密钥管理系统 KSP
不仅仅是管理密钥,更多是在数据加密
该系统具有综合性强、性价比高、易于部署和高效节能的特点、支持国际以及国密算法、并提供完善的密钥集中管理机制和密钥策略管理工具,为应用数据加解密、系统证书管理和应用数据签名/验签等业务提供高效灵活的密码运算支撑。KSP可以让您轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求。KSP平台不仅仅是提供密钥管理功能,更可以为用户直接提供数据保护能力,包括数据库加解密、非结构化数据加解密、数据脱敏、数据防勒索等多种数据保护组件。
密钥和证书统一管理
可以管理密钥,数字证书,CA以及token等多种对象可以实现对上层多个不同厂商异构加密产品的兼容和集中管理
带有密码运算功能
不仅可以进行密钥的管理,还具备高性能的密码运算功能包括加/解密,签名/验签以及Hash计算,确保密钥不被导出即可执行相应运算
适应场景多样
可部署在数据中心,单云/多云,混合架构等多种应用场景当中
硬件级密钥保护
所有的密钥,管理人员等敏感信息都被存储保护在硬件密码卡中,永远都不会被明文导出,具备最高级别的安全性
具备可扩展的加密解决方案
可通过标准的密钥操作API与上层加密系统对接。针对数据存在的不同场景,对应用程序,数据库,存储以及大数据加密,并通过KSP进行密钥的管理,生成和存储
密钥管理即服务
可以实现租户级密钥管理功能,可帮助租户只关注自己的密钥管理,更好的实现对上层业务的支持。其余设备的管理,运维等工作有专业的管理员负责,且通过权限分离实现租户对密钥的绝对控制。管理员只负责对密钥管理系统的服务配置和系统配置,无法接触到租户密钥,确保了密钥的安全性
模块化功能输出
主要功能
安全简便的Web管理
通过Web管理界面,系统管理员可以方便的管理系统和系统中的密钥保护策略,并且管理终端和密钥管理系统远程服务之间采用安全通道进行数据传输,从而保证远程管理的安全可靠。
密钥生命周期管理
提供对称密钥、非对称密钥、证书、模板等加密对象的状态管理和属性管理。完成对加密对象的生成、存储、激活、更新、归档、注销、销毁等安全生命周期管理操作及加密对象属性的获取、添加、修改、删除等操作。
安全密钥生成和存储
密钥采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。密钥生成后由加密卡中的内部密钥加密后存储。支持SM系列的密钥生成与管理,支持对称算法及非对称算法密钥生成与管理。
密钥安全传输
客户端密钥获取支持SSL、用户名口令及wrapping key等多种认证及加密方式,几种方式可灵活组合配置。保证敏感信息在经过网络传输过程中的安全性,避免接口通信信息泄露、中间人攻击、重放攻击等可能性。
细粒度密钥策略
可对单个密钥设置加密、解密和密钥获取控制策略,对每个密钥操作设置访问时间、访问次数控制。密钥的使用者,拥有者,审计人员可以是不同的人,通过访问策略控制方便的进行密钥使用和审计管理。
加密对象管理
支持对称密钥、非对称密钥、数字证书和认证令牌等多种加密对象的统一管理,并提供加密对象的状态、属性管理及策略配置。
多证书信任
支持第三方CA签发的数字证书,同时系统本身也支持自签CA。多个证书可形成信任证书列表配置到KSP服务器。这样可以在保证安全性的同时提供更多的灵活性,简化部署过程,避免多套认证体系带来的维护成本和安全风险。
支持密码运算
支持对称算法和非对称算法的数据加解密运算。支持对称算法的MAC产生及验证,非对称算法的数字签名和验证。
加密/解密均可在KSP中完成
对于敏感数据加密上层应用系统可指定密钥标识通过KSP完成数据密码运算,KSP中的密钥不会暴露在系统之外,保证密钥的安全。
支持LDAP
KSP支持使用LDAP作为帐户管理,客户端可以通过LDAP用户进行安全认证;完成用户业务环境中用户的管理及认证的统一。
备份/恢复
支持用户密钥、模板、证书等重要数据的备份/恢复机制,用户可方便的在Web管理界面完成密钥备份操作,导出加密文件在本地妥善保存。
分布式部署
KSP既可以在一个数据中心独立部署,也可以同时部署在不同的数据中心,多个KSP之间可通过安全协议同步密钥数据,实现多节点共同协作。
日志审计
系统中所有的关键操作均记录日志,并且会对操作进行数字签名,可对系统中所有的日志进行查询,并且验证其有效性。
支持多种标准API
KSP支持多种密钥管理接口,包括C、JCE、PKCS#11和KMIP等接口。
主要特点
对称加解密
对称加解密支持SM1 / SM4国密算法、支持AES算法模式
非对称加解密
非对称加解密支持SM2 国密算法、支持RSA算法1024位、2048位
散列函数算法
散列函数算法支持SM3、SHA-1、SHA-256
专用硬件安全模块
专用硬件安全模块HSM作为密钥存储部件、保证密钥的安全存储
全生命周期管理
密钥的全生命周期安全管理,包括密钥的产生、加密存储、加密传输、禁用、删除、销毁和轮转
密钥功能
密钥的导入、导出和备份
支持BYOK
支持BYOK用户自带密钥
提供图形界面客户端
提供图形界面的密钥配置管理客户端软件
密钥日志
提供系统日志审计功能、对密码机登录和运行情况进行审计
场景化解决方案
• 痛点
金融和政府机构任何的通信和存储数据都具有高价值性和高保密性,需要考虑加密的安全性及合规性。
• 方案
通过信封加密对协议通信内容、重要文件和资料提供加密服务及密钥保护和权限管理,满足安全性及合规性要求。
• 痛点
核心知识产权、用户手机号、身份证号、银行账号、口令等隐私数据做严格保护,将敏感数据加密后保存,但是无法保证数据密钥的安全。
• 方案
以信封加密方式,将所有核心数据通过数据密钥加密,数据密钥再经过 KSP加密,为核心数据提供双重保护。
• 痛点
应用开发配置文件需要进行加密以保护程序数据安全。
• 方案
通过KSP对敏感配置信息、数据库连接信息、数据库密码、登录密钥、后台服务的配置信息进行加密及完整性保护。
• 痛点
提供 HTTPS等服务时需要使用到证书、密钥,这些信息若以明文保存本地,攻击者可以轻易获取。
• 方案
通过 KSP对密钥进行加解密,加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取,从而保证网页和应用的安全性。
• 痛点
勒索攻击产业化,勒索变种多样且含APT属性,安全设备切裂无协同,勒索攻击精准化。
• 方案
安当勒索防护方案是集云端-网络-终端于一体,通过云端值守,实时监测入侵威胁,通过KSP平台精准定位安全事件,控制可读进程,控制用户权限等操作,构建有效预防、持续监测、高效处置的勒索病毒防护体系。
• 痛点
大数据平台内部的数据包括数据传输、使用和存储等阶段。在未经防护的情况下,数据的全生命周期都是以明文形式存在,一旦发生数据泄漏,将会造成严重后果。
• 方案
针对前述数据安全风险,可以通过安当kadp实现保留格式加密存储,实现数据保护。