方案背景

       烟草行业作为国民经济的重要组成部分，是影响国家经济发展、社会稳定的重要因素。随着数字经济时代的到来，烟草行业不断加速数字化转型的步伐，同时也不可避免的带来了更多、更大、更严重的网络安全风险挑战。为有效应对数字化转型的新风险、新挑战，烟草行业提出要构建新型网络安全体系，树立“大安全”理念，要深化应用国产密码保护、加快推进密码服务平台建设等措施，进一步筑牢烟草行业网络安全防线。

       中国烟草总公司湖北省公司作为烟草行业数字化转型的践行者，数字化程度日渐提升，便捷、安全可靠的烟草服务越来越依赖于密码技术的有力支撑。坚持将数字化转型工作和网络安全建设同步规划、同步建设、同步使用，在全面合法合规的基础上，采用云计算+国产密码算法等技术，通过将密码产品平台化、组件化、模块化，统一对外提供密码服务，达到一次建设，多方合规的要求。

 近年来，湖北烟草持续对商用密码体系架构进行优化和完善，已实现在身份认证、资金支付、电子签章、接口管理等四类场景下的深度应用，逐步形成一套安全可靠的商用密码应用体系。

二

需求分析

       《中华人民共和国密码法》颁布以来，党中央对密码管理工作提出了强制性的管理要求，湖北烟草以集约化建设和管理为目标，在湖北省烟草商业系统范围内全面应用商用密码解决方案，通过国产密码技术进一步提升全省系统网络安全防护能力。

（1）合规性要求

       全面升级湖北烟草的PKI/CA 数字证书体系，符合《中华人民共和国密码法》、《网络安全法》及《网络安全等级保护基本要求》的要求，采用国产密码算法技术满足等级保护测评及密码安全性测评的要求。

（2）高安全需求

       对湖北烟草各类用户需要访问的业务系统的用户身份进行鉴别，以确保用户身份的真实性，避免非法用户进入系统；在资金支付环节对用户权限信息进行签名处理，以确保权限信息的真实性和完整性，避免非授权人员伪造权限信息；对电子公文加盖电子签章，确保公文的真实性和不可否认性，为电子公文赋予法律效力；对应用系统数据交互进行服务接口调用鉴别处理，确保系统之间数据交互的安全可靠。

（3）低成本需求

       按照一次建设，多方合规的建设模式，最大限度的复用核心密码基础设施，开发各类场景下的密码应用，有效降低商用密码建设的成本。

三

技术方案

01

建设内容

       湖北省烟草商业系统商用密码应用项目建设内容主要包括三个方面：一是搭建一套基于国产密码算法的商用密码核心基础设施；二是面向4类场景搭建一套商用密码管理平台；三是构建一套商用密码应用管理体系。

（1）商用密码核心基础设施

       通过搭建全省系统统一的商用密码基础设施，构建密码应用的数字底座，用于支撑湖北省烟草商业系统各类商用密码的应用场景，包括：密钥管理、证书申请、证书制作、证书下发等功能。

（2）商用密码应用管理平台

       搭建湖北省烟草商业系统密码管理平台，实现应用系统身份认证、财务资金支付安全、OA系统电子签章安全、数据交互接口安全等4类密码应用场景的安全管理工作，包括：账号管理、权限管理、身份认证、签名验签、接口授权等功能。

（3）商用密码应用管理运营体系

       建立湖北省烟草商业系统商用密码应用管理运营体系，设置商用密码管理运营岗位，负责商用密码日常运营管理工作，包括基础配置、新增、修改、删除、撤销等日常工作外，还负责其他业务系统与密码平台的对接工作、设计工作等，承担密评整改等相关事宜，确保商用密码体系的高效稳定运行。

02

 技术架构设计

图1  湖北省烟草商业系统商用密码应用体系框架

       湖北省烟草商业系统商用密码应用体系框架分为四层，包括：商用密码核心基础设施、密码中台、密码服务平台以及四类场景应用。

       第一层为商用密码核心基础设施，采用了密码产品融合架构将虚拟化计算、网络、密码等整合到同一平面，向上层平台提供密码应用支撑，同时可根据未来业务发展需要，弹性的扩展密码计算资源。

       第二层为密码中台，建立了用户、证书、签章、接口、权限、支付、传输等中心，实现密码服务资源的复用，以服务调用的形式，向外界密码服务平台提供共性化的密码服务应用。

      第三层为密码服务平台，主要集成了云密码服务平台、安全支付模块、电子签章管理系统、接口安全管理平台。

        第四层为场景应用，其中云密码服务平台提供湖北烟草应用系统的统一准入管理；安全支付模块提供湖北烟草资金支付安全保障；电子签章系统向提供电子公文的签章安全管理；接口安全管理平台提供应用系统之间数据交互的安全认证和传输加密管理。

