安全认证平台TongSEC白皮书

企业终端安全管控技术白皮书目录第1章引言 (1)1.1文档用途 (1)1.2阅读对象 (1)1.3名词术语 (1)1.4参考资料 (2)第2章概述 (3)2.1系统概述 (3)2.2系统价值 (3)2.2.1即严格又实用的准入管理 (3)2.2.2强大的U盘管理 (6)2.3系统功能性需求 (8)2.4系统非功能性需求 (9)2.4.1性能 (9)2.4.2安全性需求 (9)第3章系统体系结构 (11)3.1系统总体结构 (11)3.1.1系统定位 (11)3.2终端基础框架 (11)3.2.1机构分级管理 (11)3.2.2资产管理 (14)3.2.3报警中心 (16)3.2.4客户端管理 (20)3.3终端桌面管理 (22)3.3.1桌管基础功能 (22)3.3.2终端外设管理 (23)3.3.3终端网络访问控制&网络流量控制 (25)3.4终端审计管理 (30)3.4.1网址日志 (30)3.4.2屏幕日志 (32)3.4.3程序日志 (35)3.4.4文件日志 (38)3.4.5打印日志 (39)3.4.6USB使用日志 (40)3.4.7聊天日志 (42)3.4.8邮件日志 (43)3.4.9网络流量日志 (44)3.4.10开关机日志 (45)3.4.11操作系统日志 (47)3.4.12共享目录日志 (48)3.5终端运维管理 (48)3.5.1远程协助 (48)3.5.2文件分发 (49)3.5.3软件分发 (50)3.5.4补丁管理（新增） (51)3.5.5远程硬件管理 (56)3.5.6远程进程管理 (57)3.5.7共享目录管理 (58)3.5.8实时网络状态 (59)3.5.9磁盘信息 (60)3.5.10窗口进程 (61)3.5.11系统用户管理 (62)3.5.12启动项管理 (63)3.5.13水印控制 (63)3.6文件加解密管理（DLP） (64)3.6.1驱动层透明加密 (65)3.6.2申请解密/申请防泄密外发及相关审批流程设置 (66)3.6.3文件密级管理 (73)3.6.4服务器白名单 (74)3.6.5邮件管理、邮件白名单 (75)3.6.6剪贴板控制、自动加解密、禁止截屏 (76)3.6.7离线管理 (77)3.6.8解密Ukey管理 (78)3.6.9加密文件备份 (79)3.6.10加密文件打印禁止、水印打印 (80)3.6.11全盘加解密 (81)3.6.12密钥管理 (82)3.7网络准入控制 (83)3.7.1干路/旁路/策略路由/802.1x准入控制 (83)3.7.2合规入网控制 (84)3.7.3强制安装认证终端 (87)3.7.4用户名/密码入网、手机短信入网、AD域入网、指纹入网、UKEY入网893.7.5访客入网模式 (96)3.7.6非法外联 (99)3.7.7与officeScan联动 (100)第1章引言1.1 文档用途此文档用于指导终端管控系统的总体技术设计，包括产品的功能描述、界面、应用技术等内容，用以向整个设计期提供关于终端管控的功能设计与技术实现的总体指导，从而对终端管控系统进一步的详细设计给出明确的系统设计框架。

信息网安全管理平台技术白皮书目录第一章产品背景 (4)1.1安全问题分析 (4)1.2产品实现目标 (5)1.3产品主要功能实现 (5)第二章产品概述 (6)2.1产品简介 (6)2.2产品部署 (6)2.3产品模块 (7)第三章产品功能 (8)3.1平台特点 (8)3.2系统架构 (10)3.3系统功能介绍 (10)3.3.1 基础信息管理 (10)3.3.2 设备信息管理 (11)3.3.3 违规事件管理 (11)3.3.4 病毒防护管理 (11)3.3.5 服务器管理 (12)3.3.6 边界安全管理 (12)3.3.7 网站和FTP管理 (12)3.3.8 敏感信息检查功能 (13)3.3.9 桌面终端管理 (13)3.3.10 准入管理 (14)3.3.11 策略配置和事件报警管理 (14)3.3.12 报表管理 (14)3.3.13 用户和权限管理 (15)3.3.14 PKI证书管理 (15)第四章产品运行环境 (16)第五章产品应用和部署 (17)5.1单级部署示意图 (17)5.2多级部署示意图 (18)第一章产品背景随着公安信息化工作水平不断提高，公安信息网在打击犯罪、维护社会治安、加强警务沟通等方面起着不可估量的作用，有力地促进了各项公安业务的开展。

在公安专网中运行着多个全网应用系统，业务范围涵盖了治安、交管、监管、刑侦等领域；构成应用系统支撑基础的网络包括核心骨干节点、汇聚节点和各网络分支，分布于市局各业务单位、分县局、派出所，各项业务对应用系统的依赖性也越来越强。

但是，随着信息网上应用手段的丰富、信息量的迅速扩充，信息共享需求的增加以及广大干警对公安信息网的依赖性不断增强，公安信息网的安全问题，已成为各级公安机关关注的重点。

目前各级公安部门已经按公安部“金盾工程”要求初步建立了“一机两用”系统、杀毒软件、漏洞扫描、防火墙、入侵检测等安全管理系统，有效地解决了部分安全问题，但仍存在一些安全隐患，影响了整个公安信息网的安全。

