#1#:生產環(huán)境采用集群模式,2+N提供服務,中心不進行運維,各臺節(jié)點分攤運維壓力,每周五及每個月底的大投產向開發(fā)及運維人員提供穩(wěn)定服務,現(xiàn)已經托管了上千臺資產及過萬的設備賬號。該行運維模式遵循所有非查詢賬號都需要進行雙人復核運維的原則,任何變更操作都需要有人進行監(jiān)督進行;
#2#:總行采用2臺分權模式堡壘機(類SAAS模式),各地分行通過分權模式劃分各個部門,部門內部資源自治互不干涉;
#3#:同城災備環(huán)境部署2臺堡壘機,與生產環(huán)境的版本及內容一致,進行冷備;
#4#:測試環(huán)境2臺堡壘機,新老版本各一臺,為對接開發(fā)其他平臺和生產環(huán)境優(yōu)化升級包提供測試環(huán)境。
項目痛點:
應上級單位的國密改造文件要求,各個金融企業(yè)都需要對內部核心業(yè)務進行國密改造,該行也是其中之一。堡壘機在國密改造中是關鍵的一部分,該行需要在短時間內,對堡壘機的認證、傳輸通道、存儲及抗抵賴等進行國密改造;
目前使用的堡壘機亟需升級達到規(guī)定的國密改造要求。
解決方案:
帕拉迪根據該行的需要及監(jiān)管要求為該行目前部署的所有生產環(huán)境堡壘機提供完整的國密改造方案,具體為:
1.針對堡壘機的認證方式及密碼存儲進行國密改造,實現(xiàn)認證方式和底層密碼存儲使用國密算法滿足監(jiān)管單位國密改造要求。
2.針對堡壘機的數(shù)據抗抵賴及傳輸通道改造,本次項目實現(xiàn)堡壘機關鍵操作簽名驗簽抗抵賴及國密HTTPS通道的改造。
具體實現(xiàn)情況如下:
1.認證方式
此次項目堡壘機使用國密動態(tài)令牌系統(tǒng)進行身份認證鑒別,令牌采用了國密算法,針對敏感認證信息進行加密傳輸。對于關聯(lián)了動態(tài)令牌策略的用戶,需要輸入綁定該人員的令牌上的6位動態(tài)碼及其他認證信息進行驗證登錄。
此外,此次改造還對接該行自身的國密統(tǒng)一認證平臺,認證的鑒別信息存儲于國密認證平臺內,傳輸過程及存儲都采用國密算法加密,兩者在堡壘機上配置雙因素認證,確保身份認證實現(xiàn)全國密算法支持。
2.數(shù)據存儲
堡壘機上存儲的敏感信息,如托管的資產密碼及用戶本地密碼,都以國密算法進行加密存儲。
3.傳輸通道
此次項目通過對傳輸通道的改造,提高了數(shù)據傳輸機密性、保證了數(shù)據傳輸完整性,最終該行運維人員可在前臺通過專用的國密瀏覽器進行業(yè)務的相關操作。
4.數(shù)據抗抵賴
升級改造后,堡壘機管理員需要接入國密USBKEY才可以對堡壘機進行配置操作,驗證身份后將操作指令簽名傳輸?shù)奖緳C,堡壘機的驗簽服務進行驗簽后才會執(zhí)行對應的指令。
結語:
目前,該改造方案已經在全國多家金融單位成功部署實施,并協(xié)助客戶通過國密改造檢查,符合國密改造測評對金融單位的要求及技術規(guī)范。在客戶側,該改造方案成熟、穩(wěn)定,部署周期短,不影響客戶業(yè)務運行及運維維護,且在身份認證、傳輸通道、敏感信息存儲及關鍵操作抗抵賴層面采用國密算法相關技術,進一步提高堡壘機自身的安全性,保證信息中心安全運維。
未來,帕拉迪將繼續(xù)在密評建設中為客戶解決實際問題,根據客戶信息系統(tǒng)建設要求不斷完善產品和解決方案,助力客戶網絡安全建設,為各行各業(yè)的數(shù)字化發(fā)展保駕護航。