热门产品
热门解决方案
热门解决方案
热门解决方案
运营商行业案例
联系我们
某联通省公司互联网信息安全管理系统商密改造案例
发布日期:2026/04/21
一、引言
为贯彻落实《密码法》、《商用密码管理条例》和《贯彻等保和关保保护制度指导意见》等相关法律法规要求,三级及以上系统应采用密码技术进行保护,按照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》相关标准,开展密码应用安全性评估。同时在工信部下发的《2025年基础电信企业专业公司网络与信息安全工作考核要点与评分标准》中,商密应用考核要求各运营商省公司、专业公司在关基和定级备案三级及以上有关领域的存量或新增网络系统中,至少选取2个网络系统开展商用密码应用改造。
二、客户痛点
- 互联网信息安全管理系统面临政策合规刚性约束强、系统分布式架构复杂、现有密码体系与国密标准脱节、缺乏统一改造路径四大核心痛点,亟需在保障业务连续性的前提下,开展覆盖“1中心+7探针”全节点的商用密码合规化、体系化、标准化改造,以规避考核风险。
- 合规压力紧迫,考核风险突出:根据工信部开展商用密码应用安全性评估与改造要求,未按期完成的,将扣减年度考核分。某联通省公司互联网信息安全管理系统作作为支撑全区IDC与互联网专线安全监管的核心平台,已纳入三级系统范畴,但尚未完成商用密码合规改造,面临严峻的监管合规缺口与考核扣分风险。
- 现有安全体系与商密要求存在断层:当前系统虽已具备较完善的安全防护能力(如防火墙、入侵检测、日志审计等),但多数环节仍依赖通用密码算法(如RSA、AES),未按相关标准要求实现密码应用的全链条国产化与合规化,尤其在数据传输加密、存储加密、身份鉴别、完整性保护等关键环节缺乏国密算法支撑,无法满足“密评”中对“物理环境、网络通信、设备与计算、应用与数据”四个层面的密码应用要求,存在“重边界防护、轻密码内生”的典型短板。
- 系统架构复杂,改造实施难度高:该系统采用“1中心+7探针”分布式部署模式,覆盖全区8个物理机房,涉及管理节点(基地)与多个边缘探针节点的协同运行。在此背景下,商密改造不仅需保障核心业务连续性与低延迟性能,还需统筹考虑跨节点密钥分发、统一身份认证、加密传输通道构建及国密算法兼容性等技术挑战,传统“单点式”密码改造方案难以适配其分布式、高并发、强实时的业务特征。
- 缺乏统筹规划与标准化实施路径:面对多节点、多厂商设备、异构系统集成的现实,亟需一套覆盖全生命周期、适配自身架构特点的商用密码整体解决方案,而非碎片化补丁式改造。若缺乏顶层设计与统一标准,易导致重复投入、密钥管理混乱、系统兼容性差等问题,进一步加剧改造成本与运维负担。
三、解决方案
针对某联通省公司互联网信息安全管理系统面临的合规压力与技术挑战,项目以GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等国家标准为依据,遵循“制度规范、技术落地、密钥可控、持续运营”的总体思路,构建覆盖物理环境、网络通信、设备计算、应用数据四层安全域的商用密码应用体系,全面保障系统重要数据的完整性、机密性、真实性与不可否认性。
- 通过部署签名验签服务器(实现通信实体身份鉴别与操作不可否认)、服务器密码机(支撑核心业务加解密与密钥安全管理)、国密SSL VPN网关与国密IPSec VPN网关(保障远程接入与跨节点通信的机密性与完整性),以及国密堡垒机(强化运维人员身份鉴别、操作审计与访问控制信息完整性)等,系统性覆盖三大安全域要求。
- 通过制定商密管理制度与运维规范,将密码应用纳入日常巡检与密评自检流程,形成“建—用—管—评”闭环,提升体系化安全运营能力。
- 严格对照GB/T 39786-2021等标准逐项整改,确保身份鉴别、数据加密、完整性校验等关键控制点满足密评要求,如期通过第三方测评,规避考核扣分风险。
四、实际应用
国密SSL VPN安全网关部署在互联网信息安全管理系统的网络边界,国密安全浏览器/智能密码钥匙及国密客户端个人证书部署在客户终端。
- 国密IPSEC VPN安全网关部署在管理节点前的汇聚分流设备侧,以及探针节点汇聚侧。
- 签名验签服务器、服务器密码机、国密堡垒机等密码设备部署在管理节点机房的安全管理区域,国密安全浏览器部署在客户终端,用于登录信息安全管理系统。
五、项目效果
互联网信息安全管理系统全面满足《商用密码应用安全性评估》要求,顺利通过密评;实现8个节点间通信全程国密加密,关键数据传输与存储机密性、完整性、不可否认性以及身份鉴别、日志审计、程序可信等核心控制项全部覆盖,有效规避监管年度考核扣分风险。系统安全韧性显著增强,为互联网信息安全管理系统提供坚实密码保障,形成可复制的省级电信企业商密改造样板。
申请下载