#1#:生(shēng)産環境采用集群模式,2+N提供服務,中(zhōng)心不進行運維,各台節點分(fēn)攤運維壓力,每周五及每個月底的大(dà)投産向開(kāi)發及運維人員(yuán)提供穩定服務,現已經托管了上千台資(zī)産及過萬的設備賬号。該行運維模式遵循所有非查詢賬号都需要進行雙人複核運維的原則,任何變更操作都需要有人進行監督進行;
#2#:總行采用2台分(fēn)權模式堡壘機(類SAAS模式),各地分(fēn)行通過分(fēn)權模式劃分(fēn)各個部門,部門内部資(zī)源自治互不幹涉;
#3#:同城災備環境部署2台堡壘機,與生(shēng)産環境的版本及内容一(yī)緻,進行冷備;
#4#:測試環境2台堡壘機,新老版本各一(yī)台,爲對接開(kāi)發其他平台和生(shēng)産環境優化升級包提供測試環境。
項目痛點:
應上級單位的國密改造文件要求,各個金融企業都需要對内部核心業務進行國密改造,該行也是其中(zhōng)之一(yī)。堡壘機在國密改造中(zhōng)是關鍵的一(yī)部分(fēn),該行需要在短時間内,對堡壘機的認證、傳輸通道、存儲及抗抵賴等進行國密改造;
目前使用的堡壘機亟需升級達到規定的國密改造要求。
解決方案:
帕拉迪根據該行的需要及監管要求爲該行目前部署的所有生(shēng)産環境堡壘機提供完整的國密改造方案,具體(tǐ)爲:
1.針對堡壘機的認證方式及密碼存儲進行國密改造,實現認證方式和底層密碼存儲使用國密算法滿足監管單位國密改造要求。
2.針對堡壘機的數據抗抵賴及傳輸通道改造,本次項目實現堡壘機關鍵操作簽名驗簽抗抵賴及國密HTTPS通道的改造。
具體(tǐ)實現情況如下(xià):
1.認證方式
此次項目堡壘機使用國密動态令牌系統進行身份認證鑒别,令牌采用了國密算法,針對敏感認證信息進行加密傳輸。對于關聯了動态令牌策略的用戶,需要輸入綁定該人員(yuán)的令牌上的6位動态碼及其他認證信息進行驗證登錄。
此外(wài),此次改造還對接該行自身的國密統一(yī)認證平台,認證的鑒别信息存儲于國密認證平台内,傳輸過程及存儲都采用國密算法加密,兩者在堡壘機上配置雙因素認證,确保身份認證實現全國密算法支持。
2.數據存儲
堡壘機上存儲的敏感信息,如托管的資(zī)産密碼及用戶本地密碼,都以國密算法進行加密存儲。
3.傳輸通道
此次項目通過對傳輸通道的改造,提高了數據傳輸機密性、保證了數據傳輸完整性,最終該行運維人員(yuán)可在前台通過專用的國密浏覽器進行業務的相關操作。
4.數據抗抵賴
升級改造後,堡壘機管理員(yuán)需要接入國密USBKEY才可以對堡壘機進行配置操作,驗證身份後将操作指令簽名傳輸到堡壘機,堡壘機的驗簽服務進行驗簽後才會執行對應的指令。
結語:
目前,該改造方案已經在全國多家金融單位成功部署實施,并協助客戶通過國密改造檢查,符合國密改造測評對金融單位的要求及技術規範。在客戶側,該改造方案成熟、穩定,部署周期短,不影響客戶業務運行及運維維護,且在身份認證、傳輸通道、敏感信息存儲及關鍵操作抗抵賴層面采用國密算法相關技術,進一(yī)步提高堡壘機自身的安全性,保證信息中(zhōng)心安全運維。
未來,帕拉迪将繼續在密評建設中(zhōng)爲客戶解決實際問題,根據客戶信息系統建設要求不斷完善産品和解決方案,助力客戶網絡安全建設,爲各行各業的數字化發展保駕護航。