張琰

（西安中核核儀器股份有限公司，西安710061）

1 引言

密碼，是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，是解決網(wǎng)絡(luò)與信息安全問題最有效、 最可靠、 最經(jīng)濟(jì)的手段。2020 年《中華人民共和國密碼法》（以下簡稱《密碼法》）的頒布實(shí)施，從法律層面為開展商用密碼應(yīng)用提供了根本遵循。2021年， 國家繼續(xù)出臺 《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》），標(biāo)志著我國在網(wǎng)絡(luò)與信息安全領(lǐng)域的法律法規(guī)體系得到進(jìn)一步的完善。 2021 年，GB/T 39786—2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（以下簡稱 《基本要求》）的發(fā)布，這是商用密碼應(yīng)用與安全性評估工作的重要里程碑，進(jìn)一步促進(jìn)了商用密碼的全面應(yīng)用。

實(shí)物保護(hù)系統(tǒng)——基于物理隔離網(wǎng)絡(luò)構(gòu)架的信息集成系統(tǒng)，利用實(shí)體屏障、探測延遲技術(shù)及人員的響應(yīng)能力，使核電廠重要設(shè)備被破壞、 核材料被盜或非法轉(zhuǎn)移的可能性減到最低程度。 它是保證核電廠安全措施的重要組成部分，是核燃料進(jìn)場的先決條件。 根據(jù)《中華人民共和國核材料管制條例》及實(shí)施細(xì)則的規(guī)定和要求， 核電廠必須建立一套完善和有效的實(shí)物保護(hù)系統(tǒng)，利用實(shí)體屏障、探測延遲技術(shù)及人員的響應(yīng)能力，使核電廠重要設(shè)備被破壞、核材料被盜或非法轉(zhuǎn)移的可能性減到最低。 盡管實(shí)物保護(hù)系統(tǒng)不屬于核安全物項(xiàng)，但卻是保證核電廠安全措施的重要組成部分， 其遵照縱深防御和平衡防護(hù)的基本設(shè)計(jì)原則，根據(jù)設(shè)計(jì)基準(zhǔn)威脅、確定的保護(hù)目標(biāo)及響應(yīng)能力確定系統(tǒng)保護(hù)方案。

由于密碼相關(guān)法律法規(guī)的推行， 作為核電廠安全措施的關(guān)鍵，實(shí)物保護(hù)系統(tǒng)有必要做好自身保護(hù)，加強(qiáng)信息安全及網(wǎng)絡(luò)防護(hù)，充分利用現(xiàn)有密碼技術(shù)，按照《密碼法》《數(shù)據(jù)安全法》《基本要求》等相關(guān)法律法規(guī)的指導(dǎo)，建立有密碼防護(hù)的實(shí)物保護(hù)系統(tǒng)。

2 實(shí)物保護(hù)系統(tǒng)

面對目前的嚴(yán)峻的網(wǎng)絡(luò)形勢，網(wǎng)絡(luò)安全保護(hù)工作由3 保1評組成?，F(xiàn)有的實(shí)物保護(hù)系統(tǒng)大部分是非涉密網(wǎng)絡(luò)設(shè)計(jì)，按照GB/T 22239—2019 《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》等保三級進(jìn)行網(wǎng)絡(luò)安全防護(hù)，但是暫時都未采用符合國密要求的技術(shù)進(jìn)行傳輸、數(shù)據(jù)及應(yīng)用的保護(hù)，根據(jù)《基本要求》和《密碼法》 對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析與需求分析， 從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全管理等層面，考慮如何將保衛(wèi)核電廠安全運(yùn)行的實(shí)物保護(hù)系統(tǒng)與密碼技術(shù)有機(jī)結(jié)合，并進(jìn)行有效應(yīng)用，為核電安全保駕護(hù)航。

實(shí)物保護(hù)系統(tǒng)覆蓋整個廠區(qū)，包括各個出入口、周界及重點(diǎn)部位，由集成管理系統(tǒng)、出入口控制系統(tǒng)、視頻監(jiān)控系統(tǒng)、周界入侵報(bào)警系統(tǒng)等多個子系統(tǒng)組成。 各子系統(tǒng)既能各自獨(dú)立工作， 又能在服務(wù)器統(tǒng)一調(diào)度下協(xié)同工作， 實(shí)現(xiàn)系統(tǒng)的信息化、集成化、智能化管理。 實(shí)物保護(hù)系統(tǒng)具有集成化，系統(tǒng)安全、靈活，冗余、有效、實(shí)用、可靠的特點(diǎn)。

