#1#:生産環境采用集群模式,2+N提供服務,中心不進行(xíng)運維,各台節點分攤運維壓力,每周五及每個月底的(de)大投産向開發及運維人員提供穩定服務,現已經托管了上千台資産及過萬的(de)設備賬号。該行(xíng)運維模式遵循所有(yǒu)非查詢賬号都需要進行(xíng)雙人複核運維的(de)原則,任何變更操作都需要有(yǒu)人進行(xíng)監督進行(xíng);
#2#:總行(xíng)采用2台分權模式堡壘機(jī)(類SAAS模式),各地(dì)分行(xíng)通過分權模式劃分各個部門,部門內(nèi)部資源自(zì)治互不幹涉;
#3#:同城災備環境部署2台堡壘機(jī),與生産環境的(de)版本及內(nèi)容一(yī)緻,進行(xíng)冷備;
#4#:測試環境2台堡壘機(jī),新老版本各一(yī)台,為(wèi)對接開發其他平台和(hé)生産環境優化升級包提供測試環境。
項目痛點:
應上級單位的(de)國(guó)密改造文件要求,各個金融企業都需要對內(nèi)部核心業務進行(xíng)國(guó)密改造,該行(xíng)也是其中之一(yī)。堡壘機(jī)在國(guó)密改造中是關鍵的(de)一(yī)部分,該行(xíng)需要在短(duǎn)時間內(nèi),對堡壘機(jī)的(de)認證、傳輸通道(dào)、存儲及抗抵賴等進行(xíng)國(guó)密改造;
目前使用的(de)堡壘機(jī)亟需升級達到規定的(de)國(guó)密改造要求。
解決方案:
帕拉迪根據該行(xíng)的(de)需要及監管要求為(wèi)該行(xíng)目前部署的(de)所有(yǒu)生産環境堡壘機(jī)提供完整的(de)國(guó)密改造方案,具體為(wèi):
1.針對堡壘機(jī)的(de)認證方式及密碼存儲進行(xíng)國(guó)密改造,實現認證方式和(hé)底層密碼存儲使用國(guó)密算法滿足監管單位國(guó)密改造要求。
2.針對堡壘機(jī)的(de)數據抗抵賴及傳輸通道(dào)改造,本次項目實現堡壘機(jī)關鍵操作簽名驗簽抗抵賴及國(guó)密HTTPS通道(dào)的(de)改造。
具體實現情況如(rú)下:
1.認證方式
此次項目堡壘機(jī)使用國(guó)密動态令牌系統進行(xíng)身份認證鑒别,令牌采用了國(guó)密算法,針對敏感認證信息進行(xíng)加密傳輸。對于關聯了動态令牌策略的(de)用戶,需要輸入綁定該人員的(de)令牌上的(de)6位動态碼及其他認證信息進行(xíng)驗證登錄。
此外,此次改造還對接該行(xíng)自(zì)身的(de)國(guó)密統一(yī)認證平台,認證的(de)鑒别信息存儲于國(guó)密認證平台內(nèi),傳輸過程及存儲都采用國(guó)密算法加密,兩者在堡壘機(jī)上配置雙因素認證,确保身份認證實現全國(guó)密算法支持。
2.數據存儲
堡壘機(jī)上存儲的(de)敏感信息,如(rú)托管的(de)資産密碼及用戶本地(dì)密碼,都以國(guó)密算法進行(xíng)加密存儲。
3.傳輸通道(dào)
此次項目通過對傳輸通道(dào)的(de)改造,提高(gāo)了數據傳輸機(jī)密性、保證了數據傳輸完整性,最終該行(xíng)運維人員可(kě)在前台通過專用的(de)國(guó)密浏覽器進行(xíng)業務的(de)相關操作。
4.數據抗抵賴
升級改造後,堡壘機(jī)管理(lǐ)員需要接入國(guó)密USBKEY才可(kě)以對堡壘機(jī)進行(xíng)配置操作,驗證身份後将操作指令簽名傳輸到堡壘機(jī),堡壘機(jī)的(de)驗簽服務進行(xíng)驗簽後才會執行(xíng)對應的(de)指令。
結語:
目前,該改造方案已經在全國(guó)多家金融單位成功部署實施,并協助客戶通過國(guó)密改造檢查,符合國(guó)密改造測評對金融單位的(de)要求及技術規範。在客戶側,該改造方案成熟、穩定,部署周期短(duǎn),不影響客戶業務運行(xíng)及運維維護,且在身份認證、傳輸通道(dào)、敏感信息存儲及關鍵操作抗抵賴層面采用國(guó)密算法相關技術,進一(yī)步提高(gāo)堡壘機(jī)自(zì)身的(de)安全性,保證信息中心安全運維。
未來,帕拉迪将繼續在密評建設中為(wèi)客戶解決實際問題,根據客戶信息系統建設要求不斷完善産品和(hé)解決方案,助力客戶網絡安全建設,為(wèi)各行(xíng)各業的(de)數字化發展保駕護航。