智慧城市信息安全密码应用方案

智慧城市信息安全密码应用方案通过采用安全可信的国产密码产品构建智慧城市云密码资源池，为智慧城市物联感知层、网络传输层、云平台层、智慧应用层和大数据服务层提供可靠密码应用服务，包括终端数据防伪、终端安全接入、万物互联身份认证、数据防泄漏、敏感和隐私数据保护技术、细粒度访问控制和可靠性验证、数据和行为溯源等密码服务，提升智慧城市建设信息安全可控水平，强化信息资源和个人信息保护，确保信息共享和大数据的安全共享和交换。

智慧城市建设涵盖水、电、气等城市基础设施、基础信息网络、政府办公、生产调度、应急指挥等各个领域，属于国家重要信息系统建设，也是当今世界城市化进程的大势所趋。智慧城市通过对整个城市进行全面透彻感知，对城市各个节点进行宽带泛在互联，对城市管理、政府公共服务、市民生活等各种应用进行高度智能融合，能够极大提高政府管理和服务的能力，极大提升人民群众的物质和文化生活水平。
然而由于智慧城市“重业务、轻安全”的特点，导致其面临严峻的信息安全风险，其中尤其以身份假冒、电子欺骗、数据篡改、信息窃密等攻击最为突出，主要体现在：

1.自主关键技术缺乏，无法从技术角度支持解决智慧城市建设中由于行业和地方部门各自为政、条块分割，跨部门信息资源整合、共享、开放困难的问题，智慧城市信息安全的内涵和组件层次的变化，对传统安全保障体系提出了新的挑战。

2.末梢信息安全脆弱性及感知数据的汇聚加剧了的物联网与智慧城市面临的安全隐私威胁问题，一个小区的电子广告牌、一个政府部门的微博、甚至城市的供电、供水等基础设施都将成为国内外敌对势力等黑客组织的攻击目标。

3.行业、部门间的数据共享带来的敏感数据安全共享问题，关键信息基础设施面临的高级持续性威胁发现与溯源手段较弱，现有的保障体系中关键信息安全和密码安全产品和服务严重依赖国外厂商。如采用RSA1024算法、DES算法等已经被破解的国外算法，导致现有信息安全体系存在严重的安全漏洞。

智慧城市的某个节点或某个应用一旦遭受攻击，轻则影响市民的正常生活，重则对整个城市的公共安全和政府决策造成严重危害和损失，极易造成严重的社会影响，甚至政治影响。

随着国家智慧城市试点工作深入开展，密码应用与智慧城市建设同步规划、同步建设、同步实施、同步运行的需求越来越迫切。利用基于密码技术的身份认证、访问控制、授权管理、数据加解密、行为抗抵赖等技术措施，构建以国产密码算法和技术为核心的智慧城市国产密码应用安全保障体系，解决身份被假冒、隐私数据被泄露、关键行为被抵赖等问题，已经成为智慧城市信息安全建设的当务之急。
 
根据智慧城市信息安全需求分析，对于智慧城市业务系统的密码应用需求包括：

1、密码算法合规性要求

依据相关政策要求，采用国家密码管理局批准的密码算法SM1/SM2/SM3/SM4/SM9。同时，要求所有硬件产品必须具有国家密码管理局的相关产品资质。

2、基于数字证书的身份鉴别

业务系统大多通过“用户名+口令”的弱认证方式进行身份鉴别，用户输入的用户名和口令传输给系统服务器，系统服务器根据用户提交的用户名和口令查询数据库，来判断用的身份是否真实，存在合法账户的鉴别信息被攻击者获取，并对目标系统未授权访问的风险。
为解决用户身份的合法性和安全性问题，通过使用“智能密码钥匙+SM2数字证书”，或者“协同签名+SM2数字证书” 双因子身份认证方式确认用户身份，解决PC终端、移动终端用户身份鉴别问题，防止非授权访问和敏感信息泄漏。

3、用户操作行为的责任认定
 
智慧城市中的政务服务系统自身所带的行政审批属性，涉及重要电子文件的发布、审核、审批等操作，如果缺乏有效的技术手段保障业务操作自身的真实性和业务数据的防篡改性，无法有效实现事后责任认定，必然在工作中容易发生纠纷、甚至法律风险。
因此，需要使用包括数字签名、电子签章、时间戳等技术对关键系统操作进行记录，当发生纠纷或犯罪事件时能够对用户操作行为溯源，固化证据，以便作认定责任，满足对用户操作不可否认性的要求。

