王 冰，代 嬌

（中國鐵路信息科技集團(tuán)有限公司，北京 100844）

密碼技術(shù)是保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐。進(jìn)入新時(shí)代以來，我國對(duì)網(wǎng)絡(luò)合規(guī)管理的要求逐步增強(qiáng)，密碼工作面臨諸多問題和挑戰(zhàn)，建設(shè)自主可控、安全領(lǐng)先和整體合規(guī)的密碼體系迫在眉睫。鐵路是國家重要的基礎(chǔ)設(shè)施，是國家發(fā)展戰(zhàn)略的重要組成部分，在綜合交通運(yùn)輸領(lǐng)域發(fā)揮著重要作用，鐵路網(wǎng)絡(luò)安全與國家安全緊密相連，與全國人民人身和財(cái)產(chǎn)安全緊密相連，加強(qiáng)和完善鐵路商用密碼應(yīng)用體系建設(shè)刻不容緩。

1 鐵路商用密碼應(yīng)用現(xiàn)狀

鐵路信息系統(tǒng)覆蓋范圍廣，信息技術(shù)應(yīng)用豐富，軟、硬件產(chǎn)品種類繁多。其中，涉及的商用密碼產(chǎn)品主要有服務(wù)器密碼機(jī)、虛擬專用網(wǎng)（VPN，Virtual Private Network）設(shè)備、簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器、密碼存儲(chǔ)卡、數(shù)字證書及各種專用設(shè)備的加密卡（單元）等。但總體來看，商用密碼設(shè)備和部件的應(yīng)用范圍較小，僅在少數(shù)信息系統(tǒng)中使用，且密碼應(yīng)用缺乏統(tǒng)一的規(guī)劃和管理，未形成統(tǒng)一共享的密碼服務(wù)能力。

經(jīng)過多年建設(shè)，鐵路建成了公鑰基礎(chǔ)設(shè)施（PKI，Public Key Infrastructure），為鐵路信息系統(tǒng)提供統(tǒng)一可信的認(rèn)證體系，電子認(rèn)證服務(wù)系統(tǒng)、證書注冊(cè)與簽發(fā)管理系統(tǒng)、證書狀態(tài)查詢系統(tǒng)等可為鐵路用戶提供基礎(chǔ)商用密碼服務(wù)。同時(shí)，還建立了統(tǒng)一身份認(rèn)證管理系統(tǒng)，為需要訪問資源的用戶提供統(tǒng)一的用戶管理、多類型安全認(rèn)證、跨域單點(diǎn)登錄、細(xì)粒度的訪問授權(quán)等服務(wù)。但鐵路行業(yè)缺少為業(yè)務(wù)應(yīng)用系統(tǒng)提供統(tǒng)一、安全、可擴(kuò)展的密碼服務(wù)支撐平臺(tái)，商用密碼尚未形成技術(shù)體系。

鐵路商用密碼管理體系尚未完全建立，缺少商用密碼的研究、試驗(yàn)、應(yīng)用和推廣等一系列的流程規(guī)范，需圍繞鐵路密碼管理制度、密碼應(yīng)用標(biāo)準(zhǔn)、密碼監(jiān)管機(jī)制、專業(yè)人才培養(yǎng)、密碼綜合業(yè)務(wù)管理、應(yīng)急處理等方面開展相關(guān)研究與應(yīng)用的推進(jìn)工作。

2 鐵路密碼應(yīng)用合規(guī)應(yīng)對(duì)措施

根據(jù)《GM/T 39786—2021 信息系統(tǒng)密碼應(yīng)用基本要求》[1]，根據(jù)通用、密碼應(yīng)用技術(shù)、密碼應(yīng)用管理等要求，在不同層面采用密碼技術(shù)，為信息系統(tǒng)建立全方位的密碼保障體系。

（1）通用要求規(guī)定了密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)應(yīng)當(dāng)滿足我國法律法規(guī)及國家密碼管理的相關(guān)標(biāo)準(zhǔn)規(guī)范或要求，即合規(guī)性。

（2）密碼應(yīng)用技術(shù)要求是該標(biāo)準(zhǔn)的核心內(nèi)容，包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全4 個(gè)方面。隨著信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別的上升，密碼應(yīng)用要求也越來越嚴(yán)格。

（3）密碼應(yīng)用管理要求從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置等方面規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)不同級(jí)別的密碼應(yīng)用管理要求。

3 鐵路商用密碼管理體系

根據(jù)《國鐵集團(tuán)“十四五”網(wǎng)絡(luò)安全和信息化規(guī)劃》要求，以覆蓋商用密碼應(yīng)用和管理為需求，建立鐵路商用密碼安全管理制度、規(guī)范和技術(shù)措施，加強(qiáng)對(duì)密鑰全生命周期的管理[2]，逐步提升鐵路密碼管理水平，支撐密碼體系正常運(yùn)行。

