作為國內(nèi)最大的成品油和石化產(chǎn)品供應(yīng)商、第二大油氣生產(chǎn)商、世界第一大煉油公司、加油站總數(shù)位居世界第二,中國石油化工集團有限公司(簡稱:中國石化)不僅是我國重要的能源基礎(chǔ)設(shè)施運營商,也是我國國民經(jīng)濟的重要支柱,在國家大型能源建設(shè)領(lǐng)域占據(jù)支配地位。
隨著數(shù)字化時代網(wǎng)絡(luò)安全問題的日益凸顯,以及國家《密碼法》、《商用密碼管理條例》等相關(guān)政策的頒布實施,用密碼技術(shù)保障能源基礎(chǔ)設(shè)施安全,成為能源產(chǎn)業(yè)提高網(wǎng)絡(luò)安全防護、保障國家經(jīng)濟穩(wěn)定運行的重要舉措。
為了滿足國家對商用密碼應(yīng)用的安全管理要求,也為了化解數(shù)字化時代傳統(tǒng)密碼應(yīng)用所面臨的復(fù)雜化、標(biāo)準(zhǔn)化、合規(guī)性等挑戰(zhàn),中國石化率先啟動統(tǒng)一密碼服務(wù)平臺建設(shè),為集團及下屬100多家子公司業(yè)務(wù)順利開展提供扎實的密碼基礎(chǔ)支撐。
破解傳統(tǒng)密碼應(yīng)用“三大痛點”
早在2008年,中國石化就開始基于財務(wù)系統(tǒng)、招投標(biāo)、加油站支付等數(shù)十種業(yè)務(wù)系統(tǒng),引進配套的密碼技術(shù),比如身份認(rèn)證、加密機、電子簽章、一些組件的密碼安全軟模塊等,以實現(xiàn)密碼安全服務(wù)。
隨著數(shù)字化轉(zhuǎn)型的深入推進,云計算、大數(shù)據(jù)、人工智能等新興技術(shù)蓬勃發(fā)展,傳統(tǒng)密碼應(yīng)用方式與密碼服務(wù)方式開始面臨諸多挑戰(zhàn)。
密碼應(yīng)用碎片化
以往各業(yè)務(wù)系統(tǒng)都由集團各部門或集團下屬子公司分散建設(shè),因此密碼設(shè)施資源分散在各部門、各子公司的各業(yè)務(wù)系統(tǒng)上,導(dǎo)致密碼應(yīng)用碎片化,密碼應(yīng)用體系極其繁雜,缺乏統(tǒng)一管理,不但用戶體驗不佳,也不可避免地產(chǎn)生密碼基礎(chǔ)設(shè)施重復(fù)建設(shè)問題,增加了投資成本。
密碼應(yīng)用不規(guī)范
過去,中國石化采用了不少國外廠商的技術(shù)/產(chǎn)品,比如SAP的ERP、Oracle的數(shù)據(jù)庫等,因此配套的密碼應(yīng)用也采用了國際密碼算法。隨著國家《密碼法》的頒布實施,以及國家對信創(chuàng)產(chǎn)業(yè)的推進,密碼應(yīng)用必須要支持國產(chǎn)密碼算法。
密碼標(biāo)準(zhǔn)不統(tǒng)一
中國石化的密碼產(chǎn)品種類繁多,分別由不同密碼產(chǎn)品供應(yīng)商提供。由于密碼產(chǎn)品供應(yīng)商之間往往存在技術(shù)壁壘,不同密碼產(chǎn)品的技術(shù)標(biāo)準(zhǔn)可能會不統(tǒng)一;密碼應(yīng)用之間缺乏統(tǒng)一的接口和規(guī)格標(biāo)準(zhǔn),兼容性差。
在國家政策和技術(shù)潮流的雙重推進下,統(tǒng)一密碼服務(wù)體系建設(shè)迫在眉睫。經(jīng)過籌備規(guī)劃后,中國石化最終選擇與北京數(shù)字認(rèn)證股份有限公司(簡稱:數(shù)字認(rèn)證)合作建設(shè)統(tǒng)一密碼服務(wù)平臺。
