物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)的信息安全

蘇龍峰, 王濱濱

(上海飛奧燃?xì)庠O(shè)備有限公司 燃?xì)庵悄芟到y(tǒng)及產(chǎn)品研發(fā)中心，上海200120)

1 概述

2020年1月15日，國家信息中心發(fā)布《2019年中國網(wǎng)絡(luò)安全報告》，針對2019年惡意軟件、惡意網(wǎng)址、移動安全、CVE漏洞、互聯(lián)網(wǎng)安全、Linux病毒及未來互聯(lián)網(wǎng)安全趨勢進(jìn)行了詳細(xì)分析。該報告顯示，2019年病毒樣本總量很大，勒索軟件和挖礦病毒呈現(xiàn)爆發(fā)態(tài)勢。

2019年1月，國家工業(yè)信息安全發(fā)展研究中心首次發(fā)布的《2018年度工業(yè)信息安全形勢分析》認(rèn)為，隨著改革開放的不斷深入，工業(yè)領(lǐng)域社會生產(chǎn)力得以迅猛發(fā)展，兩化融合日益深化，工業(yè)生產(chǎn)環(huán)境從封閉走向開放，工業(yè)控制系統(tǒng)由單機(jī)走向互聯(lián)，廣泛用于核設(shè)施、航天航空、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸?shù)葒液诵念I(lǐng)域。然而，全球范圍內(nèi)針對工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊有增無減，信息竊取、勒索攻擊、病毒感染、網(wǎng)絡(luò)間諜、黑客入侵等攻擊手段花樣多變，攫取經(jīng)濟(jì)利益、盜取知識產(chǎn)權(quán)、攻擊關(guān)鍵信息基礎(chǔ)設(shè)施等大規(guī)模的安全事件屢有發(fā)生，對政治、經(jīng)濟(jì)、軍事、國家和社會安全等造成直接威脅和現(xiàn)實(shí)影響，工業(yè)信息安全成為各國政府高度關(guān)注的重大安全領(lǐng)域。

城市燃?xì)馐巧鐣彩聵I(yè)中的重要組成部分，在物聯(lián)網(wǎng)的浪潮趨勢推動下，遠(yuǎn)傳智能燃?xì)獗硪殃懤m(xù)進(jìn)入了千家萬戶，物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)是對外公開的物聯(lián)網(wǎng)SAAS云產(chǎn)品，其信息安全面臨著諸多挑戰(zhàn)，除了滿足燃?xì)夤镜娜粘＿\(yùn)營和業(yè)務(wù)，保障居民用戶的日常使用外，如何保證設(shè)備安全、用戶信息安全、燃?xì)獗碓O(shè)備安全、網(wǎng)絡(luò)安全、軟件平臺安全、數(shù)據(jù)安全，是本文研究的主要目的。

2 物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)信息安全框架

信息的3要素：信源、信道、信宿。在物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)中，信源是燃?xì)獗砀鶕?jù)居民用戶燃?xì)馐褂们闆r采集來的原始信息，包含用氣量、異常情況、電池電壓、網(wǎng)絡(luò)信號強(qiáng)度、報警等。信道是燃?xì)獗硗ㄟ^運(yùn)營商提供的無線網(wǎng)絡(luò)信道，采集到的數(shù)據(jù)信息傳輸?shù)皆贫斯芾砥脚_中經(jīng)歷的所有通信設(shè)備；到達(dá)信息目的地存儲后供后續(xù)使用，即信宿。

物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)信息安全框架在設(shè)計之初，從信息的3要素出發(fā)，覆蓋了信息4個維度，4個維度的安全策略確保信息在時間空間上的安全。

除此之外，如何預(yù)防IT運(yùn)維人員的誤操作也是考慮內(nèi)容之一。由于管理上漏洞，系統(tǒng)權(quán)限管理的不規(guī)范，IT業(yè)界經(jīng)常出現(xiàn)因運(yùn)維人員的誤操作導(dǎo)致的系統(tǒng)事故，例如數(shù)據(jù)文件或數(shù)據(jù)庫記錄被誤刪除，服務(wù)器文件被刪除，導(dǎo)致系統(tǒng)被破壞，無法正常運(yùn)行，事后也無法完全恢復(fù)。物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)的安全框架從“天災(zāi)”和“人禍”雙管齊下進(jìn)行防護(hù)，確保信息安全。

