油氣行業密碼應用云平臺探索與設計

張嵩　孫忠偉　李雪巖

摘要：油氣行業通過多年的建設已形成較為完整的信息化支撐，圍繞數據和應用的安全防護已經成為建設重點。借鑒中臺的基礎理念和架構，把SM（商用密碼拼音縮寫）系列算法的密碼安全服務用中臺思路進行建設，利用平臺化手段發現、沉淀與復用SM系列算法的密碼服務能力，通過搭建一個服務平臺、建設一個基礎設施、形成一套密碼體系與機制，成為面向前臺提供可復用密碼能力的載體，打造共享共用、統一管理的密碼應用云平臺。

關鍵詞：油氣行業；SM系列算法；中臺；云平臺

一、前言

沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。網絡安全牽一發而動全身，已成為信息時代國家安全的戰略基石。油氣行業是經濟社會運行的神經中樞，其數字化平臺的安全防護直接影響著國家數字經濟發展和網絡強國建設。油氣行業運營著大量關鍵信息基礎設施和重要信息系統，承載著大量國家重要數據，成為了攻擊者覬覦的目標，數據安全威脅已經成為關乎油氣行業命運的關鍵業務風險。密碼技術作為網絡與信息安全保障的核心技術和基礎支撐，是解決數據安全問題最有效、最可靠、最經濟的手段。本文通過分析當前油氣行業面臨的數據安全風險和密碼技術應用存在的挑戰，借鑒中臺的基礎理念和架構，打造密碼應用云平臺，實現云環境下的“密碼即服務”，進一步探索商用密碼在油氣行業的創新應用和落地實踐。

二、油氣行業數據亟待有效防護

油氣行業是國民經濟的命脈，是國家的基礎和支柱行業，是社會運行、人民生活的基礎和保障，關乎國計民生。油氣行業的關鍵信息基礎設施已成為網絡空間作戰重要目標，是整個國家安全保障體系的重要環節。伴隨網絡攻擊國家化和組織化的趨勢日益明顯，油氣行業的網絡安全工作形勢錯綜復雜，面臨更加嚴峻的安全挑戰。

近年來，油氣行業成為黑客攻擊的重災區，數據泄漏事件頻發。2021年7月，全球最大石油生產商沙特阿美（Saudi Aramco）的1TB機密數據遭泄露，被黑客勒索要求其支付5000萬美元贖金，這些機密數據時間跨度長達27年，包括員工信息、項目規范和分析報告等敏感內容[1]。2021年6月，美國最大的丙烷供應商AmeriGas，在美國50個州服務超過200萬客戶，自曝遭遇數據泄露威脅。

依據《信息安全技術 重要數據識別指南（征求意見稿）》[2]，考慮反映國家戰略儲備、反映重點目標等因素，油氣行業涉及重要數據特征如表1所示。

油氣行業通過多年的建設和迭代已形成較為完整的業務層信息化支撐，網絡安全邊界防御建設也相對完備，圍繞數據和應用的安全防護成為當下建設重點。密碼技術基于安全底線思維，利用密碼在安全認證和加密保護等方面的重要作用，能夠重構數據和應用安全防線，獲得網絡空間制網權。

三、油氣行業密碼應用面臨挑戰

由于油氣行業信息化建設起步較早，部分早期建設的信息系統仍然采用安全強度較低、非受控的密碼技術和體系。通過對油氣行業信息化建設的深入分析，阻礙密碼全面應用的挑戰，可以概括為四方面：

（1）從管理上，各信息系統采用密碼應用安全強度參差不齊，采用的密碼技術也不相同，算法類型、密鑰長度、實現方式等方面差異較大，系統安全強度參差不齊。密鑰、算法及安全協議管理分散，更重要的是密鑰的產生、傳輸、存儲以及銷毀等沒有行業安全規范，存在安全隱患。

（2）從技術上，常規SM算法實現效率低，難以滿足業務高性能需求。硬件產品的實現雖然增強了相應系統的安全性，但在云端、虛擬機端、移動端等新場景中無法靈活部署硬件密碼產品，影響用戶體驗。

（3）從運維上，密碼設備及密碼系統運維不方便。增加信息系統，就相應增加密碼設備或部署密碼系統，而密碼設備及系統接口不統一，且與各自業務系統關聯性強，設備更換或升級復雜性高。

