基于密码技术的云安全服务商

解决方案

方案介绍

浏览:0 | 时间:2018-07-30 14:32:00

方案概述 >>

随着云计算技术的普及与发展,越来越多的海关行业应用系统,比如跨境电商等应用,开始向云端迁移,借助云计算特有的高可靠性、高伸缩性,实现数据集中管理及高效的资源利用,可有效降低电商企业(支付企业、物流企业等)应用系统的维护难度及运维成本。

针对海关业务信息安全的特点及要求,三未信安采用云计算和虚拟化技术,推出全面满足海关行业应用需求的综合业务加签加密云平台方案(以下简称云平台)。它解决了传统密码设备在云环境下部署的一系列问题,通过密码设备集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全。

该产品方案已通过国家密码管理局的安全审查并获得商用密码产品型号证书,完全符合国家密码政策法规的要求。

在安全上符合电子口岸统一认证的要求,采用电子口岸CA进行身份认证;具备与海关总署跨境统一版、单一窗口、QuickPass、海关快件等系统的对接能力;具备与电子口岸预录入系统的对接能力;具备与中国电子口岸的交换系统对接能力。满足《跨境电子商务进口统一版信息化系统服务类密码设备技术要求》。

海关综合业务系统加签加密云平台方案 >>  


云平台架构图

各地电子口岸、数据分中心部署综合业务系统加签加密云平台可用于:QP系统、单一窗口、跨境电商、电子保函业海关快件等系统。

该云平台能够切实贴合各地电子口岸、数据分中心各业务系统的安全需求,对动态数据和静态数据通过加签加密的方式,实现数据的安全性、不可否认性、完整性和鉴别性,解决了业务系统数据的“裸奔”局面。

云平台管理功能

1)    将支持云计算及虚拟化技术的密码设备进行集中安全管理,支持日志统计、人员及操作审计、业务审计等; 

2)    支持密码设备的添加、删除、启停服务、修改配置信息等操作;

3)    支持对云平台内的每一台密码设备进行单独配置,包括网络信息、服务管理、密钥管理、设备权限管理、服务状态维护等功能;

4)    云平台状态实时监控,自动发现和提示故障密码设备,自动故障下线,保障业务的连续性。同时,对修复后的加密设备实现智能上线,减少人工干预;

5)    提供标准接入方式,兼容第三方的密码设备。

6)    大数据收集,为业务分析、安全分析积累海量业务数据。

云平台用户功能

1)    用户—方案—业务—设备组的关联体系;

2)    提供用户远程管理加密设备的安全方式,提供远程管理的访问控制和隔离;

3)    支持以密码服务的形式使用设备,按需服务和高可用性;

4)    大数据收集,为业务分析、安全分析积累海量业务数据。

典型应用  跨境电商安全解决方案 >>

  传统加签方案

传统加签方案拓扑

在传统方案中,密码机作为硬件加签设备,是电商独享的,即一台密码机仅供一家电商使用。该方案适用于较大规模电商,如京东、天猫、唯品会等。该类电商业务单证单量巨大,对加签密码设备的可靠性、稳定性要求高。同时,通关服务端和海关监管端使用密码机对加签数据进行验签,保证了单据的机密性、完整性、真实性和防抵赖性。

但是相对较大规模电商,数量巨大的小规模电商企业由于资金受限等问题,仍然使用IC卡或key等设备进行加签操作。由于IC卡或key性能低下、易损耗、易丢失,加签操作非常容易出错,很受小规模电商诟病。

针对这种市场需求,三未信安率先在海关跨境电商市场中推出支持多用户的云加签系统。

  加签加密云平台方案

云安全方案拓扑

在该方案中通关服务端和海关监管端的加签机制与传统加签方案一致。仅在特殊监管区域(自贸区、综保区、保税区等)部署加签加密云平台,将传统的密码设备转变成支持云端部署的加签加密云平台,支持多用户的加签需求。

云平台采用虚拟化技术,可支持多个虚拟密码机(VSM),每个VSM可提供定量的密码服务能力,对电商用户而言,每个VSM都相当于一台传统意义上的密码机。

各个VSM之间密钥完全隔离。密码机的虚拟化增加了密码设备资源利用率,将密码服务进行了更细致的划分,可以为应用提供高速、稳定、可靠的密码运算服务。

每个VSM均可独立申请由电子口岸数据中心CA颁发的数字证书,调用方式与传统密码机相同,安全性满足国家密码管理局及电子口岸数据中心的安全要求。

方案特点 >>

  可完全替代Key/IC卡方案

跨境电商应用中,小电商企业(支付企业、物流企业)使用key做三单等数据的加签、加密操作,由于key性能低、易损、易丢失,不能满足电商用户的交易要求。同时,企业端的数据传输客户端应用/电商平台向云端迁移成为趋势。而在云端部署模式下,应用系统不支持Key/IC的使用。

采用加签加密云平台方案可满足上述需求,用户只需申请租用一台虚拟密码机为企业在云端部署的数据传输客户端提供加签、加密操作。虚拟密码机可提供远高于key的密码运算性能,同时,产品维护工作无需电商企业承担。

  与传统密码机方案互为补充

对于大电商用户,建议其采购专有高性能密码机产品(也可采用云平台方案),以保证其海量交易的加签、加密需求;

对于小电商用户,建议租用云平台中的虚拟密码机服务以替换原来的key应用,同时可解决电商平台在云端部署无法使用key的问题。

加签加密云平台与传统密码机调用方式及接口相同,支持传统密码机的电商应用无需任何修改即可调用加签加密云平台。

  减少密码设备采购与管理成本

本方案采用云密码服务租用的方式为用户提供服务,用户不必再去购买昂贵的密码设备,仅需少量服务费用就可以使用加签加密云平台提供的各种服务。同时也降低了跨境电商参与方用户对密码设备的管理成本,将用户从繁复的设备管理中解放出来。

  合作方案的成熟度

该方案满足电子口岸安全系统的要求,已被广泛应用于海关行业的多个应用系统,比如“电子口岸数据中心CA系统”、“银关通”、“跨境电商”、“单一窗口”、“海关快件”、“电子保函”等,已被证明是安全的、可靠的。

合规性 >>

  满足海关总署相关政策要求

产品在安全性上完全满足《跨境电子商务进口统一版信息化系统服务类密码设备技术要求》;符合电子口岸统一认证的要求,采用电子口岸CA进行身份认证;具备与海关总署跨境统一版对接能力;具备与电子口岸预录入系统的对接能力;具备与中国电子口岸的交换系统对接能力。

  国家密码政策合规性

方案采用了SM1、SM2、SM3、SM4等国产密码算法,符合国家密码管理局等相关部门指定的政策法规,算法安全强度高。此外为兼容国际应用,同时支持RSA、3DES、AES等通用算法,满足用户不同的应用需求。

虚拟密码机内的密钥只有用户才有权限管理并使用,其他人包括云服务提供商也无法对密钥进行攻击,从根本上保证了用户密钥的安全性,符合《电子签名法》。

产品通过国家密码管理局的安全审查,具有商用密码产品型号证书:SJJ1601云服务器密码机。

注:产品可在国家商用密码管理办公室网站“产品信息”栏目下查询《商用密码产品目录》

(网址:http://www.oscca.gov.cn)。