基于商用密碼技術(shù)的鐵路行業(yè) 統(tǒng)計(jì)調(diào)查系統(tǒng)安全研究*

陸 鋮

（國家鐵路局信息中心，北京 100891）

0 引 言

近年來，我國鐵路建設(shè)迅猛發(fā)展，在時(shí)速、里程和創(chuàng)新技術(shù)應(yīng)用等方面成果顯著。截至2020年底，我國高鐵運(yùn)營里程已居于世界首位[1]，全國鐵路營業(yè)里程14.63萬公里，其中高鐵3.8萬公里，中西部地區(qū)鐵路營業(yè)里程9萬公里。伴隨著鐵路建設(shè)步伐的加快，鐵路運(yùn)營里程的持續(xù)增加，相應(yīng)的鐵路監(jiān)管范圍也在不斷擴(kuò)大，鐵路安全生產(chǎn)監(jiān)督管理任務(wù)日益繁重。

隨著鐵路行業(yè)監(jiān)督管理部門履職工作的不斷深入，運(yùn)用信息化手段監(jiān)測分析鐵路運(yùn)行情況，開展鐵路行業(yè)統(tǒng)計(jì)工作，迫切需要掌握更加全面、及時(shí)、準(zhǔn)確、科學(xué)的鐵路行業(yè)總體情況，對相關(guān)統(tǒng)計(jì)數(shù)據(jù)的質(zhì)量、數(shù)據(jù)統(tǒng)計(jì)能力、數(shù)據(jù)分析預(yù)測能力、更加多樣化的數(shù)據(jù)展現(xiàn)和發(fā)布提出更高的要求。因此，鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)應(yīng)運(yùn)而生。同時(shí)，面對巨大的鐵路行業(yè)統(tǒng)計(jì)信息量及嚴(yán)峻的信息安全形勢，急需相應(yīng)的信息安全技術(shù)來支撐行業(yè)監(jiān)管部門深化履職，實(shí)現(xiàn)鐵路監(jiān)督核心業(yè)務(wù)一體化和網(wǎng)絡(luò)化的管理[2]。

在鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的建設(shè)實(shí)施過程中，數(shù)據(jù)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全問題日益凸顯，對用戶重要信息的機(jī)密性保護(hù)和用戶身份安全認(rèn)證等方面的需求愈發(fā)迫切?；谏逃妹艽a技術(shù)的產(chǎn)品和服務(wù)是實(shí)現(xiàn)信息安全的重要手段，可以實(shí)現(xiàn)重要敏感信息的真實(shí)性、機(jī)密性、完整性和不可否認(rèn)性等功能[3]。為進(jìn)一步提升鐵路安全監(jiān)管科技水平，實(shí)現(xiàn)鐵路行業(yè)統(tǒng)計(jì)調(diào)查工作統(tǒng)一化、規(guī)范化、現(xiàn)代化，提高部門統(tǒng)計(jì)能力和工作水平，優(yōu)化鐵路統(tǒng)計(jì)信息共享和業(yè)務(wù)協(xié)同，提供有力的安全技術(shù)保障。

1 鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)安全需求分析

鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)是為了支撐鐵路行業(yè)監(jiān)督管理部門履行鐵路行業(yè)統(tǒng)計(jì)的職責(zé)，運(yùn)用信息化技術(shù)手段，實(shí)現(xiàn)政府部門以及鐵路統(tǒng)計(jì)對象之間的統(tǒng)計(jì)調(diào)查數(shù)據(jù)互聯(lián)互通和信息共享，支撐鐵路行業(yè)統(tǒng)計(jì)調(diào)查核心業(yè)務(wù)的信息系統(tǒng)。

1.1 系統(tǒng)體系架構(gòu)

鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)框架上采用“五橫兩縱”的體系架構(gòu)，結(jié)合國家政務(wù)信息化建設(shè)的要求，橫向上考慮了信息服務(wù)邏輯層次的劃分，縱向上考慮了該系統(tǒng)在管理保障體系和安全防護(hù)系統(tǒng)的需要，既保證了架構(gòu)的安全性，又兼顧了應(yīng)用功能的靈活擴(kuò)展，系統(tǒng)總體架構(gòu)如圖1所示。通過基礎(chǔ)設(shè)施層、數(shù)據(jù)層、應(yīng)用支撐層、應(yīng)用層、展現(xiàn)層的劃分對系統(tǒng)進(jìn)行運(yùn)營維護(hù)管理。采用身份鑒別、數(shù)據(jù)備份、網(wǎng)絡(luò)監(jiān)控、病毒防范、入侵檢測、漏洞掃描、訪問控制、密碼應(yīng)用技術(shù)對系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù)。