物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)信息安全框架的目的是服務(wù)于開放應(yīng)用系統(tǒng)和用戶，全方位保證數(shù)據(jù)和設(shè)備安全。其主要包括設(shè)備安全策略、平臺應(yīng)用安全策略、IT運(yùn)維管理、密鑰系統(tǒng)安全策略4個方面。設(shè)備安全策略主要包括燃?xì)獗碓O(shè)備和服務(wù)器設(shè)備，即數(shù)據(jù)的采集端和數(shù)據(jù)的收集端；平臺應(yīng)用安全策略側(cè)重于軟件系統(tǒng)的技術(shù)配置手段；IT運(yùn)維管理側(cè)重于如何進(jìn)行科學(xué)有效的運(yùn)維管理，防止因人為原因?qū)е乱馔獾陌l(fā)生；密鑰系統(tǒng)確保數(shù)據(jù)在傳輸過程中的安全性、唯一性和不可篡改性。

密鑰系統(tǒng)(Key Manage System)簡稱KMS，在密鑰系統(tǒng)中，密鑰的生產(chǎn)、分配、下發(fā)、更新、銷毀、存儲以及安全高效的管理全部由密鑰系統(tǒng)進(jìn)行統(tǒng)一調(diào)度。原始信息從燃?xì)獗斫K端設(shè)備的數(shù)據(jù)采集，經(jīng)過運(yùn)營商的網(wǎng)絡(luò)通信傳輸?shù)皆破脚_應(yīng)用系統(tǒng)中，密鑰是燃?xì)獗斫K端設(shè)備和云平臺之間交互的安全鑰匙，信息的下達(dá)和上傳經(jīng)過嚴(yán)密的驗(yàn)證后才可以通行。密鑰系統(tǒng)通過Restful API接口方式與其他系統(tǒng)對接，在最壞的情況下，即使數(shù)據(jù)在傳輸過程中被捕獲或者監(jiān)聽到，意外泄露，但是加密后的報文依然無法破解。

3 設(shè)備安全策略

3.1 物聯(lián)網(wǎng)智能燃?xì)獗?/h3>

物聯(lián)網(wǎng)智能燃?xì)獗硎钦麄€系統(tǒng)的終端實(shí)體部分，精益的制造工藝、鍍鋅鋼化外殼結(jié)構(gòu)確保燃?xì)獗淼奈锢硗暾院兔荛]性，從而保證內(nèi)部機(jī)械結(jié)構(gòu)、計數(shù)器等電子電路不會輕易外露和破壞，穩(wěn)定的結(jié)構(gòu)確保了智能燃?xì)獗碓谡＿\(yùn)轉(zhuǎn)下可以正常采集數(shù)據(jù)，從而保障了數(shù)據(jù)采集的安全性、可靠性和準(zhǔn)確性。

為了有效防止對結(jié)構(gòu)的人為惡意破壞，智能燃?xì)獗碓谠O(shè)計之初，內(nèi)置了安全報警觸發(fā)器。當(dāng)燃?xì)獗須んw受到外界物理惡意性破壞的時候，觸發(fā)報警機(jī)制會打開；當(dāng)燃?xì)獗硎艿酵饨绲膹?qiáng)磁干擾后，也會觸發(fā)報警機(jī)制。報警信息會上傳到后臺管理系統(tǒng)，后臺管理人員登錄系統(tǒng)后，可以第一時間發(fā)現(xiàn)和采取有效的對策。

物聯(lián)網(wǎng)智能燃?xì)獗磉\(yùn)行在廚房等相對復(fù)雜的環(huán)境下，涉及到可燃性氣體，在防爆等級方面屬于本質(zhì)安全型，實(shí)現(xiàn)了燃?xì)獗淼姆辣燃壵J(rèn)證。氣溫是影響燃?xì)獗淼闹匾獏?shù)，包括計量數(shù)據(jù)采集和電子元件的穩(wěn)定性，物聯(lián)網(wǎng)智能燃?xì)獗砜梢栽诟叩蜏?10～40 ℃環(huán)境下正常運(yùn)行、數(shù)據(jù)采集和通信。粉塵和空氣濕度也將影響燃?xì)獗淼姆€(wěn)定性和精準(zhǔn)性，物聯(lián)網(wǎng)智能燃?xì)獗硗瑫r也支持IP65級的防塵防水。