3.1 密碼應(yīng)用管理

主要分為管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置4 個(gè)層面。

（1）管理制度。依據(jù)《密碼法》《商用密碼管理?xiàng)l例》等國家法律法規(guī)，建立適應(yīng)鐵路信息化發(fā)展的密碼安全管理制度和操作規(guī)范，覆蓋人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)急處置、密碼軟硬件、介質(zhì)管理等相關(guān)內(nèi)容[3]，以及管理或操作人員執(zhí)行的日常管理操作規(guī)程；定期論證、審定密碼安全管理制度的合理性和適用性，并對(duì)制度進(jìn)行修訂。

（2）人員管理。根據(jù)鐵路各業(yè)務(wù)信息系統(tǒng)密碼管理工作需要，設(shè)立密碼管理及操作的相關(guān)崗位，明確各崗位的職責(zé)和權(quán)限；對(duì)相關(guān)人員進(jìn)行法律法規(guī)、密碼應(yīng)用安全管理培訓(xùn)；對(duì)關(guān)鍵崗位建立多人共管機(jī)制，制定人員考核、人員培訓(xùn)、人員保密和調(diào)離等相關(guān)規(guī)定，并按照規(guī)定進(jìn)行人員的配備與管理。

（3）建設(shè)運(yùn)行。針對(duì)鐵路信息系統(tǒng)的規(guī)劃、建設(shè)和運(yùn)行開展密碼應(yīng)用工作，重點(diǎn)做好密碼應(yīng)用方案設(shè)計(jì)、密鑰安全管理策略、實(shí)施方案，開展鐵路商用密碼應(yīng)用安全性評(píng)估[4]及攻防對(duì)抗演習(xí)等。

（4）應(yīng)急處置。做好事前、事中、事后的應(yīng)急管理工作，應(yīng)制定密碼應(yīng)用應(yīng)急處置方案，做好應(yīng)急資源準(zhǔn)備，當(dāng)密碼應(yīng)用安全事件發(fā)生時(shí)，應(yīng)立即啟動(dòng)應(yīng)急處置措施，事件發(fā)生及處置完成后，及時(shí)向信息系統(tǒng)業(yè)務(wù)主管部門及歸屬的密碼管理部門報(bào)告。

3.2 密碼監(jiān)管機(jī)制

建立密碼監(jiān)管機(jī)制，推動(dòng)鐵路行業(yè)內(nèi)產(chǎn)品標(biāo)準(zhǔn)化應(yīng)用，促進(jìn)產(chǎn)品全面、健康、有序、協(xié)調(diào)發(fā)展。規(guī)范密碼產(chǎn)品應(yīng)用對(duì)于鐵路密碼標(biāo)準(zhǔn)制定、驗(yàn)證、應(yīng)用、實(shí)施具有指導(dǎo)意義，以助推密碼應(yīng)用合規(guī)、有效、標(biāo)準(zhǔn)。

（1）鐵路行業(yè)參與設(shè)計(jì)生產(chǎn)、應(yīng)用的密碼產(chǎn)品應(yīng)監(jiān)督檢測(cè)，確保符合應(yīng)用標(biāo)準(zhǔn)（接口規(guī)范、部署要求、策略配置要求等）。

（2）鐵路行業(yè)參與設(shè)計(jì)生產(chǎn)、應(yīng)用的密碼產(chǎn)品要進(jìn)行安全及風(fēng)險(xiǎn)評(píng)估。

（3）對(duì)鐵路企業(yè)生產(chǎn)的產(chǎn)品應(yīng)進(jìn)行標(biāo)準(zhǔn)化檢驗(yàn)、驗(yàn)證、監(jiān)督，同時(shí)抽查檢驗(yàn)和委托檢測(cè)。

（4）鐵路行業(yè)標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)的制定、修訂要進(jìn)行驗(yàn)證。

（5）對(duì)鐵路行業(yè)承擔(dān)同類產(chǎn)品應(yīng)用標(biāo)準(zhǔn)化監(jiān)督的機(jī)構(gòu)進(jìn)行技術(shù)指導(dǎo)，開展溝通交流，統(tǒng)一標(biāo)準(zhǔn)監(jiān)督的檢測(cè)方法。

3.3 密碼應(yīng)用標(biāo)準(zhǔn)

