十佳案例:山东某政府数据中心密码资源池建设案例
优秀供应商:天融信
公司官网:www.topsec.com.cn
01
项目背景
政府数据中心作为政务服务的核心载体和产业数字化转型的重要引擎, 因此,通过建设统一的云密码资源池为系统可靠运行提供全面高效的密码支撑服务,已成为当下提升密码管理效率和安全性的重要途径。
02
项目目标
按照《中华人民共和国密码法》及商用密码有关规范,从身份鉴别、数据传输机密性与完整性保护、数据存储机密性与完整性保护、时间服务、密钥安全管理等密码应用需求出发,建设统一的云密码资源池,为海量业务提供全面高效的密码支撑服务。
03
建设方案
天融信基于该政府数据中心用户的业务需求,进行政务云密码资源池的建设,分别面向云平台管理侧和租户侧进行密码应用方案设计,结合实际应用需求,将所有密码资源及密码设备统一纳入云密码服务统一管理平台进行监管和调度。整体密码资源架构包括用户接入、密码安全边界、密码接口资源池、密码服务资源池、密码基础设施、电子认证基础设施、云密码服务统一管理平台等核心组件,为云管平台自身和云上应用系统提供密码服务。
按照国家相关规范,云密码资源池需符合信创部署要求,本方案通过密码服务管理平台、云服务器密码机、签名验签服务器、服务器密码机等国产化密码设备,帮助客户构建信创云密码资源池,为云上应用系统提供密码服务。其建设阶段包括:
⑴ 密码服务平台+已建设密码设备(纳管)
⑵ 密码服务平台+已建设密码设备(纳管)+新增密码设备(满足初期租户需求,纳管)+云密码机
⑶ 全部业务上云,数据上云,云密码资源内生,可提供完善的密码应用服务
本案经过以上三个阶段的统筹设计,通过构建密码资源池,实现密码服务化、服务虚拟化、资源弹性化、资源可视化、接口标准化、管理规范化、应用合规化的设计思想。
04
项目创新
1)采用虚拟化技术将VHSM分配给业务系统使用,并可弹性调整VHSM的性能,从而实现密码资源的集约利用、动态伸缩以及密码设备的有效管理和维护。同时通过SR-IOV技术KVM虚拟化技术,有效地减少在开发、测试和部署周期中所消耗的时间,并能够快速动态部署、迁移,在合理的资源分配策略下,真正实现密码资源按需分配。
2)在密钥存储和使用两个环节采用密钥隔离技术。在存储环境,HVSM的密钥均以密文方式存储在每个HVSM自身文件中,且HVSM之间的文件系统由虚拟机管理器进行隔离。在使用环节,首先在密码运算模块的易失性存储区中建立密钥隔离区,被加密的密钥均导入到密钥隔离区进行使用,且将密钥隔离区中的密钥与访问会话、隔离ID进行绑定,防止非授权的密钥访问请求。
05
项目成果
**增强安全性
**云密码资源池通过采用先进的加密算法和虚拟化技术,将密码资源从传统的单体设备中抽象出来,实现密码的集中存储和管理。
提高管理效率
密码资源池采用统一的服务接口,与现有系统无缝接入,实现密码的集中管理和统一服务,提高管理和维护密码资源的效率。
灵活扩展和按需分配
密码资源池具有灵活弹性扩展和按需分配的特点。随着政府数据中心业务的发展,密码资源池可以轻松地扩展以满足更多的业务需求,而无需进行大规模的硬件升级或系统改造。同时,密码资源池还可以根据实际需要,按需分配密码资源,避免资源的浪费。
降低成本
通过构建云密码资源池,政府数据中心可以节约大量的成本。一方面,密码资源池采用集成化的服务系统,减少了用户的管理成本;另一方面,基于硬件密码资源的有效整合,可以节约机房的空间资源、能耗资源和运维资源,降低后期扩展的二次投资成本。
— 【 THE END 】—
更多推荐