金融行业密码中台安全建设方案
2024-09-28 15:34:10

1. 概述

目前,为了保障用户身份安全和资金交易安全,银行客户网上银行、手机银行、电话银行、自助银行、金融IC卡系统、网络运维管理等业务系统广泛使用各类密钥体系、密码算法来保障业务数据的完整性,机密性和可用性,基于时间令牌、事件令牌、刮刮卡、软件令牌、矩阵卡、挑战应答令牌、短信口令、文件证书、UKEY等多种认证来实现用户的双因子身份认证。但随着用户业务系统的增加,在使用过程中,各个业务渠道需要对接各个服务厂商不同的业务支持,过程繁琐效率底下。同时,用户针对每个业务系统采购了不同的密码设备,密码设备资源分散,利用率不高,未实现集中运维管控。

2. 需求分析

目前,现有金融客户业务系统中密码应用存在的问题如下:

● 各业务系统采用自己的认证体系及密码方案,安全强度参差不齐

● 密码设备及系统接口不统一

● 密码计算资源分散,不能有效利用

● 密码设备及密码系统过多,运维不方便

● 各业务系统数字证书、密钥、算法及安全协议管理分散,无法共用,更重要的是对于密钥的产生、传输、存储以及销毁等没有安全规范,存在安全隐患。

为满足金融客户业务需求,为金融客户业务的开发、快速接入、运维监控、审计以及密钥、算法服务、认证服务,形成一套规范、开放的全密码应用体系,进行统一密码安全系统建设工作,根据行内业务发展的需要及监管方面的要求,信安世纪研发了全密码安全服务平台。该平台能够为金融业务系统提供高效、稳定安全密码服务、统一密码设备管理、统一身份认证服务、统一的口令管理、统一的实时监控告警、智能分析并提供统一的服务接口供业务系统及运维使用。

3. 方案架构

3.1 技术架构

使用全密码服务平台后,作为金融机构就具有了密码服务中台的技术服务能力,如右图所示:

1技术架构图

信安世纪全密码安全服务平台产品包含信安世纪全密码安全服务管理平台、业务大数据平台及统一API服务。

全密码服务平台系统架构如下图所示:

2系统架构图

3.2 部署说明

在全密码服务平台服务物理架构中,需要在安全可信的网络区域中,部署虚拟机完成全密码服务平台的各种微服务,包括:管理平台、业务服务、态势感知,并且包括后台硬件物理计算资源,包括:签名服务器、加密机、动态密码服务器、CCypher等,如下图所示:

3微服务及计算资源图

通过管理平台发布不同的微服务。不同的微服务组提供不同的业务,不同的业务使用相同的RestFul API接口进行接入,不同的微服务组向后台提供不同的API接口,如下图所示:

4 API接口图

全密码服务平台不仅仅可以提供业务服务,并且可以提供态势感知服务,其架构如下图所示:

5态势感知服务架构图

3.3 功能说明

    (1) 平台管理

    (2) 密钥管理

    (3) 数字证书管理

    (4) 密码资产管理

    (5) 统一接入配置管理

    (6) 统一密码服务

    (7) 安全数据态势感知平台

3.4 技术指标

            ● 对外提供统一的API接口访问,实现接口的安全校验,重放攻击。

            ● 提供服务注册与发现功能,所有微服务都注册到注册中心。

            ● 每一个微服务独立运行,可以支持虚拟化容器化部署。

            ● 部署独立的配置中心,所有微服务的配置信息保存到配置中心。

            ● 系统配置提供API完成配置操作,对微服务提供API查询配置信息。

            ● 全密码安全服务平台集群部署,具备负载均衡,高可靠,可平滑扩容

            ● 系统可监控业务运行,设备运行状态,包括密码资源设备运行状态信息。

4. 方案特色

● 密码设备的集中安全管理

● 密码设备的资源共享

● 支持集群式部署

● 密码服务的标准规范

● 可靠的运行机制

5. 适用领域

信安世纪全密码安全服务平台利用平台化技术手段实现识别、沉淀和复用密码服务,构建密码服务生态,提供标准化统一的密码服务和管理服务,有效支撑业务系统的快速创新;同时,针对海量安全数据可提供采集、存储、计算、分析等功能,实现对业务、安全中台、设备、系统的全景运行态势展现。

该平台不但适用于银行、证券、保险等金融行业,还可用于社保、公安、检察院、法院、海关、烟草、电力、能源、军工等重要领域开展密码安全服务中台建设。

6. 产品清单

全密码安全服务平台产品分为两个平台,安全业务平台对应于密码业务安全中台,由基础平台和各类密码微服务组成,全密码安全数据态势感知平台对应于密码数据安全中台。

6产品清单图

7. 应用案例

信安世纪在工商银行以及哈尔滨银行以及通过建立一套符合国家密码算法要求、行业标准的统一认证平台系统,统一认证平台提供证书接口等服务接口,为银行各渠道提供统一的安全认证服务标准接口,平台负责校验渠道信息、输入数据的合法性,然后根据请求类型,调用对应的前置服务进行统一的安全认证。


联系我们
广州市东纺信息科技有限公司
18665649090
wdsxh@qq.com
报名扫一扫进入小程序