使用内生安全密码应用架构有哪些作用
使用内生安全密码应用架构有以下作用:
建立基于密码技术的统一身份认证机制:建立以SM2算法PKI系统为基础的统一认证体系,为企业用户、业务应用和设备提供数字证书的生命周期管理、强身份认证和安全可控访问,并以此为基础为信息网提供完整的数字证书服务、综合认证服务、安全审计服务和集中管理监控服务。统一身份认证体系的构建,将作为企业信息化网络基础认证设施,不仅可为应用系统提供集中强身份管理认证,还能够为其他需要证书服务的应用和设备(如网络加密模块、SSL VPN、网络密码机等)提供数字证书的生命周期管理,并可依托模块化认证架构,为身份安全及应用安全,以及5G、工业、物联网等领域的应用奠定基础。
建立面向大数据的数据存储加密机制:数据是驱动网络安全的核心要素,对数据的分析是确保网络安全的主要方法。但随着云计算的普及和业务系统中存储着大量重要和敏感的数据,数据存储的加密成为必选项。因此必须将业务系统中的用户口令、重要数据、重要配置文件、敏感内容等信息进行加密存储,同时采取磁盘加密、分布式加密、文件加密、关键字段加密等灵活的加密方法,并配合高性能的加解密工具,实现数据加密与分析的良好配合。
敏感数据的加密保护:应用系统中存在大量的重要信息,可以直接调用企业统一密码服务管理平台的加解密API,使用主密钥直接加密或解密其中的敏感数据。也可以使用数字信封对数据进行加密保护,将主密钥存放在统一密码服务管理平台中,只部署加密后的数据密钥。仅在需要使用数据密钥时,才调用统一密码服务管理平台获取数据密钥的明文,以在本地加解密业务数据。
口令存储、传输加密保护:服务器端不允许存储用户的明文口令,客户端一般调用密码服务浏览器插件或App端的SDK,针对口令生成SM3摘要,然后通过安全通道传输到服务器端进行存储。
建立对用户透明的数据传输安全通道:用户使用浏览器访问应用的时候涉及重要和敏感数据的传输,这就需要对相应的数据进行保护。可以通过在终端用户的电脑上安装国密算法客户端,该客户端在终端与通道加密服务之间建立安全通道,通道加密服务转发数据到应用,实现用户访问的安全传输。通道加密服务除认证服务端口外,每个应用有一个对外服务端口。在终端完成统一密码服务平台的配置后,用户打开浏览器访问地址即可——访问方式和原来相同,没有任何变化。
建立可信的日志完整性保护机制:根据等级保护要求,应用系统的操作日志、审计日志、告警日志等关键日志,需要进行完整性保护。企业可以通过调用统一密码服务平台的服务接口针对日志文件或者相关数据库表生成消息认证码(MAC),同时在验证完整性时对权限列表的消息认证码(MAC)进行验证,以确定完整性是否被破坏。