國產商用密碼在城鄉建設領域的應用

文｜全國智能建筑及居住區數字化標準化技術委員會 樊靜靜 張永剛 尚治宇 王鑫

密碼技術是保障網絡安全的核心技術，密碼算法和密碼產品的自主可控是確保我國信息安全的重中之重。“沒有網絡安全就沒有國家安全”，商用密碼技術作為實現網絡安全的核心技術，在網絡安全防護工作中發揮著重要的基礎支撐作用。聚焦住房和城鄉建設領域，圍繞商用密碼的應用現狀、應用需求等內容進行研究，提出相應的發展建議與舉措。

1.商用密碼發展背景

隨著我國改革開放的不斷深入和社會主義市場經濟體制的逐步建立，國家信息化進程不斷加快，國家經濟、管理、社會事務以及公民個人信息在存儲和傳輸過程中的安全問題日益突出，使用商用密碼保護非國家秘密信息的需求越來越強烈。尤其是黨的十八大以來，在習近平總書記網絡強國戰略思想指引下，商用密碼實現了跨越式發展，管理體制逐漸建立健全、標準體系逐步完善、科技創新成果不斷涌現、商用密碼產業蓬勃發展。

2020年1月1日起，《密碼法》正式施行，標志著密碼成為國家的重要戰略資源，直接關系國家政治安全、經濟安全、國防安全和信息安全。密碼是國家重要戰略資源，是保障網絡與信息安全的核心技術和基礎支撐。

2021年9月1日起，《關鍵信息基礎設施安全保護條例》正式施行，該條例從關鍵信息基礎設施的認定、完善監督管理體系、運營者責任義務、保障和促進措施與法律責任等多個方面提出總體監管要求，在關鍵信息基礎設施保護法律體系建設中起到提綱挈領的作用。

2.城鄉建設領域密碼應用現狀及分析

2.1 行業信息化現狀

按照行業主管部門業務職能，相關業務板塊信息系統建設初顯成效，主要包括住房保障與房地產、建筑業、城鄉建設與管理等方面。

2.1.1 住房保障與房地產——智慧社區

在智慧社區中，包含水氣熱、小區門禁、攝像頭、進出道閘等多類智能化終端設備和社區管理平臺，通過對終端設備的控制使用和各類信息的采集，面向小區居民提供便捷、自動化的社區服務以及對社區公共安全的管理。在智慧社區建設過程中需要廣泛運用信息技術，導致信息安全風險積聚升高，對此物聯網信息安全架構的設計將為智慧社區建設與運行期間產生和處理的海量信息數據提供安全保障，通過規劃設計物聯網安全構架，對相關安全風險進行規避、預防和控制。

2.1.2 建筑業——智能建筑

智能建筑的基礎環境的安全風險因人員的非法闖入將可能成為更大風險的誘因，建筑群設計中若未合理的規劃外部通信接入等將導致通信線路無法接入的風險；由于建筑群的外部通信的接入來自一個局端，系統存在單點運行故障的風險，以及信息主動或被動泄露風險；應用系統實現信息共享和系統節能，操作權限設置不當將會導致系統內部信息非法泄露、任意修改或破壞等。

2.1.3 城鄉建設與管理——市政綜合管廊

市政綜合管廊智能化系統包括通信系統、環境與設備監控、預警與報警系統、GIS 系統、安全防范系統、信息管理平臺等。因采用大量傳感器、攝像頭、工業控制系統，存在硬件配置的脆弱性風險，對關鍵設備（包括監控中心設備、現場設備、便攜設備、移動設備、外存儲設備等）的物理防護措施不充分等。

2.2 商用密碼應用現狀

從城鄉建設領域信息化建設情況看，網站和系統涉及業務范圍廣、人員規模大，系統大部分部署在物理機或云平臺上。機房配備了防火墻、WAF、堡壘機、IDS、SSL VPN、IPS、安全審計、上網行為管理、態勢感知等安全設備。從密碼應用情況看，雖然部分領域應用有一定的密碼基礎，但整體密碼基礎建設比較薄弱。部分系統采用了MD5 或SHA-1 作為身份認證方式，未采用國產密碼算法或更高安全性的認證方式。另一方面，行業對于密碼應用與網絡安全的關系認識不清，行業密碼應用的頂層規劃和統籌推進有待加強，行業密碼應用推進工作切實有效的體制機制亟需建立。

2.3 商用密碼應用整體需求

城鄉建設領域信息化工作取得較好發展，國產密碼技術已有初步應用，但仍存在一些薄弱環節，需要進一步開展工作，提升行業密碼應用水平。密碼應用建設需求匯總如下：

2.3.1 密碼管理效能的需求

住建行業部分系統雖然已采用密碼技術，但數字認證等依賴于第三方，其他密碼基礎資源幾乎空白，迫切的密碼應用需求與滯后的密碼應用支撐環境矛盾突出，亟需從頂層統一規劃，優化密碼應用支撐模式，滿足蓬勃發展的住建信息化建設對于密碼技術的需求。

