ICS 35.240 CCS L80 T/CCUA 0
中 国 计 算 机 用 户 协 会 团 体 标 准
T/CCUA 0028-2024
流程工业企业 工业互联网数据安全保障
密码应用要求
Process industry enterprise—Industry internet data security
insurance—Requirements for cryptography application
2024-6-21 发布
2024-8-1 实施
中国计算机用户协会 发 布
T/CCUA 0028-2024
目次
前言 ................................................................................. II
1 范围 ................................................................................ 1
2 规范性引用文件 ...................................................................... 1
3 术语和定义 .......................................................................... 1
4 缩略语 .............................................................................. 2
5 应用原则 ............................................................................ 3
6 应用框架 ............................................................................ 3
6.1 密码应用总体框架 ................................................................. 3
6.2 密码应用通用要求 ................................................................. 5
7 应用技术要求 ........................................................................ 5
7.1 流程工业企业工业互联网核心数据 ................................................... 5
7.2 流程工业企业工业互联网重要数据 ................................................... 6
7.3 流程工业企业工业互联网一般数据 ................................................... 7
8 应用管理要求 ........................................................................ 8
8.1 管理制度 ......................................................................... 8
8.2 人员管理 ......................................................................... 8
8.3 建设运行 ......................................................................... 9
8.4 应急处置 ......................................................................... 9
8.5 应用测评 ......................................................................... 9
参考文献 ............................................................................. 10
I
T/CCUA 0028-2024
前言
本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定
起草。
