长按海报可保存至本地
助力海报 返回大厅
信安世纪期货行业密码应用改造方案
0
投票
信安世纪期货行业密码应用改造方案
0
投票

1.     方案介绍1.1.  背景

目前国际上使用的主流密码算法主要由美国研发,随着密码技术和计算技术的发展,国际算法面临着严重的安全威胁。作为信息安全的基础,密码算法和密码产品的自主可控是确保我国信息安全的重中之重,国产密码算法的推广和应用已经成为我国快速应对信息安全威胁的措施之一。

密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。《密码法》的颁布实施,从法律层面为开展商用密码应用提供了根本遵循,进一步促进了商用密码的全面应用。

期货行业为贯彻落实《密码法》关于信息系统密码应用的要求,决定对已经建成的网上交易系统进行商用密码应用升级改造。

依据 GB/T 39786-2021《信息系统密码应用基本要求》,将从物理和环境安全、设备和计算安全、网络和通信安全、应用和数据安全方面,以及密钥管理、安全管理等方面,设计了该系统密码应用的技术改造、安全管理和实施保障方案。

1.2.  需求分析

期货行业的客户通过互联网访问期货公司交易客户端,完成期货、期权买卖等操作。

通过分析期货行业具体情况,期货行业要求在用户登录时进行强身份校验,用户数据传输时对信息进行通信加密,通过上述两种手段保证在互联网上操作时用户身份真实、用户交易信息不被窃取。

1.3.  技术方案

在整体方案设计上主要分为客户端和服务端进行改造。

●   针对客户端

网上交易客户端集成PC终端密码模块(含安全密码模块),通过系统标识、设备信息、用户ID和PIN码等作为密钥参数,同时应用协同签名与密钥分割技术,通过用户名+静态口令和利用数字证书签名验签的方式完成双因素认证,有效保证关键数据的完整性与不可否认性,保证接入用户的身份真实性。通过建立安全的SSL(SM2)加密传输通道,保证用户关键数据传输过程中的机密性。

●   针对服务端

通过部署SSL应用安全网关和协同签名平台,与客户端PC终端密码模块相互协作,为网上交易系统提供国产商用密码算法SSL的卸载能力、协同签名能力、服务端验签能力。并采用第三方CA或自建CA的方式为客户端及服务端国产商用密码安全资源提供并签发商密数字证书。

2.     方案优势

●   业务连续性保障

为保证业务连续性,在实施过程中坚持“新老并行、业务不中断”的原则,制定了相关的业务推广和应急回退等方案。支持客户端在上线初期兼容国际算法的相关通讯协议,保证在试运行阶段出现异常时,能无缝的对接国际算法的交易接入服务。严格认真从高质量、高安全的目标出发保证客户操作体验,贯彻“操作不变,体验不变”的思路,新旧客户端从客户操作体验角度完全一致。

●   保证客户正常交易不受影响

本系统涉及网上交易的全部客户,本方案保证了客户正常的账户登录、交易委托业务不受系统改造升级影响,避免发生不可挽回的事故或造成大范围客户损失。

●   以商用密码算法和协同签名提升系统安全性

本商用密码升级改造可以大幅提升网上交易系统安全性,在已有加密机制和国际SSL安全机制基础上,引入商用密码SM2/SM3/SM4和协同签名机制并发挥主要安全保障作用。

●   软硬件结合

本方案采用软硬件结合的方式,引入硬件安全设备提升安全性,硬件设备通过了商用密码销售许可认证。同时为了方便客户使用,在PC端采用软件方式实现国产商用密码算法应用。

●   高性能

客户端系统登录和交易委托等核心功能对服务响应速度性能指标的要求较高,考虑到客户操作体验的流畅性和及时性,不要求针对客户提交的每一个交易指令(业务消息)都进行数字签名并在网上交易服务端对之进行验签操作,仅要求在用户登录时进行强身份校验。

3.     应用场景

本方案适用于期货、基金、证券三大行业,方案设计遵循了B/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》和《信息系统密码评测要求》。选用期货基金行业典型业务---网上交易系统作为改造试点系统。

网上交易系统包括证券公司、期货公司、基金公司推出的面向企业用户、个人用户提供股票、期货、基金交易服务的信息系统。作为用户通过互联网进行股票、期货、基金买卖的入口,该系统一端衔接互联网,一端衔接位于企业内网的网上交易后台系统,是证券期货基金交易的重要一环。证券期货基金的改造范围一致,需要改造的要求均依据39786的标准,涉及的产品相同,因此方案具有互通性。

4.     应用案例

●   期货行业

民生期货、平安期货、冠通期货、一德期货、和融期货、江西瑞奇期货有限公司、瑞达期货、金元期货、云晨期货有限责任公司、红塔期货有限责任公司格林大华期货、中粮期货、中衍期货、国元期货、英大期货、首创京都期货、九州期货、山东港信期货、招金期货、三立期货、福能期货、华联期货、金瑞期货、深圳金汇期货、五矿经易期货、招商期货、中航期货、国信期货等60家以上公司均采用信安世纪提供的解决方案完成改造工作。

●   基金行业

第一批11家试点单位,信安世纪拥有10家案例,包括银华基金、好买基金、汇添富、华安基金、广发基金、南方基金、博时基金、招商基金、易方达基金、大成基金。其中华北区域的银华基金已经采用信安世纪提供的一整套解决方案完成改造并且通过密评拿到报告。

●   证券行业

第一家试点单位银河证券采用信安世纪提供的一整套解决方案完成改造并且通过密评拿到报告。


关闭

年度最佳行业解决方案(金融)

信安世纪期货行业密码应用改造方案

登陆即可获得 8 次投票机会