王 冰，代 娇

（中国铁路信息科技集团有限公司，北京 100844）

密码技术是保障网络安全的核心技术和基础支撑。进入新时代以来，我国对网络合规管理的要求逐步增强，密码工作面临诸多问题和挑战，建设自主可控、安全领先和整体合规的密码体系迫在眉睫。铁路是国家重要的基础设施，是国家发展战略的重要组成部分，在综合交通运输领域发挥着重要作用，铁路网络安全与国家安全紧密相连，与全国人民人身和财产安全紧密相连，加强和完善铁路商用密码应用体系建设刻不容缓。

1 铁路商用密码应用现状

铁路信息系统覆盖范围广，信息技术应用丰富，软、硬件产品种类繁多。其中，涉及的商用密码产品主要有服务器密码机、虚拟专用网（VPN，Virtual Private Network）设备、签名验签服务器、时间戳服务器、密码存储卡、数字证书及各种专用设备的加密卡（单元）等。但总体来看，商用密码设备和部件的应用范围较小，仅在少数信息系统中使用，且密码应用缺乏统一的规划和管理，未形成统一共享的密码服务能力。

经过多年建设，铁路建成了公钥基础设施（PKI，Public Key Infrastructure），为铁路信息系统提供统一可信的认证体系，电子认证服务系统、证书注册与签发管理系统、证书状态查询系统等可为铁路用户提供基础商用密码服务。同时，还建立了统一身份认证管理系统，为需要访问资源的用户提供统一的用户管理、多类型安全认证、跨域单点登录、细粒度的访问授权等服务。但铁路行业缺少为业务应用系统提供统一、安全、可扩展的密码服务支撑平台，商用密码尚未形成技术体系。

铁路商用密码管理体系尚未完全建立，缺少商用密码的研究、试验、应用和推广等一系列的流程规范，需围绕铁路密码管理制度、密码应用标准、密码监管机制、专业人才培养、密码综合业务管理、应急处理等方面开展相关研究与应用的推进工作。

2 铁路密码应用合规应对措施

根据《GM/T 39786—2021 信息系统密码应用基本要求》[1]，根据通用、密码应用技术、密码应用管理等要求，在不同层面采用密码技术，为信息系统建立全方位的密码保障体系。

（1）通用要求规定了密码算法、密码技术、密码产品和密码服务应当满足我国法律法规及国家密码管理的相关标准规范或要求，即合规性。

（2）密码应用技术要求是该标准的核心内容，包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4 个方面。随着信息系统安全等级保护级别的上升，密码应用要求也越来越严格。

（3）密码应用管理要求从管理制度、人员管理、建设运行和应急处置等方面规定了信息系统安全等级保护不同级别的密码应用管理要求。

3 铁路商用密码管理体系

根据《国铁集团“十四五”网络安全和信息化规划》要求，以覆盖商用密码应用和管理为需求，建立铁路商用密码安全管理制度、规范和技术措施，加强对密钥全生命周期的管理[2]，逐步提升铁路密码管理水平，支撑密码体系正常运行。

3.1 密码应用管理

主要分为管理制度、人员管理、建设运行和应急处置4 个层面。

（1）管理制度。依据《密码法》《商用密码管理条例》等国家法律法规，建立适应铁路信息化发展的密码安全管理制度和操作规范，覆盖人员管理、密钥管理、建设运行、应急处置、密码软硬件、介质管理等相关内容[3]，以及管理或操作人员执行的日常管理操作规程；定期论证、审定密码安全管理制度的合理性和适用性，并对制度进行修订。

（2）人员管理。根据铁路各业务信息系统密码管理工作需要，设立密码管理及操作的相关岗位，明确各岗位的职责和权限；对相关人员进行法律法规、密码应用安全管理培训；对关键岗位建立多人共管机制，制定人员考核、人员培训、人员保密和调离等相关规定，并按照规定进行人员的配备与管理。

（3）建设运行。针对铁路信息系统的规划、建设和运行开展密码应用工作，重点做好密码应用方案设计、密钥安全管理策略、实施方案，开展铁路商用密码应用安全性评估[4]及攻防对抗演习等。

（4）应急处置。做好事前、事中、事后的应急管理工作，应制定密码应用应急处置方案，做好应急资源准备，当密码应用安全事件发生时，应立即启动应急处置措施，事件发生及处置完成后，及时向信息系统业务主管部门及归属的密码管理部门报告。