綜上所述，鍍鋅鋼化的外殼結(jié)構(gòu)、防爆等級認(rèn)證、高低溫運(yùn)行、IP65級防塵防水和觸發(fā)報警機(jī)制等手段都將確保燃?xì)獗碓诓杉瘮?shù)據(jù)時擁有一個穩(wěn)定的環(huán)境，防止數(shù)據(jù)被惡意篡改，預(yù)防外界的干擾，提高計量的精度，確保采集數(shù)據(jù)的準(zhǔn)確性，確保數(shù)據(jù)原始信息(信源)的安全真實(shí)與可靠。

3.2 服務(wù)器環(huán)境

服務(wù)器是網(wǎng)絡(luò)通信的重要環(huán)節(jié)，服務(wù)器環(huán)境的穩(wěn)定也保證了服務(wù)器物理安全性，阿里、百度、騰訊、華為、電信等云服務(wù)器廠商提供ECS云服務(wù)器，具有多重電路冗余防護(hù)，防止服務(wù)器意外斷電。聯(lián)通、電信、移動多線冗余防止網(wǎng)絡(luò)單線路故障，超大的帶寬提高信息傳遞的速率。防震防災(zāi)提供穩(wěn)定的服務(wù)器環(huán)境，外界環(huán)境物理防護(hù)，保證機(jī)房應(yīng)用服務(wù)器的網(wǎng)絡(luò)和設(shè)備安全，確保云平臺的系統(tǒng)穩(wěn)定和可靠。

3.3 防火墻

防火墻的基本功能：監(jiān)控過濾進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)，預(yù)防網(wǎng)絡(luò)攻擊和報警，隔離網(wǎng)絡(luò)環(huán)境。傳統(tǒng)的防火墻已無法應(yīng)對互聯(lián)網(wǎng)的威脅，伴隨著防火墻的演變更新和升級，防火墻也分離出來不同的形態(tài)：下一代防火墻、云防火墻和Web防火墻(WAF)。云防火墻，是借助知名公司安全團(tuán)隊云端的技術(shù)經(jīng)驗(yàn)，量身定制的融合訪問控制、業(yè)務(wù)隔離、流量識別等功能的網(wǎng)絡(luò)安全產(chǎn)品。集成了全網(wǎng)的威脅情報，實(shí)時監(jiān)測云上主機(jī)的失陷情況，可對惡意主動外聯(lián)活動智能攔截。同時集成了基于攻擊者視角的漏掃能力，針對新發(fā)現(xiàn)的0-day 及高危漏洞，可通過 IPS 模塊的虛擬補(bǔ)丁技術(shù)，及時修復(fù)虛擬機(jī)的漏洞，無需重啟系統(tǒng)，不影響業(yè)務(wù)正常使用。云防火墻對云上的流量安全做到可信、可控、可審計，是云上流量安全中心、策略管控中心。Web防火墻可以監(jiān)控Web應(yīng)用下所有往來的請求和響應(yīng)的流量數(shù)據(jù)，阻止不正常的IP和過濾非法請求信息，預(yù)防SQL(數(shù)據(jù)庫腳本)注入和XSS(跨站腳本)攻擊，創(chuàng)建規(guī)則和策略等。

物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)采用下一代防火墻和Web防火墻結(jié)合的方式，這些防火墻在面臨新的威脅時，更加智能化、人性化，應(yīng)對的手段更加多樣化，防護(hù)體系更加完善，加上云端的大數(shù)據(jù)支持，使得系統(tǒng)安全性大大提升。

