#1#:生(shēng)産環境采用集群模式,2+N提供服務,中心不進行運維,各台節點分攤運維壓力,每周五及每個(gè)月(yuè)底的大投産向開(kāi)發及運維人員(yuán)提供穩定服務,現已經托管了上(shàng)千台資産及過萬的設備賬号。該行運維模式遵循所有非查詢賬号都需要進行雙人複核運維的原則,任何變更操作都需要有人進行監督進行;
#2#:總行采用2台分權模式堡壘機(jī)(類SAAS模式),各地分行通(tōng)過分權模式劃分各個(gè)部門(mén),部門(mén)内部資源自(zì)治互不幹涉;
#3#:同城(chéng)災備環境部署2台堡壘機(jī),與生(shēng)産環境的版本及内容一(yī)緻,進行冷備;
#4#:測試環境2台堡壘機(jī),新老版本各一(yī)台,為(wèi)對接開(kāi)發其他平台和生(shēng)産環境優化升級包提供測試環境。
項目痛點:
應上(shàng)級單位的國(guó)密改造文件(jiàn)要求,各個(gè)金融企業(yè)都需要對内部核心業(yè)務進行國(guó)密改造,該行也是其中之一(yī)。堡壘機(jī)在國(guó)密改造中是關鍵的一(yī)部分,該行需要在短時間内,對堡壘機(jī)的認證、傳輸通(tōng)道、存儲及抗抵賴等進行國(guó)密改造;
目前使用的堡壘機(jī)亟需升級達到(dào)規定的國(guó)密改造要求。
解決方案:
帕拉迪根據該行的需要及監管要求為(wèi)該行目前部署的所有生(shēng)産環境堡壘機(jī)提供完整的國(guó)密改造方案,具體為(wèi):
1.針對堡壘機(jī)的認證方式及密碼存儲進行國(guó)密改造,實現認證方式和底層密碼存儲使用國(guó)密算(suàn)法滿足監管單位國(guó)密改造要求。
2.針對堡壘機(jī)的數據抗抵賴及傳輸通(tōng)道改造,本次項目實現堡壘機(jī)關鍵操作簽名驗簽抗抵賴及國(guó)密HTTPS通(tōng)道的改造。
具體實現情況如下(xià):
1.認證方式
此次項目堡壘機(jī)使用國(guó)密動态令牌系統進行身份認證鑒别,令牌采用了國(guó)密算(suàn)法,針對敏感認證信息進行加密傳輸。對于關聯了動态令牌策略的用戶,需要輸入綁定該人員(yuán)的令牌上(shàng)的6位動态碼及其他認證信息進行驗證登錄。
此外,此次改造還(hái)對接該行自(zì)身的國(guó)密統一(yī)認證平台,認證的鑒别信息存儲于國(guó)密認證平台内,傳輸過程及存儲都采用國(guó)密算(suàn)法加密,兩者在堡壘機(jī)上(shàng)配置雙因素認證,确保身份認證實現全國(guó)密算(suàn)法支持。
2.數據存儲
堡壘機(jī)上(shàng)存儲的敏感信息,如托管的資産密碼及用戶本地密碼,都以國(guó)密算(suàn)法進行加密存儲。
3.傳輸通(tōng)道
此次項目通(tōng)過對傳輸通(tōng)道的改造,提高(gāo)了數據傳輸機(jī)密性、保證了數據傳輸完整性,最終該行運維人員(yuán)可在前台通(tōng)過專用的國(guó)密浏覽器(qì)進行業(yè)務的相(xiàng)關操作。
4.數據抗抵賴
升級改造後,堡壘機(jī)管理員(yuán)需要接入國(guó)密USBKEY才可以對堡壘機(jī)進行配置操作,驗證身份後将操作指令簽名傳輸到(dào)堡壘機(jī),堡壘機(jī)的驗簽服務進行驗簽後才會(huì)執行對應的指令。
結語:
目前,該改造方案已經在全國(guó)多(duō)家金融單位成功部署實施,并協助客戶通(tōng)過國(guó)密改造檢查,符合國(guó)密改造測評對金融單位的要求及技(jì)術(shù)規範。在客戶側,該改造方案成熟、穩定,部署周期短,不影響客戶業(yè)務運行及運維維護,且在身份認證、傳輸通(tōng)道、敏感信息存儲及關鍵操作抗抵賴層面采用國(guó)密算(suàn)法相(xiàng)關技(jì)術(shù),進一(yī)步提高(gāo)堡壘機(jī)自(zì)身的安全性,保證信息中心安全運維。
未來,帕拉迪将繼續在密評建設中為(wèi)客戶解決實際問題,根據客戶信息系統建設要求不斷完善産品和解決方案,助力客戶網絡安全建設,為(wèi)各行各業(yè)的數字化發展保駕護航。