MENU
首页 > 关于安盟 > 新闻资讯 > 正文
2025-09-29
中央企业信息化场景密码应用安全解决方案
》》背景概述《《
近年来,中央企业在信息化、工业化两化融合方面取得重大进展,提升了企业竞争力。中央企业数字化转型的核心是数据。数据是企业自身最有价值的资产,是企业数字化转型的核心,但数字化转型的实现,又不可避免的需要进行多方数据共享。在数字化转型过程中,中央企业面临安全发展战略的挑战。国家从战略层面和技术层面分别出台了相关法律法规和国家标准,以指引和要求国家信息安全防护。

企业信息化是企业利用现代信息技术,通过对信息资源的深化开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,进而提高企业经济效益和企业竞争力的过程。企业信息化不单纯是信息系统,而是通过计算机软硬件对 人、财、事、物、产、购、销、存 的管理过程,目标是效率提升。但在通过信息技术提升效率的同时,也存在如下安全风险:

01/ 终端层面
企业规模庞大,网络覆盖广,企业信息化应用的访问者、访问终端来自各处,缺乏对信息终端、信息访问者可信的身份鉴别,存在终端非法接入及用户非法访问的风险。

02/ 网络层面
企业组织结构复杂,各业务机构遍布全国各地,整个企业的网络构建既包括企业自建的内部网络,也包括租用运营商的广域网线路。为实现企业的整体管理运营,必然存在企业业务数据跨越广域网线路在不同组织机构之间传输的情况,存在被窃听、篡改的风险。

03/ 边界层面
中央企业的信息网络覆盖面广,而且因不同的业务系统运行及对应不同的安全管理要求,形成了不同的安全域。为了保证业务的连续性,响应的迅捷性,数据流需要在不同的安全域之间进行流通。这种不得不存在的数据通道存在破坏不同安全域安全管理策略完整性的风险。

04/ 应用数据层面
企业的各种关键信息系统,如涉及人、财、物及三重一大业务等信息系统,承担着企业关键运营管理工作。传统用户名/口令方式认证强度不足,缺乏业务关键操作抗抵赖性防护,同时系统中的重要数据缺少机密性、完整性保护,存在泄露风险。

》》需求分析《《
01/ 密码应用合规性满足需求
随着国家对网络信息安全重视,对网络信息系统安全防护提出更高要求。颁布《密码法》和《信息安全技术 信息系统密码应用基本要求》,从法律规范和技术标准两方面对密码应用提出要求,确保关键信息基础设施密码应用的有效落实。

中央企业作为国家经济支柱,需依照等保、关保相关要求,遵循密码法及密码应用基本要求的相关规定,基于国密算法对集团内部非涉密网络及信息系统进行必要的安全防护。

02/ 密码应用体系化建设需求
构建统一、完整的密码应用体系,初始化建设时需采用集约化模式,统筹考虑整体需求,构建完善支撑底座,确保企业整体安全性。

通过密码泛在化的模式,将密码保障能力覆盖各个位置,让密码深入应用到各环节中,避免出现单点突破、全网沦陷的情况。

中央企业存在集团总部、二级单位、三级单位等多级机构体系,覆盖了全国不同的省市和地区,如果在每个节点全部建设全套密码保障体系会带来极大的资金浪费和人员投入,因此密码安全服务体系在集约化建设的基础上,可通过服务化的方式由集团及部分节点统一建设,提供分布式的服务能力,实现成本与效能的双赢。

03/ 密码监管与态势感知需求
央企业务遍布全国,需多地部署密码设备。一旦密码模块、设备或应用出现问题,将威胁企业集团信息化业务的安全。因此,需建设密码监管与态势感知系统,实现对全集团密码设备、资源、服务、应用的统一监管,提升密码管理部门的安全防御和及时响应能力,以及密码应用系统的可用性和健壮性。