4 平臺應(yīng)用安全策略

4.1 HTTP/HTTPS

HTTPS= HTTP協(xié)議(超文本傳輸協(xié)議) + SSL/TLS協(xié)議，隨著數(shù)據(jù)安全的要求越來越高，HTTPS的覆蓋范圍會越來越大。在數(shù)據(jù)傳輸過程中，HTTP報文一旦被捕獲，可以查看到所有傳輸?shù)臄?shù)據(jù)信息，我們需要確保傳輸過程中信息的絕對安全，即使在傳輸過程中被捕獲也要確保信息無法被破解，HTTPS加密機(jī)制是最好的應(yīng)對策略。當(dāng)然HTTPS也有不足之處，HTTPS的加密和解密機(jī)制中，加密意味著解密，雙向的加解密會降低服務(wù)器的性能和吞吐量，影響打開速度和增加服務(wù)器的負(fù)荷。目前的Web架構(gòu)基本上都是前后端分離的形式，靜態(tài)資源和媒體類文件都會使用CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))，CDN可以有效減小服務(wù)器的壓力，提升服務(wù)器的性能，同時加速Web應(yīng)用的訪問速度。Web應(yīng)用后端數(shù)據(jù)接口時使用HTTPS，JSON數(shù)據(jù)的內(nèi)容相對文件類數(shù)據(jù)要小很多，這樣既可以有效提高網(wǎng)站的性能，同時也可以保證核心數(shù)據(jù)的安全。

4.2 反爬蟲機(jī)制

HTTP的基本原理就是請求響應(yīng)，用戶在瀏覽器和服務(wù)器之間是無狀態(tài)的連接。當(dāng)用戶在瀏覽網(wǎng)頁時，輸入網(wǎng)址，DNS服務(wù)器找到域名對應(yīng)的IP地址，本地網(wǎng)絡(luò)和遠(yuǎn)程IP進(jìn)行握手通信，建立TCP/IP的連接，連接通道建立進(jìn)行數(shù)據(jù)傳輸和通信，服務(wù)器根據(jù)客戶端的請求進(jìn)行響應(yīng)，客戶端得到數(shù)據(jù)后在瀏覽器進(jìn)行渲染和呈現(xiàn)。瀏覽器的每個請求信息中均包含請求的地址、Host、URL參數(shù)、POST參數(shù)、支持的格式編碼壓縮、是否需要保持連接、Refer、User-Agent、Cookie、代理等信息，這些請求信息會送達(dá)到服務(wù)器后端，后端接收到請求信息后會進(jìn)行復(fù)雜的邏輯判斷，從而識別此次請求是否合法。

物聯(lián)網(wǎng)智能燃?xì)獗硐到y(tǒng)在安全架構(gòu)設(shè)計時涵蓋了所有輸入點(diǎn)的安全風(fēng)險，軟件層面，在開發(fā)的過程中，利用正則表達(dá)，前端后端都會同時限制字符的輸入、數(shù)據(jù)的長度、類型、格式等，后臺代碼與數(shù)據(jù)庫交互的過程中全部參數(shù)化查詢，正則表達(dá)敏感信息過濾等，防止SQL腳本注入的安全漏洞，在預(yù)防機(jī)器人爬蟲方面使用圖片驗(yàn)證碼機(jī)制。

爬蟲無法完全限制，為防止機(jī)器人爬蟲，除了在網(wǎng)站添加和遵循Robot協(xié)議外，還會對云平臺系統(tǒng)反爬蟲進(jìn)行限制和防護(hù)，例如：沒有User-Agent信息的請求都視為非法請求，使用網(wǎng)站的圖片請求中沒有refer信息的視為非法請求，若單個IP單位時間內(nèi)，請求次數(shù)過大，也屬于非法請求或者視為攻擊行為，這些限制策略和防控策略可以增加爬蟲獲取信息的復(fù)雜度、時間和成本。

4.3 數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對真實(shí)數(shù)據(jù)進(jìn)行改造并提供測試使用，如身份證號、手機(jī)號、卡號、客戶號等個人信息都需要進(jìn)行數(shù)據(jù)脫敏。例如：手機(jī)號顯示為188****2707。

智能燃?xì)獗硐到y(tǒng)中，燃?xì)夤镜臉I(yè)務(wù)涵蓋了居民用戶的個人信息，如果居民用戶到燃?xì)夤鹃_戶，需要用自己的個人信息，有手機(jī)號、家庭地址、身份證信息，甚至房產(chǎn)證信息等，這些數(shù)據(jù)屬于居民用戶極其敏感的信息，如何保證這些信息安全極其重要，一旦數(shù)據(jù)泄露將產(chǎn)生不可估量的影響?，F(xiàn)在的互聯(lián)網(wǎng)行業(yè)中，隨著技術(shù)的發(fā)展，技術(shù)工種分類越來越精細(xì)，DBA數(shù)據(jù)庫管理員和IT運(yùn)維人員對系統(tǒng)擁有最高管理權(quán)限，權(quán)限和風(fēng)險并存，如何預(yù)防系統(tǒng)內(nèi)部信息泄露也是信息安全需要重點(diǎn)考慮的問題。

