2023年7月1日，新修訂的《商用密碼管理條例》（以下簡稱《條例》）正式施行，條例規定“關鍵信息基礎設施通過商用密碼應用安全性評估方可投入運行，運行后每年至少進行一次評估”。作為關鍵信息基礎設施中主要行業之一，電力行業包含多種涉及國計民生的重要信息系統，建立完善商用密碼應用安全性評估體系勢在必行。

近年來，國家陸續發布多項密碼建設相關的政策，《“十四五”現代能源體系規劃》提出加快推進電力信息系統密碼基礎設施建設工程、《電力行業網絡安全等級保護管理辦法》規定電力企業應當按照國家有關規定開展商用密碼應用安全性評估和網絡安全審查等工作，未達到要求的應當及時進行整改。電力行業開展密評工作是應對網絡安全嚴峻形勢的迫切需要，也是系統安全維護的必然要求。

根據電力行業實際需求，天融信以密碼技術應用為基礎，將網絡安全融合商用密碼，通過天融信堡壘機、服務器密碼機、簽名驗簽服務器等產品提供密碼應用技術支撐，從物理與環境安全、網絡與通信安全、設備與計算安全、應用與數據安全四個層面，助力電力行業客戶量身打造符合相關要求的密碼應用體系，助力數字電力夯實安全底座。

1、物理與環境安全

對于機房等日常需要嚴格進行身份核驗的場所，常存在非授權人員進入，以及相關進出記錄、視頻監控記錄明文傳輸的問題。建議在重要系統所在機房部署符合 GM/T 0036-2014 標準要求的電子門禁系統，對進出機房人員進行身份鑒別。

同時，在機房環境監控區部署服務器密碼機、國密音視頻監控系統等，對電子門禁及視頻監控系統的記錄數據，進行傳輸機密性和存儲完整性保護。

2、網絡與通信安全

對于非授權設備接入內部網絡、通信數據在信息系統外部被非授權獲取的問題。建議在網絡接入區和下屬單位分別部署加密機，通過數字證書實現在通信前雙方的身份鑒別，同時建立安全的數據傳輸通道，對通信數據進行完整性保護。

另外對于重要系統的移動端App使用Http協議建立數據傳輸通道，未使用密碼技術建立安全的數據傳輸通道的問題，建議在重要系統的移動端App中部署移動端密碼模塊，并在網絡接入區邊界部署符合密評相關標準要求加密安全網關，建立安全的移動端App數據傳輸通道。

3、設備與計算安全

對于非授權人員登錄網絡內設備、管理員遠程登錄身份鑒別信息被非授權竊取、重要程序或文件被篡改以及設備日志記錄明文傳輸的問題。建議在安全管理區域部署堡壘機，實現對設備層運維資源的全面安全管控，并調用堡壘機內置國密加密卡接口，實現對堡壘機運維授權清單數據的加密校驗；在業務辦公區電腦端部署國密安全瀏覽器，在堡壘機前部署加密機，并向系統管理員配發智能密碼鑰匙，對登錄堡壘機的用戶進行身份鑒別，同時對管理員遠程登錄的身份鑒別信息進行傳輸機密性保護，解決非授權人員登錄設備、管理員遠程登錄身份鑒別信息被非授權竊取的問題。

此外，在重要系統的應用服務區部署服務器密碼機，應用服務器中所有重要程序或文件在生成時通過調用服務器密碼機進行完整性保護，同時服務器密碼機可對應用服務器、數據庫服務器等設備的日志進行完整性保護。

4、應用與數據安全

對于應用系統用戶非授權登錄，電力企業重要數據明文傳輸、存儲、未完整性保護，以及已部署的身份鑒別認證系統的應用用戶訪問權限控制列表明文存儲、調用的問題。

建議在應用系統的移動端App中部署移動端密碼模塊、在網絡接入區邊界部署加密安全網關，同時部署數字證書認證系統，通過數字證書認證系統分別向移動端密碼模塊、加密機、配置數字證書，實現移動端登錄應用用戶的安全身份鑒別，防止移動端非授權人員登錄應用系統；同時在系統業務辦公區電腦端部署國密安全瀏覽器，并向內網用戶配發智能密碼鑰匙，在業務服務區部署加密機，實現對 PC 端登錄用戶的安全身份鑒別。

另外，建議部署服務器密碼機，通過服務器密碼機對應用系統中重要數據的存儲過程進行機密性和完整性保護。并在系統網絡內部署簽名驗簽服務器，對電力企業的身份鑒別認證系統應用用戶訪問權限控制列表進行完整性保護，防止應用資源被非授權用戶篡改。同時應用服務器可通過調用簽名驗簽服務器，對可能涉及法律責任認定的數據原發操作信息進行數字簽名。

作為網絡安全、大數據與云服務提供商，天融信持續深耕密碼安全領域，科學推動商用密碼技術與新興技術的融合，形成了完整的商用密碼支撐體系，從產品、方案、服務三方面推動密評建設落地。未來，天融信也將繼續深耕密碼安全領域，積極推動密碼安全建設。