(CWW)日前,WAPI产业联盟召开无线网络安全标准产业市场峰会。会议以“共建合规的安全无线局域网”为主题,邀请业界权威专家、监管机构、市场用户、企业,围绕如何开展高质量安全无线局域网建设、WAPI市场新需求新应用、WAPI新产品新成果新方案、网络安全前沿技术等焦点问题进行分享和研讨。会议得到了工信部电子信息司和科技司、科技部高新司、国家市场监督管理总局标准技术管理司和标准创新管理司、北京市科委中关村管委会的大力支持。这也是今年北京市科技型社会组织惠企服务月的主题活动之一。
(相关资料图)
来自国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、国家信息技术安全研究中心、公安部第三研究所、中国电信研究院、中国电力科学研究院、中国南方电网电力调度控制中心、国家电网山东省电力公司、无线网络安全技术国家工程研究中心、北京信息安全测评中心、北京电力科学研究院、西电捷通公司、北京数字认证股份有限公司、北京智芯微电子科技有限公司、华为技术有限公司、新华三技术有限公司、西安芯语慧联信息科技有限公司、瑞斯康达科技发展股份有限公司、高通无线通信技术(中国)有限公司、北京华信傲天网络技术有限公司、北京邦粹科技有限公司、北京佰才邦技术股份有限公司、北京联盛德微电子有限责任公司、北京三凯威科技有限公司、巷子科技(北京)有限公司、北京至周科技有限公司、山东华辰泰尔信息科技股份有限公司、南京博洛米通信技术有限公司、广州莲雾科技有限公司、联发科技股份有限公司、深圳市智开科技有限公司、深圳市国电科技通信有限公司、瑞晟微电子(苏州)有限公司、北京通明湖信息城发展有限公司、北京瑞斯康达数字科技有限公司、重庆华联众智科技有限公司、上海辰锐信息科技有限公司、北斗弘鹏科技有限公司、江苏图玛信息科技有限公司、河北远东通信系统工程有限公司、哈尔滨工业大学重庆研究院、广电计量检测集团股份有限公司、重庆邮电大学、浙江大学、北京邮电大学、工业和信息化部宽带无线IP标准工作组、ISO/IEC JTC 1/SC 6国内技术对口单位等单位的代表和业界专家参加会议。
图:峰会现场
WAPI成为合规无线局域网建设“必选项”
当下,无线局域网(WLAN)已成为海关、能源、政务、公安、交通、金融等重要行业的信息网络基础设施,应用场景涉及工业互联网、物联网、车联网等。由于这些行业事关千家万户、社会稳定和国家安全,采用符合WAPI国家标准的产品是满足合规性和等级保护要求的“必选项”。
全球无线局域网技术目前已形成相对统一的技术体系,但在安全方面有两条路线:一个是美国主导的Wi-Fi安全技术802.11i,一个是采用国产密码技术的国家标准WAPI(无线局域网鉴别与保密基础架构)。因Wi-Fi安全技术自身存在重大安全缺陷,不法分子可以轻易地破解Wi-Fi密码,继而盗取行业重要敏感数据、非法侵入网络、实施恶意攻击、植入木马等网络攻击活动,对行业网络基础设施和数据资产直接构成重大威胁,直接影响到行业生产、办公的正常运行秩序,其潜在风险被业内视为安全“灰犀牛”。
WAPI是我国自主可控的无线局域网安全技术标准,因其产业成熟度高、不增加采购成本、建设配套条件丰富、能对行业的信息通道安全和数据资产安全形成有效保护,受到用户青睐,已在全国海关信息化系统、电网变电站等智能化电力设施、重要仓储物流管理信息系统、公安重要部位和重大活动智能监控管理系统、城市地下综合管廊等市政工程,北京大兴国际机场、新疆地铁等国家地方重点项目中发挥可管可控可追溯的作用。
