《银行数据大集中密码体系解决方案50786.docx》由会员分享,可在线阅读,更多相关《银行数据大集中密码体系解决方案50786.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电子政务与信息安全政策框架研讨会Symposium on Policy & Regulations of E-government and Internet Security银行数据大集中密码安全体系解决方案密钥安全服务平台北京江南科友科技有限公司入世后的中国金金融行业面临临国际同行业业带来的激烈烈竞争,新兴兴的商业银行行所面临的挑挑战更是巨大大的。因此各各商业银行决决定向管理要要效益,以科科技应用带动动经营模式的的转变,以最最快的速度建建立全行的数数据大集中系系统,将分散散于各分行和和直属支行的的柜面业务数数据集中到总总行(或区域)的数据中心心,对全行业业务系统进行行整体规划、统统一管理以及
2、及集中维护,建建立全国性的的高速、统一一和安全的信信息平台。由于银行机构的的特殊性质,其其网络上传输输的大部分数数据为金融敏敏感信息,而而且大集中后后所有的业务务数据都要传传送到数据中中心进行集中中处理,因此此银行业务数数据的安全处处理和安全传传输将成为关关系到整个银银行数据大集集中系统战略略成败的关键键。如果不采采取有效安全全措施,这些些数据的安全全将可能受到到危害和攻击击,带来不可可弥补的经济济损失和社会会影响。为了了保证数据集集中处理和数数据传输的安安全性,必须须采用先进的的密码技术来来提供安全保保障。因此,针对银行行数据大集中中,建立一套套完善且统一一的密码体系系来保障整个个银行系统中
3、中业务数据的的安全性,将将具有十分重重要的意义,同同时也是一项项复杂的系统统工程。北京江南科友科科技有限公司司(简称:江南南科友)是由江南计计算技术研究究所(简称:江南南所)与广州科友友科技股份有有限公司密切切合作成立的的高新技术企企业,并作为为江南计算技技术研究所的的技术服务和和应用推广中中心。公司以以信息安全和和密码体系为为主业,依据据客户需求,为为客户提供信信息安全和密密码体系领域域的技术咨询询、服务和整整体解决方案案。江南科友公司长长期致力于银银行密码体系系的基础研究究和技术推广广,在银行领领域积累了丰丰富的经验和和赢得了客户户普遍的赞誉誉,针对银行行大集中密码码体系的需求求,提出了一
4、一种全新的密密码体系解决决方案,即密密钥安全服务务平台。一、银行现有网网络结构银行现有的网络络采用多级网网络结构模式式,如下图所所示:银行总行与各地地分行之间采采用帧中继(FR)或DDN网络进进行数据通讯讯,采用X.25或卫星星线路进行备备份;各地分分行与下属支支行或网点之之间通过也采采用帧中继(FR)或DDN进行数数据通讯,采采用ISDNN或PSTN进行行备份。整个个银行系统体体系中,总行行及各分行节节点主机采用用双机热备份份方式,共享享磁盘阵列。现有系统中对业业务数据关键键信息的安全全保障一般采采用软件加密密模块(软件件加密存在天天生的安全隐隐患);即使使采用硬件加加密机制,也也是不同的应
5、应用系统采用用不同的加密密模块或不同同的密码体系系。银行业为适应现现代化信息处处理的需要,针针对目前应用用系统的安全全性规范提出出安全改造需需求,采用数数据大集中的的模式,所有有帐务数据将将集中在总行行(或区域)数据中心、并并在总行(或区域)主机上进行行集中处理;各地分行将将不设帐务数数据,只起业业务数据转发发功能。银行数据大集中中后,将迫使使全行密码体体系也需要集集中化管理,对对密码体系提提出更高、更更多以及更新新的需求,而而现存的加密密机制已经无无法满足新的的要求和适应应新的发展,同同时市场化改改革的深化以以及入世后竞竞争的加剧,将将使这种需求求显得非常迫迫切和十分关关键。二、银行大集中中
6、密码体系解解决方案针对大集中数据据安全的新需需求,江南科科友公司提出出了一套全新新的数据安全全密码体系解解决方案:即即密钥安全服服务平台。部署密钥安全服服务平台后的的网络结构,将将演变成如下下图所示:密钥安全服务平平台作为整体体系统密码体体系解决方案案,由密钥安安全服务主中中心(简称:主中心)和和密钥安全服服务子中心(简称:子中中心)组成。主中心只有一个个,不仅负责责本中心的安安全密钥管理理、密钥服务务管理和密码码设备管理,而而且还负责对对所有子中心心进行集中管管理和集中监监控。主中心心主要由密码码机阵列系统统、密码机集集群系统和安安全管理控制制中心组成。主主中心一般部部署在总行(或区域)数数
