数字认证助力中国石化重构密码服务体系

作为国内最大的成品油和石化产品供应商、第二大油气生产商、世界第一大炼油公司、加油站总数位居世界第二， 中国石油化工集团有限公司（简称：中国石化） 不仅是我国重要的能源基础设施运营商，也是我国国民 经济 的重要支柱，在国家大型能源建设领域占据支配地位。

随着数字化时代网络安全问题的日益凸显，以及国家《密码法》、《商用密码管理条例》等相关政策的颁布实施，用密码技术保障能源基础设施安全，成为能源产业提高网络安全防护、保障国家经济稳定运行的重要举措。

为了满足国家对商用密码应用的安全管理要求，也为了化解数字化时代传统密码应用所面临的复杂化、标准化、合规性等挑战，中国石化率先启动统一密码服务平台建设，为集团及下属100多家子公司业务顺利开展提供扎实的密码基础支撑。

破解传统密码应用“三大痛点”

早在2008年，中国石化就开始基于财务系统、招投标、加油站支付等数十种业务系统，引进配套的密码技术，比如身份认证、加密机、电子签章、一些组件的密码安全软模块等，以实现密码安全服务。

随着数字化转型的深入推进，云计算、大数据、人工智能等新兴技术蓬勃发展，传统密码应用方式与密码服务方式开始面临诸多挑战。

密码应用碎片化

以往各业务系统都由集团各部门或集团下属子公司分散建设，因此密码设施资源分散在各部门、各子公司的各业务系统上，导致密码应用碎片化，密码应用体系极其繁杂，缺乏统一管理，不但用户体验不佳，也不可避免地产生密码基础设施重复建设问题，增加了 投资 成本。

密码应用不规范

过去，中国石化采用了不少国外厂商的技术/产品，比如SAP的ERP、Oracle的数据库等，因此配套的密码应用也采用了国际密码算法。随着国家《密码法》的颁布实施，以及国家对信创产业的推进，密码应用必须要支持国产密码算法。

 

密码标准不统一

中国石化的密码产品种类繁多，分别由不同密码产品供应商提供。由于密码产品供应商之间往往存在技术壁垒，不同密码产品的技术标准可能会不统一；密码应用之间缺乏统一的接口和规格标准，兼容性差。

在国家政策和技术潮流的双重推进下，统一密码服务体系建设迫在眉睫。经过筹备规划后，中国石化最终选择与 北京数字认证股份有限公司（简称：数字认证） 合作建设统一密码服务平台。

数字认证作为国家网络安全产业主力军，多年以来一直以密码技术为核心驱动，为政务、医疗、 金融 、教育、交通、电信、企业等数十个行业提供安全、可靠的网络信任与数字安全服务。基于密码技术，数字认证研发创新电子签名、电子合同、统一密码服务平台等可信基础设施，解决企业在身份认证、加密保护、信任传递等方面的业务需求，帮助企业降本增效，加快数字化转型。

重建密码服务能力

密码服务平台是中国石化统一密码服务体系的核心。按照规划，通过密码服务平台，中国石化可以将分散的、缺乏应用规范、密码标准不统一的各类密码资源和密码业务应用进行有效整合，并通过服务的方式面向中国石化各级业务应用，提供 统一的、标准的、可监控、可计量 的综合密码服务。

然而，中国石化集团规模庞大，下属企业近百家，加油站超3万座，要建设统一密码服务平台，可想而知，会是多么庞大而复杂的系统工程。

谈到统一密码服务平台建设的关键，石化盈科基础安全组负责人赵鹏表示，密码服务管理很重要，但技术才是核心。数字认证统一密码服务平台在设计时充分考虑了先进性、合规性、服务组件化、兼容性、平台双活等特点。

 

技术先进性

在技术先进性层面，统一密码服务平台采用中台化架构，可以将密码作为一种能力输出，支撑中国石化各级单位的业务系统快速完成密码应用改造；平台也采用微服务架构，具备高可扩展性，通过统一的API服务网关可快速挂载各类密码安全服务，进行平滑的扩展密码服务种类。

平台双活

在平台双活层面，中国石化的北京中心和南京中心采用异地双活策略部署，确保密服平台的稳定性和密钥的安全性；正常情况下，两个中心各自提供密码支撑服务，相互之间不会跨区调用；当某一个中心出现异常时，另一个中心可快速接管，保障业务不受影响。

支持国产密码算法

在支持国产密码算法层面，原国外厂商会开放一些相应的密码应用前端接口，数字认证提供基于国产密码算法的密码安全产品进行适配和补丁升级，以实现原系统中的国产密码算法安全应用。后端关于国产密码密钥的分发、密钥管理等，必须要接入密码服务平台，最终实现对国产密码算法的支持。

在具体的项目实施上，赵鹏介绍说，统一密码服务平台遵循 “统一规划、统一建设、统一运维” 的建设思路，整个项目实施主要分两步走。

第一步，实现集团总部层面的一些密码应用的统管统建。主要是针对几大数据中心里面的应用来推广密码服务平台，比如北京沙河的、南京江宁的、新疆乌鲁木齐的数据中心。

第二步，在总部的密码服务平台部署完成后，再针对中国石化集团区域中心、下属企业和分公司自建的应用系统，推广密码服务平台。

降本增效

全面赋能集团数字化转型

经过一年多的实施，2020年底，中国石化统一密码服务平台正式上线。如今，集团层面的关键业务操作都依托于密码服务平台来保障安全。

比如电子招投标业务的应用。在发标、投标、开标、评标、定标等各个环节中，密码服务平台提供了用户身份认证、电子签名&签章、电子标书加解密等服务，确保主体身份真实可信，招标全流程数据真实、完整、防篡改、防伪造，从而打破时空限制，为实现随时随地、安全合规的电子招投标业务提供有效支撑。

赵鹏介绍，密码服务平台建成后，为中国石化带来三个明显的价值提升。

首先，实现密码应用的统建统管。 统一密码服务平台作为密码相关业务的服务中台，是实现密码应用统一管理、统一服务的入口，降低了密码应用管理的难度，为用户提供了简单、便捷的密码应用体验。

其次，提高密码资源的复用率，降低投资成本。 针对密码机等密码运算基础设施，平台利用技术手段，实现对密码资源的动态调度，从而提高密码基础设施资源的复用率，降低成本。

最后，实现了密码服务的标准化、组件化。 如今，中国石化的密码服务体系能够对外提供各类标准的密码功能，从密码算法、密码技术、密码服务、密码协议到密码应用流程等，囊括密码应用的各个方面，大大减少了集成使用密码服务的难度，提高了密码应用效率和网络安全服务效率。

据中国石化统计，统一密码服务平台迄今已累计发放密钥和证书达7.9万个，提供电子签章服务共计68万次，签名130万次，电子印章2.3万个，为公司全场景、全业务的密码应用需求提供了安全高效的密码服务。

作为集团型国有大型企业，中国石化统一密码服务平台建设项目，为其他能源企业密码应用及管理树立了创新样板，对于推进国家能源基础设施网络安全建设具有重要借鉴意义。未来，中国石化将继续扩展密码服务平台的服务能力，支撑集团物联网等应用，加快集团数字化转型。

【数字认证】

领先的网络信任与数字安全服务提供商，电子认证/电子签名/电子合同领域的市场领导者，应用覆盖政务、卫生、金融、大型企业、电信、航空、公路交通等多个行业，为近千万企业用户和数亿个人用户提供具有法律效力的无纸化交付服务。