电子政务与信息安全政策框架研讨会SymposiumonPolicy&RegulationsofE-governmentandInternetSecurity-1-银行数据大集中密码安全体系解决方案-密钥安全服务平台北京江南科友科技有限公司入世后的中国金融行业面临国际同行业带来的激烈竞争,新兴的商业银行所面临的挑战更是巨大的。因此各商业银行决定向管理要效益,以科技应用带动经营模式的转变,以最快的速度建立全行的数据大集中系统,将分散于各分行和直属支行的柜面业务数据集中到总行(或区域)的数据中心,对全行业务系统进行整体规划、统一管理以及集中维护,建立全国性的高速、统一和安全的信息平台。由于银行机构的特殊性质,其网络上传输的大部分数据为金融敏感信息,而且大集中后所有的业务数据都要传送到数据中心进行集中处理,因此银行业务数据的安全处理和安全传输将成为关系到整个银行数据大集中系统战略成败的关键。如果不采取有效安全措施,这些数据的安全将可能受到危害和攻击,带来不可弥补的经济损失和社会影响。为了保证数据集中处理和数据传输的安全性,必须采用先进的密码技术来提供安全保障。因此,针对银行数据大集中,建立一套完善且统一的密码体系来保障整个银行系统中业务数据的安全性,将具有十分重要的意义,同时也是一项复杂的系统工程。北京江南科友科技有限公司(简称:江南科友)是由江南计算技术研究所(简称:江南所)与广州科友科技股份有限公司密切合作成立的高新技术企业,并作为江南计算技术研究所的技术服务和应用推广中心。公司以信息安全和密码体系为主业,依据客户需求,为客户提供信息安全和密码体系领域的技术咨询、服务和整体解决方案。江南科友公司长期致力于银行密码体系的基础研究和技术推广,在银行领域积累了丰富的经验和赢得了客户普遍的赞誉,针对银行大集中密码体系的需求,提出了一种全新的密码体系解决方案,即密钥安全服务平台。一、银行现有网络结构银行现有的网络采用多级网络结构模式,如下图所示:电子政务与信息安全政策框架研讨会SymposiumonPolicy&RegulationsofE-governmentandInternetSecurity-2-银行总行与各地分行之间采用帧中继(FR)或DDN网络进行数据通讯,采用X.25或卫星线路进行备份;各地分行与下属支行或网点之间通过也采用帧中继(FR)或DDN进行数据通讯,采用ISDN或PSTN进行备份。整个银行系统体系中,总行及各分行节点主机采用双机热备份方式,共享磁盘阵列。现有系统中对业务数据关键信息的安全保障一般采用软件加密模块(软件加密存在天生的安全隐患);即使采用硬件加密机制,也是不同的应用系统采用不同的加密模块或不同的密码体系。银行业为适应现代化信息处理的需要,针对目前应用系统的安全性规范提出安全改造需求,采用数据大集中的模式,所有帐务数据将集中在总行(或区域)数据中心、并在总行(或区域)主机上进行集中处理;各地分行将不设帐务数据,只起业务数据转发功能。银行数据大集中后,将迫使全行密码体系也需要集中化管理,对密码体系提出更高、更多以及更新的需求,而现存的加密机制已经无法满足新的要求和适应新的发展,同时市场化改革的深化以及入世后竞争的加剧,将使这种需求显得非常迫切和十分关键。二、银行大集中密码体系解决方案针对大集中数据安全的新需求,江南科友公司提出了一套全新的数据安全密码体系解决方案:即密钥安全服务平台。电子政务与信息安全政策框架研讨会SymposiumonPolicy&RegulationsofE-governmentandInternetSecurity-3-部署密钥安全服务平台后的网络结构,将演变成如下图所示:密钥安全服务平台作为整体系统密码体系解决方案,由密钥安全服务主中心(简称:主中心)和密钥安全服务子中心(简称:子中心)组成。主中心只有一个,不仅负责本中心的安全密钥管理、密钥服务管理和密码设备管理,而且还负责对所有子中心进行集中管理和集中监控。主中心主要由密码机阵列系统、密码机集群系统和安全管理控制中心组成。主中心一般部署在总行(或区域)数据中心。子中心可以有多个,主要负责本中心的安全密钥管理、密钥服务管理和密码设备管理。子中心主要由密码机集群系统和密码机阵列系统组成。子中心一般部署在各个下属分行或支行系统中。在总行(或区域)数据中心建设一个密钥安全服务主中心。由于考虑到数据中心对系统可靠性及容错能力的要求,密码机集群系统采用双机热备。