圖1 系統(tǒng)總體架構(gòu)

1.2 承載業(yè)務(wù)情況

鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)具備鐵路行業(yè)安全、固定資產(chǎn)、能源消耗、設(shè)備制造、客貨運(yùn)量、運(yùn)輸設(shè)備等信息數(shù)據(jù)為基礎(chǔ)的統(tǒng)計(jì)分析能力，包括安全統(tǒng)計(jì)調(diào)查、固定資產(chǎn)統(tǒng)計(jì)調(diào)查、能源消耗統(tǒng)計(jì)調(diào)查、客貨運(yùn)量（含電子商務(wù)）統(tǒng)計(jì)調(diào)查、運(yùn)輸企業(yè)財(cái)務(wù)統(tǒng)計(jì)調(diào)查、運(yùn)輸設(shè)備統(tǒng)計(jì)調(diào)查、統(tǒng)計(jì)數(shù)據(jù)分析等業(yè)務(wù)應(yīng)用功能模塊。

1.3 安全需求分析

按照鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)總體架構(gòu)，結(jié)合承載業(yè)務(wù)情況，該系統(tǒng)不能只服務(wù)于鐵路行業(yè)監(jiān)督管理部門，還需要考慮其他政府機(jī)構(gòu)、鐵路行業(yè)企業(yè)、社會公眾甚至國際合作獲取信息的安全需求。在相關(guān)網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)交換，并且通過資源整合，形成鐵路行業(yè)統(tǒng)計(jì)調(diào)查分析的數(shù)據(jù)倉庫。運(yùn)用大數(shù)據(jù)的理念挖掘數(shù)據(jù)的潛在價(jià)值，建立業(yè)務(wù)、信息、數(shù)據(jù)三者之間的關(guān)聯(lián)，分析辨別可理解的信息模式，為監(jiān)管業(yè)務(wù)和行業(yè)統(tǒng)計(jì)分析提供決策支持依據(jù)。

根據(jù)國家等級保護(hù)和信息系統(tǒng)密碼應(yīng)用基本要求，從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)、安全管理等方面，采用商用密碼技術(shù)及產(chǎn)品，構(gòu)建密碼保障體系，建立基于商用密碼的信息系統(tǒng)，實(shí)現(xiàn)商用密碼的實(shí)際應(yīng)用，為有效提高鐵路行業(yè)信息共享的安全性、完整性和不可否認(rèn)性，提升鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的信息安全奠定了堅(jiān)實(shí)基礎(chǔ)。

2 商用密碼技術(shù)

商用密碼是指采用特定變換的方法對不屬于國家秘密的信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)[4]。商用密碼技術(shù)是商用密碼的核心，是信息化時(shí)代社會團(tuán)體、組織、企事業(yè)單位和個(gè)人用于保護(hù)自身權(quán)益的重要工具。

2.1 數(shù)據(jù)加密原理

數(shù)據(jù)加密原理是利用密碼技術(shù)對信息進(jìn)行加密，實(shí)現(xiàn)信息隱蔽，從而起到保護(hù)信息安全的作用。目前，常用方法有以下3種。

（1）數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)是保障計(jì)算機(jī)網(wǎng)絡(luò)通信安全的重要技術(shù)手段和防護(hù)策略，利用數(shù)據(jù)加密技術(shù)可以有效地確保數(shù)據(jù)的完整性和保密性，提高信息的安全系數(shù)[5]。通過加密算法和密鑰將明文轉(zhuǎn)變?yōu)槊芪?，而解密則是通過解密算法和密鑰將密文恢復(fù)為明文。目前，此技術(shù)被廣泛運(yùn)用于網(wǎng)絡(luò)通信、數(shù)據(jù)安全存儲之中，成為當(dāng)前對數(shù)據(jù)進(jìn)行有效保護(hù)的重要手段之一。

（2）數(shù)字簽名。數(shù)字簽名技術(shù)是公開密鑰加密技術(shù)和雜湊函數(shù)相結(jié)合的產(chǎn)物。其原理是將要傳送的明文通過雜湊函數(shù)運(yùn)算轉(zhuǎn)換成報(bào)文摘要，報(bào)文摘要加密后與明文一起傳給接收方，接收方將接收的明文再次計(jì)算報(bào)文摘要，將其與發(fā)送方的數(shù)字簽名解密結(jié)果進(jìn)行比較，結(jié)果一致說明明文未改動，如果不一致則表示明文已被篡改[6]。