本文件与 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》共同构成流程工业企业
工业互联网数据安全保障密码应用的协调配套标准。其中 GB/T 39786-2021《信息安全技术信息系统密
码应用基本要求》是基础性标准，本文件是在 GB/T 39786-2021 基础上的进一步细化和扩展，根据流程
工业企业工业互联网数据安全保障特性，规定了流程工业企业工业互联网数据安全保障密码应用要求。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国计算机用户协会提出并归口。
本文件起草单位：中国计算机用户协会工业互联网与大数据应用分会、华能信息技术有限公司、中
国华能集团有限公司信息中心、华能新能源股份有限公司山东分公司、北京信大云谷科技有限公司、广
东粤电信息科技有限公司、华能澜沧江水电股份有限公司、中国电力科学研究院有限公司、黄河科技学
院。
本文件主要起草人：崔磊、范伟宁、文子强、王文峰、张扬、李栋梁、刘鹏程、周谷澄、周伟、吴
家乐、胡文斌、王灿、张存斌、张宏、徐菲、孟子涵、刘晓雨、吴健、高飞、李晖、唐慧林、谢新强、
肖榕辉、梁腾翔、尚宇炜、周天、张钊、肖娜、陈兵、王建凯。
II
T/CCUA 0028-2024
流程工业企业 工业互联网数据安全保障 密码应用要求
1 范围
本文件规定了流程工业企业工业互联网数据密码应用的应用原则、应用框架、通用要求、技术要求
和管理要求。
本文件适用于指导流程工业企业工业互联网数据安全保障密码应用的规划、建设、运行及测评。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求
3 术语和定义
下列术语和定义适用于本文件。
3.1
流程工业 process industry
利用化学反应、分离或混合等技术手段制造新产品，改进已有产品或处理废弃物的工业。
流程工业包含以下行业：石油、化工、矿业、钢铁、有色、电力、建材、废弃物处理、造纸等。
流程工业不包括以下行业：装备，机械制造及其类似行业。也不包括有特殊要求或需要特殊批准的行业。
3.2
工业互联网 industrial internet
新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态，通过对人、机、
物、系统等的全面连接，构建起覆盖全产业链、全价值链的全新制造和服务体系。
3.3
生产控制大区 production control zone
由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的监控系统构成的安全区域。
3.4
控制区 control sub zone
由具有实时监控功能、纵向联接使用实时子网或者专用通道的各业务系统构成的安全区域。
3.5
非控制区 non-control sub zone
在生产控制范围内由在线运行但不直接参与控制、是流程工业生产过程的必要环节、纵向联接使用
非实时子网的各业务系统构成的安全区域。
3.6
管理信息大区 management information zone
生产控制大区之外,主要由企业管理办公业务系统及办公网络构成的安全区域。
1
T/CCUA 0028-2024
3.7
机密性 confidentiality
保证信息不被泄露给非授权实体的性质。
3.8
完整性 integrity
数据没有遭受以非授权方式所作的改变的性质。
3.9
真实性 authenticity
一个实体是其所声明实体的这种特性。真实性适用于用户、进程、系统和信息之类的实体。
3.10
不可否认性 non-repudiation
证明一个已经发生的操作行为无法否认的性质。
3.11
加密 encipherment；encryption
对数据进行密码变换以产生密文的过程。
3.12
密钥 key
控制密码算法运算的关键信息或参数。
3.13
密码基础设施 cryptography infrastructure
提供鉴别、加密、完整性和不可否认性服务的信息安全基础设施。
3.14
数字证书 digital certificate
具有权威性、可信性和公正性的证书认证机构（CA）进行数字签名的一个可信的数字化文件。
3.15
非可控网络 non-control network
运营主体不能确认其安全性的网络，包括但不限于专用有线通信网、公用通信网（如租用的运营商
的专线、5G、卫星微波）等。
3.16
非对称密码算法 asymmetric cryptographic algorithm
加密和解密使用不同密钥的密码算法。其中一个密钥（公钥）可以公开，另一个密钥（私钥）必须
保密，且由公钥求解私钥是计算不可行的。
