分享

基于优炫数据库的银行秘钥管理平台的构建与实现

业务效果
秘钥管理平台在保障密码资源高效使用率的前提下,使整个平台中的密码计算资源保持负载均衡状态,为用户提供安全、稳定、高效的可定制密码服务管理平台。
关键举措
项目中,优炫数据库提供三权分立安全管理机制、身份鉴别、自主访问控制、行列级访问控制、强制访问控制、安全审计等功能,保障用户数据的完整性与保密性;支持第三方硬件安全模块对接和密钥管理等全面数据安全技术及完善的安全管控手段;采用可信计算理念与技术,确保客户数据资产安全;支持国密等算法。
应用场景
秘钥管理平台主要面向金融领域。系统整合多台密码设备,形成一套统一、有效的管理体系和管理模型,集中管理不同类型的密码设备,统一管理各种应用系统使用的各种密钥,为上层密码应用主体提供密码服务虚拟化,解决其对密码设备以及相关密钥管理混乱状态,及后继开发困难等诸多问题,构筑金融安全整体防护体系。
适用规模
本案例适用的用户数量:15000人至30000人;并发量:800TPS至2000TPS;达到该规模所使用的硬件节点数量为:3。
技术路线
秘钥管理平台针对不同的应用领域和应用场景,可拆分为密码管理系统和密码服务系统。密码管理系统侧重密码安全管理部分,密码服务系统则负责提供基于密码机的交易服务,两者既可单独运行、也可有机结合整体运行。
实施方案
秘钥管理单轨运行的整体目标即在保证系统数据准确性、一致性和完整性的基础上,实现数据的一次性录入,避免由于并行带来无效率的,重复劳动。通过数据系统的交互及共享,逐步完善各系统和秘钥管理平台的集成接口,实现一体化的密钥管理平台。
关键指标
优炫数据库提供三权分立安全管理机制、身份鉴别、自主访问控制、标记、强制访问控制、数据流控制、安全审计、用户数据完整性、用户数据保密性全部安全特性;采用全库加密、列加密、表、行级访问授权、通信信道加密、基于会话的访问隔离、内置数据库审计等措施保证数据安全;支持 SCRAM 认证时绑定通道、GSSAPI 认证时客户端和服务端加密;支持国密等算法、硬件加密与密钥管理,支持 SM2、SM3、SM4、SM9 国密加密算法和 AES、DES、3DES、Blowfish、RC4 等国际标准加密算法;提供用户加解密权限,灵活控制用户访问敏感数据。满足敏感数据加密存储与应用。
创新示范效果:
1)应用程度
在传统密码应用场景中,通常由应用系统直接调用密码机完成加解密操作,不仅接口开发工作量较大,并且无法实现对密码机的集中管理和统一维护。针对银行数据大集中,建立一套完善且统一的密码体系来保障整个银行系统中业务数据的安全性,具有十分重要的意义,同时也是一项复杂的系统工程。随着银行行业务发展的需要,需要通过国产化平台提供加解密及加签验签支持的系统数量、规模将会不断扩大,业务覆盖范围将会越来越全面,需要采用国产化的硬件设备与基础软件,通过与现有业务系统的适配测试与应用兼容性测试,建成全国产化的密钥管理平台,与现有密钥管理平台实现负载均衡部署,共同支撑银行各个业务 系统的加解密及加签验签需求。
2)覆盖范围
随着银行信息系统业务的不断发展,密码设备种类和数量的不断增长,银行在密码设备管理和密钥管理等方面也都提出了更高的安全强度与管理便捷的需求。由于密码设备管理方式、应用模式、设备形态等存在较大差异,如果不建立有效的设备集中管理和维护手段,且密码设备不能重复使用,势必造成极大的物力和人力资源浪费。
建设统一密码服务平台,使各业务系统能够直接与平台进行密码接口调用,由平台统一适配各品牌、型号的密码机设备,实现密码服务的统一调用,并能够通过平台对密码机设备进行状态监测和健康检查,帮助用户实现对密码机的集中管理和统一维护。
1c9da7e49b8c46d9a8700d92ad26de08.png.jpg
22业务流程
3)实施周期
银行通过国产化的软硬件环境,如服务器、操作系统、云平台、数 据库、中间件、及密钥管理平台等国产化基础软件及硬件支持,搭建国产化的密 钥管理平台。目前建成的密钥管理平台,部署在新中心机房,下挂加密设备包括多种类型的加密机,支持行内各类业务。新建的国产化密钥管理平台与现有密钥 管理平台需支持下挂的加密设备,包括但不限于已有的加密机,并良好支持行内各类业务,包括但不限于核心、网联、银联、电话银行等多个业务系统的运行。

版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系在线客服