建立健全鐵路商用密碼應(yīng)用技術(shù)標(biāo)準(zhǔn)和檢測(cè)標(biāo)準(zhǔn)，促進(jìn)國產(chǎn)商用密碼算法在鐵路行業(yè)的推廣與應(yīng)用，全面支持國產(chǎn)算法。對(duì)已有的安全技術(shù)與檢測(cè)規(guī)范進(jìn)行有機(jī)整合，結(jié)合鐵路應(yīng)用環(huán)境，形成適應(yīng)鐵路行業(yè)的系列標(biāo)準(zhǔn)，指導(dǎo)行業(yè)內(nèi)密碼產(chǎn)品的研制、生產(chǎn)和檢測(cè)。

標(biāo)準(zhǔn)規(guī)范建議覆蓋商用密碼技術(shù)、產(chǎn)品、服務(wù)、應(yīng)用、檢測(cè)和管理等方面的相關(guān)規(guī)范，包括但不限于：

（1）鐵路密碼基礎(chǔ)類、密碼檢測(cè)類、密碼管理類和密碼應(yīng)用類標(biāo)準(zhǔn)。

（2）鐵路密碼產(chǎn)品應(yīng)用管理規(guī)范。

（3）鐵路密碼檢測(cè)認(rèn)證管理標(biāo)準(zhǔn)。

（4）鐵路密鑰管理安全技術(shù)規(guī)范。

（5）鐵路統(tǒng)一密鑰管理系統(tǒng)功能與接口及安全策略規(guī)范。

（6）鐵路密碼設(shè)備應(yīng)用接口規(guī)范。

（7）鐵路安全通信密碼安全技術(shù)規(guī)范。

3.4 密碼業(yè)務(wù)綜合管理

密碼業(yè)務(wù)綜合管理指實(shí)現(xiàn)對(duì)各類使用密碼服務(wù)組件的鐵路信息系統(tǒng)及其密碼服務(wù)使用情況進(jìn)行統(tǒng)一管理。

（1）統(tǒng)一密碼設(shè)備監(jiān)控。對(duì)鐵路計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)的各類密碼機(jī)的CPU、內(nèi)存使用率等參數(shù)進(jìn)行監(jiān)控，對(duì)密碼應(yīng)用業(yè)務(wù)監(jiān)控，開展應(yīng)急報(bào)警閾值設(shè)置。

（2）全局?jǐn)?shù)據(jù)統(tǒng)計(jì)分析。以業(yè)務(wù)功能為單位，統(tǒng)計(jì)分析各鐵路業(yè)務(wù)信息系統(tǒng)對(duì)密碼資源的使用狀況，通過圖形、表格、圖片等可視化的方式顯示數(shù)據(jù)相關(guān)內(nèi)容，對(duì)統(tǒng)計(jì)分析結(jié)果進(jìn)行報(bào)表輸出。

（3）集中服務(wù)運(yùn)行監(jiān)控?？蓪?duì)鐵路密碼基礎(chǔ)設(shè)施中的密碼設(shè)備、系統(tǒng)負(fù)荷和安全服務(wù)等狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)發(fā)生系統(tǒng)故障或資源負(fù)荷超出閾值時(shí)進(jìn)行自動(dòng)告警。

4 鐵路商用密碼技術(shù)體系

密碼技術(shù)是實(shí)現(xiàn)內(nèi)生安全的核心和基礎(chǔ)，密碼技術(shù)體系需要滿足各個(gè)層次的密碼安全要求。

鐵路信息系統(tǒng)與網(wǎng)絡(luò)復(fù)雜多樣，要根據(jù)鐵路信息系統(tǒng)實(shí)際使用場景、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用模式等要求制定鐵路商用密碼技術(shù)體系，明確不同業(yè)務(wù)場景與環(huán)境下的密碼技術(shù)要求，提升密碼技術(shù)在鐵路行業(yè)的適用性。鐵路商用密碼技術(shù)體系，如圖1 所示，涵蓋密碼資源層、平臺(tái)服務(wù)層、密碼應(yīng)用層、監(jiān)控展示層[5]。

圖1 鐵路商用密碼技術(shù)體系

鐵路商用密碼技術(shù)體系在業(yè)務(wù)應(yīng)用系統(tǒng)中的作用主要包括：

（1）正確鑒別用戶身份及權(quán)限。對(duì)用戶進(jìn)行身份標(biāo)識(shí)和身份鑒別，實(shí)現(xiàn)身份信息的防截獲、防假冒和防重用，保證用戶身份的真實(shí)性。

（2）保證關(guān)鍵數(shù)據(jù)的真實(shí)性和完整性。防止非法用戶對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行篡改或刪除，防止數(shù)據(jù)傳輸過程中可能出現(xiàn)的數(shù)據(jù)破壞或丟失。