數(shù)字認(rèn)證作為國家網(wǎng)絡(luò)安全產(chǎn)業(yè)主力軍,多年以來一直以密碼技術(shù)為核心驅(qū)動,為政務(wù)、醫(yī)療、金融、教育、交通、電信、企業(yè)等數(shù)十個行業(yè)提供安全、可靠的網(wǎng)絡(luò)信任與數(shù)字安全服務(wù)。基于密碼技術(shù),數(shù)字認(rèn)證研發(fā)創(chuàng)新電子簽名、電子合同、統(tǒng)一密碼服務(wù)平臺等可信基礎(chǔ)設(shè)施,解決企業(yè)在身份認(rèn)證、加密保護、信任傳遞等方面的業(yè)務(wù)需求,幫助企業(yè)降本增效,加快數(shù)字化轉(zhuǎn)型。
重建密碼服務(wù)能力
密碼服務(wù)平臺是中國石化統(tǒng)一密碼服務(wù)體系的核心。按照規(guī)劃,通過密碼服務(wù)平臺,中國石化可以將分散的、缺乏應(yīng)用規(guī)范、密碼標(biāo)準(zhǔn)不統(tǒng)一的各類密碼資源和密碼業(yè)務(wù)應(yīng)用進行有效整合,并通過服務(wù)的方式面向中國石化各級業(yè)務(wù)應(yīng)用,提供統(tǒng)一的、標(biāo)準(zhǔn)的、可監(jiān)控、可計量的綜合密碼服務(wù)。
然而,中國石化集團規(guī)模龐大,下屬企業(yè)近百家,加油站超3萬座,要建設(shè)統(tǒng)一密碼服務(wù)平臺,可想而知,會是多么龐大而復(fù)雜的系統(tǒng)工程。
談到統(tǒng)一密碼服務(wù)平臺建設(shè)的關(guān)鍵,石化盈科基礎(chǔ)安全組負(fù)責(zé)人趙鵬表示,密碼服務(wù)管理很重要,但技術(shù)才是核心。數(shù)字認(rèn)證統(tǒng)一密碼服務(wù)平臺在設(shè)計時充分考慮了先進性、合規(guī)性、服務(wù)組件化、兼容性、平臺雙活等特點。
技術(shù)先進性
在技術(shù)先進性層面,統(tǒng)一密碼服務(wù)平臺采用中臺化架構(gòu),可以將密碼作為一種能力輸出,支撐中國石化各級單位的業(yè)務(wù)系統(tǒng)快速完成密碼應(yīng)用改造;平臺也采用微服務(wù)架構(gòu),具備高可擴展性,通過統(tǒng)一的API服務(wù)網(wǎng)關(guān)可快速掛載各類密碼安全服務(wù),進行平滑的擴展密碼服務(wù)種類。
平臺雙活
在平臺雙活層面,中國石化的北京中心和南京中心采用異地雙活策略部署,確保密服平臺的穩(wěn)定性和密鑰的安全性;正常情況下,兩個中心各自提供密碼支撐服務(wù),相互之間不會跨區(qū)調(diào)用;當(dāng)某一個中心出現(xiàn)異常時,另一個中心可快速接管,保障業(yè)務(wù)不受影響。
支持國產(chǎn)密碼算法
在支持國產(chǎn)密碼算法層面,原國外廠商會開放一些相應(yīng)的密碼應(yīng)用前端接口,數(shù)字認(rèn)證提供基于國產(chǎn)密碼算法的密碼安全產(chǎn)品進行適配和補丁升級,以實現(xiàn)原系統(tǒng)中的國產(chǎn)密碼算法安全應(yīng)用。后端關(guān)于國產(chǎn)密碼密鑰的分發(fā)、密鑰管理等,必須要接入密碼服務(wù)平臺,最終實現(xiàn)對國產(chǎn)密碼算法的支持。
在具體的項目實施上,趙鵬介紹說,統(tǒng)一密碼服務(wù)平臺遵循“統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一運維”的建設(shè)思路,整個項目實施主要分兩步走。
第一步,實現(xiàn)集團總部層面的一些密碼應(yīng)用的統(tǒng)管統(tǒng)建。主要是針對幾大數(shù)據(jù)中心里面的應(yīng)用來推廣密碼服務(wù)平臺,比如北京沙河的、南京江寧的、新疆烏魯木齊的數(shù)據(jù)中心。
