• 北京市海淀区上地东路5号院京蒙高科大厦A座311室
  • 4006010089
  • market@anydef.com

企业级密钥管理方案

首页 › 解决方案

企业级密钥管理方案

市场痛点

企业级密钥管理当前没有形成业务系统的安全标准,没有一套可行的IT系统来支撑或建立整个业务系统的安全标准,即使有标准的可循的情况下,也因为只能依赖于对人的信任来期望达到要求。

A) 所有业务系统采用独立加密设备,由各业务系统负责自身的加密模块开发和维护工作,对于业务开发商来说,额外增加了对加密模块的开发工作量。

B) 由于密钥和业务数据存放在各自业务系统中,密钥管理事实上由各业务系统自身负责,无法防止密钥的修改、插入、删除、替换等攻击(如密钥被误删除),且业务系统各自独立,也无法形成统一管理流程(即业务部门管理业务数据,密钥管理部门管理密钥)。

C) 各业务系统加密接口不统一:由于各业务系统是不同开发商在不同时期内完成,因此对同样的加密功能,可能出现不一样的加密接口,这样对行内设定统一标准形成一定障碍(如一旦需要采用新算法,比如采用新国密算法,则所有业务系统都要进行修改,即同样的工作需要做N次)。

D) 由于没有行内的业务系统安全标准,在和行外机构对接时,无法依靠一套标准来衡量新开业务的安全状况,也无法约束或要求行外机构执行何种安全标准,可能导致最终结果是只要能完成业务功能即可,而不关注业务安全。

E) 密钥或PIN会出现明文:如柜面系统未采用硬件加密模块,传输环节会出现PIN明文,以及磁条卡业务的CVV认证为软算法,会出现密钥明文。

F) 因为只有纸面的密钥管理制度,而没有配套的IT系统负责管理密钥,使得开展业务的周期可能会加长,比如支行需要新部署一台ATM终端,按照目前行内的情况,为申请这台ATM终端主密钥而花费的时间可能需要近一个月。

G) 需保管的密钥管理数量多:各业务系统投产时,都有初始密钥需要录入,而这些密钥目前都是人工管理,随着业务系统的增多,需要人工管理的密钥数量也在不断加大,增加了管理的工作量。

H) 加密设备单点故障隐患:一些托管的第三方业务系统,其未必对加密设备有热备功能,如大小额系统。

方案介绍

综上所述,本方案建议通过建立企业级密钥管理平台解决上述可能存在的问题与风险,同时通过该系统的建立实现了对密钥采用规范化、标准化的安全管理,极大提供了企业的信息安全等级。

 

 

安御道合提供了业界领先的企业级密钥管理方案,其主要优势体现在于:

Ø 灵活的配置机制

本方案通过配置机制支持多种应用系统的安全服务的配置,可以为各种应用系统配置该应用的模板、数据等。新增一种应用系统,只需要按照流程为新增对应的配置,配置完成后,系统即可支持新应用的。

Ø 模块化设计,扩展灵活

系统采用模块化设计技术,通过功能和模块独立,使整个系统具有良好的可扩展性。

Ø 统一的安全服务

不同的设备为业务系统和用户管理,提供了统一的接口界面。

实现交易数据安全集中管理,杜绝各应用系统安全模块重复建设的情况。例如:一个分行的卡业务、存折业务、网银业务,在交易安全核心子系统建立之前,需单独设计的安全模块,甚至分别采购自己的密码设备,本子系统建立后,各类业务可以统一调用标准接口,共用现有密码设备。既节约了人力、方便管理,同时也可节省重复投资。

Ø 可扩展的安全服务

考虑到未来业务发展的要求,为快捷、可靠实现新的安全功能的开发,在两个层次上分别预留了扩展接口:

A) 在分类服务插槽层,预留了分类服务扩展插槽,用于扩展全新应用场景的安全功能需求,例如:扩展动态令牌安全功能需求、证书安全功能需求等。

B) 在服务元插槽层,预留了服务元扩展插槽,用于在系统已支持的既有场景中,扩展新的安全功能需求,例如:扩展支持客户密码长度、客户密码包含字母等。

Ø 多种类型加密机模板接入方案

支持多类密码机模板的接入,根据密码机的不同类型,配置自己的指令格式。

Ø 多应用设计

本密钥管理系统支持多种应用的密钥的生成、存储、使用等管理功能。每种应用可以根据自己业务所规定遵询的标准进行独立的密钥规划,构建自己的密钥体系。

Ø 全密钥生命周期的支持

基于长周期密钥和短周期不同特点,本方案进行了有针对性的设计,密钥管理平台分为三层设计:上层密钥使用分发层,中层密钥存储层,底层密钥产生层。密钥产生统一由底层密钥产生系统集中产生,产生的密钥由存储层集中存储,密钥的下发工作由上层交易服务负责短周期密钥下发,密钥服务发行平台负责下发长周期密钥。

Ø 多应用密钥管理的支持

本方案设计中支持多应用的密钥管理,每个应用可以指定自己的密钥管理员,也可以委托密钥管理平台的管理员,代其进行如下工作:密钥体系规划、密钥产生、密钥存储、密钥备份、密钥下发。密钥管理平台本身所需要的密钥只能由自已的密钥管理维护管理,不得委托。

Ø 可视化管理的支持

通过可视化的设计,方便管理者对支撑的业务系统、加密机有通盘的把握,了解应用的密钥体系结构,通过树状结构了解密钥与密钥的关系,密钥与应用的关系,密钥与加密机的关系。同时支持密钥管理平台自身的监控和日志的可视化管理。

应用场景

企业级密钥管理系统广泛应用于金融IC卡密钥管理、物联网设备密钥管理、车联网密钥安全、企业数据安全密钥管理等场景。