加密管理平台

一、银行数据安全现状及需求

目前我国银行业务系统的数据安全现状及存在的问题如下：

(1)  业务系统较多，各自调用加密机的类型不同，且指令格式、密钥体系也不同，导致管理和开发的复杂性；

(2)  每个业务系统独自占用一台或两台加密机，导致加密机采购数量大，重复投资，成本高；

(3)  业务系统各自开发API调用所属加密机，导致不但重复开发成本高，而且由于专业程度不同，对于加密机的调用稳定性不同，存在一定的安全隐患；

(4)  由于加密机数量多，且与各自业务系统关联性强，导致设备管理分散，并且设备更换或升级复杂性高；

(5)  各业务系统密钥独自管理，不但密钥管理分散，更重要的是对于密钥的产生、传输、处理、存放以及销毁等操作非常繁琐，且存在泄密的风险。

综上所述，为了切实解决上述问题，我们研发了“加密机综合管理系统”，即简称“加密平台”。

二、产品功能

具体功能如下：

l  交易安全认证

提供标准的C、JAVA等API接口，实现金融交易PIN计算、MAC计算等安全认证功能。

l  密钥安全管理

支持密钥的产生、分发、处理、存储以及销毁等生命周期的各个环节进行集中安全管理。

l  加密机负载均衡

可以针对两台或多台加密机负载均衡功能。即两台或多台加密机并行工作，一旦当某一加密机出现故障时，自动调用备份机，保障业务的可持续性。同时，实现性能最大化。

l  加密机状态实时监控

支持实时监控加密机的健康状态，及时发现故障加密机，及时切换，及时报警，减少故障隐患。

l  加密机共享调度功能

支持将多应用系统共享调度加密机，而应用互不影响且对应用透明。可以提高产品利用率，降低投资成本。

l  支持PBOC3.0 IC卡联机交易验证功能

支持基于PBOC3.0规范的IC发卡联机交易验证功能。

l  身份认证功能

系统登录支持静态用户名/口令和证书方式的身份认证。同时，支持权限管理功能。

l  日志功能

系统提供完善的日志功能，方便维护审计和故障排查。

三、产品逻辑结构

基于各系统的数据安全建设整合，可以达到以下目标：

l  各业务系统进行集中、共享调度加密机，实现数据安全集中处理，减少设备投资成本；

l  将传统由应用独立、分散管理的密钥进行集中安全管理，可以达到密钥管理方法一致性、安全性，同时降低了业务系统的复杂性；

l  可以降低业务系统的开发成本与设备的强关联性，将业务系统与安全管理分离，提供整体安全性；

四、产品特点

（1）   搭建全行设备、密钥管理系统，可以作为全行数据安全中心系统；

加密机综合管理系统的使用，可根据实际情况灵活配置，既可作为全行统一的安全交易服务系统，也可以作为设备和密钥管理的系统。

（2）   增强了系统运行的可靠性

实现了硬件密码设备的并行处理、互相热备，且可在线增、删、升级设备，维护密钥，系统的健壮性得以加强。

（3）   降低设备购置成本

系统所管理的设备可由各类应用共享，避免了密码设备的重复采购，大大降低了密码设备使用量。

（4）   降低管理成本

通过设备、密钥等集中管理与维护，设计、实施、管理操作的标准化等手段，降低银行安全管理成本。

（5）   降低开发成本

统一的应用层开发接口，避免安全程序重复开发，且应用层接口使用简单、方便。

五、应用领域

公司加密机综合管理系统可以广泛应用于金融、电信、政府、电力、邮政、交通等具有密钥管理需求的各个行业。

该系统具体应用为：

1)   支持基于目前银行以磁条卡和IC卡为载体的借记卡、贷记卡系统的密钥管理；

2)   支持网上银行、电话银行、手机银行等电子化银行业务的密钥管理；

3)   支持上述所有业务的联机交易、脱机交易的安全服务验证（如：PIN加密、MAC校验、TAC计算等）。