第二步,在總部的密碼服務(wù)平臺部署完成后,再針對中國石化集團區(qū)域中心、下屬企業(yè)和分公司自建的應(yīng)用系統(tǒng),推廣密碼服務(wù)平臺。
降本增效
全面賦能集團數(shù)字化轉(zhuǎn)型
經(jīng)過一年多的實施,2020年底,中國石化統(tǒng)一密碼服務(wù)平臺正式上線。如今,集團層面的關(guān)鍵業(yè)務(wù)操作都依托于密碼服務(wù)平臺來保障安全。
比如電子招投標(biāo)業(yè)務(wù)的應(yīng)用。在發(fā)標(biāo)、投標(biāo)、開標(biāo)、評標(biāo)、定標(biāo)等各個環(huán)節(jié)中,密碼服務(wù)平臺提供了用戶身份認(rèn)證、電子簽名&簽章、電子標(biāo)書加解密等服務(wù),確保主體身份真實可信,招標(biāo)全流程數(shù)據(jù)真實、完整、防篡改、防偽造,從而打破時空限制,為實現(xiàn)隨時隨地、安全合規(guī)的電子招投標(biāo)業(yè)務(wù)提供有效支撐。
趙鵬介紹,密碼服務(wù)平臺建成后,為中國石化帶來三個明顯的價值提升。
首先,實現(xiàn)密碼應(yīng)用的統(tǒng)建統(tǒng)管。統(tǒng)一密碼服務(wù)平臺作為密碼相關(guān)業(yè)務(wù)的服務(wù)中臺,是實現(xiàn)密碼應(yīng)用統(tǒng)一管理、統(tǒng)一服務(wù)的入口,降低了密碼應(yīng)用管理的難度,為用戶提供了簡單、便捷的密碼應(yīng)用體驗。
其次,提高密碼資源的復(fù)用率,降低投資成本。針對密碼機等密碼運算基礎(chǔ)設(shè)施,平臺利用技術(shù)手段,實現(xiàn)對密碼資源的動態(tài)調(diào)度,從而提高密碼基礎(chǔ)設(shè)施資源的復(fù)用率,降低成本。
最后,實現(xiàn)了密碼服務(wù)的標(biāo)準(zhǔn)化、組件化。如今,中國石化的密碼服務(wù)體系能夠?qū)ν馓峁└黝悩?biāo)準(zhǔn)的密碼功能,從密碼算法、密碼技術(shù)、密碼服務(wù)、密碼協(xié)議到密碼應(yīng)用流程等,囊括密碼應(yīng)用的各個方面,大大減少了集成使用密碼服務(wù)的難度,提高了密碼應(yīng)用效率和網(wǎng)絡(luò)安全服務(wù)效率。
據(jù)中國石化統(tǒng)計,統(tǒng)一密碼服務(wù)平臺迄今已累計發(fā)放密鑰和證書達7.9萬個,提供電子簽章服務(wù)共計68萬次,簽名130萬次,電子印章2.3萬個,為公司全場景、全業(yè)務(wù)的密碼應(yīng)用需求提供了安全高效的密碼服務(wù)。
作為集團型國有大型企業(yè),中國石化統(tǒng)一密碼服務(wù)平臺建設(shè)項目,為其他能源企業(yè)密碼應(yīng)用及管理樹立了創(chuàng)新樣板,對于推進國家能源基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全建設(shè)具有重要借鑒意義。未來,中國石化將繼續(xù)擴展密碼服務(wù)平臺的服務(wù)能力,支撐集團物聯(lián)網(wǎng)等應(yīng)用,加快集團數(shù)字化轉(zhuǎn)型。
【數(shù)字認(rèn)證】
領(lǐng)先的網(wǎng)絡(luò)信任與數(shù)字安全服務(wù)提供商,電子認(rèn)證/電子簽名/電子合同領(lǐng)域的市場領(lǐng)導(dǎo)者,應(yīng)用覆蓋政務(wù)、衛(wèi)生、金融、大型企業(yè)、電信、航空、公路交通等多個行業(yè),為近千萬企業(yè)用戶和數(shù)億個人用戶提供具有法律效力的無紙化交付服務(wù)。
