商用密碼應用分析及監(jiān)測感知平臺建設方案探究

1商用密碼應用發(fā)展現(xiàn)狀隨著新一代信息技術的不斷發(fā)展，由海量數(shù)據(jù)、異構網(wǎng)絡、復雜應用組成的網(wǎng)絡空間，已成為各國爭相搶奪的新陣地、新戰(zhàn)場。以網(wǎng)絡安全為代表的非傳統(tǒng)安全威脅持續(xù)蔓延，使得網(wǎng)絡空間安全風險疊加倍增，威脅挑戰(zhàn)日益嚴峻，安全形勢不容樂觀。密碼是保障網(wǎng)絡安全的核心技術，是構建網(wǎng)絡信任的基石。利用密碼在安全認證、加密保護、信任傳遞等方面的重要作用，能夠有效地消除或控制潛在的“安全風險”，實現(xiàn)從被動防御向主動免疫的戰(zhàn)略轉變。1.1國外高度重視密碼工作國外高度重視密碼工作，以密碼產(chǎn)業(yè)化為基礎不斷增強應用，提升網(wǎng)絡空間安全綜合保障能力。各國圍繞密碼技術積極推動密碼產(chǎn)業(yè)化應用，以密碼為基礎加強網(wǎng)絡安全保障體系建設，特別是利用密碼在數(shù)據(jù)保護、安全接入、信任體系建設等方面的作用，不斷強化網(wǎng)絡安全保障體系的機密性，帶動密碼和網(wǎng)絡安全產(chǎn)業(yè)做大做強。美國國家標準與技術研究院、歐洲電信標準化協(xié)會一直積極搶占密碼理論研究和算法前沿高地，形成算法、協(xié)議、接口、應用相互促進、互相銜接的技術體系。主流軟硬件廠商組成了國際互聯(lián)網(wǎng)工程任務組等組織，從底層硬件到頂層功能服務做出了詳細要求，形成了全產(chǎn)業(yè)鏈兼容的協(xié)同生態(tài)。谷歌、微軟等頭部企業(yè)均具備獨立開展密碼研究和安全設計的能力，建設了密碼分析與量子計算、可信計算等團隊，形成了較為完善的對外服務體系。1949年，隨著美國數(shù)學家、信息論創(chuàng)始人香農(nóng)《保密系統(tǒng)的通信理論》論文的發(fā)表，密碼技術逐漸建立起完善的理論基礎，成為一門現(xiàn)代意義上的學科。經(jīng)過70余年的不斷發(fā)展，各國通過密碼技術、密碼產(chǎn)品、密碼服務等，不斷增強密碼產(chǎn)品產(chǎn)業(yè)化能力，形成了包括網(wǎng)絡基礎資源、信息設施、計算分析、應用服務、網(wǎng)絡通道、接入終端、設備控制等在內(nèi)的全體系平臺安全防護體系。1.2國內(nèi)積極布局商用密碼產(chǎn)業(yè)化應用推廣如何合規(guī)、正確、有效、廣泛地使用商用密碼，充分發(fā)揮商用密碼在保障我國網(wǎng)絡空間安全中的核心技術及基礎支撐作用，關乎網(wǎng)絡空間安全、更關乎國家安全大局。為做好商用密碼應用推廣和產(chǎn)業(yè)化工作，我國積極布局相關工作，在制度體系建設、關鍵產(chǎn)品研發(fā)、基礎服務產(chǎn)業(yè)化等方面取得了階段性成效。2020年1月1日起《中華人民共和國密碼法》正式實施，明確了黨管密碼的根本原則，要求密碼工作堅持總體國家安全觀，遵循統(tǒng)一領導、分級負責，創(chuàng)新發(fā)展、服務大局，依法管理、保障安全的原則。在商用密碼應用推廣方面，明確提出“國家鼓勵商用密碼技術的研究開發(fā)、學術交流、成果轉化和推廣應用，健全統(tǒng)一、開放、競爭、有序的商用密碼市場體系，鼓勵和促進商用密碼產(chǎn)業(yè)發(fā)展”為商用密碼在更多領域、更廣范圍的產(chǎn)業(yè)化應用推廣奠定了堅實的制度基礎。