3.17
身份认证 authentication
专用于确定传输、消息或发信方的有效性的安全措施，或者对接受特定的信息类别的个人授权进行
验证的手段。
4 缩略语
下列缩略语适用于本文件。
CA：数字证书认证中心（Certificate Authority）
PKI：公钥基础设施（Public Key Infrastructure)
2
T/CCUA 0028-2024
5 应用原则
结合流程工业企业工业互联网系统特性和面临网络安全威胁，流程工业企业工业互联网数据安全
保障密码应用遵循以下基本原则：
a) 分级保护：结合企业自身实际，将流程工业数据分为核心、重要、一般等 3 个级别，数据分级
标准可遵循 GB/T 43697-2024《数据安全技术 数据分类分级的规则》、工业和信息化部办公
厅印发的《工业数据分类分级指南（试行）》（工信厅信发〔2020〕6 号）相关要求，针对不
同级别数据采用相应的密码防护策略；
b) 应用合规：数据安全防护采用的密码算法、技术、产品和服务应遵守 GB/T 39786-2021 第 5 章
规定的要求；
c) 策略可控：采用密码机制对非可控网络中数据进行安全防护时，应由企业制定、管理密码防护
策略，密钥和证书由企业密码基础设施管理。
6 应用框架
6.1 密码应用总体框架
图1 流程工业企业工业互联网数据安全保障密码应用总体框架
本文件从流程工业企业工业互联网数据生命周期的数据采集、数据传输、数据存储、数据处理、数
据交换五个阶段，以及贯穿数据生命周期的策略管理提出密码应用技术要求，保障网络实体身份真实性、
重要数据的机密性和完整性、操作行为的不可否认性；并从管理制度、人员管理、建设运行、应急处置、
应用测评五个方面提出密码应用管理要求，为流程工业企业工业互联网数据安全提供管理方面的密码
应用安全保障（见图 1）。
3
T/CCUA 0028-2024
图2 流程工业企业工业互联网数据安全保障密码应用部署
流程工业企业工业互联网系统内部基于计算机和网络技术的业务系统，应划分为生产控制大区和
管理信息大区（见图 2）。生产控制大区可以分为控制区(安全区 I)和非控制区(安全区Ⅱ)；管理信息
大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分生产管理区（安全区
Ⅲ）、信息管理区（安全区Ⅳ）等安全区。
生产控制大区中，宜将业务系统完整置于一个安全区内，但当业务系统的某些功能模块与此业务系
统不属于同一个安全区内时，可将其功能模块分置于不同的安全区中；安全区之间数据通信，应通过密
码措施实现数据的完整性、机密性保护。
控制区上下级之间数据通信使用实时子网或专用通道进行传输，应通过密码措施实现身份认证、数
据的完整性和机密性保护；非控制区上下级之间数据通信使用非实时子网进行传输，应通过密码措施实
现身份认证、数据的完整性和机密性保护；实时子网与非实时子网之间实现逻辑隔离。
生产控制大区与管理信息大区之间如需通信，应设置经国家指定部门检测认证的专用单向隔离装
置，生产控制大区到管理信息大区的数据传输应采用正向隔离装置，并通过密码措施实现数据的完整性、
机密性保护；管理信息大区到生产控制大区若有必要进行数据传输，应采用反向隔离装置，并通过密码
措施实现数据的完整性、机密性保护。
生产控制大区的业务系统在与其终端的纵向联接中使用专用有线通信网或公用通信网进行通信的，
两端均应采用相应的密码措施，实现双向身份认证、访问控制，以及数据完整性和机密性保护。其中，
使用公用通信网进行通信的，应设立安全接入区，并通过单向隔离装置接入生产控制大区。
4
T/CCUA 0028-2024
管理信息大区在通过内部专网与外部公共因特网进行数据传输时，应采用具备加密认证功能的防
火墙，实现安全传输。
6.2 密码应用通用要求
流程工业企业工业互联网数据密码应用应满足以下通用要求：
a) 应构建密码服务基础设施，实现对称加解密、非对称加解密、哈希函数计算等密码运算功能，
支持身份鉴别、加解密、完整性保护等服务；
b) 密码服务基础设施应采用国产非对称密码算法（SM2）标准、国产哈希函数算法（SM3）标准、
国产对称密码算法（SM4）标准；
c) 密码服务基础设施应支持 PKI/CA 系统，为流程工业企业的用户、机构、设备、应用提供统一
的数字证书发放和生命周期管理；
d) 密码服务基础设施应为流程工业企业的用户、机构、设备、应用提供身份认证功能，确保人员、
机构、设备、应用身份的真实性、可信性；
e) 密码服务基础设施应具备密钥管理功能，提供统一的密钥生成和生命周期管理服务。
7 应用技术要求
7.1 流程工业企业工业互联网核心数据
7.1.1 数据采集
本级要求包括：
a) 应采用密码技术验证数据提供实体的身份；