（4）從成本上，密碼計算資源相對分散，不能有效集中利用，導致密碼設備的計算資源浪費，同時帶來信息化建設成本的增加。

四、油氣行業密碼應用設計思想

借鑒中臺的基礎理念和架構[3]，把密碼安全服務用中臺的思路進行建設，利用平臺化手段發現、沉淀與復用密碼能力，成為面向前臺提供可復用密碼能力的載體，打造共享共用、統一管理的密碼應用云平臺。

密碼應用云平臺設計原則如下：一是解耦，抽象密碼服務后臺業務能力，減少應用系統與硬件的耦合度和綁定關系；二是分層，從底層硬件、中層驅動和硬件運算、上層應用接口都進行了清晰的層次劃分；三是統一，平臺整合應用程序接口，對外提供統一密碼服務接口；四是分域，根據不同的功能定位，對認證類、簽名、加密等不同密碼應用類別設計不同的接口與功能模塊。

秉承“以數據為中心”的新安全理念，在密碼應用云平臺建設中，通過免開發改造應用或輕量級改造應用的模式，將密碼與業務在技術上解耦，有效解決業務與密碼開發對接不吻合等情況，封裝調用底層密碼硬件接口，實現信息系統靈活選擇不同廠商、不同型號的硬件密碼設備，從而能更好地適應油氣業務對密碼技術的多樣化需求。

五、密碼應用云平臺設計與實現

（一）密碼應用云平臺總體架構

通過密碼應用云平臺，將各類密碼資源和密碼服務應用進行有效的整合，并通過服務的方式面向油氣行業信息系統提供統一的、標準的、可監控、可計量的綜合密碼服務。

云環境下的“密碼即服務”，通過建設密碼云平臺，可為業務應用提供如下密碼支撐服務。

（1）IaaS服務：也稱為密碼基礎設施層，密碼能力最終以密碼模塊、密碼機等形式提供，通過密碼設備完成密碼功能。

（2）PaaS服務：也稱為密碼應用支撐層，業務系統無需關注硬件和系統，只需通過開放平臺即可使用密碼云所提供的密碼能力。如移動終端連接密碼云完成所需的數字簽名，可以提供信息系統免改造的數據加解密能力。

（3）SaaS服務：也稱為密碼應用服務層，密碼云還支持各種密碼功能的業務化封裝，形成若干邏輯上獨立的業務單元，完整交付用戶。如電子合同服務，將電子合同所需的數字證書、數字簽名、時間戳等功能集成到電子合同簽署邏輯中。

（4）安全接入層：密碼云面向應用系統提供統一的接口，屏蔽不同密碼產品和服務的差異性，并且負責應用系統安全可信的接入密碼云平臺。

（5）應用層：油氣行業的各類各級應用系統，應用系統和密碼云平臺對接實現了統一化管理與維護。

（6）密碼應用模塊：密碼云平臺提供軟件代理模塊（Agent），應用系統直接安裝Agent實現應用系統“零代碼”，通過應用系統加載已開發的密碼功能模塊，實現應用系統“低代碼”。

（7）密鑰保護：密鑰的安全管理采用層次化的保護方法，密鑰管理分層管理機制將密鑰分為三層，即根密鑰、密鑰加密密鑰和工作密鑰，下層密鑰為上層密鑰提供加密保護。

（二）密碼應用云平臺技術實現

對于密碼應用云平臺，IaaS、PaaS、SaaS層的密碼服務分類組裝，通過微服務架構提供統一的服務支撐，密碼應用云平臺的微服務架構部署如圖1所示。

基于密碼應用安全性評估要求的密碼應用體系，密碼應用云平臺涵蓋：密碼硬件資源池、密碼云平臺、運維系統、運營系統及開放管理平臺五個部分。

（1）密碼硬件資源池：主要提供密碼計算資源，由密碼計算能力的實體密碼設備組成的物理密碼資源池，密碼設備服務層以接口的方式為密碼服務層提供服務，同時進行統一密碼資源調度和統一密鑰管理。