2016年起国家连续出台了《网络安全法》《密码法》《标准化法》《商用密码管理条例》《关键信息基础设施安全保护条例》《网络安全等级保护条例》等法律法规,更加明确要采用符合法规、规章和国家标准规定的技术,更加明确网络运营者必须履行网络安全保护义务。“网络产品、服务应当符合相关国家标准的强制性要求”、“发现其网络产品、服务存在安全缺陷…应当立即采取补救措施”、“关基运营者应当使用商用密码进行保护” 等具体规定,让各行业更坚定、更有依据地采用WAPI实现业务无线接入。
据悉,目前更多行业正依据上述法律法规,开展安全专项摸底排查,对存在安全和自主可控隐患的设备督促限期整改,相关厂商的激活(升级)WAPI功能工作正在进行中。由于全球所有WLAN芯片均已支持WAPI,激活功能无需更换现有设备,这对保护现有投资、保障业务正常运行十分有利。
WAPI建设步伐加快
WAPI产业近年来能取得较快发展,也是源于市场的驱动和应用方案的成熟。
据中国南方电网电力调度控制中心通信处主管谢俊毅介绍,南方电网创新提出“综合数据网+WAPI”整体通信方案,WAPI网络作为综合数据网自然延伸,实现变电站、输电管廊等固定场所通信全覆盖,开创无线网络直接进入电网管理信息大区的先河,真正打通“最后一公里”通信。对未来WAPI应用规划南方电网已有明确规划,计划到2023年底,南方电网将建成大量数字生产的示范试点,2025年将完成整体建设,目前正推进WAPI在输变电智能巡检、智慧安监、智慧仓库、二次系统远程运维、实物编码等场景应用,将尽可能多的业务接入WAPI网络。同时,他也提到在应用过程中遇到的新需求、新挑战,例如在低功耗传感器、摄像头等方面,存在旺盛的产品需求,希望借助WAPI产业联盟,实现产业与应用的协同发展。
图:中国南方电网电力调度控制中心通信处主管谢俊毅
中国电力科学研究院信通所研发主管段钧宝表示,随着新型电力系统建设的不断推进,在“源网荷储”场景下各类电力物联终端的无线接入需求呈爆发式增长,迫切需要安全、成熟、稳定的可信WLAN接入技术支撑。WAPI技术作为我国自主研制的无线局域网技术,具有自主性强、安全性高、建设成本低、产业链成熟等优势,是新型电力系统可信WLAN构建的重要技术路线,具有巨大的潜在应用价值。目前,产学研用各方正携手并进,开展WAPI技术在电力复杂电磁环境下的抗干扰能力、终端可靠性验证等工作,并结合电力业务应用场景,形成标准统一、安全可靠、经济高效的无线局域网解决方案。
图:中国电力科学研究院信通所研发主管段钧宝
当下,全国电力行业WAPI应用正在向深度、广度方向发展。据WAPI产业联盟市场总监简练介绍,国家电网烟台供电公司110千伏建昌变电站将SPN(切片分组网)传输和WAPI接入两种新一代自主可控通信技术融合应用,南方电网广东茂名区域仓检储配集成基地项目率先融合运用WAPI通信、自动化技术、物联网技术、虚拟数字孪生等技术。
产业侧,龙芯中科、芯语慧联、联盛德在峰会上联合发布“全国产软硬件平台WAPI证书鉴别服务器(AS)”。该产品具备全国产硬件、全国产操作系统、自主WAPI安全技术等特性,可有效保障用户使用WAPI网络时的规模性、安全性、合规性、稳定性、可溯源性。
芯语慧联发布的《输电线路WAPI网络部署解决方案》,在输电线路上铁塔间通过WAPI技术构建一条多跳无线级联的实时通信无线网络通道,解决了对输电线路的安全运行进行在线实时监测难题。
佰才邦发布的《商业写字楼WAPI+5G新IT解决方案》,解决了用户在传统ICT办公模式下安全性低、网络布设及硬件设备投入成本高、运营成本高等痛点,适用于政务办公、园区、办公楼宇等场景。
最新进展是在2023年第二季度,智芯微、芯语慧联、华辰泰尔、博洛米、东瑞易达、长园共创、广西电网能源科技、上海威锐、智开科技、锐捷网络、皖通邮电、新华三、瑞斯康达、光路科技等公司的WAPI系列产品已经通过了WAPI产业联盟测试。会上,华信傲天、瑞斯康达、新华三、芯语慧联、博洛米、莲雾科技现场展示了新款WAPI产品,引起与会人员浓厚兴趣。