4、重要数据传输过程中的安全性

智慧城市建设中的业务系统的重要数据明文传输，容易被恶意篡改或者窃取。尤其是采用无线网络传输数据的方式极易被攻击者截取与破解，攻击者可以将恶意代码植入到截获的数据中，或者直接伪造请求来欺骗政务终端，从而给政务数据传输带来巨大安全隐患，数据真实性、完整性、机密性存在威胁。
为解决数据传输的安全问题，需要通过符合密码行业标准的SSL或IPSec VPN协议建立安全网络传输通道，来实现业务通道中通信过程中重要数据机密性和完整性。

5、重要数据存储过程中的安全性

智慧城市中的业务系统的重要业务数据大多明文存储在数据库中，存在重要数据存储过程中被泄露的风险。
为了保证重要业务数据的安全，对在数据库或文件系统中保存的身份鉴权数据、日志数据、系统访问控制数据和重要业务数据等关键信息采用SM4对称算法加密，或者使用SM2数字签名算法或SM3摘要算法保障数据的完整性，实现重要数据在存储过程中的机密性和完整性保护。

6、访问控制策略、日志记录信息的完整性

为保证访问控制策略、重要业务数据、日志审计数据等不被非法篡改或破坏，采用SM2数字签名算法或SM3摘要算法保障数据的完整性。

智慧城市国产密码应用安全保障总体技术框架

 

1.智慧城市云密码资源池各层功能如下：

（1）云密码计算资源池

由支持云密码运算的硬件设备组成，如云服务器密码机、签名验签服务器、时间戳服务器等，能够通过虚拟化技术将单台宿主机虚拟成多个密码计算节点，包括数据加解密计算节点、签名验签计算节点、完整性校验计算节点、密钥生成计算节点，能够为包括智慧城市各应用系统、云平台、大数据服务系统，以及云密码软件资源池提供基础密码算力支撑。

（2）云密码软件资源池

由数字证书认证系统、密钥管理系统、电子签章系统、协同签名系统等组成，能够部署在智慧城市云平台上，为云上业务系统提供云上密钥管理服务、密码应用服务。

（3）云上密码服务

依托云密码计算资源池和云密码软件资源池，为智慧城市各应用系统、云平台、大数据服务系统提供云上密钥管理服务、密码基础服务和密码应用服务。

云上密钥管理服务：云上密钥全生命周期管理服务，包括密钥托管服务、密钥安全隔离和存储服务、密钥安全访问服务、密钥的策略控制服务、基于托管密钥的简单加解密服务、密钥使用的日志记录服务、密钥高可用服务等。

密码基础服务：包括数据加密、解密、签名、验签、HMAC等密码基础服务。

密码应用服务：为智慧城市各应用系统提供包括基于数字证书的身份认证服务、云上密钥统一管理服务、电子签章服务、移动终端安全接入等密码应用服务。

（4）云密码服务统一管理平台

云密码服务统一管理平台由密码服务与运营子平台和密码合规性监管子平台组成。其中密码服务与运营子平台能够提供包括统一密码服务调度、云密码资源管理和密码服务运营计费等服务。

 统一密码服务调度：能够动态管理云密码计算资源池、云密码软件资源池以及云上密码服务，进行资源调度、动态迁移、权限控制、弹性扩容、资源容灾、密钥同步等；

云密码资源管理：支持业务系统注册、密码服务监管，开放密码设备接入接口，支持第三方国密设备接入和统一管理。

密码服务运营计费：云密码服务的计费模式通常可根据用户需要分为计时和计量两种模式。计时计费是指根据用户选定密码服务内容和性能参数后根据使用时长计算费用。计量计费是指根据用户使用密码功能的次数、流量、空间等数量计算费用。
密码合规性监管子平台能够提供密码服务合规性监管、密钥合规性监管和可视化统计分析功能。

密码服务合规性监管：对密码服务、密钥应用、密码设备等通过各种图示向用户进行展示，异常情况进行报警提示，及时发现并上报组织或企业密码应用中存在的密码相关的安全问题，保障密码服务的安全稳定运行。

密钥合规性监管：对密钥使用情况和应用调用密钥的日志及流量的安全分析，可实时监控密钥的全生命周期。

可视化统计分析：对密码服务数据进行统计，支持以图表方式统计应用系统访问排名、服务类型应用排名、服务调用趋势、业务受理、高危风险时段、威胁分布等方面密码服务情况。

（5）密码服务接口
通过密码中间件将各类密码设备的应用接口进行集中管理，支持丰富的密码算法、密码运算接口，包括API接口，C/JAVA接口、国密SDF接口以及用于第三方应用集成的SDK开发包，能够实现第三方应用系统对密码服务的集成和调用。

1、符合GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》第三级密码应用要求。

2、建立基于国产密码技术的智慧城市中敏感与隐私数据的全周期安全保护体系，提升城市管理和公共服务能力。

3、构建智慧城市云密码资源池，实现密码资源高效利用，满足智慧城市身份鉴别、安全存储、安全传输等安全需求。