前言:隨著數字化和信息技術的發展,數據洩露變得日益嚴重,每年世界各地都會發生數千起重大數據洩露事件,而這些已知的事件也只是冰山一角,還有更多的則不為人知。現如今我國每年在互聯網、物聯網等領域產生海量數據,面臨的數據安全威脅十分嚴峻。要解決
數據共享與保密之間的矛盾,新的技術手段與相關立法變得十分迫切。關鍵詞:數字化 數據共享 電力安全 密碼技術 網絡攻擊
近期,世界各地都在遭受電力攻擊的威脅:2019年6月美國紐約時報爆料稱,美國早在2012年就已在俄羅斯電網中植入病毒程序,可隨時發起網絡攻擊;2019年3月,委內瑞拉的基礎設施遭遇網絡攻擊導致電路中斷;美國的“宙斯炸彈”可以令伊朗防空、通信系統以及關鍵性的電網癱瘓,這相當於一個“拔除伊朗的戰爭計劃”。
美國是互聯網技術和資源最強大的國家,同時也是最早成立網絡司令部、把網絡攻擊作為主要軍事手段的國家之一。《紐約時報》稱,2018年夏天美國已經開始放寬了相關的法律授權限制,允許在發生衝突時對對方國家的網絡進行癱瘓性攻擊。多名中國學者在接受《環球時報》採訪時表示,顯然,無論在技術上、法律上,還是戰略上,美國的網絡戰略已經變成攻擊性的網絡戰略,美國已經成為全球網絡安全的最大威脅。德克薩斯大學教授切斯尼對美軍網絡攻擊行動稱:“這是21世紀的炮艦外交,我們過去常常把軍艦停泊在對方國家岸邊(才能征服它們),現在我們(不為人知就)可以進入對方電網等關鍵系統……令其付出巨大的代價。”美國網絡司令部司令保羅·中曾根(日裔)此前也在議會上直言不諱地稱,有必要在敵人的網絡深處“突前防禦”。
密碼是保障網絡與信息安全的核心技術和基礎支撐,是國家的重要戰略資源。而能源電力行業的密碼工作則直接關係到經濟安全和國防安全。密碼算法和密碼產品的自主可控是確保我國信息安全的重中之重。當前我國大多采用國外製定的加密算法,存在著大量的不可控因素,一旦被不法分子利用攻擊,所產生的損失將不可估量。實現密碼產品自主可控軟硬件的
國產化替換,是防止後門漏洞的最有效方法,在經濟和戰略層面有著重大意義。為了規範密碼應用和管理,鼓勵和促進我國密碼行業的發展,2019年10月26日,《中華人民共和國密碼法》正式頒佈,並自2020年1月1日起實施。《密碼法》的通過和實施對全面提升密碼工作法治化水平起到了關鍵性作用。
《密碼法》下的密碼指採用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。加密保護,是指使用數學變換,將原來可讀的信息變成不能識別的符號序列。簡言之,就是將明文變成密文;二是安全認證,是指使用數學變換,確認信息是否被篡改、是否來自可靠信息源以及確認行為是否真實。簡言之,安全認證就是確認主體和信息的真實可靠性。該法明確了密碼分類管理制度,密碼包括核心密碼、普通密碼和商用密碼。其中核心密碼、普通密碼用於保護國家秘密信息,商用密碼用於保護不屬於國家秘密的信息。
如今商用密碼廣泛應用於我們身邊的金融和通信、公安、稅務、社保、交通、衛生計生、能源、電子政務等重要領域。
與此前相比,《密碼法》為能源行業的信息安全和密碼工作帶來的影響主要集中在以下方面:
·節約成本
《密碼法》與現有的網絡安全制度相結合,規定了統一的商用密碼檢測認證、應用安全性評估和國家安全審查制度,避免的重複的認證、評估,合理降低了能源企業的合規成本。
·簡化流程
《密碼法》延續了“放管服”的改革思路,沒有對商用密碼的各個環節逐條規定管制方式,彰顯了近年來行政機關在商用密碼領域全流程簡政放權的改革成果。並且生產、銷售商用密碼產品的單位無需再經國家密碼管理局批准,只需為生產、銷售的商用密碼產品依法辦理《商用密碼產品型號證書》。
·強化監管
事前審批的簡政放權不代表企業合規要求的減少,密碼法規定“密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事後監管制度,建立統一的商用密碼監督管理信息平臺,推進事中事後監管與社會信用體系相銜接,強化商用密碼從業單位自律和社會監督”,採取了事中事後強監管的思路,企業應高度重視日常合規工作,隨時應對應有關部門的執法監督。
·推動標準化
根據《密碼法》的規定,國家將建立和完善商用密碼標準體系,組織制定商用密碼國家標準、行業標準,並推動參與商用密碼國際標準化活動。商用密碼從業單位開展商用密碼活動的,應當符合商用密碼強制性國家標準以及從業單位公開標準的技術要求。此外,國家支持社會團體、企業利用自主創新技術制定高於國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準。
結論:
《密碼法》的發佈表明了國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用的態度,逐步健全了我國商用密碼市場體系,鼓勵和促進國內商用密碼產業的發展。它的發佈,對電網內部行業安全標準從法律層面上進行了規範和監管,提出了更高的要求,有利於完善數據系統的安全建設。如在SG186建設,營銷數據加密儲存上,使用數字證書、動態令牌等完成雙因子認證,保障數據庫安全中身份認證環節。浙江省網在營銷系統和95586系統的最近研究探索中,使用了非對稱算法RSA,以及國產算法SM2等。這些探索實際經驗的總結,能為能源電力等事關國家經濟命脈的行業的密碼國產化、合法合規數據應用替代打下了堅實的基礎。
1.《中華人民共和國密碼法》
2.關於《密碼法》,你想知道的都在這裡,https://www.thepaper.cn/newsDetail_forward_5139851
3. 張海彬,黑龍江省電力信息系統等級保護技術安全設計,2010
4. 方舟等,電力營銷信息系統數據安全防護,2019
作者 | 邸義博
欄目負責人 | 莊弘/劉衍波
投稿請聯繫 | [email protected]
◆ ◆ ◆ ◆ ◆
交能網諮詢團隊提供能源電力領域專業的數據分析 | 行業諮詢 | 中歐對接,請垂詢交能網團隊瞭解更多詳情
版權說明:交能網訂閱號原創內容包括能源電力行業資訊焦點挖掘、新興技術分析與市場動態研究等內容,轉載需註明原作者及來源,請在後臺留言或聯繫小編。本文部分圖片及內容提煉、摘取或翻譯自其它參考來源,版權歸原作者所有
閱讀更多 交能網 的文章