在技術創(chuàng)新方面，我國已取得一系列高水平、原創(chuàng)性的科技成果。橢圓曲線公鑰密碼算法SM2、密碼雜湊算法SM3、分組密碼算法SM4、序列密碼算法ZUC、標識密碼算法SM9等標準相繼發(fā)布實施，ZUC算法成為4G國際標準，SM2、SM3和SM9算法成為國際標準。在產(chǎn)品供給方面，密碼產(chǎn)品不斷增多、功能愈發(fā)完善，據(jù)統(tǒng)計，已有2000余款密碼產(chǎn)品通過審批，涵蓋了密碼芯片、密碼板卡、密碼機、密碼系統(tǒng)等多個方面，形成了較為完備的產(chǎn)業(yè)鏈條和服務體系。在制度建設方面，隨著商用密碼管理制度不斷完善，產(chǎn)品檢測能力顯著提升，商用密碼應用安全性評估試點逐步展開，密碼相關政策法規(guī)的落地與實施得到有力加強，全社會對密碼的認可度大幅提升。2問題及分析目前，我國商用密碼產(chǎn)業(yè)化發(fā)展進程較快，在技術創(chuàng)新、產(chǎn)品供給、制度建設等方面取得突出進展，但是仍存在以下問題，亟需進一步加大支持力度。2.1商用密碼應用不廣泛《中華人民共和國密碼法》對推廣商用密碼應用提出了明確要求，供給側企業(yè)加大技術、產(chǎn)品、服務的研發(fā)力度，形成了包括密碼芯片、板卡、加密機、系統(tǒng)在內(nèi)的完整產(chǎn)品鏈條體系。同時，我國全國信息安全標準化技術委員會、密碼行業(yè)標準化技術委員會等標準化組織大力開展商用密碼標準化工作，以“急用先行、通用先立”為原則，加快推進標準化進程，研制發(fā)布與密碼算法、技術應用、產(chǎn)品接口、模塊檢測等相關的國家標準40余項，發(fā)揮標準引領和規(guī)范作用，指導商用密碼應用推廣工作。但是，我國網(wǎng)絡的整體安全防護能力仍然十分脆弱，大量網(wǎng)絡數(shù)據(jù)、網(wǎng)絡設備、信息系統(tǒng)處于“裸奔”狀態(tài)，沒有使用密碼技術保護，部分數(shù)據(jù)、設備和系統(tǒng)還存在密碼使用不合規(guī)的現(xiàn)象，存在巨大的網(wǎng)絡安全隱患，相關檢查數(shù)據(jù)顯示，有關部門所轄信息系統(tǒng)密碼應用比重仍然較低。此外，我國商用密碼產(chǎn)業(yè)鏈上下游的供需對接能力亟待進一步加強，產(chǎn)業(yè)鏈上游供給側與下游需求側之間存在信息不匹配、消息不透明等問題。供給側的供給能力和需求側的實際需求尚未及時有效對接，產(chǎn)業(yè)鏈上下游協(xié)同聯(lián)動、集成適配的能力有待提升。2.2商用密碼應用不規(guī)范《中華人民共和國密碼法》明確規(guī)定，關鍵信息基礎設施須使用商用密碼進行保護，并開展商用密碼應用安全性評估。為貫徹落實法律要求，國家密碼管理局發(fā)布了《商用密碼應用安全性評估試點機構目錄》，在全國范圍遴選了一批優(yōu)質技術服務資源，支撐商用密碼應用安全性評估工作加快實施。雖然國家、地方、行業(yè)相繼出臺了一些規(guī)定和配套的制度、要求，但在一些地區(qū)和部門并未得到有效實施。部分單位重信息化建設、輕信息安全保護，信息系統(tǒng)密碼使用不規(guī)范、不正確，在密鑰管理、密碼系統(tǒng)運行維護等方面存在風險。目前，亟需建設商用密碼監(jiān)測感知平臺，進一步豐富主管部門監(jiān)管手段，準確地掌握工業(yè)和信息化行業(yè)商用密碼應用情況，并及時分析商用密碼應用風險隱患，幫助密碼應用企業(yè)對照國家標準、行業(yè)標準開展密碼應用合規(guī)性檢查評估，強化企業(yè)商用密碼的管理與運用，提升密碼應用風險消減與防范能力，確保密碼應用安全合規(guī)。