图: WAPI新产品新方案发布现场
提升标准体系质量,加强实施保障
标准化是质量提升的‘牛鼻子’,只有有效发挥标准化对技术产业的基础性、引领性、战略性作用,质量才能提得起来、升得上去,才能抢占行业发展的制高点。
据WAPI产业联盟秘书长、无线网络安全标准化委员会副主任委员张璐璐介绍,采用自主WAPI安全协议的中国无线局域网国家标准,目前已有20多个国家上千家公司采用,最终用户产品型号超过2万个,芯片型号超过500款(累计约250亿颗),标准在其中发挥了重要作用。
通过17年的深化合作,WAPI标准产业共同体履行了标准制定、标准应用、走出去三大使命,构建了规范的标准化工作体系。截至2023年6月,联盟已组织制定(参与制定)并发布(获发布)了169项标准,包括:国际标准21项,欧洲标准3项,国家标准42项,国家军用标准4项,行业标准7项,地方标准1项,团体标准91项。在无线局域网、物联网、有线以太网、无线个域网、电子标签、传感器网络、有线局域网、无线城域网、未来网络、磁域网等领域完成了技术标准的国际超前布局,填补了多项网络基础技术领域的标准空白。无线局域网测试国家标准GB/T 32420—2015《无线局域网测试规范》和国际标准ISO/IEC 9798-3:2019《IT安全技术 实体鉴别 第3部分:采用数字签名技术的机制》,分别荣获了中国标准创新贡献奖三等奖和一等奖。3项联盟团体标准荣获了工信部百项团标应用示范项目。
无线网络安全技术国家工程研究中心副主任黄振海表示,目前WAPI的标准化涉及范围越来越广。随着WAPI产业在重要行业应用的步伐不断加快,关键基础技术、产品、测评技术、网络系统建设、密评等新的标准需求也不断涌现。结合上述,联盟梳理并细化了无线局域网综合标准化技术体系,目前已从“总体与共性、基础技术、组网技术、网络管理技术、产品与解决方案、测试评价、创新应用”七个方面加强了规划和实施,实现以标准牵引技术成果转移转化、服务产业应用。
图:WAPI标准体系
据谢俊毅介绍,南方电网以标准规范应用建设,已发布了《南方电网WAPI无线局域网技术规范》《南方电网WAPI无线局域网综合管理系统技术规范》《南方电网WAPI无线局域网接入控制器北向接口技术规范》《南方电网WAPI无线局域网设备测试规范》《南方电网变电站WAPI无线局域网典型设计规范》《南方电网WAPI无线局域网工程测试规范》《南方电网WAPI无线局域网运行管理指导意见》等多项企业标准,全方位覆盖设备选型、网络建设、运行管理。目前正在积极推动WAPI相关技术要求纳入电力无线宽带接入网设备行业标准。
结合前期行业WAPI建设,黄振海也指出,目前部分领域尚存在对网络安全技术及产品认识不足,应用层面和标准合规性体系衔接不够,以“简单”系统测试环境代替全面的产品测试,导致不合规产品流入行业网络等问题,呼吁市场用户和厂商予以高度重视,并充分发挥标准对产业和市场的规范作用。他建议,要进一步完善标准体系,提升标准质量,加强新技术供给;在设计、施工、验收各环节,建立标准和工具保障手段,推进设计勘察工具、验收检查工具等在行业网络工程施工过程中的应用;产学研用各方要以协同的大格局推动生态合作共赢等等。
依标检测,把好产品质量关
国家无线电监测中心检测中心移动通信事业部主任尹玉昂表示,验证送检设备的WAPI功能是否满足GB 15629系列、GB/T 32420-2015等国家强制性标准,直接关系到无线电设备的合规性和可靠性,随着WAPI大规模市场应用,依标严格检测已成为产品投入市场前的重要保障。2006年起,在型号核准认证检测过程中,检测中心作为主要检测实验室,年均检测任务已超过500个。