3.2 密码监管机制

建立密码监管机制，推动铁路行业内产品标准化应用，促进产品全面、健康、有序、协调发展。规范密码产品应用对于铁路密码标准制定、验证、应用、实施具有指导意义，以助推密码应用合规、有效、标准。

（1）铁路行业参与设计生产、应用的密码产品应监督检测，确保符合应用标准（接口规范、部署要求、策略配置要求等）。

（2）铁路行业参与设计生产、应用的密码产品要进行安全及风险评估。

（3）对铁路企业生产的产品应进行标准化检验、验证、监督，同时抽查检验和委托检测。

（4）铁路行业标准、企业标准的制定、修订要进行验证。

（5）对铁路行业承担同类产品应用标准化监督的机构进行技术指导，开展沟通交流，统一标准监督的检测方法。

3.3 密码应用标准

建立健全铁路商用密码应用技术标准和检测标准，促进国产商用密码算法在铁路行业的推广与应用，全面支持国产算法。对已有的安全技术与检测规范进行有机整合，结合铁路应用环境，形成适应铁路行业的系列标准，指导行业内密码产品的研制、生产和检测。

标准规范建议覆盖商用密码技术、产品、服务、应用、检测和管理等方面的相关规范，包括但不限于：

（1）铁路密码基础类、密码检测类、密码管理类和密码应用类标准。

（2）铁路密码产品应用管理规范。

（3）铁路密码检测认证管理标准。

（4）铁路密钥管理安全技术规范。

（5）铁路统一密钥管理系统功能与接口及安全策略规范。

（6）铁路密码设备应用接口规范。

（7）铁路安全通信密码安全技术规范。

3.4 密码业务综合管理

密码业务综合管理指实现对各类使用密码服务组件的铁路信息系统及其密码服务使用情况进行统一管理。

（1）统一密码设备监控。对铁路计算机网络内的各类密码机的CPU、内存使用率等参数进行监控，对密码应用业务监控，开展应急报警阈值设置。

（2）全局数据统计分析。以业务功能为单位，统计分析各铁路业务信息系统对密码资源的使用状况，通过图形、表格、图片等可视化的方式显示数据相关内容，对统计分析结果进行报表输出。

（3）集中服务运行监控。可对铁路密码基础设施中的密码设备、系统负荷和安全服务等状态进行实时监控，当发生系统故障或资源负荷超出阈值时进行自动告警。

4 铁路商用密码技术体系

密码技术是实现内生安全的核心和基础，密码技术体系需要满足各个层次的密码安全要求。

铁路信息系统与网络复杂多样，要根据铁路信息系统实际使用场景、网络结构、应用模式等要求制定铁路商用密码技术体系，明确不同业务场景与环境下的密码技术要求，提升密码技术在铁路行业的适用性。铁路商用密码技术体系，如图1 所示，涵盖密码资源层、平台服务层、密码应用层、监控展示层[5]。

图1 铁路商用密码技术体系

铁路商用密码技术体系在业务应用系统中的作用主要包括：

（1）正确鉴别用户身份及权限。对用户进行身份标识和身份鉴别，实现身份信息的防截获、防假冒和防重用，保证用户身份的真实性。

（2）保证关键数据的真实性和完整性。防止非法用户对关键数据进行篡改或删除，防止数据传输过程中可能出现的数据破坏或丢失。

（3）保证关键数据的机密性。通过对敏感数据加密传输、加密存储来保护交易数据、用户敏感信息等关键数据的机密性。

（4）保证关键操作的不可否认性。对于网上交易、账务查询等重要操作，采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为和数据接收行为的不可否认性。