2.3商用密碼應用不安全密碼應用涉及領域廣、行業(yè)多，系統(tǒng)架構多元多樣，對商用密碼技術、產(chǎn)品、服務提出了更高的要求。在電子政務、電子商務、金融、移動互聯(lián)網(wǎng)領域，現(xiàn)有大量信息系統(tǒng)仍然在使用MD5、SHA-1、RSA-512、RSA-1024、數(shù)據(jù)加密標準（DataEncryptionStandard，DES）等已被警示有安全風險的商用密碼算法[5]。此外，在裝備制造、石油、化工、冶金、電力等重點工業(yè)領域，基于上述密碼算法提供的密碼服務仍在廣泛運行，給信息系統(tǒng)、工控系統(tǒng)帶來了嚴重安全隱患。亟需開展產(chǎn)業(yè)基礎公共服務平臺建設，帶動更多技術力量和社會資本加大對密碼應用供給能力的投入，豐富密碼應用產(chǎn)業(yè)鏈上游供給。通過將國產(chǎn)商用密碼芯片、算法、軟件、板卡、模塊與安全防護產(chǎn)品深度集成和適配，形成適用于工業(yè)和信息化典型行業(yè)且基于國產(chǎn)密碼的網(wǎng)絡安全成套防護方案，實現(xiàn)商用密碼技術、產(chǎn)品和服務的綜合集成和合規(guī)性評估，帶動國產(chǎn)商用密碼技術、產(chǎn)品、服務能力提升，幫助產(chǎn)業(yè)鏈下游企業(yè)將密碼“基因”植入網(wǎng)絡安全技術保障體系，促進網(wǎng)絡安全綜合防護能力提升。3商用密碼應用監(jiān)測感知平臺保障商用密碼應用規(guī)范性和安全性是推動商用密碼廣泛應用的首要前提，監(jiān)測感知技術是提高規(guī)范性與安全性的重要手段。本文面向商用密碼應用存在的問題，提出了一套商用密碼監(jiān)測感知平臺建設方案。商用密碼應用監(jiān)測感知平臺包含密碼數(shù)據(jù)感知系統(tǒng)和密碼數(shù)據(jù)監(jiān)測系統(tǒng)。商用密碼數(shù)據(jù)感知系統(tǒng)的建設，關鍵是數(shù)據(jù)來源、數(shù)據(jù)采集、智能分析等模塊的研發(fā)，實現(xiàn)聯(lián)網(wǎng)重要網(wǎng)絡資產(chǎn)識別、信息采集與智能分析，定位資產(chǎn)所屬位置、所屬企業(yè)，評估密碼應用情況，及時形成預警信息，并通過聯(lián)盟供需對接門戶及時開展信息報送與通報工作，提升企業(yè)密碼安全應用水平。商用密碼數(shù)據(jù)監(jiān)測系統(tǒng)的建設，包括密碼數(shù)據(jù)分析模塊、合規(guī)性評估模塊、監(jiān)測展示模塊，通過部署在密碼云基礎設施上的探針，實時監(jiān)測分析密碼產(chǎn)品資質、算法合規(guī)、算法正確和隨機數(shù)質量等，并利用呈現(xiàn)系統(tǒng)展示安全態(tài)勢、設備運行狀態(tài)、資產(chǎn)和用戶管理、規(guī)則告警信息等，幫助應用密碼云基礎服務、應用服務的需求側企業(yè)持續(xù)提升密碼應用安全合規(guī)水平。3.1密碼數(shù)據(jù)感知系統(tǒng)商用密碼數(shù)據(jù)感知系統(tǒng)的建設在于數(shù)據(jù)來源、數(shù)據(jù)采集、智能分析等模塊的研發(fā)。