炼石入选“首届工业和信息化领域商用密码应用峰会”典型方案
2023年3月22日-23日,浙江省经济和信息化厅、浙江省通信管理局、浙江省密码管理局、工业和信息化部商用密码应用产业促进联盟联合举办的“首届工业和信息化领域商用密码应用峰会”(以下简称峰会)在浙江杭州成功举办,旨在深入推进工业和信息化领域商用密码深层次应用和高质量发展。此前,工业和信息化部与国家密码管理局共同组织开展的“工业和信息化领域商用密码典型应用方案征集活动”,旨在推动示范引领,打造商用密码应用行业标杆,峰会上为获奖单位颁发荣誉证书。炼石与应急管理部大数据中心联合申报《基于高性能国密实现应急管理行业个人信息和重要业务数据保护建设方案》,凭借免改造数据安全方案的创新性和可推广性成功入选。
“应急行业”亟需“应急式数据安全技术”
应急管理是国家治理体系和治理能力的重要组成部分,党的二十大报告提出,加强重大疫情防控救治体系和应急能力建设,建立大安全大应急框架。在完善应急管理体制机制中,应急管理部业务系统中存储公安、自然资源、交通运输、地质气象等海量数据和个人信息,具有数据量庞大、数据类型复杂、新老系统混合等特点,这些高价值数据在跨部门、跨区域高速流转共享中,面临高频、高损的网络攻击,严重危害国家安全和社会公共利益,导致其通过国密技术强化信息系统安全防护能力时面临诸多挑战。
应急管理部贯彻党的二十大关于推进国家安全体系和能力现代化,健全国家安全体系、增强维护国家安全能力的重要指示精神,严格落实《数据安全法》《个人信息保护法》等法律法规,将数据安全建设摆在突出位置,以国密技术为支撑直接作用于数据,部署基于高性能国密技术的内嵌式数据安全产品,可将安全更快更好的内建到应急管理系统中,有效解决应用改造复杂、数据库品牌兼容困难、高质量密码供给不足、叠加密码能力而影响系统运转速率等问题。全面保障应急管理系统数据源头安全,促进数据开发利用,增强系统数据安全保障能力,为推进数字经济和中国式现代化发展提供基础保障。
应急管理行业个人信息和重要业务数据保护建设方案
本方案坚持技术和管理两手抓的安全建设思路,从数据安全基础层、技术层、管理层解决实战与合规问题,提升应急管理信息系统场景化数据安全能力,打造“密码安全一体化”的实战体系。
方案基于应急管理部“三网一云”的架构模式,面向部署在应急云互联网、电子政务外网、应急指挥信息网等VPC信息系统提供数据加解密服务。通过部署数据安全模块、数据加密平台以及密钥管理系统,打造具备高可用、易部署、连续性强等特点的数据安全体系,构建适用于应急管理领域数据安全层面的防绕过保护机制。数据安全保护“组合拳”成绩显著,保障应急管理数据有序自由流动,促进以数据为关键要素的数字经济发展。
密码数据安全一体化防护
在实现应急管理信息系统数据保护过程中,本方案部署了炼石发明专利保护的多种免改造数据安全模块,面向应急行业的结构化数据与非结构化数据,全面覆盖应用系统、数据库、文件系统、磁盘、终端等多层级,筑牢应急管理数据安全防线。
针对应急管理领域业务交错复杂、数据量大等特点,本方案侧重Hadoop等典型的大数据场景的数据保护,数据加解密平台采用集群部署方式,在应用服务端置入可融入业务流程的内嵌式数据安全模块,通过免改造、轻改造的高性能国密技术实现入库加密、出库解密,打造主体到应用内用户、客体到字段级的细粒度防护。同时,不同的数据控制点挂载了数据发现识别、去标识化、检测/响应、审计追溯等多重安全能力,有效保护应急行业的个人信息与重要数据。
免改造技术打造细粒度保护
(1)免改造信息系统实现数据保护:基于国密技术的数据安全模块,敏捷部署实施,轻量级甚至无需开发改造系统,即可实现将数据安全能力融入系统,这种模式对应急管理系统连续运行无影响,也不会因实施加密而带来业务风险。
(2)逐字段、逐密钥、逐策略保护:将访问的客体精细到数据库中的字段或存储系统中的文件,访问主体到应用中的用户,将加解密技术和访问控制技术相结合,形成无法绕过的细粒度安全保护。
(3)高性能国密保障业务效率:具有PCT国际专利保护的高性能国密技术,实现在单颗Intel
CPU上SM4加解密速度突破140Gbps。同时支持龙芯、兆芯、飞腾、中标麒麟、银河麒麟等信创平台,在信创平台单颗CPU上,国密SM4加解密速度突破110Gbps,支撑应急管理领域国产化创新。
(4)集中式管控、分布式保护:引入“集中式管控、分布式保护”体系,在应急管理部本级和分支分别部署数据加解密平台,实现“部、省、市”自上而下的多级联动协同。
(5)适应应急系统复杂架构:解耦应急管理系统使用的各类数据库品牌及版本,支持主流开发语言,如GaussDB、PostgreSQL、MySQL、Kingbase等数据库,兼容Java、C/C++、Python、.Net、PHP等开发语言。
(6)事前事中事后防绕过机制:以数据为中心、以应用为抓手,叠加事前防护、事中检测响应、事后审计追溯等数据保护能力,达到“密码安全一体化”的防绕过防护。
行业落地适用可行性强
从标准符合性看,本方案在数据存储过程中满足《GB/T 39786-2021》第三级密码应用基本要求,保障应急管理领域信息系统数据的完整性和机密性,提升系统的安全防护能力。
从落地可行性看,本方案有效保障了应急管理业务重要数据的安全。拓展灵活,适应应急管理业务和应用模型的变化需求,支撑多种业务变更和信息交换场景下的安全防护。同时,采用可实时调整的任务调度机制实现负载均衡,防止瓶颈产生。满足本期及未来五到十年的发展需要,实现效益最大化。
从行业适用性看,本方案针对应急管理领域数据量广泛、数据融合后敏感性高等特性开展保护,以国产密码技术为基石,融合多种安全技术,保证系统安全、可靠、高效运行,适用于各类复杂场景的安全防护需求。
从应用条件和适用范围看,部署的产品均通过商用密码产品认证、FIPS140-2三级国际认证,具有PCT国际专利保护和软件著作权,可满足应急管理领域实战防护需求。同时,还可快速开展平台建设、试点应用,助力应急管理领域各级单位完善网络安全纵深防护体系,并可逐步拓展到政府、金融、教育、医疗、文旅、商业等其他行业。
经济和社会双效俱优
社会效益方面,方案始终坚持国家总体安全观,贯彻落实党的二十大重要精神和相关法律法规,创新国密技术,深挖应急管理数据资源价值,推动数据要素高效流通,增强应急管理领域安全防护能力,打造实战化的数据安全防护体系,践行保护国家安全的社会责任和义务,护航数字经济、网络强国发展。
经济效益方面,方案可作为标准化、模块化、可复制、易推广的典型示范,快速在全国各省、自治区、直辖市等单位内部开展平台建设、试点应用,为应急管理领域注入安全创新的新动力,有助于推动国密技术与应急管理业务相融合的创新商业模式,提升应急管理领域产品、资产的附加值,带动组织属地提高效率、提升效能、增添效益,为应急管理领域加速增加生产总值和企业效益、提升组织成长性、拉动上下游产业链发展、提振产业链韧性提供重要保障,进一步提升企业信息系统的数据安全防护能力,减少系统遭受网络安全的风险或降低遭受攻击后的破坏程度,从而减少运营单位的经济损失。