04/ 业务场景密码应用需求
集团型企业信息化业务涉及多因素、多场景。用户来自各方,发起访问的终端及通信渠道多样,数据流转跨安全区域。关键业务数据以不同形式保存,并据需共享。为保障企业信息化安全,需全面考虑多种业务场景的安全需求,构建多层次的密码安全服务体系,发挥其不可或缺的作用。

》》解决方案《《
对于央企这样体系化、多层级的组织结构模式,其密码安全服务体系建设,既要从某一组织结构单元内部密码应用的角度加以考虑,同时也需要跳出单一的组织结构单元,从整个央企完整的组织架构体系全局出发,结合央企体系化组织结构相应的业务与管理需要,针对整体架构及各层级、各单元之间的业务与管理交互进行相应的密码体系规划设计。

基于体系建设考虑,结合集团性央企多层级组织结构的业务与管理特点,在独立组织单元密码服务体系建设的基础上,制定集团性企业信息化密码安全服务体系整体应用方案。

集团型企业信息化密码应用部署图

密码安全服务体系部署架构图

01/ 集团型密码服务体系架构
集团总部建设总部级密码安全服务体系,一方面作为全集团密码服务体系的管理、信任核心,保证全集团密码服务体系的整体性、一致性,另一方面为集团总部业务区的集团性企业信息化应用提供本地化密码安全服务能力支撑。

02/ 组织机构间通讯安全
在企业内部各组织机构网络的互联网出口处,部署VPN网关,实现各组织机构跨广域网通讯链路的机密性保护,保证企业内各组织机构间数据交互的机密性、完整性防护。

》》部署方案《《
集团总部建设总部密码服务区,基于通用企业信息化密码应用服务建设模式,构建总部本地密码服务中心,并根据业务需求模块化选择密码功能构建,为集团总部全局业务应用提供本地化的加解密、签名验签、身份认证等统一密码服务;

各二级公司建设本地的二级密码服务区,在集团总部密码服务中心的统一管理之下,根据本地业务需求模块化选择密码功能构建,形成服务本地化业务应用的统一密码服务体系;

各三级单位根据本地实际业务情况,具有本地业务应用的三级单位,可在集团总部密码服务体系的统一管理之下,根据本地业务需求模块化选择密码功能构建,形成服务本地化业务应用的统一密码服务体系;

集团总部及各分支单位在互联网出口处部署VPN设备,实现集团内部各组织机构间跨越广域网通讯的机密性、完整性保护。

》》方案产品《《
  1. 密码服务平台;
  2. 密码应用监测平台;
  3. 云服务器密码机;
  4. 签名验签服务器;
  5. 电子认证系统;
  6. 身份认证系统;
  7. VPN安全网关;
  8. ……;

》》方案价值《《
01/ 立足安全需求,对标合规要求
本方案密码设计首要关注企业信息化建设的安全合规,同时在密评要求框架下梳理企业信息化面临的实际安全需求,围绕企业信息化的安全需求和合规要求,确定密码设备部署、密码技术路线、密码服务体系和密码管理技术措施。

02/ 集成密码应用,构建密码基础支撑
本方案集成多种密码基础设施、密码设备和密码应用系统,为密码服务和密码管理构建密码基础支撑体系,全面覆盖企业信息化物理环境、网络和通信、设备和计算、应用和数据多个层次的密码应用需求。

03/ 深入融入业务,打造密码服务体系
依托密码基础支撑体系,聚焦业务应用安全需求,打造完善、丰富、易用的密码服务体系,涵盖密码计算、数据安全、信任服务等密码服务,将密码应用和相应的安全效用和业务应用深度融合。

04/ 采用先进技术,赋能密码管理
融合密码管理监测技术和态势感知技术,面向密码设备、基础设施、应用系统、终端等设备提供多维度、全景式、智能化的检测控制与态势感知,通过设备管理应用接口实现密码设备的统一管理,大幅提升密码管理效率和能力。

关闭
上一篇: 无

相关新闻