在數(shù)據(jù)來源方面，需要利用全鏡像流量分析和探針的方式，提取安全設備、終端安全、操作系統(tǒng)、中間件、網(wǎng)絡設備等的信息數(shù)據(jù)，輔以漏洞利用、威脅情報分析、異常流量識別等技術，實現(xiàn)聯(lián)網(wǎng)重要網(wǎng)絡資產(chǎn)的識別。在數(shù)據(jù)采集方面，將來源數(shù)據(jù)進行科學分類，提取審計數(shù)據(jù)、異常行為、違規(guī)訪問、安全日志、情報信息等，為滲透測試工作提供元數(shù)據(jù)和安全檢測日志。在智能分析方面，運用引擎分析、情報關聯(lián)、異常識別等技術，全方位分析聯(lián)網(wǎng)網(wǎng)絡設備資產(chǎn)情況，定位資產(chǎn)所屬位置、所屬企業(yè)，評估密碼應用情況，及時形成預警信息。密碼數(shù)據(jù)感知系統(tǒng)具備針對我國商用密碼應用狀況的監(jiān)測能力，平臺通過主動監(jiān)測手段搜集互聯(lián)網(wǎng)聯(lián)網(wǎng)商密算法潛在應用系統(tǒng)的分布情況、全國重點商密算法潛在應用企業(yè)網(wǎng)絡安全情況，并結合威脅情報和安全大數(shù)據(jù)對網(wǎng)絡威脅形成實時的感知和分析能力；通過數(shù)據(jù)挖掘、深度學習、可視化計算等技術，并結合云端威脅情報實現(xiàn)未知網(wǎng)絡攻擊威脅的自動化發(fā)現(xiàn)及預警，形成對未知安全威脅的監(jiān)測與發(fā)現(xiàn)能力，同時利用實時感知和分析能力建立安全事件通報、周期安全態(tài)勢報告機制以及安全事件的應急處置能力。密碼數(shù)據(jù)感知系統(tǒng)架構如圖1所示。圖1密碼數(shù)據(jù)感知系統(tǒng)架構數(shù)據(jù)感知層。通過主動監(jiān)測手段搜集互聯(lián)網(wǎng)聯(lián)網(wǎng)系統(tǒng)的分布情況、針對信息系統(tǒng)攻擊行為的分布情況，全國重點商密算法潛在應用企業(yè)網(wǎng)絡安全情況等多個渠道采集海量安全信息與事件數(shù)據(jù)。數(shù)據(jù)存儲分析層。對采集的海量數(shù)據(jù)進行關鍵信息提取、格式歸一化轉換和信息富化處理，將處理后的信息分別輸送到存儲和大數(shù)據(jù)分析部分，由支撐大數(shù)據(jù)的安全存儲層完成對海量安全數(shù)據(jù)的安全保存，流式計算引擎對流量進行實時處理后送至威脅感知、脆弱分析、安全風險分析等安全引擎完成安全威脅分析功能。結合威脅情報和安全大數(shù)據(jù)，通過數(shù)據(jù)挖掘、機器學習、人工智能等技術，對商用密碼算法應用情況進行綜合研判和分析。數(shù)據(jù)應用層。應用層主要由各安全應用系統(tǒng)組成，可以通過可視化技術，將潛在商用密碼應用用戶系統(tǒng)在線聯(lián)網(wǎng)情況以及安全態(tài)勢綜合分析結果進行實時呈現(xiàn)，幫助主管部門快速掌握商用密碼應用情況，并根據(jù)實際情況做出相應的決策，快速有效地應對網(wǎng)絡安全威脅。3.2密碼數(shù)據(jù)監(jiān)測系統(tǒng)3.2.1遵循的技術標準研制過程中嚴格遵循商用密碼主管單位的管理要求，參照的技術標準如表1所示。表1遵循的技術標準3.2.2系統(tǒng)組成密碼數(shù)據(jù)監(jiān)測系統(tǒng)如圖2所示，由密碼數(shù)據(jù)分析模塊、合規(guī)性評估模塊和監(jiān)測呈現(xiàn)模塊組成。