作為國內最大的成品油和石化產品供應商、第二大油氣生產商、世界第一大煉油公司、加油站總數位居世界第二,中國石油化工集團有限公司(簡稱:中國石化)不僅是我國重要的能源基礎設施運營商,也是我國國民經濟的重要支柱,在國家大型能源建設領域占據支配地位。
隨著數字化時代網絡安全問題的日益凸顯,以及國家《密碼法》、《商用密碼管理條例》等相關政策的頒布實施,用密碼技術保障能源基礎設施安全,成為能源產業提高網絡安全防護、保障國家經濟穩定運行的重要舉措。
為了滿足國家對商用密碼應用的安全管理要求,也為了化解數字化時代傳統密碼應用所面臨的復雜化、標準化、合規性等挑戰,中國石化率先啟動統一密碼服務平臺建設,為集團及下屬100多家子公司業務順利開展提供扎實的密碼基礎支撐。
破解傳統密碼應用“三大痛點”
早在2008年,中國石化就開始基于財務系統、招投標、加油站支付等數十種業務系統,引進配套的密碼技術,比如身份認證、加密機、電子簽章、一些組件的密碼安全軟模塊等,以實現密碼安全服務。
隨著數字化轉型的深入推進,云計算、大數據、人工智能等新興技術蓬勃發展,傳統密碼應用方式與密碼服務方式開始面臨諸多挑戰。
密碼應用碎片化
以往各業務系統都由集團各部門或集團下屬子公司分散建設,因此密碼設施資源分散在各部門、各子公司的各業務系統上,導致密碼應用碎片化,密碼應用體系極其繁雜,缺乏統一管理,不但用戶體驗不佳,也不可避免地產生密碼基礎設施重復建設問題,增加了投資成本。
密碼應用不規范
過去,中國石化采用了不少國外廠商的技術/產品,比如SAP的ERP、Oracle的數據庫等,因此配套的密碼應用也采用了國際密碼算法。隨著國家《密碼法》的頒布實施,以及國家對信創產業的推進,密碼應用必須要支持國產密碼算法。
密碼標準不統一
中國石化的密碼產品種類繁多,分別由不同密碼產品供應商提供。由于密碼產品供應商之間往往存在技術壁壘,不同密碼產品的技術標準可能會不統一;密碼應用之間缺乏統一的接口和規格標準,兼容性差。
在國家政策和技術潮流的雙重推進下,統一密碼服務體系建設迫在眉睫。經過籌備規劃后,中國石化最終選擇與北京數字認證股份有限公司(簡稱:數字認證)合作建設統一密碼服務平臺。
數字認證作為國家網絡安全產業主力軍,多年以來一直以密碼技術為核心驅動,為政務、醫療、金融、教育、交通、電信、企業等數十個行業提供安全、可靠的網絡信任與數字安全服務。基于密碼技術,數字認證研發創新電子簽名、電子合同、統一密碼服務平臺等可信基礎設施,解決企業在身份認證、加密保護、信任傳遞等方面的業務需求,幫助企業降本增效,加快數字化轉型。
重建密碼服務能力
密碼服務平臺是中國石化統一密碼服務體系的核心。按照規劃,通過密碼服務平臺,中國石化可以將分散的、缺乏應用規范、密碼標準不統一的各類密碼資源和密碼業務應用進行有效整合,并通過服務的方式面向中國石化各級業務應用,提供統一的、標準的、可監控、可計量的綜合密碼服務。
然而,中國石化集團規模龐大,下屬企業近百家,加油站超3萬座,要建設統一密碼服務平臺,可想而知,會是多么龐大而復雜的系統工程。
談到統一密碼服務平臺建設的關鍵,石化盈科基礎安全組負責人趙鵬表示,密碼服務管理很重要,但技術才是核心。數字認證統一密碼服務平臺在設計時充分考慮了先進性、合規性、服務組件化、兼容性、平臺雙活等特點。
技術先進性
