产品介绍
存储加密网关是遵循国家密码管理局相关标准和规范自主研发的软硬件一体化的数据加密存储产品,可以有效解决党政军及企事业单位的敏感文件安全存储问题,满足“等保2.0”和“密评”中关于“重要数据存储机密性”的要求。产品可与应用系统、文件服务系统、数据库等业务系统无缝集成,提高结构化、半结构化和非结构化等复杂结构数据的安全保护。产品通过全面适配信创环境和国产密码算法,实现了产品计算环境和密码算法的自主可控。
应用范围
存储加密网关系列产品,获得了《商用密码产品认证证书》,适用于政府、部队、企事业部门和行业的加密存储服务,主要应用于以下几个领域:(1) 数据中心数据加密存储与防护;
(2) 具有重要核心业务数据和敏感数据的单位的数据加密存储和防护;
(3) 等级保护2.0单位的数据加密存储与防护;
(4) 涉密单位信息系统分级保护的数据加密存储与防护;
工作场景
存储加密网关串接在应用服务器和NAS/SAN存储之间,通过文件加解密机制,实现对存储在NAS、SAN中数据的集中保护。其部署场景如图所示。
产品功能
文件加密服务
产品支持以标准NFS协议、CIFS协议和restful接口方式,为应用系统提供文件加解密服务。采用高强度加密方式对文件加密,每个文件对应随机密钥,支持三级密钥保护机制,支持国密SM软件算法和硬件加密设备。文件以密文方式保存在后端存储设备,应用系统打开文件时才解密。文件加密存储网关系统采取三级加密(系统根密钥、用户密钥和文件密钥)、一文一密的机制实现数据安全,任何其他用户包括管理员均无法直接访问到明文数据。
文件存储服务
产品支持对接多种存储设备,并开放存储插件接口,供第三方实现。产品默认支持基于集群文件系统的SAN存储和NFS存储。应用数据隔离
产品支持为不同的应用服务器提供隔离的数据存储空间,多个应用服务器之间的数据相互隔离,互不影响。密码设备管理
产品综合利用国密的SM2、SM3和SM4算法实现数据加密和访问控制。产品支持不同形态的密码设备,包括软算法、硬件加密卡和密码机。产品支持开放密码插件接口,供第三方适配,以兼容不同厂商的密码设备。访问控制
产品支持基于IP白名单的访问控制,包括管理IP白名单和数据访问白名单。系统管理员可通过Web页面配置。管理IP白名单控制登录和管理存储加密网关的终端。数据访问白名单控制能够访问网关服务的终端。数据访问白名单支持细化到不同的共享目录的访问控制。QoS
产品支持检测存储设备和密码设备状态,提高网络抖动时的服务质量,避免服务中断和阻塞。高可用
产品通过对双节点系统状态进行实时监控,实现双路冗余服务热备。其中一台节点宕机后,另外一台节点能够及时接替工作,不影响系统正常使用。
产品优势
国密算法支持
产品支持采用国密算法实现加密算法的自主可控。其中产品采用国密SM2加密算法保护用户密钥。密钥生成以及加解密处理均由经过国密认证的加密卡完成,确保主密钥的安全。产品采用国密 SM4 加密算法保护文件数据,一个文件对应一个密钥。文件的加密与解密操作均在硬件加密卡内完成,文件密钥的明文不会暴露在用户空间,确保了文件密钥的安全。信创环境支持
产品在信创环境里,硬件平台支持飞腾FT2000+CPU,操作系统方面支持银河麒麟操作系统,以此实现产品软硬件存储计算环境的自主可控。应用零改造
支持企业级标准存储协议,无缝对接应用系统,无需应用场景改造和二次开发,仅进行简单配制,即可完成存储加密改造。
产品规格
规格型号
型号SEG-I
硬件 | 服务器 | 机架式服务器 |
CPU | FT-2000+(64核,主频2.2GHz) 或 1*Intel Xeon Sliver 4210 2.20GHz/13.75MB 10C/20T |
|
内存 | 2*32GB/DDR4 | |
磁盘 | 2*480GB SDD/企业级 | |
网络 | 2个千兆网口 2个万兆光口(含多模光模块) |
|
RAID卡 | 支持RAID0/1/5/6/JBOD | |
电源 | 双路冗余电源 | |
加密设备 | 国密软算法或密码卡或密码机 | |
软件 | 必选服务 | 加密存储框架、网关服务、密码模块、管理平台 |
可选服务 | 支撑服务 |
型号SEG-II
硬件 | 服务器 | 机架式服务器 |
CPU | FT-2000+(64核,主频2.2GHz) 或 1*Intel Xeon Sliver 4210 2.20GHz/13.75MB 10C/20T |
|
内存 | 2*32GB/DDR4 | |
磁盘 | 2*480GB SDD/企业级 | |
网络 | 2个千兆网口 2个万兆光口(含多模光模块) |
|
RAID卡 | 支持RAID0/1/5/6/JBOD | |
HBA卡 | 支持 | |
电源 | 双路冗余电源 | |
密码设备 | 国密软算法或密码卡或密码机 | |
软件 | 必选服务 | 加密存储框架、网关服务、密码模块、管理平台 |
可选服务 | 支撑服务、集群文件系统 |