東進加密機SJJ1617應用于水資源監(jiān)測

水既是人類生存和發(fā)展的基本保障條件，也是國家和社會發(fā)展的重要戰(zhàn)略資源和稀缺性資源，因此，水資源信息數(shù)據(jù)在采集、傳輸、存儲和應用過程中需要具有相應的可靠性、完整性和機密性保障，以支撐水資源數(shù)據(jù)信息在政治、經(jīng)濟、生態(tài)環(huán)境以及國家安全等諸多方面的關鍵性和戰(zhàn)略性地位。

在目前的水利部、流域、省三級水資源監(jiān)控管理體系中，水資源的信息數(shù)據(jù)安全主要依托國家計算機系統(tǒng)安全等級防護標準，通過物理安全防護、網(wǎng)絡隔離、應用訪問控制等手段實現(xiàn)，但是，水資源信息數(shù)據(jù)在三級水資源信息管理系統(tǒng)中仍以明文形式存在，當數(shù)據(jù)被非法監(jiān)聽或盜取后仍存在泄漏的風險，水資源信息數(shù)據(jù)的機密性面臨著較大的挑戰(zhàn)。

首先，水資源數(shù)據(jù)在采集終端和中心站之間的傳輸容易被非法截獲。在我國三級水資源監(jiān)控管理系統(tǒng)中，省、流域和水利部之間的數(shù)據(jù)傳輸主要通過水利部政務內(nèi)網(wǎng)這個相對獨立的計算機域完成，可以構建較好的信息安全體系，但在水資源數(shù)據(jù)采集點到省監(jiān)控中心之間，數(shù)據(jù)傳輸大部分還是承載在第三方電信運營商的無線移動通信網(wǎng)絡上，數(shù)據(jù)的機密性完全依托在移動通信網(wǎng)絡的安全機制上。GSM、CDMA制式的移動通信網(wǎng)絡在媒體傳輸層采用A5序列密碼算法，用于對從移動終端到移動基站之間的連接加密，特點是效率高，硬件上容易實現(xiàn)，但A5算法較弱，算法雖然不公開，但實際已經(jīng)泄漏，一般認為不能抵抗情報機構的竊聽。因此，承載于移動通信網(wǎng)絡的水資源數(shù)據(jù)很容易通過空中接口被非法截獲，導致重要水資源數(shù)據(jù)的泄漏。

其次，水資源數(shù)據(jù)信息明文存儲存在潛在泄漏風險。我國計算機信息安全保護等級標準規(guī)定了5個級別的信息系統(tǒng)安全保護能力，建議采用加密措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的存儲保密性，防止計算機系統(tǒng)在受到暴力侵入情況下，造成關鍵數(shù)據(jù)信息被非法獲取。水資源數(shù)據(jù)信息長期采用明文存儲同樣存在潛在的泄漏風險，因此，在水資源這個較高安全級別的信息系統(tǒng)中需要使用密碼技術，以進一步提高安全功能。

為保證我國水資源監(jiān)控管理系統(tǒng)的數(shù)據(jù)安全防護能力，從國家戰(zhàn)略層面保證水資源數(shù)據(jù)信息的安全，在我國三級水資源監(jiān)控管理系統(tǒng)中，應該建立基于密碼技術的統(tǒng)一支撐平臺，支持高強度身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性以及抗抵賴等安全功能的實現(xiàn)。

東進金融數(shù)據(jù)密碼機（也稱加密機SJJ1617）就是這樣一個基于硬件加解密技術的統(tǒng)一支撐平臺，為水資源監(jiān)控管理系統(tǒng)提供密鑰管理、消息驗證、數(shù)據(jù)加密、簽名的產(chǎn)生和驗證等密碼服務，保證水資源數(shù)據(jù)信息在采集、傳輸、存儲和應用過程中的完整性、機密性和不可抵賴性。

圖：東進加密機SJJ1617

1、依托三級水資源監(jiān)控管理體系構建三級密鑰管理系統(tǒng)。

利用東進加密機SJJ1617在水利部、流域、省三級監(jiān)控體系中建立三級密鑰管理系統(tǒng)，各級系統(tǒng)由SJJ1617和運行于主機上密鑰管理軟件組成，水利部建立一級密鑰管理系統(tǒng)，長江委、黃河委、淮河委等流域管理機構建立二級密鑰管理系統(tǒng)，各省水利廳建立三級密鑰管理系統(tǒng)，分級負責生成、管理不同級別密鑰的密鑰管理系統(tǒng)。