（2）密碼云平臺：由基礎密碼服務、擴展密碼服務和定制密碼服務組成，基礎密碼服務提供簽名驗簽服務、加解密服務、摘要運算服務、密鑰管理服務。典型密碼服務提供網絡加密服務、移動認證服務、動態密碼服務、電子印章服務等密碼服務。定制密碼服務提供虛擬密碼模塊、安全套件服務、數據治理服務、數據防泄漏服務等密碼服務。密碼服務層通過統一接入層為信息系統提供密碼服務，在統一接入層實現API管理、權限認證、流量控制和數據統計等功能。

（3）運維系統：主要包含服務注冊、監控報警、統一日志、統一配置和統一調度。

（4）運營系統：由策略配置、應用接入、密碼應用情況統計、異常問題監管、安全態勢感知組成，實現對云平臺、租戶業務系統的應用情況的統一監管。

（5）開放管理平臺：供用戶在線查看密碼應用情況、在線接口調試等。

六、密碼應用云平臺的應用場景

油氣行業產業鏈涉獵眾多細分領域，包括勘探、開發、煉油、化工、管道、儲備、銷售等，每個細分領域又包括業務管理信息系統和生產工業控制系統兩大類別。通過密碼應用云平臺及附屬密碼模塊為油氣行業賦能，實現其安全訪問控制、機密性傳輸、數據完整性和機密性保障。

（一）密碼基礎設施層服務

密碼基礎設施層服務涵蓋所有傳統商用密碼機、密碼卡的功能，支持商用密碼算法，如SM系列算法，提供HTTP/HTTPS Restful（representational state transfer）接口以及標準SM系列算法接口。

（二）密碼應用支撐層服務

密碼應用支撐層通過云服務的體系，通過開放服務的方式來接入，涵蓋了絕大多數的密碼及泛密碼服務。典型的密碼應用支撐服務如下：

（1）證書服務：在線完成企業、個人的身份核驗，并發放證書，證書既支持優盾介質證書，也支持移動證書，在授權客戶鑒別用戶信息后，通過在線接口直接為用戶身份標識。

（2）密鑰管理服務：為數字證書認證系統提供密鑰管理，主要包括密鑰生成、派發、導入、導出、備份、恢復、更新、歸檔、銷毀、查詢等生命周期管理。

（3）簽名服務：用戶鑒證、發證和用證一體化服務，支持帶用戶管理和身份核驗的協同簽名服務，支持移動證書等各種簽名方式。

（4）數據加密服務：支持基于SM4分組密碼算法等提供對稱加解密服務，提供在線的加解密服務及密鑰托管服務，可應用在數據流轉的多個層次環節中，對數據進行加密保護，有效保護結構化與非結構化數據。

（5）去標識化服務：提供基于密碼技術的去標識化技術能力服務，可保障業務數據在安全合規的前提下，能夠高效地共享流轉。

（6）身份認證服務：支持基于SM2密碼算法等，通過PKI（Public Key Infrastructure）技術，以云服務的方式支持用戶的身份鑒別服務。

（三）密碼應用服務層服務

密碼應用服務是針對具體的業務場景開發的一系列泛密碼業務，密碼應用服務通過云服務的體系，提供解決共性需求的云服務，典型密碼應用服務如下：

（1）電子合同：包括云認證、云合同等核心產品，為用戶提供實名認證、數字證書、電子合同簽署與管理等服務。

（2）電子印章服務：包括電子印章管理、應用、備案等電子印章相關的功能，為信息系統和電子印章應用子系統提供電子簽章支撐。

（3）電子證據：提供電子證據的存證及保全服務，使用 PKI 技術，對用戶的數據進行保全和固化，支持哈希和原文保全，提供豐富的電子簽名報告、簽署證明、存證報告、保全報告、電子證據包等功能。

七、結語

油氣行業密碼應用云平臺通過搭建一個服務平臺、建設一個基礎設施、形成一套密碼體系，解決了油氣行業安全認證和加密保護存在的問題，面向廣泛業務應用，打造高效安全、兼顧實戰與合規的密碼防護體系。H

參考文獻

[1]黃培昭.沙特阿美被黑客勒索5000萬美元[EB/OL].（2021-07-23）[2022-03-10].https：//finance.huanqiu.com/article/443J2H8qKWS

[2]全國信息安全標準化技術委員會.信息安全技術重要數據識別指南（征求意見稿）[S].中國國家標準化管理委員會，2021.

[3]鐘華.企業IT架構轉型之道：阿里巴巴中臺戰略思想與架構實戰[M].北京：機械工業出版社，2017.