《密码法》规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估(简称:密评)在金融行业是硬性指标。对于金融行业内的组织而言,找到符合密评所要求的合规、正确、有效的商用密码产品来控制安全风险是十分必要的。
某城商行建行二十余年,曾入围中国银行业100强榜单,并被评估机构评定主体信用等级为AA+。出于信息安全建设考虑,以及积极响应《等保》、《关基保护条例》、《密码法》等法律法规要求,该行打算给内部的腾讯TCE专有云平台使用商用密码进行保护,以防范安全风险,并满足密评要求。
当前该专有云平台上已部署了10个应用系统,关系到许多重要的业务数据安全。按照《密码法》及《关基保护条例》等法律法规要求,必须对其采取商用密码进行保护。同时,商用密码的密码算法、密码协议、密钥管理、密码产品和服务使用必须通过密评合规性、正确性、有效性评估。
在调研了多个商用密码产品/方案后,该行选择了宁盾2FA双因子认证为该行提供解决方案。
采用国密SM3算法的硬件令牌
宁盾2FA双因子认证系统及动态口令均有国家密码管理局颁发的商密资质,支持SM3国密算法。在这一点上满足密评所要求的密码算法、协议、资质等条件。在动态口令的形式上,该行选择了国密算法的硬件令牌,随身携带,防暴力拆卸。
满足集中管理集中审计追溯
2FA双因子认证可根据不同策略灵活启用。如根据用户部门、角色、IP地址等信息决定是否对该用户启用多因素认证。集中管理以及登录日志的审计追溯节省了IT管理人员大量心力,且满足安全合规要求。
建立主备机制,保障安全可靠
金融行业的关键信息系统需要具备高可靠性和可用性,以保证系统的稳定运行和业务数据的完整性。2FA双因子认证系统以保障关键信息系统安全而建设,因此宁盾也为其提供了主备模式的方案。
在经过严格测试后,宁盾2FA双因子认证方案有效保证了该行专有云平台的访问安全,避免因用户账号密码泄露或被盗而面临的数据泄露风险。同时,国密算法、商密资质、主备模式部署等优势,助力该行达到密评条件,满足安全合规要求。