b) 应采用密码技术保证采集数据的完整性；
c) 应采用密码技术对采集数据进行安全标识；
d) 应采用密码技术提供数据原发证据和接收证据，实现数据原发行为和接收行为的不可否认性；
e) 应采用密码技术保证数据采集操作审计记录的完整性。
7.1.2 数据传输
本级要求包括：
a) 应采用密码技术对通信实体进行双向身份鉴别，保证通信实体身份的真实性；
b) 应采用密码技术保证传输过程中数据的完整性；
c) 应采用密码技术保证传输过程中数据的机密性；
d) 应采用密码技术实现不同业务数据传输的信道隔离；
e) 应采用密码技术保证数据传输操作审计记录的完整性。
7.1.3 数据存储
本级要求包括：
a) 应采用密码技术保证存储过程中数据的完整性；
b) 应采用密码技术保证存储过程中数据的机密性；
c) 应采用密码技术保证数据存储操作审计记录的完整性。
7.1.4 数据处理
本级要求包括：
5
T/CCUA 0028-2024
a) 应采用密码技术鉴别数据访问实体身份；
b) 应采用密码技术保证数据在处理过程中的机密性；
c) 应采用密码技术对数据访问和操作权限进行控制，限定用户可访问数据范围；
d) 应采用密码技术保证数据处理过程审计记录的完整性。
7.1.5 数据交换
本级要求包括：
a) 应采用密码技术鉴别参与数据交换的实体身份，保证身份的真实性；
b) 应采用密码技术保证交换数据的完整性；
c) 应采用密码技术防止数据交换造成用户隐私泄露；
d) 应采用密码技术提供数据交换过程中的原发证据和接收证据，实现数据交换行为的不可否认
性；
e) 应采用密码技术保证数据交换过程审计记录的完整性。
7.1.6 策略管理
本级要求包括：
a) 应对密码策略进行基于平台的统一管理；
b) 应采用密码技术鉴别策略管理人员身份；
c) 应采用密码技术保证密码策略操作审计记录的完整性。
7.2 流程工业企业工业互联网重要数据
7.2.1 数据采集
本级要求包括：
a) 应采用密码技术验证数据提供实体的身份；
b) 应采用密码技术保证采集数据的完整性；
c) 宜采用密码技术对采集数据进行安全标识；
d) 宜采用密码技术提供数据原发证据和接收证据，实现数据原发行为和接收行为的不可否认性；
e) 应采用密码技术保证数据采集操作审计记录的完整性。
7.2.2 数据传输
本级要求包括：
a) 宜采用密码技术对通信实体进行双向身份鉴别，保证通信实体身份的真实性；
b) 应采用密码技术保证传输过程中数据的完整性；
c) 应采用密码技术保证传输过程中数据的机密性；
d) 宜采用密码技术实现不同业务数据传输的信道隔离；
e) 应采用密码技术保证数据传输操作审计记录的完整性。
7.2.3 数据存储
本级要求包括：
a) 宜采用密码技术保证存储过程中数据的完整性；
b) 应采用密码技术保证存储过程中数据的机密性；
c) 应采用密码技术保证数据存储操作审计记录的完整性。
6
T/CCUA 0028-2024
7.2.4 数据处理
本级要求包括：
a) 应采用密码技术鉴别数据访问实体身份；
b) 宜采用密码技术保证数据在处理过程中的机密性；
c) 宜采用密码技术对数据访问和操作权限进行控制，限定用户可访问数据范围；
d) 应采用密码技术保证数据处理过程审计记录的完整性。
7.2.5 数据交换
本级要求包括：
a) 应采用密码技术鉴别参与数据交换的实体身份，保证身份的真实性；
b) 应采用密码技术保证交换数据的完整性；
c) 宜采用密码技术防止数据交换造成用户隐私泄露；
d) 宜采用密码技术提供数据交换过程中的原发证据和接收证据，实现数据交换行为的不可否认
性；
e) 应采用密码技术保证数据交换过程审计记录的完整性。
7.2.6 策略管理
本级要求包括：
a) 应对密码策略进行基于平台的统一管理；
b) 宜采用密码技术鉴别策略管理人员身份；
c) 应采用密码技术保证密码策略操作审计记录的完整性。
7.3 流程工业企业工业互联网一般数据
7.3.1 数据采集
本级要求包括：
a) 可采用密码技术验证数据提供实体的身份；
b) 可采用密码技术保证数据的完整性；
c) 宜采用密码技术保证数据采集操作审计记录的完整性。
7.3.2 数据传输
本级要求包括：
a) 可采用密码技术保证传输过程中数据的完整性；
b) 可采用密码技术保证传输过程中数据的机密性；
c) 宜采用密码技术保证数据传输操作审计记录的完整性。
7.3.3 数据存储
本级要求包括：
a) 可采用密码技术保证存储数据的机密性；
b) 宜采用密码技术保证数据存储操作审计记录的完整性。
7.3.4 数据处理
本级要求包括：
7
T/CCUA 0028-2024
a) 可采用密码技术鉴别数据访问实体身份；
b) 宜采用密码技术保证数据处理过程审计记录的完整性。
7.3.5 数据交换
本级要求包括：