（3）保證關(guān)鍵數(shù)據(jù)的機(jī)密性。通過對(duì)敏感數(shù)據(jù)加密傳輸、加密存儲(chǔ)來保護(hù)交易數(shù)據(jù)、用戶敏感信息等關(guān)鍵數(shù)據(jù)的機(jī)密性。

（4）保證關(guān)鍵操作的不可否認(rèn)性。對(duì)于網(wǎng)上交易、賬務(wù)查詢等重要操作，采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為和數(shù)據(jù)接收行為的不可否認(rèn)性。

5 鐵路商用密碼安全體系

（1）需要建立一種可靠的信任關(guān)系，將行為主體的活動(dòng)相連接，保證主體在信息交流過程中的身份是經(jīng)過認(rèn)證的，權(quán)限是合理的，溝通是保密的，交流過程是可追責(zé)的。

（2）建立商用密碼基礎(chǔ)設(shè)施，保證鐵路行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施及重要信息系統(tǒng)中的關(guān)鍵及重要數(shù)據(jù)在全生命周期的安全。

（3）在價(jià)值保護(hù)方面，利用基于密碼技術(shù)的訪問控制、數(shù)據(jù)加密和數(shù)據(jù)脫敏等，實(shí)現(xiàn)不同粒度的數(shù)據(jù)安全控制。

（4）在信任構(gòu)建方面，利用基于密碼技術(shù)的數(shù)據(jù)標(biāo)識(shí)、數(shù)字簽名和內(nèi)容保護(hù)等，實(shí)現(xiàn)主體行為的不可抵賴，解決網(wǎng)絡(luò)間及業(yè)務(wù)系統(tǒng)間數(shù)據(jù)交換的信任問題，實(shí)現(xiàn)數(shù)據(jù)資源安全交互。

5.1 鐵路數(shù)字證書認(rèn)證系統(tǒng)

鐵路數(shù)字證書認(rèn)證系統(tǒng)是基于PKI 密碼學(xué)理論和X.509 標(biāo)準(zhǔn)的身份認(rèn)證框架，為業(yè)務(wù)系統(tǒng)提供了統(tǒng)一可信的安全認(rèn)證體系。PKI 在一個(gè)環(huán)境內(nèi)建立了信任級(jí)別，其中，具體協(xié)議和算法都沒有明確規(guī)定，因而PKI 是一種框架而不是特定的技術(shù)。鐵路數(shù)字證書認(rèn)證系統(tǒng)提供身份認(rèn)證、機(jī)密性、不可否認(rèn)性，以及消息交換的完整性。其在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上，具備用戶身份標(biāo)識(shí)、創(chuàng)建和分發(fā)證書、維護(hù)和取消證書、分發(fā)和維護(hù)加密密鑰等功能，為鐵路用戶提供密碼服務(wù)和認(rèn)證服務(wù)。鐵路數(shù)字證書認(rèn)證系統(tǒng)確定了鐵路網(wǎng)絡(luò)納入PKI 體系的各種行為主體身份的唯一性、真實(shí)性和合法性[6]，保護(hù)行為主體的安全。

5.2 身份識(shí)別與訪問管理系統(tǒng)

身份識(shí)別與訪問管理系統(tǒng)依托鐵路統(tǒng)一身份認(rèn)證平臺(tái)，以資源管理為核心，涵蓋了用戶和系統(tǒng)之間、系統(tǒng)和其他系統(tǒng)之間的關(guān)系，它對(duì)用戶和業(yè)務(wù)系統(tǒng)進(jìn)行授權(quán)管理，建立用戶身份和系統(tǒng)授權(quán)的映射，提供授權(quán)和訪問控制機(jī)制。具有單點(diǎn)登錄、認(rèn)證管理、基于策略的集中式授權(quán)、動(dòng)態(tài)授權(quán)和審計(jì)等功能。身份識(shí)別與訪問管理系統(tǒng)與鐵路數(shù)字證書認(rèn)證系統(tǒng)相比，主要區(qū)別在于：后者說明用戶是誰；前者給出這個(gè)用戶的權(quán)限和能力策略，即在對(duì)用戶進(jìn)行身份認(rèn)證后，與目錄服務(wù)集成，對(duì)合法用戶訪問業(yè)務(wù)系統(tǒng)資源進(jìn)行權(quán)限管理。

5.3 密鑰管理系統(tǒng)