密码机集群系统位于密码机阵列之前,在完成业务主机与密码机交易报文转换的同时也将密码机与银行网络隔离,即,任何对密码机的访问必须由密码机集群系统进行身份认证和授权处理,从而保证了整个密钥系统的安全性。此外,密码机集群系统还负责密码机阵列的负载均衡、多机热备以及状态检测等功能。密码机设备建议采用江南所的SJL06金融数据密码机,根据目前银行数据大集中系统的总体要求,使用两到三台高速密码机就可以满足要求,但是考虑到备份机制及将来业务发展电子政务与信息安全政策框架研讨会SymposiumonPolicy&RegulationsofE-governmentandInternetSecurity-4-的需要,因此数据中心密码机采用n+1的部署方式。在总行(或区域)数据中心内部同时部署一套安全管理控制中心系统,主要完成银行主密钥的在线安全分发和更新、工作密钥的在线安全更新、监控全行安全系统的运行状况以及数据挖掘和决策分析等。银行所有业务数据集中保存在总行(或区域)数据中心、并在数据中心主机上进行集中处理,各地分行不设业务数据,只起业务数据转发功能,所以各地分行业务量相对较小,所以在分行部署的子中心中,只需配置两台SJL06金融数据加密机就可满足业务需求,其中密码机集群系统同样需要双机热备。三、密钥安全服务平台的特点概括地讲,密钥安全服务平台具有向金融应用提供各种密钥安全服务、密钥管理功能和密码设备管理功能。具体地讲,密钥安全服务平台,具有以下特点:向各类应用系统提供标准接口或定制接口的加、解密服务。向各类应用系统提供统一的密钥管理服务。将密钥的管理与密钥的使用隔离,即应用系统只能使用密钥,而密钥的管理只能由密钥管理员通过密钥安全服务平台完成。管理所有的密码设备,将应用系统与对密码设备的访问完全隔离,密码设备的升级、替换、增加、删除对应用系统完全透明,将对密码设备的管理与应用系统完全隔离。密钥安全服务平台管理一组密码设备,实现多种应用系统对密码设备的共享。实现密码设备的负载均衡。密钥安全服务平台管理的密码设备可以是不同厂家生产的、或者接入方式和访问接口完全不同的一组设备。密钥安全服务平台可以将密码设备分组,一组密码设备互为热备份。密钥安全服务平台动态地管理几类对象,包括应用、分行、服务、安全设备(组)、密钥、密钥管理员,这些对象的状态可以动态控制,即置为可用、禁用和错误等状态。对象之间可以相互绑定,即只有相互绑定的对象之间才可以相互访问,可以动态地配置对象间的绑定关系。利用密码设备提供的设置,可以配置只有密钥安全服务平台可以访问密码设备,防范了对密码设备的非法访问。多个密钥安全服务中心可以构成一个星形的网络,整体系统构成一个完整的密钥安全服务平台,可以通过中心节点或数据中心的密钥安全服务主中心,实现对各边节点密电子政务与信息安全政策框架研讨会SymposiumonPolicy&RegulationsofE-governmentandInternetSecurity-5-钥安全服务子中心的安全密钥管理、密钥服务管理和密码设备管理。利用密钥安全服务平台,总行能够集中管理、集中监控各类交易中使用密钥服务的情况,能够安全、及时地排除系统中各类密钥服务故障。公司简介:北京江南科友科技有限公司(简称:江南科友)是由江南计算技术研究所(简称:江南所)与广州科友科技股份有限公司密切合作成立的高新技术企业,并作为江南计算技术研究所的技术服务和应用推广中心。公司以信息安全和密码体系为主业,依据客户需求,为客户提供信息安全和密码体系领域的技术咨询、服务和信息安全的整体解决方案。江南科友多年来培养和建设了一支从事信息安全领域应用开发和市场推广的专业人力资源队伍,活跃于银行、证券、石化、财税、政府等部门和领域。近年来针对我国信息安全现状,江南科友在销售国家有关部门批准的商用密码产品的基础上,积极研制开发了多个安全应用系统和整体安全解决方案。江南科友提供一流的技术、一流的服务、一流的信誉满足客户的需求,逐步形成自己“优在技术、益在客户”的服务风格,保障计算机网络的安全运行,为促进国家信息产业的发展做出应有的贡献。联系方式和地址信息如下:江南计算技术研究所技术服务中心北京江南科友科技有限公司地址:北京市马甸裕民路12号国际华展公寓C座1206室电话:(86)-010-82022428/29/30/31传真:(86)-010-82022427邮编:100029