在技術先進性層面,統一密碼服務平臺采用中臺化架構,可以將密碼作為一種能力輸出,支撐中國石化各級單位的業務系統快速完成密碼應用改造;平臺也采用微服務架構,具備高可擴展性,通過統一的API服務網關可快速掛載各類密碼安全服務,進行平滑的擴展密碼服務種類。
平臺雙活
在平臺雙活層面,中國石化的北京中心和南京中心采用異地雙活策略部署,確保密服平臺的穩定性和密鑰的安全性;正常情況下,兩個中心各自提供密碼支撐服務,相互之間不會跨區調用;當某一個中心出現異常時,另一個中心可快速接管,保障業務不受影響。
支持國產密碼算法
在支持國產密碼算法層面,原國外廠商會開放一些相應的密碼應用前端接口,數字認證提供基于國產密碼算法的密碼安全產品進行適配和補丁升級,以實現原系統中的國產密碼算法安全應用。后端關于國產密碼密鑰的分發、密鑰管理等,必須要接入密碼服務平臺,最終實現對國產密碼算法的支持。
在具體的項目實施上,趙鵬介紹說,統一密碼服務平臺遵循“統一規劃、統一建設、統一運維”的建設思路,整個項目實施主要分兩步走。
第一步,實現集團總部層面的一些密碼應用的統管統建。主要是針對幾大數據中心里面的應用來推廣密碼服務平臺,比如北京沙河的、南京江寧的、新疆烏魯木齊的數據中心。
第二步,在總部的密碼服務平臺部署完成后,再針對中國石化集團區域中心、下屬企業和分公司自建的應用系統,推廣密碼服務平臺。
降本增效
全面賦能集團數字化轉型
經過一年多的實施,2020年底,中國石化統一密碼服務平臺正式上線。如今,集團層面的關鍵業務操作都依托于密碼服務平臺來保障安全。
比如電子招投標業務的應用。在發標、投標、開標、評標、定標等各個環節中,密碼服務平臺提供了用戶身份認證、電子簽名&簽章、電子標書加解密等服務,確保主體身份真實可信,招標全流程數據真實、完整、防篡改、防偽造,從而打破時空限制,為實現隨時隨地、安全合規的電子招投標業務提供有效支撐。
趙鵬介紹,密碼服務平臺建成后,為中國石化帶來三個明顯的價值提升。
首先,實現密碼應用的統建統管。統一密碼服務平臺作為密碼相關業務的服務中臺,是實現密碼應用統一管理、統一服務的入口,降低了密碼應用管理的難度,為用戶提供了簡單、便捷的密碼應用體驗。
其次,提高密碼資源的復用率,降低投資成本。針對密碼機等密碼運算基礎設施,平臺利用技術手段,實現對密碼資源的動態調度,從而提高密碼基礎設施資源的復用率,降低成本。
最后,實現了密碼服務的標準化、組件化。如今,中國石化的密碼服務體系能夠對外提供各類標準的密碼功能,從密碼算法、密碼技術、密碼服務、密碼協議到密碼應用流程等,囊括密碼應用的各個方面,大大減少了集成使用密碼服務的難度,提高了密碼應用效率和網絡安全服務效率。
據中國石化統計,統一密碼服務平臺迄今已累計發放密鑰和證書達7.9萬個,提供電子簽章服務共計68萬次,簽名130萬次,電子印章2.3萬個,為公司全場景、全業務的密碼應用需求提供了安全高效的密碼服務。
作為集團型國有大型企業,中國石化統一密碼服務平臺建設項目,為其他能源企業密碼應用及管理樹立了創新樣板,對于推進國家能源基礎設施網絡安全建設具有重要借鑒意義。未來,中國石化將繼續擴展密碼服務平臺的服務能力,支撐集團物聯網等應用,加快集團數字化轉型。
【數字認證】
領先的網絡信任與數字安全服務提供商,電子認證/電子簽名/電子合同領域的市場領導者,應用覆蓋政務、衛生、金融、大型企業、電信、航空、公路交通等多個行業,為近千萬企業用戶和數億個人用戶提供具有法律效力的無紙化交付服務。