（3）密碼雜湊算法。此算法也稱為消息摘要或哈希算法，是把任意長度的數(shù)據(jù)輸入，通過散列算法變換成固定長度的輸出，該輸出就是消息摘要。這種轉(zhuǎn)換是一種有損壓縮，消息摘要的數(shù)據(jù)長度通常遠(yuǎn)小于輸入的數(shù)據(jù)長度[7]。

2.2 密碼算法及比較

密鑰是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)。根據(jù)密鑰類型不同，現(xiàn)代密碼技術(shù)分為對稱密鑰算法和公開密鑰（非對稱）密碼算法[8]。

（1）對稱加密算法。該算法加解密都采用相同的密鑰，信息傳輸雙方需要獲取該密鑰進(jìn)行加解密操作。此算法運(yùn)算速度快，但是密鑰的分發(fā)和管理非常復(fù)雜，且不能實(shí)現(xiàn)數(shù)字簽名。

（2）非對稱密碼算法。該算法加密（公鑰）和解密（私鑰）采用不同的密鑰，可用于數(shù)字簽名，打破了對稱密碼技術(shù)加解密必須使用相同密鑰的限制，很好地解決了對稱密碼算法中存在的密鑰管理難題，保障信息數(shù)據(jù)的完整性和不可否認(rèn)性，但其密碼運(yùn)算速度卻比對稱密碼算法慢。

（3）混合加密算法。在實(shí)際應(yīng)用中，結(jié)合上述密碼算法各自的優(yōu)點(diǎn)，用對稱密碼算法加密信息數(shù)據(jù)，用非對稱密碼算法加密所使用的對稱密鑰，此算法就是混合加密系統(tǒng)，如數(shù)字信封加密（Digital Envelope）技術(shù)。它既解決了密鑰分發(fā)管理問題，也改善了運(yùn)算速度。

3 鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)密碼保障體系研究

通過對鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的安全分析，運(yùn)用密碼應(yīng)用技術(shù)，構(gòu)建符合系統(tǒng)實(shí)際情況的密碼安全保障架構(gòu)。

3.1 安全風(fēng)險(xiǎn)分析

依據(jù)信息系統(tǒng)密碼應(yīng)用基本要求，從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全管理等方面對鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的密碼安全進(jìn)行風(fēng)險(xiǎn)分析[9]。

（1）物理和環(huán)境安全。該系統(tǒng)所在機(jī)房使用指紋和人臉識別等生物特征方式對進(jìn)入機(jī)房的人員進(jìn)行身份鑒別，但未使用密碼技術(shù)。存在非授權(quán)人員進(jìn)入物理環(huán)境，對軟硬件設(shè)備和數(shù)據(jù)進(jìn)行直接破壞的風(fēng)險(xiǎn)。

（2）網(wǎng)絡(luò)和通信安全。本系統(tǒng)與鐵路行業(yè)企業(yè)用戶的終端之間使用公共互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸，通信時(shí)通過超文本傳輸安全協(xié)議（Hyper Text Transfer Protocol over SecureSocket Layer，HTTPS）進(jìn)行傳輸加密和身份認(rèn)證，保證傳輸過程的安全性[10]。但未使用國產(chǎn)商用密碼技術(shù)對數(shù)據(jù)傳輸通道進(jìn)行機(jī)密性和完整性保護(hù)，存在非法設(shè)備從外部接入內(nèi)部網(wǎng)絡(luò)，通信數(shù)據(jù)面臨被非授權(quán)竊取、篡改的風(fēng)險(xiǎn)。

（3）設(shè)備和計(jì)算安全。本系統(tǒng)應(yīng)用服務(wù)器中所有重要程序或文件在生成時(shí)，未使用密碼技術(shù)進(jìn)行完整性保護(hù)，在使用或讀取這些程序和文件時(shí)，未對其進(jìn)行完整性校驗(yàn)，存在重要程序或文件被非授權(quán)篡改、來源不可信的風(fēng)險(xiǎn)。

（4）應(yīng)用和數(shù)據(jù)安全。本系統(tǒng)應(yīng)用日志記錄明文存儲在應(yīng)用服務(wù)器中，未使用密碼技術(shù)進(jìn)行完整性保護(hù)，存在應(yīng)用日志記錄被非授權(quán)篡改的風(fēng)險(xiǎn)。同時(shí)，流轉(zhuǎn)的統(tǒng)計(jì)調(diào)查數(shù)據(jù)均未使用密碼技術(shù)進(jìn)行操作不可否認(rèn)性保護(hù)，存在數(shù)據(jù)發(fā)送者或接收者不承認(rèn)發(fā)送或接收到的數(shù)據(jù)，或者否認(rèn)所做的操作風(fēng)險(xiǎn)。