所有實(shí)物保護(hù)系統(tǒng)都是依托于自身專用網(wǎng)進(jìn)行部署，各子系統(tǒng)通過專網(wǎng)專線接入，對系統(tǒng)進(jìn)行業(yè)務(wù)訪問。 信息資產(chǎn)均部署在置于要害區(qū)內(nèi)的控制中心。 網(wǎng)絡(luò)通信過程可能遇到通信雙方的身份信息被截獲、假冒、重用，或網(wǎng)絡(luò)邊界和系統(tǒng)資源訪問控制信息被竊取，導(dǎo)致系統(tǒng)被非法訪問；通信傳輸過程中被監(jiān)聽，導(dǎo)致通信數(shù)據(jù)發(fā)生泄漏；通信傳輸過程中數(shù)據(jù)被篡改，導(dǎo)致通信數(shù)據(jù)失實(shí)等。

通過對實(shí)物保護(hù)系統(tǒng)合理有效分析， 有針對性地制定解決辦法，運(yùn)用先進(jìn)的技術(shù)手段，輔助高效的管理方法，對實(shí)物保護(hù)系統(tǒng)運(yùn)行安全進(jìn)行梳理和規(guī)劃。 構(gòu)建初步的解決思路，有針對性地建立實(shí)物保護(hù)系統(tǒng)的密碼防護(hù)體系。

由于實(shí)物保護(hù)系統(tǒng)覆蓋面廣泛、子系統(tǒng)分支多、設(shè)備品類繁雜，此次討論的范圍僅限于集成管理系統(tǒng)、出入口控制系統(tǒng)及視頻監(jiān)控系統(tǒng)，其他子系統(tǒng)暫不深入研究。

實(shí)物保護(hù)系統(tǒng)按物理區(qū)域分為控制區(qū)、保護(hù)區(qū)及要害區(qū)，3 個區(qū)域防護(hù)手段逐層遞進(jìn)，逐步加強(qiáng)，提供出入口管控、視頻監(jiān)控和入侵報(bào)警等防護(hù)措施，為核電廠提供安全保障、防范惡意攻擊的重要系統(tǒng)。 系統(tǒng)部署在自組專用網(wǎng)絡(luò)上，與其他網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)完全的物理隔離。

3 需求分析與密碼防護(hù)部署體系

實(shí)物保護(hù)系統(tǒng)中的集成系統(tǒng)和信息資產(chǎn)均部署在置于要害區(qū)內(nèi)的控制中心， 包括子系統(tǒng)在內(nèi)的所有實(shí)物保護(hù)系統(tǒng)數(shù)據(jù)均匯聚并存儲于此。 密碼防護(hù)體系從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全管理等層面按照第三級的密碼應(yīng)用技術(shù)要求進(jìn)行部署， 建立全方位立體保障架構(gòu)。

根據(jù)《基本要求》除上述技術(shù)層面的要求外，還對應(yīng)管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置4 個方面進(jìn)行密碼管理要求，這里暫不贅述。

根據(jù)實(shí)物保護(hù)系統(tǒng)的組成和業(yè)務(wù)需求， 密碼應(yīng)用部署遵循原則[1]如下。

總體性原則——通過從整體層面，對系統(tǒng)的密碼應(yīng)用開展頂層設(shè)計(jì)，明確密碼應(yīng)用需求和預(yù)期目標(biāo)，并與系統(tǒng)網(wǎng)絡(luò)安全保護(hù)等級相結(jié)合，通過系統(tǒng)的設(shè)計(jì)形成涵蓋技術(shù)、管理、實(shí)施保障的整體方案，為在系統(tǒng)中落實(shí)密碼應(yīng)用相關(guān)要求奠定基礎(chǔ)。

安全分區(qū)保護(hù)原則——根據(jù)核設(shè)施網(wǎng)絡(luò)安全區(qū)域劃分（包含控制區(qū)、保護(hù)區(qū)和要害區(qū)等）的重要程度，實(shí)施安全分級保護(hù)。 要害區(qū)、保護(hù)區(qū)域的保護(hù)措施，安全保護(hù)等級要求應(yīng)高于控制區(qū)。

經(jīng)濟(jì)性原則——結(jié)合本系統(tǒng)規(guī)模， 在合理、 夠用的前提下，設(shè)計(jì)滿足《基本要求》的密碼應(yīng)用方案，確保本系統(tǒng)密碼應(yīng)用投資合理，規(guī)模適度，避免資金浪費(fèi)和過度保護(hù)。