图:国家无线电监测中心检测中心移动通信事业部主任尹玉昂
张璐璐在《依标检测,共建合规的安全无线局域网》主题报告中介绍,“依据标准严格测试”是保障网络安全的基础和关键,WAPI标准符合性测试须由专业机构使用专业的WAPI协议检测系统实施。简化测试项目不可取,易出现互联互通故障。目前个别机构使用未经测试能力比对的检测系统,自行搭建简易环境开展测试,仅能测试网络是否连接成功,无法保证检测结果的准确性、一致性和可靠性,也无法从协议层面去验证产品的标准符合性、健壮性。这种低质量的产品一旦流入市场,会给网络质量和用户带来巨大的安全隐患。
图:WAPI产业联盟秘书长张璐璐
据介绍, WAPI产业联盟测试实验室持续研发《无线局域网鉴别与保密基础结构(WAPI)功能测试项目》总计 300余项,通过了上述测试的WAPI产品,具有良好的标准符合性、互通性和兼容性,能有效保障价值链中所有参与者的利益。通过严格测试的产品意味着更低的故障率、更低的运维成本、更好的用户体验。2022年联盟还围绕市场用户对WAPI产品和网络的全方位精细化测评需求,发布了《安全无线局域网测评解决方案》,重点解决“测评标准创制、测评工具开发与服务、机构测评能力建设与服务”三方面问题,覆盖“WAPI产品选型、设计、施工、验收、监督检查”全过程。
为保障各机构检测结果的准确性、一致性、可靠性,自2019年起联盟还持续为检测机构提供产业公益性质的WAPI检测系统比对服务,并定期发布名单。目前,与联盟实验室完成至少一次比对的检测机构包括:国家无线电监测中心检测中心、上海无委无线电检测实验室有限公司、工业和信息化部电子第五研究所、辽宁信鼎检测认证有限公司、江苏省电子信息产品质量监督检验研究院。
国家信息技术安全研究中心总工程师王宏表示,WAPI产业联盟已具备强大的标准研制能力体系、丰富的产业链供应链生态体系、专业的产品功能性能检测体系、先进的产品系统检测装备体系,并围绕共建合规安全无线局域网的目标,为产业和市场提供了高效优质的公共技术支撑与服务。当前,WAPI产业和市场正处于蓬勃发展阶段,可进一步发挥联盟社会组织的独特作用,探索“开放”“众包”“共享”等WLAN安全测评创新方式,推动多测众测和检测能力验证协同发展的产业生态,打造WLAN安全测评能力的“朋友圈”“共同体”。
图:国家信息技术安全研究中心总工程师王宏
产学研用倡议:共建合规的安全无线局域网
图:现场发布《共建合规的安全无线局域网倡议书》
当前网络安全威胁和风险日益突出,能源、电力、通信、交通、金融等领域是经济社会运行的神经中枢,也是网络安全防护的重中之重。业界一致认为,新形势形式下,政产学研用更要携手创新,共建合规的安全无线局域网。
围绕如何 “共建合规的安全无线局域网”,联盟携手工业和信息化部宽带无线IP标准工作组以及百余家成员单位联合发出倡议:第一、行业、管理机构和企业共同履行责任,依法依标,共建合规的安全无线局域网,筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施安全防护。第二、WAPI标准产业共同体发挥协同创新作用,提升无线网络安全标准体系质量,加强实施保障。第三、企业围绕市场需求,推出满足能源、交通、水利、金融、公共服务、电子政务、公共通信、信息服务等行业和领域需求的WAPI物联网、WAPI移动互联网、WAPI社会化网络等综合解决方案。第四、依标合规检测,把好WAPI网络建设和服务质量关。第五、持续提升网络和信息安全意识。从本机构/本人做起,从“规范使用正规技术术语、行业用语”做起,与国家产业政策保持一致。