圖2密碼數(shù)據(jù)監(jiān)測系統(tǒng)密碼數(shù)據(jù)分析模塊。通過主動采集、定時上報或旁路抓包的方式與各類密碼設備、密碼系統(tǒng)或密碼模塊進行對接，實現(xiàn)監(jiān)測數(shù)據(jù)的采集、處理和建模分析，從而發(fā)現(xiàn)接入的業(yè)務系統(tǒng)在密碼使用過程中存在的問題和安全隱患。合規(guī)性評估模塊。主要對監(jiān)測對象進行密碼設備自檢、檢測工具檢查和人工檢查等，完成全流程檢查后進行被測對象綜合評估。檢查內(nèi)容包括密碼算法實現(xiàn)的正確性、密鑰的完整性、產(chǎn)品功能正確性、加密流量安全性、傳輸協(xié)議安全性、產(chǎn)品資質情況、密碼使用情況等方面。監(jiān)測呈現(xiàn)模塊。主要包括資產(chǎn)管理、設備運行狀態(tài)監(jiān)測、告警管理、預警管理、系統(tǒng)管理、規(guī)則管理、日志管理、用戶管理和報表管理等功能。3.2.3主要業(yè)務流程（1）監(jiān)測數(shù)據(jù)采集流程。監(jiān)測系統(tǒng)數(shù)據(jù)采集流程如圖3所示。圖3密碼監(jiān)測數(shù)據(jù)采集流程數(shù)據(jù)采集模塊通過《密碼設備管理設備管理技術規(guī)范》、RESTful、SNMP等協(xié)議采集密碼產(chǎn)品相關數(shù)據(jù)；數(shù)據(jù)采集模塊將數(shù)據(jù)發(fā)送到消息隊列；數(shù)據(jù)處理模塊消費信息；數(shù)據(jù)采集模塊處理數(shù)據(jù)；數(shù)據(jù)處理模塊將數(shù)據(jù)存儲到搜索服務器（ElasticSearch，ES）中；數(shù)據(jù)處理模塊將數(shù)據(jù)發(fā)送到消息隊列；數(shù)據(jù)分析模塊消費信息；數(shù)據(jù)分析模塊分析數(shù)據(jù)；數(shù)據(jù)分析模塊將分析的數(shù)據(jù)發(fā)送到消息隊列；呈現(xiàn)模塊消費信息，并存儲到mysql中。（2）鏡像流量識別流程。鏡像流量識別系統(tǒng)具有加密流量惡意行為分析、檢測的能力，可以在不解密情況下提高對網(wǎng)絡流量的監(jiān)控能力，避免網(wǎng)絡攻擊行為和失泄密事件發(fā)生。平臺包括數(shù)據(jù)采集層、數(shù)據(jù)存儲層、威脅感知層、態(tài)勢感知層和運維管理層，如圖4所示。圖4鏡像流量識別系統(tǒng)架構鏡像流量識別系統(tǒng)基于網(wǎng)絡流量和數(shù)據(jù)包分析；通過機器學習方法和密碼分析手段，結合規(guī)則庫與黑名單規(guī)則，發(fā)現(xiàn)安全威脅和未知網(wǎng)絡密碼攻擊；迭代機器學習模型和數(shù)據(jù)倉庫；形成安全威脅態(tài)勢和統(tǒng)計報表。（3）事件分析處理流程。安全事件分析子系統(tǒng)將預處理完成的初始化安全事件數(shù)據(jù)進行進一步的事件分析，安全事件關聯(lián)分析流程如圖5所示。圖5安全事件關聯(lián)分析流程通過事件采集模塊對原始事件進行預處理；通過事件實時分析模塊對經(jīng)過預處理的安全事件進行實時分析，并對危急安全事件進行告警；通過事后關聯(lián)分析模塊對時間跨度大的歷史安全事件進行關聯(lián)分析，并對潛在安全風險和危險行為進行安全預警。4結語本文根據(jù)當前商用密碼應用情況及存在的問題，結合相應的國家政策