2.3.2 數據安全的需求

“十四五”信息化規劃總體任務中，建設住房和城鄉建設大數據中心，加快推進住房和城鄉建設信息系統整合。部、省、市（縣）各級行業大數據中心的統籌建設，使信息化的維護管理成本大大節約，信息數據互聯共享程度穩步提高，但數據共享的同時對數據安全提出更高的要求，特別是敏感數據、隱私數據在傳輸、存儲的安全性問題。以密碼技術為支撐，構建統一身份認證、統一門戶管理、統一電子證照、數據共享交換、集中運維管理的基礎平臺。

2.3.3 “新城建”安全的需求

開展“新城建”，要系統推進各領域的感知體系建設，充分運用5G、物聯網、工業互聯網構建萬物互聯的網絡體系，新城建領域不是單一的智能系統，而是泛在多智能系統的協同融合，算力受控使用、算法受控執行、系統受控協同等方面的安全需求激增。物物融合互聯為攻擊傳導提供了途徑，導致系統攻擊面成指數級擴大，并且任何一處風險威脅都可能迅速傳導到全網，直接危害現實物理世界，甚至危害到人的生命。

3.行業密碼平臺應用架構

3.1 總體框架

結合城鄉建設領域的密碼應用整體需求，規劃了行業密碼平臺，密碼應用總體框架。

3.2 功能介紹

（1）密碼資源

密碼資源主要構件密碼資源池，包括各類密碼機，為住建行業密碼應用和服務提供底層的密鑰安全存儲、密碼運算支撐，為上層其他密碼設備和應用系統提供基礎性的密碼運算服務支撐。

（2）密碼應用支撐

密碼應用支撐主要是基于密碼資源層提供的基礎性服務，增加提供專項密碼服務的密碼設備，向業務系統提供專項的密碼服務支撐。根據業務的需要，主要提供數字認證系統、密鑰管理等基礎類服務，其中數字認證系統主要實現數字證書全生命周期的管理，密鑰管理主要針對業務系統所需的密鑰進行統一管理。密碼管理基礎設施部分針對在用的第三方運營數字證書認證系統進行設計和考慮，保證第三方運營數字證書認證系統發放的數字證書可以在住建行業應用。

（3）密碼應用服務接口

該層次以密碼資源層、密碼支撐層提供的服務為基礎，采用服務封裝和調度技術，向上層業務系統提供可信身份、電子證照、電子簽章等服務，同時提供密鑰服務、證書服務、加解密服務、數字簽驗服務、證書驗證、可信時間等支撐，滿足業務系統多元化密碼服務的需求。

（4）密碼應用服務

該層次基于基礎密碼服務，根據業務的需要，實現電子政務密碼服務、城市物聯網密碼服務。通過該層的服務為住建具體業務實現密碼功能和服務提供保障。

（5）密碼運營

密碼運營主要從機構、人員、制度、考核等維度入手，制定相應的規章制度，實現住建行業密碼的統一、精細化管控，形成住建密碼管控的抓手。

（6）標準規范

該層次主要包括建設規范、管理規范、接口規范、入網標準等，牽引住建行業密碼基礎支撐和服務平臺的設計、建設、管理和應用相關工作。

4.下一步工作建議

4.1 加強技術研發推廣

建議遵循統一規劃、頂層設計、分步實施、分級部署方式，采用集約化建設行業密碼應用體系。技術路線選取充分考慮現有法律法規標準及已有密碼應用情況，既要保證全行業一盤棋，實現互聯互通，又要考慮不同的應用的實際情況，在不影響使用的情況下，可以裁剪不必要的或暫時用不到的模塊，減少系統的復雜度和整體的部署成本，實現最優性價比。同時，充分重視標準的牽引作用，做好行業密碼標準規范的制定和修編工作，保證整個建設目標一致、推進有序。

4.2 住建行業密碼研究中心

成立行業密碼研究中心，開展住建行業規劃的編制、規范的制定、各類平臺的建立、密碼應用的研究、人員的培訓和密碼應用安全性評估等工作，大力推動住建行業密碼的廣泛和深度應用。

4.3 建立人員和組織保障機制

從人員角度，組建專業密碼人員隊伍，作為密碼應用、運營管理和測評的人員保障；建立密碼專家庫，作為行業密碼應用與發展指導。從組織角度，建議成立密碼工作領導小組，從頂層統一管理部署密碼工作。

4.4 優化商用密碼產業生態環境

城鄉建設領域應用國產商用密碼順應國家政策，作為筑牢“新基建”自主、創新、安全底座的基石，從目前來看其發展不僅能補足我國信息產業在信息與網絡安全上的短板，更有助于構建國家完整的自主創新技術體系的數字經濟產業體系。建議以重大工程、重大專項等為牽引，統籌利用政、產、學、研、用等各類資源，實現人才、知識、技術、資本等各類創新要素的優勢互補和深度耦合，統籌推動城鄉建設領域商用密碼基礎理論研究、標準化推進、產業鏈融合、檢測認證同步實施，促進商用密碼產業多樣化、全覆蓋發展，打造城鄉建設領域商用密碼發展新業態。