（5）安全管理。本系統(tǒng)為已建試運(yùn)行系統(tǒng)，在系統(tǒng)上線前和試運(yùn)行期間，均未開展過密碼應(yīng)用安全性評估，未制定密碼相關(guān)管理制度，沒有充分發(fā)揮密碼技術(shù)在信息系統(tǒng)安全中的基礎(chǔ)支撐作用。

3.2 密碼安全保障架構(gòu)

根據(jù)鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的部署方式和實(shí)現(xiàn)業(yè)務(wù)功能，在滿足總體性、完備性、經(jīng)濟(jì)實(shí)用性的基礎(chǔ)上，按統(tǒng)一規(guī)劃分步實(shí)施的原則，結(jié)合鐵路行業(yè)監(jiān)督管理部門實(shí)際情況，設(shè)計(jì)密碼安全保障架構(gòu)。

依據(jù)國家標(biāo)準(zhǔn)GB/T 39786—2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》，構(gòu)建鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的密碼安全保障架構(gòu)，系統(tǒng)密碼應(yīng)用技術(shù)架構(gòu)如圖2所示。

圖2 系統(tǒng)密碼應(yīng)用技術(shù)架構(gòu)

通過部署服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器、USBKey、SSL VPN安全網(wǎng)關(guān)等密碼產(chǎn)品，并正確部署配置，以符合國家商用密碼應(yīng)用安全合規(guī)性要求。采用密碼計(jì)算、身份認(rèn)證、證書認(rèn)證等密碼服務(wù)技術(shù)，保障鐵路企業(yè)用戶和政務(wù)辦公用戶通過安全接入?yún)^(qū)訪問應(yīng)用系統(tǒng)，系統(tǒng)管理用戶通過安全管理區(qū)對系統(tǒng)及密碼功能進(jìn)行管理維護(hù)。

（1）服務(wù)器密碼機(jī)。提供多種國產(chǎn)商用密碼算法，為信息安全傳輸系統(tǒng)提供高性能的數(shù)據(jù)加解密服務(wù)，作為主機(jī)數(shù)據(jù)安全存儲系統(tǒng)、身份認(rèn)證系統(tǒng)的主要密碼設(shè)備和核心構(gòu)件，保證信息數(shù)據(jù)的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

（2）簽名驗(yàn)簽服務(wù)器。提供基于證書認(rèn)證服務(wù)的數(shù)字簽名、驗(yàn)證簽名等運(yùn)算功能，保證用戶身份的真實(shí)性、完整性和關(guān)鍵操作的不可否認(rèn)性。

（3）USBKey。主要提供簽名驗(yàn)簽、雜湊等密碼運(yùn)算服務(wù)，對信息數(shù)據(jù)的完整性、真實(shí)性和不可否認(rèn)性進(jìn)行保護(hù)，同時(shí)提供一定的存儲空間，用于存放數(shù)字證書等用戶數(shù)據(jù)。身份鑒別Key中存放標(biāo)識用戶身份的數(shù)字證書，主要用于對用戶身份真實(shí)性的鑒別。

（4）SSL VPN安全網(wǎng)關(guān)。采用SSL協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)，通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問，進(jìn)行加密通信。

4 鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)密碼安全保障措施

通過運(yùn)用各類符合國家標(biāo)準(zhǔn)的商用密碼應(yīng)用技術(shù)和產(chǎn)品，來確保鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的信息安全，是行之有效的安全保障措施。

4.1 密碼安全保障措施

依據(jù)信息系統(tǒng)密碼應(yīng)用基本要求，根據(jù)系統(tǒng)安全風(fēng)險(xiǎn)分析，從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全管理等方面，降低或規(guī)避鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的各類風(fēng)險(xiǎn)點(diǎn)。具體的商用密碼應(yīng)用技術(shù)和產(chǎn)品的部署位置如圖3所示。通過在環(huán)境監(jiān)控區(qū)、安全管理區(qū)、電子政務(wù)區(qū)、終端接入?yún)^(qū)部署服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器、USBKey、SSL VPN安全網(wǎng)關(guān)等密碼產(chǎn)品，建立系統(tǒng)密碼安全保障體系，具體措施如下。

