某某委办局密钥管理系统
  • 2021.11.30
  • 1207
  • 格尔软件

一、案例背景:

在实施国家大数据战略的背景下,大数据发展日新月异,国家要求保障数据安全,建设数字中国,加强关键信息基础设施安全保护,强化国家关键数据资源保护能力。密码安全作为信息安全的基础性核心技术,是保障数据安全,落实信息安全体系建设最为有效、经济和便捷的手段。《中华人民共和国网络安全法》要求“防止数据泄露或者被窃取,采用数据分类、重要数据备份和加密等措施”;《信息安全技术网络安全等级保护基本要求》中要求保障数据存储完整性、数据存储保密性。一系列法律法规和标准规范的相继发布和正式实施,对数据安全密码防护提出了更高的要求。
 

在落实数据加密时,最重要的是保障密钥的安全,因为在现代密码体制中,密码系统的安全性不是由密码算法或密码设备决定的,而是由密钥的安全性决定的。一旦密钥泄露,也就意味着密钥保护的数据安全性荡然无存。GB/T39786-2021《信息安全技术信息系统密码应用基本要求》“密钥生存周期管理”章节中明确提出“信息系统的应用和数据的密钥管理体系由业务系统根据密码应用需求在密码应用方案中明确,并在密码应用实施中落实”。密钥管理是一项专业性要求很高的工作,业务系统应该关注数据而不是密钥,于是密钥管理服务应运而生,由密钥管理系统KMS(KeyManagementSystem)向业务系统提供密钥安全托管以及密码运算服务。
 

二、案例概述:

密钥服务主要提供密钥安全托管以及密钥相关的密码运算服务。密钥服务管理业务系统中各类密钥,提供密钥的生成、启用、轮转、禁用等功能。业务系统可通过密钥服务提供的服务接口(API)获取实时的密码运算服务,也可获取不同加密算法的密钥。密钥具有别名、版本等人性化属性,方便人工记忆。密钥服务还提供密钥(手动,自动)轮转等安全措施。
 

三、安全技术应用情况:

密钥服务:为云平台、数据库、应用等管理应用主密钥(用于加密保护数据密钥)

密码运算:提供简便的密码运算API,应用可以直接调用密码运算类接口

密钥生命周期管理:通过对密钥状态的控制,达到对数据加密权限的管理

信封加密:支持将加密数据的数据密钥封入信封中存储、传递和使用

密钥轮转:通过定期轮转密钥减少每一个密钥所加密的数据量

 

四、特点/优势

完全托管:提供密钥全面接管,应用开发可以专注于业务本身

安全合规:保证应用密钥管理和密码调用的合规性

易于使用:提供简单易用的接口减少应用开发工作量

云平台密钥管理:支持以微服务的方式向云上应用提供密钥服务

数据库加密:直接对接数据库,对应用透明,加密数据与密钥分离
 

五、应用效益:

海量密钥管理能力:满足多租户、多应用服务模式下的海量密钥管理需求

紧密关联业务:通过简单易用的接口,帮助业务应用系统实现自定义的数据加密保护,使密码密钥服务与业务系统紧密融合

密钥安全保护:结合硬件服务器密码机,根据密钥的用途和类型不同设置不同的密钥保护方案,实现多层次的密钥安全保护机制

降低密码管理专业性要求:通过密钥别名属性、接口简化封装等手段,降低应用系统开发和运维人员的开发和管理难度

密钥受控受限使用:通过自定义密钥轮转策略、密钥使用控制手段等措施,保障密钥只能由密钥所属方在有效的时间段内才能使用

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