a) 可采用密码技术鉴别参与数据交换的实体身份，保证身份的真实性；
b) 可采用密码技术保证交换数据的完整性；
c) 宜采用密码技术保证数据交换过程审计记录的完整性。
7.3.6 策略管理
本级要求包括：
a) 可对密码策略进行基于平台的统一管理；
b) 宜采用密码技术保证密码策略操作审计记录的完整性。
8 应用管理要求
8.1 管理制度
管理制度要求包括：
a) 应具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、应用测
评、密码软硬件及介质管理等制度；
b) 应对管理人员、安全审计人员或操作人员执行的日常管理操作建立操作规程；
c) 应根据密码应用方案建立相应密钥管理规则；
d) 应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定，对存在不足或
需要改进之处进行修订；
e) 应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制；
f) 应具有密码应用操作规程的相关执行记录并妥善保存。
8.2 人员管理
人员管理要求包括。
a) 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度；
b) 应建立密码应用岗位责任制度，明确各岗位在安全系统中的职责和权限如下：
1) 根据密码应用的实际情况，设置密钥管理员、密码安全审计员、密码操作员等关键安全岗
位；
2) 对关键岗位建立多人共管机制；
3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督，其中密码安全审计员岗
位不可与密钥管理员、密码操作员兼任；
4) 相关设备与系统的管理和使用账号不得多人共用；
5) 密钥管理员、密码安全审计员、密码操作员应由本机构的内部员工担任，并应在任前对其
进行背景调查。
c) 应建立上岗人员培训制度，对于涉及密码的操作和管理的人员进行专门培训，确保其具备岗位
所需专业技能；
d) 应定期对密码应用安全岗位人员进行考核；
e) 应建立关键人员保密制度和调离制度，签订保密合同，承担保密义务。
8
T/CCUA 0028-2024
8.3 建设运行
建设运行要求包括：
a) 应依据密码相关标准和密码应用需求，制定密码应用方案，密码措施与信息基础设施同步规划、
同步建设、同步运行；
b) 应根据密码应用方案，确定系统涉及的密钥种类、体系及其生存周期环节，各环节密钥管理要
求参照 GB/T 39786-2021 附录 B；
c) 应按照密码应用方案实施建设；
d) 投入运行前应进行密码应用安全性评估，评估通过后系统方可正式运行；
e) 在运行过程中，应严格执行既定的密码应用安全管理制度，应定期开展密码应用安全性评估及
攻防对抗演习，并根据评估结果进行整改。
8.4 应急处置
应急处置要求包括：
a) 应制定密码应用应急策略，做好应急资源准备，当密码应用安全事件发生时，应立即启动应急
处置措施，结合实际情况及时处置；
b) 事件发生后，应及时向信息系统主管部门及归属的密码管理部门进行报告；
c) 事件处置完成后，应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置
情况。
8.5 应用测评
应用测评要求包括：
a) 在系统规划及建设阶段，应自行或者委托密码检测机构对密码应用方案进行密码应用安全性评
估；
b) 信息系统建成运行后，应自行或者委托密码检测机构按照关键信息基础设施保护、网络安全等
级保护相关要求开展密码应用安全性评估，涉密信息系统按相关要求执行；
c) 开展密码应用安全性评估活动，应当遵守法律法规、标准规范要求，遵循客观实际、科学公正、
诚实信用原则。
9
T/CCUA 0028-2024
参考文献
[1] GB/T 17901.1-2020 信息技术 安全技术 密钥管理 第 1 部分：框架
[2] GB/T 22135—2019 流程工业中电气、仪表和控制系统的试车 各特定的阶段和里程碑
[3] GB/T 37092-2018《信息安全技术 密码模块安全要求》
[4] GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型
[5] GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求
[6] GB/T 42021-2022 工业互联网 总体网络架构
[7] GB/T 43697-2024《数据安全技术 数据分类分级的规则》
[8] GM/T 0115—2021 信息系统密码应用测评要求
[9] GM/Z 4001—2013 密码术语
10