#1#:生(shēng)産環境采用集群模式,2+N提供服務,中心不進行運維,各台節點分攤運維壓力,每周五及每個月底的大投産向開發及運維人員提供穩定服務,現已經托管了上千台資産及過萬的設備賬号。該行運維模式遵循所有非查詢賬号都需要進行雙人複核運維的原則,任何變更操作都需要有人進行監督進行;
#2#:總行采用2台分權模式堡壘機(jī)(類SAAS模式),各地分行通過分權模式劃分各個部門,部門内部資源自治互不幹涉;
#3#:同城(chéng)災備環境部署2台堡壘機(jī),與生(shēng)産環境的版本及内容一緻,進行冷(lěng)備;
#4#:測試環境2台堡壘機(jī),新老版本各一台,爲對接開發其他(tā)平台和生(shēng)産環境優化升級包提供測試環境。
項目痛點:
應上級單位的國密改造文件(jiàn)要求,各個金融企業都需要對内部核心業務進行國密改造,該行也是其中之一。堡壘機(jī)在國密改造中是關鍵的一部分,該行需要在短(duǎn)時間内,對堡壘機(jī)的認證、傳輸通道、存儲及抗抵賴等進行國密改造;
目前使用的堡壘機(jī)亟需升級達到規定的國密改造要求。
解決方案:
帕拉迪根據該行的需要及監管要求爲該行目前部署的所有生(shēng)産環境堡壘機(jī)提供完整的國密改造方案,具體爲:
1.針對堡壘機(jī)的認證方式及密碼存儲進行國密改造,實現認證方式和底層密碼存儲使用國密算法滿足監管單位國密改造要求。
2.針對堡壘機(jī)的數據抗抵賴及傳輸通道改造,本次項目實現堡壘機(jī)關鍵操作簽名驗簽抗抵賴及國密HTTPS通道的改造。
具體實現情況如(rú)下:
1.認證方式
此次項目堡壘機(jī)使用國密動态令牌系統進行身份認證鑒别,令牌采用了國密算法,針對敏感認證信息進行加密傳輸。對于關聯了動态令牌策略的用戶,需要輸入綁定該人員的令牌上的6位動态碼及其他(tā)認證信息進行驗證登錄。
此外,此次改造還(hái)對接該行自身的國密統一認證平台,認證的鑒别信息存儲于國密認證平台内,傳輸過程及存儲都采用國密算法加密,兩者在堡壘機(jī)上配置雙因素認證,确保身份認證實現全國密算法支持。
2.數據存儲
堡壘機(jī)上存儲的敏感信息,如(rú)托管的資産密碼及用戶本地密碼,都以國密算法進行加密存儲。
3.傳輸通道
此次項目通過對傳輸通道的改造,提高了數據傳輸機(jī)密性、保證了數據傳輸完整性,最終該行運維人員可(kě)在前台通過專用的國密浏覽器進行業務的相(xiàng)關操作。
4.數據抗抵賴
升級改造後,堡壘機(jī)管理員需要接入國密USBKEY才可(kě)以對堡壘機(jī)進行配置操作,驗證身份後将操作指令簽名傳輸到堡壘機(jī),堡壘機(jī)的驗簽服務進行驗簽後才會執行對應的指令。
結語:
目前,該改造方案已經在全國多家金融單位成功部署實施,并協助客戶通過國密改造檢查,符合國密改造測評對金融單位的要求及技術規範。在客戶側,該改造方案成熟、穩定,部署周期短(duǎn),不影(yǐng)響客戶業務運行及運維維護,且在身份認證、傳輸通道、敏感信息存儲及關鍵操作抗抵賴層面采用國密算法相(xiàng)關技術,進一步提高堡壘機(jī)自身的安全性,保證信息中心安全運維。
未來,帕拉迪将繼續在密評建設中爲客戶解決實際問題,根據客戶信息系統建設要求不斷完善産品和解決方案,助力客戶網絡安全建設,爲各行各業的數字化發展保駕護航。