智能燃?xì)獗硐到y(tǒng)安全架構(gòu)在設(shè)計之初，充分考慮到數(shù)據(jù)持久化存儲后加密的加密機(jī)制，在敏感信息上進(jìn)行加密操作。在現(xiàn)在主流的關(guān)系型數(shù)據(jù)庫中，表信息通過字段冗余、多字段存儲、加密真實(shí)數(shù)據(jù)字段、脫敏模糊處理顯示字段、數(shù)據(jù)的加密和解密通過密鑰系統(tǒng)進(jìn)行數(shù)據(jù)加工。例如手機(jī)號字段，用戶在Web端應(yīng)用打開瀏覽器，提交手機(jī)號和驗(yàn)證碼，注冊自己的身份信息時，手機(jī)號從前端表單提交到后端，后端調(diào)用密鑰系統(tǒng)的API進(jìn)行數(shù)據(jù)加密操作，加密后的數(shù)據(jù)將全部存儲，在保證信息全面和保證業(yè)務(wù)功能的情況下，確保數(shù)據(jù)存儲的安全性。如果需要短信通知用戶，使用明文手機(jī)號(即全部顯示的手機(jī)號)，那么需要再次調(diào)用密鑰系統(tǒng)API接口，解密加密后的手機(jī)號，得到明文手機(jī)號，然后再發(fā)送短信通知燃?xì)庥脩簟Ｓ直热?，在智能燃?xì)獗硐到y(tǒng)中，對于用戶賬號和密碼數(shù)據(jù)，用戶登錄的密碼信息采用MD5哈希算法進(jìn)行加密，并對哈希值再次進(jìn)行加鹽的處理，以防止攻擊者窮舉MD5哈希值進(jìn)行暴力破解，在最壞的工況下，即使數(shù)據(jù)庫備份文件被人為獲取，MD5加鹽的方式依然可以保護(hù)真實(shí)的密碼不會泄露。

5 密鑰系統(tǒng)安全策略

5.1 密鑰系統(tǒng)簡介

在整個物聯(lián)網(wǎng)智能燃?xì)庀到y(tǒng)信息安全架構(gòu)體系中，密鑰系統(tǒng)獨(dú)立于平臺內(nèi)的其他應(yīng)用系統(tǒng)，其他應(yīng)用系統(tǒng)接入到密鑰系統(tǒng)只能通過內(nèi)網(wǎng)架構(gòu)Web API接口訪問。各應(yīng)用系統(tǒng)之間調(diào)用環(huán)境隔離，在日常業(yè)務(wù)開展和數(shù)據(jù)實(shí)際使用過程中，密鑰系統(tǒng)設(shè)計人員會對信息的重要性和保密等級進(jìn)行統(tǒng)一分類，涉及到用戶個人敏感信息數(shù)據(jù)時必須接入密鑰系統(tǒng)，燃?xì)獗碓O(shè)備密鑰的分配和更新必須接入到密鑰系統(tǒng)中。加密就意味著解密，加解密意味著系統(tǒng)資源占用，占用內(nèi)存和CPU等資源，而日常燃?xì)獗砩蠄蠛蠼饷艿臄?shù)據(jù)在持久化存儲的時候無需再次加密。

燃?xì)獗碓O(shè)備和平臺之間加解密方式取決于多種因素，在加密機(jī)制中，非對稱加密和對稱加密要根據(jù)實(shí)際情況進(jìn)行選擇，軟件加密和安全芯片加密也是需要根據(jù)硬件的性能進(jìn)行選擇，往往實(shí)際的設(shè)備運(yùn)行性能和計算能力決定了我們采取哪一種加密方式。在國際加密算法和國密算法中，我們會優(yōu)先使用國密算法SM2、SM3、SM4。

5.2 密鑰系統(tǒng)的系統(tǒng)架構(gòu)