5 铁路商用密码安全体系

（1）需要建立一种可靠的信任关系，将行为主体的活动相连接，保证主体在信息交流过程中的身份是经过认证的，权限是合理的，沟通是保密的，交流过程是可追责的。

（2）建立商用密码基础设施，保证铁路行业关键信息基础设施及重要信息系统中的关键及重要数据在全生命周期的安全。

（3）在价值保护方面，利用基于密码技术的访问控制、数据加密和数据脱敏等，实现不同粒度的数据安全控制。

（4）在信任构建方面，利用基于密码技术的数据标识、数字签名和内容保护等，实现主体行为的不可抵赖，解决网络间及业务系统间数据交换的信任问题，实现数据资源安全交互。

5.1 铁路数字证书认证系统

铁路数字证书认证系统是基于PKI 密码学理论和X.509 标准的身份认证框架，为业务系统提供了统一可信的安全认证体系。PKI 在一个环境内建立了信任级别，其中，具体协议和算法都没有明确规定，因而PKI 是一种框架而不是特定的技术。铁路数字证书认证系统提供身份认证、机密性、不可否认性，以及消息交换的完整性。其在统一的安全认证标准和规范基础上，具备用户身份标识、创建和分发证书、维护和取消证书、分发和维护加密密钥等功能，为铁路用户提供密码服务和认证服务。铁路数字证书认证系统确定了铁路网络纳入PKI 体系的各种行为主体身份的唯一性、真实性和合法性[6]，保护行为主体的安全。

5.2 身份识别与访问管理系统

身份识别与访问管理系统依托铁路统一身份认证平台，以资源管理为核心，涵盖了用户和系统之间、系统和其他系统之间的关系，它对用户和业务系统进行授权管理，建立用户身份和系统授权的映射，提供授权和访问控制机制。具有单点登录、认证管理、基于策略的集中式授权、动态授权和审计等功能。身份识别与访问管理系统与铁路数字证书认证系统相比，主要区别在于：后者说明用户是谁；前者给出这个用户的权限和能力策略，即在对用户进行身份认证后，与目录服务集成，对合法用户访问业务系统资源进行权限管理。

5.3 密钥管理系统

密钥管理系统用于实现对应用系统类、密码设备类、用户类密钥的管理，实现密钥在生成、存储和备份、分发和加载、使用、更新、归档和销毁等全生命周期的集中管理、应用接入管理和身份认证，保证密码应用的合规性、正确性和有效性，满足网络、业务系统、移动应用等密码管理需求[7]。主要功能应涵盖密钥管理、密码算法管理、密码设备管理、注册接入管理和日志审计等功能。

密钥管理系统可采用分级部署方式，系统结构如图2 所示。

图2 密钥管理系统结构

（1）一级密钥管理系统以管理功能为主，实现二级密钥管理系统的注册及接入管理、实现不同安全域间二级密钥管理系统中的密钥安全交互。

（2）二级密钥管理系统主要提供密钥生产及托管的功能，实现本安全域内对称密钥与非对称密钥的全生命周期管理，实现应用系统类、密码设备类密钥的集中管理功能，确保核心密钥数据安全可控。

5.4 密码服务系统

密码服务系统通过对硬件密码资源的集中管理与统一调度，为铁路业务系统提供密码基础信任和密码基础运算服务，保证业务数据的机密性、完整性、不可否认性和真实性。密码服务系统屏蔽后台密码设备的多样性、指令的复杂性，简化应用系统对密码设备调度的复杂性[8]。采用标准和定制化接口，面向业务系统提供加密解密、签名验签、摘要、数字信封等密码服务。

结合密码应用需求，密码服务系统分为3 层，系统架构如图3 所示。

图3 密码服务系统架构

（1）密码资源服务。以密码基础设施、密码设备集群等密码资源为基础，提供基本的密码服务，包括密码算法模块服务、数字证书管理服务、密钥管理服务和随机数服务等，通过调用模块实现对硬件密码模块的弹性部署、按需提供服务。

（2）通用密码服务。基于云密码资源服务或密码基础设施，将面向应用场景的密码功能集合在一起，打包成易部署、易使用的虚拟机实例、微服务实例、软件中间件等，对外提供服务。

（3）典型密码服务。将密码技术与特定应用业务融合，组合成用户能够访问和使用的操作流程。典型密码服务可基于云密码资源服务提供的密码设施服务和接口，向用户提供安全的业务服务。

6 结束语

密码是保障网络安全最有效、可靠、经济的重要手段和关键技术。本文通过对铁路商用密码应用现状进行研究，从通用要求、密码应用技术要求、密码应用管理要求等不同层面对铁路行业商用密码合规性进行研究分析，提出了铁路商用密码管理体系、技术体系和安全体系，可为引导铁路行业合规、正确、有效地使用密码，规范重要业务信息系统密码应用工作，加快推进铁路行业商用密码建设工作提供参考。