密码体系建设之安盟华御密码在油化企业之应用

为推动油化企业两化融合、数字化转型的高质量发展，更好的保障油化智能开采、生产业务安全开展，满足以内生密码基因夯实企业信息网络安全体系的基础的要求，需要通过密码服务体系化建设，解决以下问题：

l 密码应用合规性满足需求

l 密码应用体系化建设需求

l 密码应用监管与态势感知需求

l 信息化多场景安全防护密码支撑需求

针对以上问题，应通过企业密码服务体系建设，构建全局化、标准化、统一化的企业密码服务平台，作为整个企业信息安全防护体系的重要组成内容，面向油化企业智能化各业务场景、各信息化组成、各传统安全防护手段，进行规范化的密码赋能，以国产密码技术为内生基因提升企业内部各业务应用的安全防护效果。同时辅以管理制度、人员组织、安全运营等管理、支撑、保障措施，提升油化企业智能化业务整体安全防护能力，保障企业安全生产可靠运行，可靠支撑油化企业工业互联网的高效推进，提高油化企业的整体竞争力。

l 信息管理网：密码应用保障体系与信息管理网的密码服务逻辑交互主要发生在以下三个层面

1) 终端层：针对信息管网终端层的计算机、智能手机、PAD及专用信息终端等业务应用访问终端，通过USB-Key或软件密码模块集成的方式，与密码应用保障体系服务平台端相结合，达到密码能力向信息化终端的覆盖，实现终端进行业务访问时的可靠身份认证及本地密码安全防护能力，如本地缓存敏感信息加解密能力的拓展。

2) 网络层：针对企业信息管网不同安全域网络边界，如企业信息管网与互联网边界，通过部署网关，实现跨越网络的通讯信道机密性、完整性防护，及不同安全域网络边界的安全安全认证。

3) 业务层：通过密码应用保障体系服务层提供的多种密码服务API接口与企业信息管网业务系统的集成，在业务层及数据层不同层面，实现通用密码服务、典型密码服务及数据安全防护服务的调用，达到业务应用统一的可靠身份认证与统一鉴权，数据机密性、完整性防护，及电子签章、时间戳等多种密码安全服务能力的集成，实现企业业务应用安全防护能力的整体提升。

l 生产网：密码应用保障体系与生产网的密码服务逻辑交互主要发生在以下四个层面

4) 设备层： 针对油化企业生产网络设备层的工控设备、物联设备、无线设备及视频监控终端等各类工业终端，通过工业软件密码模块与设备集成，以内嵌方式实现密码能力向各类设备终端的覆盖；通过终端安全接入网关的部署，以外接无改造方式实现终端业务访问的可靠身份认证及通讯链路的机密性完整性保护；通过机甲卫士的部署，以外接式实现工控生产设备的可信接入、本地各类端口安全防护。

5) 网络层： 针对企业生产网不同安全域网络边界，如现场设备层与控制层，控制层与业务平台层等边界，通过部署网关，实现跨越网络的通讯信道机密性、完整性防护，及不同安全域网络边界的安全认证。

6) 控制层：通过密码应用保障体系提供的密码运算API接口与生产网控制层业务系统的集成，在密码服务及数据安全防护服务的调用，达到控制层业务系统的数据机密性、完整性防护，实现生产网控制层业务应用安全防护能力的整体提升。

7) 平台层：通过密码应用保障体系提供的多种密码服务API接口与企业生产网工业互联网平台各业务系统的集成，在平台层面，实现通用密码服务、典型密码服务及数据安全防护服务的调用，达到平台应用统一的可靠身份认证与统一鉴权，数据机密性、完整性防护，及电子签章、时间戳等多种密码安全服务能力的集成，实现油化企业工业互联网平台业务应用安全防护能力的整体提升。