密鑰系統(tǒng)的核心功能是密鑰的管理，包括密鑰的生成、密鑰生命周期管理、系統(tǒng)其他管理等。物聯(lián)網(wǎng)燃?xì)獗硗ㄟ^軟硬件加密的方式，將采集的數(shù)據(jù)進(jìn)行統(tǒng)一加密，上行傳輸?shù)矫荑€系統(tǒng)。密鑰系統(tǒng)進(jìn)行解密，解密后的數(shù)據(jù)推送到應(yīng)用系統(tǒng)；應(yīng)用系統(tǒng)下發(fā)明文報文到密鑰系統(tǒng)，密鑰系統(tǒng)加密下行報文，傳輸?shù)轿锫?lián)網(wǎng)燃?xì)獗?。密鑰系統(tǒng)位于數(shù)據(jù)加解密的核心環(huán)節(jié)，其他應(yīng)用系統(tǒng)接入密鑰系統(tǒng)也可以實(shí)現(xiàn)數(shù)據(jù)加解密的操作。

5.3 密鑰系統(tǒng)的密鑰生命周期

① 密鑰初始化(密鑰注入)

智能燃?xì)獗碓谂抗I(yè)化生產(chǎn)的時候需要一個初始化密鑰調(diào)用密鑰系統(tǒng)的接口，生成對稱密鑰，或者非對稱密鑰的密鑰對，密鑰會保存在燃?xì)獗砉碳膬?nèi)部存儲中或者安全芯片中。伴隨著燃?xì)獗淼恼Q生和制造的初始化，初始化密鑰數(shù)據(jù)也伴隨而生。

② 密鑰存活期

在密鑰指定的生命周期中，密鑰處于活躍的使用狀態(tài)。燃?xì)獗砻刻觳杉瘉淼挠嬃繑?shù)據(jù)，會使用密鑰進(jìn)行數(shù)據(jù)加解密操作，加密完成后進(jìn)行上報，服務(wù)端進(jìn)行數(shù)據(jù)的解密操作，以此完成數(shù)據(jù)的上行操作。對于下行數(shù)據(jù)，首先服務(wù)端進(jìn)行命令的加密操作，然后設(shè)備端進(jìn)行數(shù)據(jù)的解密操作，完成下行操作。對稱加密使用相同的密鑰信息，非對稱加密使用公私鑰方式進(jìn)行操作。

③ 密鑰分配

密鑰系統(tǒng)的密鑰分發(fā)機(jī)制以顆粒度最小的獨(dú)立個體為單位，密鑰的分配原則是按照設(shè)備區(qū)分，即一臺獨(dú)立的燃?xì)獗沓钟幸惶转?dú)立的密鑰，數(shù)以萬計的燃?xì)獗韺a(chǎn)生數(shù)以萬計套密鑰信息，分配的密鑰信息會持久化存儲在服務(wù)端和燃?xì)獗碓O(shè)備端。

④ 密鑰更新

任何加密的數(shù)據(jù)理論上都有被破解的可能，燃?xì)獗淼纳蠄髷?shù)據(jù)也不例外。加密破解的時間長度決定了數(shù)據(jù)的安全性，在理論范圍內(nèi)需要對密鑰進(jìn)行更新操作，確保即使上一套數(shù)據(jù)在N年的時間內(nèi)被破解，那么下一次破解依然需要逾N年時間，通過周期性的作廢機(jī)制，確保數(shù)據(jù)安全性。

⑤ 密鑰銷毀

在密鑰生命周期即將結(jié)束時，密鑰生命將被銷毀，銷毀后的數(shù)據(jù)存儲備份，用于備查。雖然密鑰被銷毀，但在密鑰整個生命周期中，產(chǎn)生的所有數(shù)據(jù)都將保存到系統(tǒng)中。