7、据中心。子中心可以有多多个,主要负负责本中心的的安全密钥管管理、密钥服服务管理和密密码设备管理理。子中心主主要由密码机机集群系统和和密码机阵列列系统组成。子子中心一般部部署在各个下下属分行或支支行系统中。在总行(或区域域)数据中心建建设一个密钥钥安全服务主主中心。由于于考虑到数据据中心对系统统可靠性及容容错能力的要要求,密码机机集群系统采采用双机热备备。密码机集集群系统位于于密码机阵列列之前,在完完成业务主机机与密码机交交易报文转换换的同时也将将密码机与银银行网络隔离离,即,任何何对密码机的的访问必须由由密码机集群群系统进行身身份认证和授授权处理,从从而保证了整整个密钥系统统的安全性。此此外,
8、密码机机集群系统还还负责密码机机阵列的负载载均衡、多机机热备以及状状态检测等功功能。密码机机设备建议采采用江南所的的SJL06金融数数据密码机,根根据目前银行行数据大集中中系统的总体体要求,使用用两到三台高高速密码机就就可以满足要要求,但是考考虑到备份机机制及将来业业务发展的需需要,因此数数据中心密码码机采用n+1的部署方方式。在总行(或区域域)数据中心内内部同时部署署一套安全管管理控制中心心系统,主要要完成银行主主密钥的在线线安全分发和和更新、工作作密钥的在线线安全更新、监监控全行安全全系统的运行行状况以及数数据挖掘和决决策分析等。银行所有业务数数据集中保存存在总行(或区域)数据中心、并并在
9、数据中心心主机上进行行集中处理,各各地分行不设设业务数据,只只起业务数据据转发功能,所所以各地分行行业务量相对对较小,所以以在分行部署署的子中心中中,只需配置置两台SJLL06金融数数据加密机就就可满足业务务需求,其中中密码机集群群系统同样需需要双机热备备。三、密钥安全服服务平台的特特点概括地讲,密钥钥安全服务平平台具有向金金融应用提供供各种密钥安安全服务、密密钥管理功能能和密码设备备管理功能。具具体地讲,密密钥安全服务务平台,具有有以下特点: 向各类应用系统统提供标准接接口或定制接接口的加、解解密服务。 向各类应用系统统提供统一的的密钥管理服服务。 将密钥的管理与与密钥的使用用隔离,即应应用
10、系统只能能使用密钥,而而密钥的管理理只能由密钥钥管理员通过过密钥安全服服务平台完成成。 管理所有的密码码设备,将应应用系统与对对密码设备的的访问完全隔隔离,密码设设备的升级、替替换、增加、删删除对应用系系统完全透明明,将对密码码设备的管理理与应用系统统完全隔离。 密钥安全服务平平台管理一组组密码设备,实实现多种应用用系统对密码码设备的共享享。实现密码码设备的负载载均衡。 密钥安全服务平平台管理的密密码设备可以以是不同厂家家生产的、或或者接入方式式和访问接口口完全不同的的一组设备。 密钥安全服务平平台可以将密密码设备分组组,一组密码码设备互为热热备份。 密钥安全服务平平台动态地管管理几类对象象,
11、包括应用用、分行、服服务、安全设设备(组)、密密钥、密钥管管理员,这些些对象的状态态可以动态控控制,即置为为可用、禁用用和错误等状状态。 对象之间可以相相互绑定,即即只有相互绑绑定的对象之之间才可以相相互访问,可可以动态地配配置对象间的的绑定关系。 利用密码设备提提供的设置,可可以配置只有有密钥安全服服务平台可以以访问密码设设备,防范了了对密码设备备的非法访问问。 多个密钥安全服服务中心可以以构成一个星星形的网络,整整体系统构成成一个完整的的密钥安全服服务平台,可可以通过中心心节点或数据据中心的密钥钥安全服务主主中心,实现现对各边节点点密钥安全服服务子中心的的安全密钥管管理、密钥服服务管理和密
12、密码设备管理理。利用密钥安全服服务平台,总总行能够集中中管理、集中中监控各类交交易中使用密密钥服务的情情况,能够安安全、及时地地排除系统中中各类密钥服服务故障。公司简介:北京江南科友科科技有限公司司(简称:江南南科友)是由江南计计算技术研究究所(简称:江南南所)与广州科友友科技股份有有限公司密切切合作成立的的高新技术企企业,并作为为江南计算技技术研究所的的技术服务和和应用推广中中心。公司以以信息安全和和密码体系为为主业,依据据客户需求,为为客户提供信信息安全和密密码体系领域域的技术咨询询、服务和信信息安全的整整体解决方案案。江南科友多年来来培养和建设设了一支从事事信息安全领领域应用开发发和市场
13、推广广的专业人力力资源队伍,活活跃于银行、证证券、石化、财财税、政府等等部门和领域域。近年来针针对我国信息息安全现状,江江南科友在销销售国家有关关部门批准的的商用密码产产品的基础上上,积极研制制开发了多个个安全应用系系统和整体安安全解决方案案。江南科友提供一一流的技术、一一流的服务、一一流的信誉满满足客户的需需求,逐步形形成自己“优在技术、益益在客户”的服务风格格,保障计算算机网络的安安全运行,为为促进国家信信息产业的发发展做出应有有的贡献。联系方式和地址址信息如下:江南计算技术研研究所技术服服务中心北京江南科友科科技有限公司司地址:北京市马马甸裕民路112号国际华华展公寓C座座1206室室电话:(86)-010-820222428/229/30/31传真:(86)-010-820222427邮编:1000029- 7 -