在水利部一級密鑰管理系統(tǒng)中，東進加密機SJJ1617生成全網(wǎng)傳輸?shù)囊患壝荑�，并通過水利部一級密鑰管理系統(tǒng)向各流域二級密鑰管理系統(tǒng)分散，在各級密鑰管理系統(tǒng)中，SJJ1617通過分散依次生成各級密鑰，生成跨水利部、流域、省以及采集終端的的全網(wǎng)傳輸主密鑰，從而構成分層分級的分布式密鑰管理體系。

2、對采集終端和中心站之間的數(shù)據(jù)進行加解密運算，實現(xiàn)關鍵數(shù)據(jù)的加密傳輸。

采集終端內(nèi)置的安全加密模塊與位于中心站SJJ1617構成一個承載于第三方移動通信網(wǎng)絡的數(shù)據(jù)安全傳輸通道。在采集終端和中心站通信建立連接之前，終端安全加密模塊和SJJ1617利用加密算法進行會話初始化驗證，實現(xiàn)采集終端和中心站之間的雙向認證，保證數(shù)據(jù)傳輸過程中的完整性；當雙向認證通過后，終端安全加密模塊和SJJ1617即可對關鍵報文或會話過程進行加密，并通過第三方移動通信網(wǎng)絡進行傳輸，實現(xiàn)重要業(yè)務數(shù)據(jù)的保密性傳輸。

3、通過數(shù)據(jù)加密，實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)存儲機密性和完整性。

對于需要存儲的關鍵數(shù)據(jù)，信息管理系統(tǒng)首先調(diào)用東進加密機SJJ1617接口，將數(shù)據(jù)加載到SJJ1617內(nèi)進行加密，然后再由信息管理系統(tǒng)對每次加密后的數(shù)據(jù)進行存儲，當需要從存儲系統(tǒng)中調(diào)用數(shù)據(jù)時，再反方向進行解密。SJJ1617加解密操作對數(shù)據(jù)使用者來說是完全透明的，可根據(jù)需要進行明文和密文的轉換工作。

隨著水資源在我國政治、經(jīng)濟以及安全等方面戰(zhàn)略性地位的逐漸上升，水資源數(shù)據(jù)已經(jīng)成為我國重要的關鍵性戰(zhàn)略信息，保證水資源數(shù)據(jù)在傳輸、存儲以及應用過程的完整性、機密性和不可抵賴性是一種重要的戰(zhàn)略安全舉措，東進加密機SJJ1617支持國密SM2/SM3/SM4算法，支持DES、3DES、IDEA、AES對稱算法，支持MD5、SHA-1、SHA-256散列算法，支持1024位和2048位RSA非對稱算法，能為水資源信息的數(shù)據(jù)安全提供強大的保護，完全滿足我國水資源監(jiān)測管理系統(tǒng)的數(shù)據(jù)安全需求。

關于東進技術：

深圳市東進技術股份有限公司，簡稱東進技術，是全球領先的行業(yè)設備和方案供應商。公司聚集了一流的產(chǎn)品研發(fā)工程師和技術服務隊伍，東進產(chǎn)品廣泛應用于政府、銀行、證券、軍隊等行業(yè)以及金融電子支付、信息安全、企業(yè)通信、呼叫中心、電信運營、應急指揮等領域，東進在全球擁有數(shù)千家產(chǎn)業(yè)鏈合作伙伴，營銷及服務網(wǎng)絡遍布全球，致力于為客戶提供快速、優(yōu)質(zhì)的產(chǎn)品與服務。依托20多年自主知識產(chǎn)權的積累，東進技術陸續(xù)推出了一系列針對金融行業(yè)的產(chǎn)品，并已應用到包括中國建行、中國農(nóng)行、中國銀行以及民生、光大在內(nèi)的超過100家國有、股份、商業(yè)銀行、金融企業(yè)和支付平臺中，獲得廣泛贊譽。