2021中国数字新基建产业发展大会

银行密码中台安全建设方案

北京信安世纪科技股份有限公司

2020-07-15 15:57:34
信软用户
文章摘要: 信安世纪针对上述密码应用的安全问题,为满足银行业务发展及监管方面的需求,创新性的推出了全密码安全服务平台CSSP可以帮助银行建立一套包含业务快速接入、运维监控、审计及密钥、算法服务、认证服务等在内的规范、开放的全密码应用体系,在进行统一的密码安全建设工作的同时,为银行业务系统提供高效稳定的安全密码服务、统一的密码设备管理、统一的身份认证服务、统一的口令管理、统一的实时监控告警、全景智能分析以及统一的服务接口。

为保障用户身份安全和资金安全,银行在网上银行、手机银行、自助银行、等各个业务系统中广泛使用各类密钥体系及密码算法来保障关键交易数据的完整性、机密性和不可抵赖性。随着业务系统的日渐丰富,银行需要对接的业务支持厂商也越来越多,因此暴露出如下安全问题:

1)各业务系统分别采用各自的认证体系和密码方案,安全强度参差不齐;

2)系统间调用不同硬件设备时接口不统一,系统管理和开发的复杂度增加;

3)密码计算资源分散且不能复用,导致后续设备更换和升级更加复杂;

4)缺乏数字证书、密钥等规范产生、存储、传输及销毁等的全流程管控,存在安全隐患。

信安世纪针对上述密码应用的安全问题,为满足银行业务发展及监管方面的需求,创新性的推出了全密码安全服务平台CSSP可以帮助银行建立一套包含业务快速接入、运维监控、审计及密钥、算法服务、认证服务等在内的规范、开放的全密码应用体系,在进行统一的密码安全建设工作的同时,为银行业务系统提供高效稳定的安全密码服务、统一的密码设备管理、统一的身份认证服务、统一的口令管理、统一的实时监控告警、全景智能分析以及统一的服务接口。

通过采用信安世纪全密码安全服务平台CSSP,银行具备了密码服务中台的技术服务能力,如图所示:

155639945.png

信安世纪全密码安全服务平台CSSP可以对前端接入的不同应用提供统一的密码运算服务、多种类型的身份认证服务、时间戳服务、密码资产管理服务、应用安全策略集中管理服务等;对后台接入的密码设备可以进行集中管理、运维监控,对经过CSSP的业务数据流汇总分析,实现业务大数据的分析与全景展示。

1)服务的集中认证

A、接口统一,方便应用开发集成调用:使用CSSP替代传统对接多个不同的认证服务,用户无需反复修改代码,一次对接即可多次移植调用不同的厂商服务;

B、服务统一,有利于后台计算资源的有效利用:整合提供相同功能但接口不同的设备,为所有应用统一服务,后台资源可以被合理分配,提升服务效率。

2)统一的管理平台

对所有接入的密码设备统一配置管理,减少运维人员的配置管理工作。系统自动检测所有接入应用的安全策略,由CSSP对所有应用安全策略进行配置。

3)业务风险感知

区别于单个渠道服务的风险感知,信安世纪CSSP可以提供基于集中的统一安全认证感知风险服务,只需要统计具体的交易失败次数、交易失败原因分析,可对特定的IP或者域名提交纳入黑名单拒绝交易的序列,即可断开服务风险,并实时发送告警通知运维人员。

155717224.png

4)统一运维监控

对系统内的所有密码设备统一运维监控,实时监测运行状态和提供告警服务,有效减少运维人员的工作强度和难度。

采用信安世纪全密码安全服务平台CSSP搭建的密码中台安全建设方案,可以使系统具备以下优势:

1)通过对系统内各密码设备的集中安全管理,实现系统内密钥从产生、分发、处理、存储及销毁的全生命周期管理的流程化、制度化安全管理,大大提高系统整体安全性;

2)通过统一规范的密码服务接口,将密码设备提供多应用共享使用,最大程度发挥密码设备的性能,提高产品利用率,有效降低系统投资成本;

3)集群式部署保障系统处理性能的最大化;

4)支持国家密码管理局的密码功能与接口规范,以统一的API接口提高系统整体安全可靠性,降低密码应用的开发难度;

5)分布式部署方式,针对业务系统、各功能模块、操作行为提供完整的日志记录,极大的方便了系统管理审计和故障排查。

信息化软件服务网 - 助力数字中国建设 | 责编:左右