)維部門對(duì)電力監(jiān)控系統(tǒng)的商用密碼應(yīng)用情況有了全面系統(tǒng)的認(rèn)識(shí),根據(jù)密評(píng)得出的整改建議在縱向傳輸上不只需要發(fā)電企業(yè)進(jìn)行改造,同時(shí)也需要上級(jí)調(diào)度機(jī)構(gòu)的實(shí)施配合才能保證業(yè)務(wù)的正常的運(yùn)行;而在內(nèi)部橫向改造過程中,隨著當(dāng)前電力生產(chǎn)自動(dòng)化程度的提高,各類業(yè)務(wù)系統(tǒng)日益增多,需要發(fā)電企業(yè)對(duì)內(nèi)部系統(tǒng)進(jìn)行逐一完善,這是一個(gè)循序漸進(jìn)的過程,評(píng)估、檢測(cè)、建議、完善應(yīng)該形成長(zhǎng)期的良性循環(huán),安全工作沒有終點(diǎn)只有起點(diǎn),根據(jù)評(píng)估要求完成相關(guān)整改能保障整個(gè)電力監(jiān)控系統(tǒng)安全穩(wěn)定運(yùn)行和重要業(yè)務(wù)的數(shù)據(jù)安全。

      猜你喜歡
      商用密鑰密碼
      探索企業(yè)創(chuàng)新密鑰
      兵學(xué)商用人物
      ——徐小林
      孫子研究(2022年2期)2022-06-09 08:21:36
      密碼里的愛
      2022 年《商用汽車》回顧
      商用汽車(2022年12期)2022-04-24 01:29:10
      2021年《商用汽車》回顧
      商用汽車(2021年12期)2021-07-14 02:13:28
      密碼系統(tǒng)中密鑰的狀態(tài)與保護(hù)*
      密碼疲勞
      英語文摘(2020年3期)2020-08-13 07:27:02
      一種對(duì)稱密鑰的密鑰管理方法及系統(tǒng)
      基于ECC的智能家居密鑰管理機(jī)制的實(shí)現(xiàn)
      密碼藏在何處
      孝感市| 鄂伦春自治旗| 凤台县| 大同市| 平邑县| 龙井市| 万州区| 察雅县| 玉树县| 平乡县| 德钦县| 吉木萨尔县| 阿尔山市| 新乡市| 建瓯市| 同江市| 德清县| 元氏县| 华亭县| 如东县| 航空| 志丹县| 黔江区| 松原市| 灌南县| 麦盖提县| 贵港市| 江山市| 太仆寺旗| 铅山县| 含山县| 平陆县| 英吉沙县| 隆德县| 札达县| 清河县| 陆良县| 黄浦区| 蒲江县| 龙州县| 三原县|