圖3 商用密碼應(yīng)用技術(shù)和產(chǎn)品部署

（1）物理和環(huán)境安全。本系統(tǒng)所在機(jī)房電子門禁采用滿足國家相關(guān)標(biāo)準(zhǔn)的產(chǎn)品，并須具有商用密碼產(chǎn)品型號[11]，基于SM4算法實(shí)現(xiàn)進(jìn)出人員一卡一密身份鑒別。同時(shí)，電子門禁后臺管理系統(tǒng)人員進(jìn)出記錄及視頻監(jiān)控記錄采用哈希運(yùn)算消息認(rèn)證碼（Hash-based Message Authentication Code，HMAC）計(jì)算保護(hù)其完整性。

（2）網(wǎng)絡(luò)和通信安全。本系統(tǒng)使用的通信產(chǎn)品為基于商用密碼的安全套接層（Secure Sockets Layer，SSL）傳輸協(xié)議類虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）。同時(shí)，保障遠(yuǎn)程通信過程中數(shù)據(jù)和資源訪問控制信息的完整性。

（3）設(shè)備和計(jì)算安全。在本系統(tǒng)部署的應(yīng)用服務(wù)器中，可實(shí)現(xiàn)對所有重要程序或文件、訪問控制信息、敏感標(biāo)記信息的完整性保護(hù)，即在使用合規(guī)的密碼產(chǎn)品生成HMAC數(shù)據(jù)進(jìn)行使用時(shí)，校驗(yàn)HMAC值。

（4）應(yīng)用和數(shù)據(jù)安全。本系統(tǒng)應(yīng)用服務(wù)使用通過檢測認(rèn)證的服務(wù)器密碼機(jī)對關(guān)鍵日志記錄進(jìn)行完整性保護(hù)。用戶終端使用核準(zhǔn)的軟件密碼模塊對重要數(shù)據(jù)的存儲進(jìn)行完整性保護(hù)，服務(wù)器端使用核準(zhǔn)的服務(wù)器密碼機(jī)進(jìn)行數(shù)據(jù)加密后存儲于數(shù)據(jù)庫中。

（5）安全管理。建立獨(dú)立的密碼安全管理制度，在管理制度中明確密碼人員相關(guān)崗位要求、崗位責(zé)任、培訓(xùn)制度、人員管理制度、考核制度等。

4.2 安全提升效果

采用商用密碼技術(shù)對鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)進(jìn)行安全保障，借助網(wǎng)絡(luò)安全監(jiān)控設(shè)備記錄相同時(shí)間內(nèi)系統(tǒng)產(chǎn)生的安全事件。以該系統(tǒng)一周內(nèi)的安全事件統(tǒng)計(jì)數(shù)據(jù)為例，能夠發(fā)現(xiàn)使用商用密碼應(yīng)用后系統(tǒng)中產(chǎn)生的安全事件顯著減少，其中感染性病毒、非法下載均下降為0件，入侵漏洞掃描、服務(wù)器信息泄露分別減少至12件和6件，如表1所示。證明采用商用密碼技術(shù)能夠基本防止類似網(wǎng)絡(luò)信息安全事件的發(fā)生，有效提升鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的安全防御能力。

表1 鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)安全事件統(tǒng)計(jì)情況

5 結(jié) 論

根據(jù)鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的總體架構(gòu)和承載業(yè)務(wù)情況，詳細(xì)分析系統(tǒng)的信息安全需求。依據(jù)信息系統(tǒng)密碼應(yīng)用基本要求，結(jié)合商用密碼技術(shù)，從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全管理等方面對鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的密碼安全進(jìn)行風(fēng)險(xiǎn)分析。

根據(jù)鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)的部署方式和實(shí)現(xiàn)業(yè)務(wù)功能，在滿足總體性、完備性、經(jīng)濟(jì)實(shí)用性的基礎(chǔ)上，充分發(fā)揮密碼在系統(tǒng)資源訪問控制、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、訪問控制、安全審計(jì)等方面的支撐作用，設(shè)計(jì)構(gòu)建系統(tǒng)密碼安全保障架構(gòu)，提出對應(yīng)的保障措施。

鐵路行業(yè)統(tǒng)計(jì)調(diào)查系統(tǒng)經(jīng)過商用密碼國密算法、技術(shù)和產(chǎn)品的應(yīng)用后，信息安全防護(hù)能力得到有效提升。下一步，我們將繼續(xù)完善安全管理規(guī)定中密碼應(yīng)用管理制度，優(yōu)化密碼應(yīng)用安全保障體系，確保系統(tǒng)的數(shù)據(jù)和信息安全。同時(shí)，也對鐵路行業(yè)監(jiān)督管理部門其他政務(wù)信息系統(tǒng)后續(xù)開展商用密碼技術(shù)工作起到了示范作用。