01 | 密钥管理系统是什么?企业为什么需要密钥管理系统?
当前越来越多公司开始采用KMS密钥管理系统,不仅是对其自身公司的要求,同时也延申到其供应链部分,要求相关供应商均需采用KMS密钥管理系统,以提升数据安全能力,保障业务合规合法开展。
KMS是Key Management System的简称,即密钥管理系统,也被称为密钥管理系统(CKMS)或企业密钥管理系统(EKMS),是用于产生一个综合的方法,分配和管理加密密钥的装置和应用程序。它们可能涵盖安全的所有方面——从密钥的安全生成到密钥的安全交换,到客户端上的安全密钥处理和存储。因此,KMS包括用于密钥生成、分发和替换的后端功能以及用于在设备上注入密钥、存储和管理密钥的客户端功能。
按照目前业界通行的商业密码防护方案,企业需要对齐核心数据采用加密方法进行安全保护。因为加密算法是公开的,所以数据加密的核心本质是要保证密钥的安全性。而一个统一的密钥管理系统恰恰是对不同业务、不同应用,例如数据库加密密钥、文件加密密钥、应用加密密钥、数据脱敏密钥、证书密钥对、固件签名密钥等等各种应用场景所需的密钥进行集中化的统一管理,确保密钥全生命周期的安全性和定期轮转。因此,密钥管理系统因作为企业数据安全的基础设施优先建设,同时避免采用密钥不能托管给KMS的加密系统,试想一个千年不变的固定加密密钥的加密系统的安全风险相对也是较大的。
02 | 常见的密钥管理系统有什么?
当前越来越多的企业选择云上服务,因此也习惯性的选择云上的密钥服务,实际上相对安全的做法是选择云上的加密服务,而密钥管理则掌控在自己手中,BYOK也是所有主流云都支持的安全做法,即云上的用户主密钥是由自己导入的,这将更能满足监管和合规要求。
❥ 对于用户自建KMS系统来说,可以更加灵活的选择使用经过第三方认证的硬件安全模块 HSM(Hardware Security Module) 来生成和保护密钥,进一步提升系统安全性。
03 | 安当KSP密钥管理系统功能介绍,相比市面常规产品具有哪些特点?
安当KSP密钥管理系统以密钥管理为核心,基于国密规范,为行业应用提供专业化、平台化、服务化密码服务、实现了密码资源统一管理与调度、密码服务统一管控、密钥集中管理、能够快速实现密码技术的安全集成与应用、提升客户业务安全性、创造更高的业务价值。同时、该平台具有综合性强、性价比高、易于部署和高效节能的特点、支持国际以及国密算法、并提供完善的密钥集中管理机制和密钥策略管理工具、为应用数据加解密、系统证书管理和应用数据签名/验签等业务提供高效灵活的密码运算支撑。
❥ KSP 可以让您轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求。
04 | KSP应对跨国公司供应商要求功能特点
自主管理和拥有加密密钥可对密钥进行全生命周期进行管理
KSP实现与被加密数据分开部署存储,提升安全性
十多个不同的用户角色划分,实现密钥细粒度的安全管控,最小权限的密钥访问权限
支持密钥自动或手动轮转,随时替换潜在风险密钥
安全的密钥备份机制,平衡了密钥安全性和系统可靠性
KSP系统的账户权限,独立于操作系统账户权限
可对接并管理用户应用系统的加密密钥,实现密钥集中化管理
支持国密SM2,SM3,SM4以及国际AES256,RSA,ECC等算法,支持其它算法开发集成导入
完善的密钥日志记录功能
05 | 安当KSP密钥管理系统典型应用场景
06 | 场景化解决方案
● 痛点:金融和政府机构任何的通信和存储数据,都具有高价值性和高保密性,需要考虑加密的安全性及合规性
● 方案:通过信封加密对协议通信内容、重要文件和资料提供加密服务及密钥保护和权限管理,满足安全性及合规性要求
● 痛点:核心知识产权,用户手机号、身份证号、银行账号、口令等隐私数据做严格保护,将敏感数据加密后保存,但是无法保证数据密钥的安全
● 方案:以信封加密方式,将所有核心数据通过数据密钥加密,数据密钥再经过KSP加密,为核心数据提供双重保护
● 痛点:应用开发配置文件需要进行加密以保护程序数据安全
● 方案:通过KSP对敏感数据配置信息、数据库连接信息、数据库密码、登录密钥、后台服务的配置信息进行加密及完整性保护
● 痛点:提供HTTPS等服务时需要使用到证书、密钥,这些信息若以明文保存本地,攻击者可以轻易获取
● 方案:通过KSP对密钥进行加解密,加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取,从而保证网页和应用的安全性