终端安全策略管理系统

通讯安全

产品简介：

终端密钥管理系统是沈阳江南科友科技股份有限公司结合多年金融行业数据安全系统方案设计和开发经验，自主研发而成的金融终端密钥管理和分发系统。2009年10月提交国家版权局验证，11月获得版权局颁发的软件产品证书。

作为传统纸质密函“一机一密”解决模式的升级性方案，终端密钥管理系统采用经国家密码管理局审批的安全设备-密钥分发器作为终端密钥的物理承载容器,同时对终端主密钥初始化管理流程进行系统的规划，使得传统纸质密函模式高管理成本、低运作效率的瓶颈从根本上得到了解决。

终端密钥管理系统适用于金融支付终端的“一机一密”改造或者实现，是在完全兼容科友公司原有SJL06和SHJ0902硬件加密机，以及密码管理平台软件基础上，进行的扩展性设计和开发。其中充分采用3DES以及ANSI X9.19等安全算法，以保证系统的整体安全性能。

终端密钥管理系统的出现，使得以合理的成本，改善数量庞大的金融业务终端密钥安全初始化高成本、低效率管理模式的现状成为可能。

产品功能：

电子密函制作

从客户方业务系统或硬件加密机获取终端主密钥，通过特定的传输密钥加密后，将终端主密钥密文、校验值、终端编号以及相关审计信息组合生成电子密函。

终端密钥下载

下载终端设备的终端密钥，将终端密钥写入到安全设备-密钥分发器中。

终端密钥加载

将密钥分发器连接至终端设备（ATM、POS等），通过操作密钥分发器将终端主密钥安全灌装到终端设备中。

终端密钥操作审计

对系统中执行终端密钥管理、密钥分发器等所有操作进行日志记录、操作审计，并提供相应审计报表。

终端密钥操作统计

统计各机构在不同时间段内进行的电子密函制作、下载和加载情况，全面了解系统的使用状况。                                                       

产品结构：

终端密钥管理控制台

安装有终端密钥管理软件的PC控制台，密钥管理员通过该控制台，登陆终端密钥管理服务器，执行终端密钥的各项管理操作。

终端密钥管理服务器

这是整个系统的核心，是应用数据的维护中心、控制台登陆的认证中心以及安全服务的调用中心，终端密钥的信息收集和制作也是由终端密钥管理服务器完成。终端密钥管理服务器功能已经整合在科友公司KMS产品中。

密钥分发器

   国家密码管理局认证的黑盒子装置，是终端密钥的承载介质，同时支持USB和RS232传输接口。用于把终端主密钥从业务系统安全传输到终端设备中。

产品特点 

操作认证体系

该系统支持用户名/口令、USB-KEY和IP授权等多重登陆身份认证，避免非法用户和从未授权控制台的登陆访问；密钥分发器采用生物指纹软件公司

和口令的双因素认证，使设备的操作和操作员本人严格关联。

敏感数据加密，敏感操作认证

传输于各组件之间的敏感数据（如：口令、密钥）等均采用安全加密或者哈希处理；针对密钥分发器的敏感操作，如密钥下载、管理口令重置、审计信息获取等，必须在设备进行合法性认证通过后才能执行。

应用和密钥数据安全隔离

通过引入终端密钥管理服务器和密钥服务器，实现了密钥分发、管理与应用系统业务处理的安全隔离，便于客户根据机构内部安全规范制定具有针对性的安全管理策略。

系统全面审计

提供全面的审计功能，从管理操作、终端密钥生命周期、密钥分发器设备操作等各个方面，审计部门都可以通过审计功能进行查看，并以报表形式输出或者打印。

完善的日志管理机制

敏感操作日志会及时被上传至服务端进行集中管理，并设有定期备份机制。

系统兼容性

系统各组件均提供支持不同操作系统的版本，且兼容科友密码服务平台软件和硬件加密机产品。