案例精選|帕拉迪助力某大型商業(yè)銀(yín)行完成堡壘機(jī)國(guó)密改造!
發布時間: 2022.09.28 | 來源: 帕拉迪

項目簡介:

随著(zhe)國(guó)産化的發展,安全行業(yè)的産品國(guó)産化也成為(wèi)了重要的研究和投入方向。較于其他行業(yè),金融科技(jì)始終走在信息化的前列。
作為(wèi)代表的某大型商業(yè)銀(yín)行IT信息化普遍發展較早,海量的IT資産、複雜(zá)的架構體系是最為(wèi)明顯的特性,此外還(hái)有分支網點多(duō)、性能(néng)要求高(gāo)、安全管理基線更高(gāo)等特點。
近些年(nián),随著(zhe)該行業(yè)務量的增加及運維場景的多(duō)樣化,傳統堡壘機(jī)已無法适應當前的技(jì)術(shù)架構體系,再加之國(guó)産化、國(guó)密等銀(yín)監會(huì)要求,銀(yín)行内部的運維審計系統亟需替換升級。

項目現狀:

該行從(cóng)項目落地至現階段穩定運維,已重複采購我司多(duō)台高(gāo)端配置的堡壘機(jī),設備上(shàng)線後,為(wèi)數據中心核心資産提供了多(duō)年(nián)的安全運維保障。


#1#:生(shēng)産環境采用集群模式2+N提供服務,中心不進行運維,各台節點分攤運維壓力,每周五及每個(gè)月(yuè)底的大投産向開(kāi)發及運維人員(yuán)提供穩定服務,現已經托管了上(shàng)千台資産及過萬的設備賬号。該行運維模式遵循所有非查詢賬号都需要進行雙人複核運維的原則,任何變更操作都需要有人進行監督進行;

#2#:總行采用2台分權模式堡壘機(jī)(類SAAS模式),各地分行通(tōng)過分權模式劃分各個(gè)部門(mén),部門(mén)内部資源自(zì)治互不幹涉;

#3#:同城(chéng)災備環境部署2台堡壘機(jī),與生(shēng)産環境的版本及内容一(yī)緻,進行冷備;

#4#:測試環境2堡壘機(jī),新老版本各一(yī)台,為(wèi)對接開(kāi)發其他平台和生(shēng)産環境優化升級包提供測試環境。

項目痛點:

應上(shàng)級單位的國(guó)密改造文件(jiàn)要求,各個(gè)金融企業(yè)都需要對内部核心業(yè)務進行國(guó)密改造,該行也是其中之一(yī)。堡壘機(jī)在國(guó)密改造中是關鍵的一(yī)部分,該行需要在短時間内,對堡壘機(jī)的認證、傳輸通(tōng)道、存儲及抗抵賴等進行國(guó)密改造;
目前使用的堡壘機(jī)亟需升級達到(dào)規定的國(guó)密改造要求。

解決方案:

帕拉迪根據該行的需要及監管要求為(wèi)該行目前部署的所有生(shēng)産環境堡壘機(jī)提供完整的國(guó)密改造方案,具體為(wèi):
1.針對堡壘機(jī)的認證方式及密碼存儲進行國(guó)密改造,實現認證方式和底層密碼存儲使用國(guó)密算(suàn)法滿足監管單位國(guó)密改造要求。
2.針對堡壘機(jī)的數據抗抵賴及傳輸通(tōng)道改造,本次項目實現堡壘機(jī)關鍵操作簽名驗簽抗抵賴及國(guó)密HTTPS通(tōng)道的改造。


具體實現情況如下(xià):

1.認證方式

此次項目堡壘機(jī)使用國(guó)密動态令牌系統進行身份認證鑒别,令牌采用了國(guó)密算(suàn)法,針對敏感認證信息進行加密傳輸。對于關聯了動态令牌策略的用戶,需要輸入綁定該人員(yuán)的令牌上(shàng)的6位動态碼及其他認證信息進行驗證登錄。

此外,此次改造還(hái)對接該行自(zì)身的國(guó)密統一(yī)認證平台,認證的鑒别信息存儲于國(guó)密認證平台内,傳輸過程及存儲都采用國(guó)密算(suàn)法加密,兩者在堡壘機(jī)上(shàng)配置雙因素認證,确保身份認證實現全國(guó)密算(suàn)法支持。

2.數據存儲

堡壘機(jī)上(shàng)存儲的敏感信息,如托管的資産密碼及用戶本地密碼,都以國(guó)密算(suàn)法進行加密存儲。

3.傳輸通(tōng)道

此次項目通(tōng)過對傳輸通(tōng)道的改造,提高(gāo)了數據傳輸機(jī)密性、保證了數據傳輸完整性,最終該行運維人員(yuán)可在前台通(tōng)過專用的國(guó)密浏覽器(qì)進行業(yè)務的相(xiàng)關操作。

4.數據抗抵賴

升級改造後,堡壘機(jī)管理員(yuán)需要接入國(guó)密USBKEY才可以對堡壘機(jī)進行配置操作,驗證身份後将操作指令簽名傳輸到(dào)堡壘機(jī),堡壘機(jī)的驗簽服務進行驗簽後才會(huì)執行對應的指令。


結語:

目前,該改造方案已經在全國(guó)多(duō)家金融單位成功部署實施,并協助客戶通(tōng)過國(guó)密改造檢查,符合國(guó)密改造測評對金融單位的要求及技(jì)術(shù)規範。在客戶側,該改造方案成熟、穩定,部署周期短,不影響客戶業(yè)務運行及運維維護,且在身份認證、傳輸通(tōng)道、敏感信息存儲及關鍵操作抗抵賴層面采用國(guó)密算(suàn)法相(xiàng)關技(jì)術(shù),進一(yī)步提高(gāo)堡壘機(jī)自(zì)身的安全性,保證信息中心安全運維。

未來,帕拉迪将繼續在密評建設中為(wèi)客戶解決實際問題,根據客戶信息系統建設要求不斷完善産品和解決方案,助力客戶網絡安全建設,為(wèi)各行各業(yè)的數字化發展保駕護航。


Copyright © 2019 All Rights Reserved Designed
杭州位育網絡科技有限公司