案例精選|帕拉迪助力某大(dà)型商業銀行完成堡壘機國密改造!
發布時(shí)間: 2022.09.28 | 來(lái)源: 帕拉迪

項目簡介:

随着國産化的發展,安全行業的産品國産化也(yě)成爲了(le)重要的研究和(hé)投入方向。較于其他(tā)行業,金(jīn)融科技始終走在信息化的前列。
作(zuò)爲代表的某大(dà)型商業銀行IT信息化普遍發展較早,海量的IT資産、複雜(zá)的架構體系是最爲明(míng)顯的特性,此外(wài)還有分支網點多、性能(néng)要求高(gāo)、安全管理(lǐ)基線更高(gāo)等特點。
近些(xiē)年,随着該行業務量的增加及運維場景的多樣化,傳統堡壘機已無法适應當前的技術架構體系,再加之國産化、國密等銀監會(huì)要求,銀行内部的運維審計(jì)系統亟需替換升級。

項目現(xiàn)狀:

該行從(cóng)項目落地至現(xiàn)階段穩定運維,已重複采購我司多台高(gāo)端配置的堡壘機,設備上(shàng)線後,爲數據中心核心資産提供了(le)多年的安全運維保障。


#1#:生産環境采用(yòng)集群模式2+N提供服務,中心不進行運維,各台節點分攤運維壓力,每周五及每個月底的大(dà)投産向開(kāi)發及運維人員提供穩定服務,現(xiàn)已經托管了(le)上(shàng)千台資産及過萬的設備賬号。該行運維模式遵循所有非查詢賬号都需要進行雙人複核運維的原則,任何變更操作(zuò)都需要有人進行監督進行;

#2#:總行采用(yòng)2台分權模式堡壘機(類SAAS模式),各地分行通過分權模式劃分各個部門(mén),部門(mén)内部資源自(zì)治互不幹涉;

#3#:同城(chéng)災備環境部署2台堡壘機,與生産環境的版本及内容一緻,進行冷備;

#4#:測試環境2堡壘機,新老(lǎo)版本各一台,爲對(duì)接開(kāi)發其他(tā)平台和(hé)生産環境優化升級包提供測試環境。

項目痛點:

應上(shàng)級單位的國密改造文(wén)件要求,各個金(jīn)融企業都需要對(duì)内部核心業務進行國密改造,該行也(yě)是其中之一。堡壘機在國密改造中是關鍵的一部分,該行需要在短時(shí)間内,對(duì)堡壘機的認證、傳輸通道(dào)、存儲及抗抵賴等進行國密改造;
目前使用(yòng)的堡壘機亟需升級達到(dào)規定的國密改造要求。

解決方案:

帕拉迪根據該行的需要及監管要求爲該行目前部署的所有生産環境堡壘機提供完整的國密改造方案,具體爲:
1.針對(duì)堡壘機的認證方式及密碼存儲進行國密改造,實現(xiàn)認證方式和(hé)底層密碼存儲使用(yòng)國密算(suàn)法滿足監管單位國密改造要求。
2.針對(duì)堡壘機的數據抗抵賴及傳輸通道(dào)改造,本次項目實現(xiàn)堡壘機關鍵操作(zuò)簽名驗簽抗抵賴及國密HTTPS通道(dào)的改造。


具體實現(xiàn)情況如下(xià):

1.認證方式

此次項目堡壘機使用(yòng)國密動态令牌系統進行身份認證鑒别,令牌采用(yòng)了(le)國密算(suàn)法,針對(duì)敏感認證信息進行加密傳輸。對(duì)于關聯了(le)動态令牌策略的用(yòng)戶,需要輸入綁定該人員的令牌上(shàng)的6位動态碼及其他(tā)認證信息進行驗證登錄。

此外(wài),此次改造還對(duì)接該行自(zì)身的國密統一認證平台,認證的鑒别信息存儲于國密認證平台内,傳輸過程及存儲都采用(yòng)國密算(suàn)法加密,兩者在堡壘機上(shàng)配置雙因素認證,确保身份認證實現(xiàn)全國密算(suàn)法支持。

2.數據存儲

堡壘機上(shàng)存儲的敏感信息,如托管的資産密碼及用(yòng)戶本地密碼,都以國密算(suàn)法進行加密存儲。

3.傳輸通道(dào)

此次項目通過對(duì)傳輸通道(dào)的改造,提高(gāo)了(le)數據傳輸機密性、保證了(le)數據傳輸完整性,最終該行運維人員可在前台通過專用(yòng)的國密浏覽器進行業務的相關操作(zuò)。

4.數據抗抵賴

升級改造後,堡壘機管理(lǐ)員需要接入國密USBKEY才可以對(duì)堡壘機進行配置操作(zuò),驗證身份後将操作(zuò)指令簽名傳輸到(dào)堡壘機,堡壘機的驗簽服務進行驗簽後才會(huì)執行對(duì)應的指令。


結語:

目前,該改造方案已經在全國多家金(jīn)融單位成功部署實施,并協助客戶通過國密改造檢查,符合國密改造測評對(duì)金(jīn)融單位的要求及技術規範。在客戶側,該改造方案成熟、穩定,部署周期短,不影響客戶業務運行及運維維護,且在身份認證、傳輸通道(dào)、敏感信息存儲及關鍵操作(zuò)抗抵賴層面采用(yòng)國密算(suàn)法相關技術,進一步提高(gāo)堡壘機自(zì)身的安全性,保證信息中心安全運維。

未來(lái),帕拉迪将繼續在密評建設中爲客戶解決實際問題,根據客戶信息系統建設要求不斷完善産品和(hé)解決方案,助力客戶網絡安全建設,爲各行各業的數字化發展保駕護航。


Copyright © 2019 All Rights Reserved Designed
杭州安存網絡科技有限公司