电厂密码应用建设方案
佰倬“用户免应用改造”商用密码解决方案,因分布式软模块、内置式软模块、独特密钥机制三大特点,具备了多种差异化能力,最终形成适用性极强、性能优势明显、可靠性更高三大优势。方案可高效满足密评需求,可排除所有高风险项,帮助用户业务系统通过密评。
一、需求分析
电厂面临的密码应用安全痛点:
1) 电厂常见的业务系统为SIS/DCS/NCS等监控类系统,通常由集团总部指定,应用改造需求审核严、周期长,落地难。基本不适用密码机+应用改造的密改方案。
2) 对于监控类系统而言,采用实时数据库/时序数据库性能表现更优,故电厂这类数据库多见,而不是常见的关系型数据库。因此电厂也不太适合数据库加密网关+免改造的密改方案。
3) 电厂业务系统中存在大比例的数值型短数据,这类数据进行字段级加密时存在4倍的密文膨胀,会对业务系统数据吞吐能力造成额外压力,而电厂业务系统性能冗余普遍不高且对数据响应有实时性要求,难以承受这种额外压力。所以常见的字段级加密的密码机、数据库加密网关方案基本都不适合电厂。
因此,对于选择密码应用方案,电厂存在一些特殊需求:
1) 数据加解密机制要先进,不能仅停留在应用层,应深入系统底层,实现透明加解密,能够避免应用接口改造。
2) 密码产品适应性要强,能够在免改造的前提下支持实时数据库/时序数据库。
3) 应尽量避免字段级加解密导致的密文膨胀,确保电厂业务系统对数据响应的实时性要求。
二、建设内容
2.1 网络拓扑
如上图所示:
1) 在业务及运维人员终端部署统一认证密码模块客户端,在应用服务器/操作站部署AIC插件,通过自动拦截应用登录过程并反弹SM2证书验证请求,免改造实现合规的应用身份鉴别;
2) 旁路部署SSLVPN,通过正向代理堡垒机实现运维通道机密性及完整性保护,通过反向代理实现业务通道机密性及完整性保护;
3) 在数据库服务器/历史站部署文件系统密码模块客户端,免改造实现重要数据存储机密性及完整性问题;
4) 旁路部署密码模块服务端,实现对所有密码模块客户端的统一配置及管理。
2.2 产品清单
产品 | 产品描述 | 数量 |
SSLVPN | 支持国密SM2/SM3/SM4算法 支持RSA/SM2证书自适应 支持单双向认证选择 支持双机负载均衡部署 | 2 |
文件系统密码模块-客户端 | 支持分布式内核级透明加解密 支持基于SM4算法的数据加解密功能 支持基于HMAC-SM3算法的数据完整性保护功能 支持物理机/虚拟机部署 支持基于SM2/SM3/SM4算法的国密SSL通道与服务端通信 典型服务器配置环境下(8核CPU+16GB内存,系统负载率50%)加解密吞吐率>=1200Mps 免应用改造,无密文膨胀 | 按需 |
文件系统密码模块-服务端 | 支持可视化客户端集中管理功能 | 1 |
统一认证密码模块-客户端 | 支持基于SM2算法的个人证书签名 支持Windows/Android/IOS终端 支持扫码登录,支持UKey登录 支持基于SM2/SM3/SM4算法的国密SSL通道与服务端通信 | 按需 |
统一认证密码模块-服务端 | 支持可视化客户端集中管理功能 支持基于SM2算法的个人证书签名及验签功能 支持客户端与应用系统账号自动绑定及管理员手动解绑 支持物理机/虚拟机部署 | 1 |
AIC插件 | 支持应用登录分布式自动拦截及身份鉴别 支持扫码登录,支持UKey登录 支持物理机/虚拟机部署 免应用改造 | 按需 |
三、第三方检测报告