密鑰管理系統(tǒng)用于實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)類、密碼設(shè)備類、用戶類密鑰的管理，實(shí)現(xiàn)密鑰在生成、存儲(chǔ)和備份、分發(fā)和加載、使用、更新、歸檔和銷毀等全生命周期的集中管理、應(yīng)用接入管理和身份認(rèn)證，保證密碼應(yīng)用的合規(guī)性、正確性和有效性，滿足網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、移動(dòng)應(yīng)用等密碼管理需求[7]。主要功能應(yīng)涵蓋密鑰管理、密碼算法管理、密碼設(shè)備管理、注冊(cè)接入管理和日志審計(jì)等功能。

密鑰管理系統(tǒng)可采用分級(jí)部署方式，系統(tǒng)結(jié)構(gòu)如圖2 所示。

圖2 密鑰管理系統(tǒng)結(jié)構(gòu)

（1）一級(jí)密鑰管理系統(tǒng)以管理功能為主，實(shí)現(xiàn)二級(jí)密鑰管理系統(tǒng)的注冊(cè)及接入管理、實(shí)現(xiàn)不同安全域間二級(jí)密鑰管理系統(tǒng)中的密鑰安全交互。

（2）二級(jí)密鑰管理系統(tǒng)主要提供密鑰生產(chǎn)及托管的功能，實(shí)現(xiàn)本安全域內(nèi)對(duì)稱密鑰與非對(duì)稱密鑰的全生命周期管理，實(shí)現(xiàn)應(yīng)用系統(tǒng)類、密碼設(shè)備類密鑰的集中管理功能，確保核心密鑰數(shù)據(jù)安全可控。

5.4 密碼服務(wù)系統(tǒng)

密碼服務(wù)系統(tǒng)通過對(duì)硬件密碼資源的集中管理與統(tǒng)一調(diào)度，為鐵路業(yè)務(wù)系統(tǒng)提供密碼基礎(chǔ)信任和密碼基礎(chǔ)運(yùn)算服務(wù)，保證業(yè)務(wù)數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性和真實(shí)性。密碼服務(wù)系統(tǒng)屏蔽后臺(tái)密碼設(shè)備的多樣性、指令的復(fù)雜性，簡化應(yīng)用系統(tǒng)對(duì)密碼設(shè)備調(diào)度的復(fù)雜性[8]。采用標(biāo)準(zhǔn)和定制化接口，面向業(yè)務(wù)系統(tǒng)提供加密解密、簽名驗(yàn)簽、摘要、數(shù)字信封等密碼服務(wù)。

結(jié)合密碼應(yīng)用需求，密碼服務(wù)系統(tǒng)分為3 層，系統(tǒng)架構(gòu)如圖3 所示。

圖3 密碼服務(wù)系統(tǒng)架構(gòu)

（1）密碼資源服務(wù)。以密碼基礎(chǔ)設(shè)施、密碼設(shè)備集群等密碼資源為基礎(chǔ)，提供基本的密碼服務(wù)，包括密碼算法模塊服務(wù)、數(shù)字證書管理服務(wù)、密鑰管理服務(wù)和隨機(jī)數(shù)服務(wù)等，通過調(diào)用模塊實(shí)現(xiàn)對(duì)硬件密碼模塊的彈性部署、按需提供服務(wù)。

（2）通用密碼服務(wù)?；谠泼艽a資源服務(wù)或密碼基礎(chǔ)設(shè)施，將面向應(yīng)用場景的密碼功能集合在一起，打包成易部署、易使用的虛擬機(jī)實(shí)例、微服務(wù)實(shí)例、軟件中間件等，對(duì)外提供服務(wù)。

（3）典型密碼服務(wù)。將密碼技術(shù)與特定應(yīng)用業(yè)務(wù)融合，組合成用戶能夠訪問和使用的操作流程。典型密碼服務(wù)可基于云密碼資源服務(wù)提供的密碼設(shè)施服務(wù)和接口，向用戶提供安全的業(yè)務(wù)服務(wù)。

6 結(jié)束語

密碼是保障網(wǎng)絡(luò)安全最有效、可靠、經(jīng)濟(jì)的重要手段和關(guān)鍵技術(shù)。本文通過對(duì)鐵路商用密碼應(yīng)用現(xiàn)狀進(jìn)行研究，從通用要求、密碼應(yīng)用技術(shù)要求、密碼應(yīng)用管理要求等不同層面對(duì)鐵路行業(yè)商用密碼合規(guī)性進(jìn)行研究分析，提出了鐵路商用密碼管理體系、技術(shù)體系和安全體系，可為引導(dǎo)鐵路行業(yè)合規(guī)、正確、有效地使用密碼，規(guī)范重要業(yè)務(wù)信息系統(tǒng)密碼應(yīng)用工作，加快推進(jìn)鐵路行業(yè)商用密碼建設(shè)工作提供參考。