03

 应用架构设计 

图2  湖北省烟草商业系统商用密码应用架构

（1）商用密码核心基础设施

       商用密码核心基础设施由CA认证中心、密钥管理中心、RA注册中心、加密机、OCSP服务器、安全互联网关、负载均衡等组成。商用密码核心基础设施采用密码产品融合架构将虚拟化计算、网络、密码整合到同一个系统平台，在物理服务器上运行虚拟化软件，在虚拟化软件上调用支持密码卡运行分布式密码服务，供虚拟机上的密码应用使用；并开发以用户中心、证书中心、签章中心、接口中心、支付中心、传输中心的密码中台，对外提供云化的密码应用服务，且密码服务资源可根据未来业务发展需要快速弹性伸缩。

（2）云密码服务平台

        湖北省烟草商业系统云密码服务平台基于密码中台进行开发，实现身份认证、访问授权、行为审计等功能，在认证方式上支持静态口令、动态口令、LDAP认证、AD域认证、Ukey、指纹key、二维码扫码、指纹、人脸识别、外部认证（微信、QQ）、radius认证等多种认证方式，根据业务需要自行组合使用；在与应用系统对接方面，通过建立标准的接口规范，实现多系统统一身份认证；建立账户管理中心，在账户管理中心统一增、删、改、查，最大化减少后台管理员重复注册、重复开户的工作量，提高IT运维管理效率，同时通过集中化、流程化的账号管理手段，消除传统分散管理模式中出现的僵尸账号、孤儿账号、违建账号现象，提高IT运维管理水平，降低IT运维风险。

（3）银企支付模块

       湖北省烟草商业系统银企支付模块，采用集成方式进行建设，通过内置安全支付模块，实现财务系统与银行支付系统的审批、支付等数据的交互，通过国产密码技术实现湖北烟草和银行之间的授权访问以及加密传输。

（4）电子签章系统

       湖北省烟草商业系统电子签章系统基于密码中台进行开发，利用电子签章和数字印模结合的方式，生成具有法律效应的电子文档。签章文档利用数字签名技术在签名服务器上进行验签，保障签章的真实性和可靠性，同时支持个人手写签名、打印控制、会签等功能，满足湖北烟草公文的各类管理要求。

（5）接口安全管理平台

       湖北省烟草商业系统接口安全管理平台基于密码中台进行开发，在内网区域搭建接口管理平台，使用OTP技术和HMAC等技术。实现业务系统间的接口调用通过接口安全管理平台进行安全调度。通过在业务应用系统中原API接口集成接口认证程序，并通过数字证书系统对接口认证程序进行授权、认证管理，验证湖北烟草业务系统之间安全接口访问，保障湖北烟草的数据安全有序流动。

四

应用效果

       湖北省烟草商业系统商用密码的应用，极大的提升了湖北烟草网络安全防护能力，为全省系统高质量发展提供了安全保障。主要体现在三个方面：

       一是体现在合规性上。按照等级保护管理要求和密码测评管理要求，实现了国产密码技术的全面应用，在业务应用系统实现双因子认证，在关键流程环节实现了签名验签等功能，确保系统安全、数据安全等监管要求。

       二是体现在便捷性上。云密码服务平台实现二维码扫描登录，在提升防护级别的同时，有效改变传统硬件密钥易丢失和损坏的问题。推动桌面端和移动端认证体系融合发展。并将多个系统集成在同一界面进行登录，真正实现“一机在手，全网畅游”的效果。在疫情期间为湖北省烟草商业系统居家办公提供了坚实有力的保障。

       三是体现在规范性上。建立了多个基于国产密码技术的技术和操作规范，包括应用系统接入云密码服务平台接口规范、数据安全接口规范、应用操作规范等。

五

案例亮点和创新点

（一）商用密码应用助力湖北烟草数字化转型

       商用密码技术是维护网络空间安全的基石，在数字经济时代起到不可或缺的作用，是助力湖北烟草数字化转型平稳发展的重要技术手段。湖北省烟草商业系统根据自身安全需求，将商用密码技术场景化的融入生产经营环节，通过技术路径实现业务流程再造，重塑新格局，助力湖北烟草数字化转型开辟新路径、提供新引擎。

（二）商用密码技术实现密码核心设施整合

       通过将云计算和国产密码算法技术进行融合，以集约式建设方式，打造湖北烟草统一的商用密码核心基础设施，实现商用密码的平台化、组件化、模块化，面向全省系统提供安全可靠的密码应用服务，减少密码产品的重复投入和建设，在密码领域实现一次投入、多方合规的建设效果，以最优性价比最大限度的提升商用密码的应用效果。

（三）国产密码算法实现自主可控

       率先在烟草行业开展国产密码算法的升级改造，替换RSA、MD5、AES、SHA1等国际算法，全面采用SM2、SM3、SM4等国产密码算法，彻底摆脱密码技术对国外技术和产品的过度依赖，进一步增强湖北烟草信息系统的自主可控能力。

编发：龚梦琪

审核：王彬