⑥ 密鑰存儲

根據(jù)燃?xì)獗淼慕尤肓?，密鑰信息會持久化存儲在數(shù)據(jù)庫中，數(shù)據(jù)庫在查詢時需要分表分庫，掛入的數(shù)據(jù)表越多，查詢的效率就越高。為確保數(shù)以萬計的燃?xì)獗碚＋@取、存取、更新和刪除密鑰信息，密鑰系統(tǒng)根據(jù)設(shè)備號、時間、哈希值進(jìn)行分表分庫，建議使用數(shù)據(jù)庫的讀寫分離、集群和主從復(fù)制的部署方式，通過定時任務(wù)或調(diào)度主動緩存和被動緩存的結(jié)合方式。對于密鑰系統(tǒng)中的熱數(shù)據(jù)，還需要以Key-Value 形式存儲在分布式集群緩存服務(wù)器(例如Redis)中，從而減輕數(shù)據(jù)庫查詢的壓力，提高獲取密鑰信息的有效性和及時性。

5.4 密鑰的生成和其他管理功能

密鑰系統(tǒng)會根據(jù)加密算法的生成規(guī)則，隨機(jī)生產(chǎn)出不重復(fù)的密鑰，確保密鑰的唯一性。密鑰系統(tǒng)還包含其他管理功能，比如權(quán)限、日志、登錄驗(yàn)證等。

5.5 密鑰系統(tǒng)的應(yīng)用場景

智能燃?xì)獗砗推脚_之間，數(shù)據(jù)在設(shè)備采集端進(jìn)行加密，加密完成后進(jìn)行數(shù)據(jù)通信；對燃?xì)獗磉M(jìn)行命令下發(fā)操作時，下發(fā)到表端的數(shù)據(jù)，服務(wù)端會進(jìn)行數(shù)據(jù)的加密操作。系統(tǒng)的核心敏感數(shù)據(jù)加密，例如身份證、手機(jī)號等的加密；對外開放的第三方API接口調(diào)用和認(rèn)證；第三方系統(tǒng)生成密鑰功能。

6 IT運(yùn)維管理

互聯(lián)網(wǎng)新聞中經(jīng)常出現(xiàn)IT業(yè)界網(wǎng)站故障、數(shù)據(jù)丟失的報道，往往用戶規(guī)模越大的互聯(lián)網(wǎng)公司，其影響也越大。雖然外部攻擊影響逐漸降低，內(nèi)部安全策略也逐步提高，但公司內(nèi)部的IT運(yùn)維管理漏洞仍然頻繁出現(xiàn)。在數(shù)據(jù)信息安全事件中，往往跟IT運(yùn)維管理和權(quán)限分配混亂有著很大的關(guān)系，層出不窮的刪庫跑路也時常發(fā)生，服務(wù)器也會因?yàn)槲锢砦募G失導(dǎo)致無法正常對外服務(wù)。IT運(yùn)維人員在權(quán)限足夠的情況下可以進(jìn)行毀滅性的操作，系統(tǒng)跌機(jī)后無法正常打開，影響公司正常的業(yè)務(wù)開展，數(shù)據(jù)恢復(fù)時間加長，數(shù)據(jù)丟失，用戶體驗(yàn)下降，滿意度降低，給公司造成不可估量的損失。

在人才選拔層面上，我們需要判別技術(shù)人員的道德水平和職業(yè)素質(zhì)，同時需要加強(qiáng)職業(yè)素養(yǎng)的培養(yǎng)，提高自我意識，防范于未然。在技術(shù)規(guī)范化管理層面上，對系統(tǒng)的操作權(quán)限進(jìn)行限制和分級，敏感操作必須進(jìn)行雙重命令復(fù)合，某些危險命令有必要刪除或者進(jìn)行改造優(yōu)化，入口權(quán)限采用多人復(fù)合、去中心化的策略，取消研發(fā)人員對數(shù)據(jù)庫的直接訪問權(quán)限，以防止因內(nèi)部運(yùn)維人員因素導(dǎo)致意外的發(fā)生。

隨著時間的推移和系統(tǒng)的升級更新，不管是windows系統(tǒng)還是Linux系統(tǒng)，總會有各種各樣的缺陷和漏洞。全球的黑白客和開發(fā)者，會把系統(tǒng)的漏洞和滲透方法代碼片段公布到論壇和網(wǎng)站，安全技術(shù)人員可以及時關(guān)注這些發(fā)布咨詢，并在現(xiàn)實(shí)系統(tǒng)中去驗(yàn)證和演練，及時為系統(tǒng)打上補(bǔ)丁，修復(fù)系統(tǒng)漏洞，提升操作系統(tǒng)的安全性。