逐步推進(jìn)原則——針對已建在運(yùn)行系統(tǒng)， 結(jié)合系統(tǒng)的特殊性進(jìn)行改造，如經(jīng)評估確實(shí)不能改造，在確保業(yè)務(wù)可用前提下，加強(qiáng)其他安全防護(hù)措施，逐步推進(jìn)系統(tǒng)安全建設(shè)。

3.1 物理和環(huán)境安全

針對控制中心機(jī)房的物理和環(huán)境安全， 在出入口布置電子門禁系統(tǒng)，使用標(biāo)準(zhǔn)國密算法進(jìn)行密鑰分發(fā)，并基于標(biāo)準(zhǔn)國密算法對人員身份進(jìn)行鑒別。

機(jī)房外、內(nèi)布置國密視頻監(jiān)控系統(tǒng)，與數(shù)字證書認(rèn)證系統(tǒng)對接，由數(shù)字認(rèn)證系統(tǒng)統(tǒng)一完成設(shè)備證書的頒發(fā)及管理，實(shí)現(xiàn)對前端國密攝像機(jī)設(shè)備的身份鑒別。

使用國密技術(shù)對出入口系統(tǒng)記錄數(shù)據(jù)和視頻監(jiān)控系統(tǒng)視頻記錄數(shù)據(jù)進(jìn)行完整性保護(hù)。

3.2 網(wǎng)絡(luò)和通信安全

在出入口系統(tǒng)門禁控制器與集成管理系統(tǒng)通道采用安全網(wǎng)關(guān)， 在通信前安全網(wǎng)關(guān)基于SM2 證書的挑戰(zhàn)-響應(yīng)機(jī)制實(shí)現(xiàn)對通信實(shí)體的身份鑒別。

部署的VPN 安全網(wǎng)關(guān)采用合規(guī)的密碼技術(shù)實(shí)現(xiàn)訪問控制信息的完整性保護(hù)； 使用VPN 安全通道中的數(shù)據(jù)傳輸，基于SM4 對稱加解密技術(shù)進(jìn)行保護(hù)，保證通信過程中數(shù)據(jù)的機(jī)密性。

3.3 設(shè)備和計(jì)算安全

工作站到SSL VPN 安全網(wǎng)關(guān)， 采用基于SM2 證書的挑戰(zhàn)-響應(yīng)機(jī)制，實(shí)現(xiàn)客戶端與安全網(wǎng)關(guān)間的身份鑒別。

工作站訪問應(yīng)用服務(wù)器/ 數(shù)據(jù)庫服務(wù)器， 使用SSH 建立與應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器之間的數(shù)據(jù)傳輸通道。

對系統(tǒng)服務(wù)器、 視頻管理服務(wù)器等設(shè)備日志記錄進(jìn)行完整性保護(hù)。

3.4 應(yīng)用和數(shù)據(jù)安全

密碼保護(hù)的重要數(shù)據(jù)：重要業(yè)務(wù)數(shù)據(jù)、身份鑒別信息、日志數(shù)據(jù)等。

密碼支撐平臺組成：密碼支撐平臺由CA 證書認(rèn)證系統(tǒng)、密鑰管理系統(tǒng)、服務(wù)器密碼機(jī)、數(shù)據(jù)庫透明加密系統(tǒng)、VPN 網(wǎng)關(guān)、智能密碼鑰匙等組成。

采用的密碼措施： 在門禁系統(tǒng)網(wǎng)絡(luò)鏈路部署VPN 網(wǎng)關(guān)，業(yè)務(wù)主鏈路部署綜合網(wǎng)關(guān)， 在密碼服務(wù)區(qū)部署CA 系統(tǒng)和服務(wù)器密碼機(jī)等密碼應(yīng)用， 工作站安裝身份鑒別客戶端并使用智能密碼鑰匙，集成管理系統(tǒng)、文件服務(wù)器安裝數(shù)據(jù)庫透明加密系統(tǒng)，實(shí)現(xiàn)系統(tǒng)的身份鑒別、訪問控制信息完整性、重要數(shù)據(jù)傳輸機(jī)密性、重要數(shù)據(jù)存儲機(jī)密性、重要數(shù)據(jù)傳輸完整性、重要數(shù)據(jù)存儲完整性[2]。

3.4.1 身份鑒別

視頻管理系統(tǒng)如采用前端設(shè)備接入視頻管理系統(tǒng)， 采用SM2 數(shù)字簽名技術(shù)的“挑戰(zhàn)一響應(yīng)”機(jī)制實(shí)現(xiàn)前端設(shè)備的身份鑒別。

工作站用戶在PC 終端上安裝VPN 客戶端， 使用智能密碼鑰匙，結(jié)合VPN 安全網(wǎng)關(guān)，實(shí)現(xiàn)終端基于SM2 數(shù)字簽名技術(shù)的“挑戰(zhàn)一響應(yīng)”機(jī)制登錄。

工作站客戶端安裝時綁定對應(yīng)服務(wù)器IP， 服務(wù)器側(cè)設(shè)置工作站名稱和端口號建立通信。 系統(tǒng)管理員采用賬戶+ 口令通過客戶端直接登錄服務(wù)器。

日志記錄授權(quán)登錄的工作站，并記錄所有操作行為。

3.4.2 訪問控制信息完整性

訪問控制信息采用HMAC-SM3 密碼技術(shù)對業(yè)務(wù)系統(tǒng)的訪問控制信息進(jìn)行完整性防護(hù)。 如存在無法改造時，通過嚴(yán)格的系統(tǒng)訪問授權(quán)機(jī)制、 日志審計(jì)以及工作管理措施來緩解該項(xiàng)面臨的風(fēng)險(xiǎn)。

3.4.3 重要數(shù)據(jù)存儲機(jī)密性

對集成管理系統(tǒng)上的重要業(yè)務(wù)數(shù)據(jù)采用數(shù)據(jù)庫透明加密系統(tǒng)進(jìn)行存儲加密。 數(shù)據(jù)庫透明加密系統(tǒng)實(shí)現(xiàn)SM4 算法的CBC 模式的對稱加密。

對視頻監(jiān)控系統(tǒng)使用SM4 算法對視頻數(shù)據(jù)進(jìn)行存儲機(jī)密性保護(hù)。

對文件服務(wù)器存儲的打包的數(shù)據(jù)庫備份文件，文件服務(wù)器通過部署主機(jī)監(jiān)控與審計(jì)系統(tǒng)，工作管理措施增加安全防護(hù)。

3.4.4 數(shù)據(jù)存儲完整性

數(shù)據(jù)存儲完整性的數(shù)據(jù)對象主要針對用戶口令、 集成管理服務(wù)系統(tǒng)、視頻管理系統(tǒng)與文件服務(wù)器存儲的數(shù)據(jù)。 針對用戶口令，有些系統(tǒng)會使用MD5 算法對用戶口令進(jìn)行存儲完整性保護(hù)。

在不影響原業(yè)務(wù)系統(tǒng)的情況下， 采用文件服務(wù)器存儲的事件等日志信息，使用相應(yīng)的密碼算法進(jìn)行“篡改檢驗(yàn)”完整性保護(hù)；視頻數(shù)據(jù)重要業(yè)務(wù)數(shù)據(jù)，通過調(diào)用服務(wù)器密碼機(jī)，對存儲的重要業(yè)務(wù)數(shù)據(jù)采用HMAC-SM3 技術(shù)實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)。

3.4.5 數(shù)據(jù)傳輸機(jī)密性和完整性

采用安全網(wǎng)關(guān)對系統(tǒng)業(yè)務(wù)數(shù)據(jù)傳輸完整性進(jìn)行彌補(bǔ)，門禁系統(tǒng)數(shù)據(jù)上傳、配置及授權(quán)數(shù)據(jù)下發(fā)，由VPN 安全網(wǎng)關(guān)保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。

工作站訪問業(yè)務(wù)系統(tǒng)涉及的重要業(yè)務(wù)數(shù)據(jù)通信， 由VPN安全網(wǎng)關(guān)實(shí)現(xiàn)集成管理系統(tǒng)數(shù)據(jù)的傳輸機(jī)密性和完整性。

4 結(jié)語

實(shí)物保護(hù)系統(tǒng)未來發(fā)展的前景不會局限于自組局域網(wǎng)，子系統(tǒng)大規(guī)模組網(wǎng)、集中控制、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)是其必然的方向。 結(jié)合核電運(yùn)行的需要，無論是已建成、在建項(xiàng)目，還是規(guī)劃的核電，安全要求將會越來越高。 加上國家對于網(wǎng)絡(luò)安全的法律法規(guī)的完善，對已有系統(tǒng)進(jìn)行密碼應(yīng)用改造、對新建系統(tǒng)提出加密需求是必然的趨勢。