T on g T e c h®TongWeb4.7技术白皮书东方通科技公司2006.12目录1.概要 (1)2.企业级应用 (1)3.多层业务解决方案 (1)3.1T ONG W EB架构 (1)3.2表示层 (2)3.3业务层 (3)3.4集成层 (4)3.5系统服务 (5)1.概要TongWeb4.7应用服务器是完全遵循J2EE1.4规范的企业级应用服务器，是经受大量客户应用验证的应用支撑平台。

TongWeb4.7应用服务器已经通过了Sun MicroSystems的J2EE1.4兼容性认证，并在业界标准的J2EE性能基准测试（SPECjAppServer）中，表现出很高的性能与可伸缩性。

本白皮书包含如下三个方面的内容：•企业级应用•多层业务解决方案•管理服务2.企业级应用TongWeb全面实现了J2EE1.4规范，支持Web服务标准和互操作性。

它提供了高级消息服务、集群、高安全性、高可用性、系统管理监控和优化、方便的企业级管理、多平台开发、应用迁移、良好的集成性等诸多功能。

基于TongWeb应用服务器，您可以方便、快捷、高效地构建多层分布式企业应用，同时能够动态的与外部企业系统进行交互。

TongWeb集群可为企业应用提供高度可用、可靠、可伸缩的平台支撑，在硬件或网络出现故障的情况下提供持续可靠的服务。

可靠的安全特性可以保障企业数据的安全，防止恶意攻击。

同时TongWeb安全框架还具备扩展功能，企业可以通过插件集成其他安全产品，以提供更高级别的安全保护。

TongWeb从体系构架、连接管理、线程管理、数据缓存、对象池等多方面进行性能优化。

同时系统管理员还能监控服务器运行状况，以便及时调整服务器的运行效率。

TongWeb提供基于JBuilder，Eclipse等主流开发平台的工具支持，用户可以在可视化环境下方便的开发，调试和部署基于TongWeb的企业应用。

同时，TongWeb还提供了可视化的应用迁移工具，用户可以把基于其他应用服务器的企业应用方便地迁移到TongWeb上。

工业互联网安全白皮书在当今数字化、智能化的时代浪潮中，工业互联网犹如一股强大的动力，推动着工业领域的深刻变革和创新发展。

然而，伴随着工业互联网的蓬勃兴起，安全问题也日益凸显，成为制约其发展的关键因素之一。

工业互联网将传统工业与互联网深度融合，实现了人、机、物的全面互联。

通过传感器、大数据、云计算等技术，企业能够实时监控生产流程、优化资源配置、提高生产效率。

但与此同时，这种广泛的连接也为网络攻击打开了新的大门。

一方面，工业互联网涉及众多关键基础设施，如电力、交通、石油化工等。

一旦遭受攻击，不仅会影响企业的正常生产运营，还可能对国家安全和社会稳定造成严重威胁。

例如，针对电力系统的网络攻击可能导致大面积停电，影响人们的日常生活和社会秩序。

另一方面，工业控制系统相较于传统的信息技术系统，其安全防护能力相对薄弱。

许多工业设备和系统在设计之初并未充分考虑网络安全问题，存在着诸多安全漏洞。

而且，由于工业生产环境的特殊性，设备更新换代周期长，难以及时进行安全补丁的升级和维护。

那么，工业互联网面临的安全威胁究竟有哪些呢？首先是网络攻击手段的不断进化。

黑客组织和不法分子利用高级持续性威胁（APT）、恶意软件、网络钓鱼等手段，对工业互联网进行有针对性的攻击。

其次，数据安全问题日益突出。

工业互联网中产生和传输的大量数据，包含了企业的核心机密和用户的个人信息，如果这些数据被窃取、篡改或泄露，将给企业带来巨大的损失。

此外，内部人员的误操作或恶意行为也不容忽视，他们可能因为疏忽或利益驱动，对工业互联网系统造成安全隐患。

为了应对这些安全挑战，我们需要采取一系列的防护措施。

首先，强化安全意识是至关重要的。

企业和员工要充分认识到工业互联网安全的重要性，加强安全培训，提高安全防范意识。

其次，建立完善的安全管理制度，明确责任分工，规范操作流程，从制度层面保障工业互联网的安全运行。

在技术层面，我们需要采用多种安全防护技术。

比如，部署防火墙、入侵检测系统、加密技术等，对网络进行实时监控和防护。

神州数码安全管理平台技术白皮书神州数码（XX）XX2009年5月第一章前言3第二章系统结构4第三章神州数码安全管理平台（SOC）功能概述43.1 基础安全管理53.1.1资产管理模块53.1.2策略管理模块73.1.3安全知识库管理123.1.4安全公告模块133.2 安全风险管理133.2.1 事件管理中心133.2.2 风险管理中心143.2.3 安全扫描管理183.3 安全评价管理183.3.1安全工作评价193.3.2安全现状评价213.3.3生产性评价223.3.4综合评价243.4 安全工单系统273.4.1派发工单273.4.2移交工单273.4.3审核工单283.4.4 接受工单283.4.5 转派工单283.4.6 催办工单283.4.7 解决工单293.4.8 结束工单293.4.9 归档工单293.4.10 查询工单29第一章前言互联网的开放性，给网络运营带来了越来越多的安全隐患，互联网网络安全管理工作目前急需加强，相应的安全管理系统及检测手段的建设也势在必行。

大型企业的网络规模庞大、系统复杂，其中包含各种网络设备、服务器、工作站、业务系统等。

同时安全领域也逐步发展成复杂和多样的子领域，例如访问控制、入侵检测、身份认证等等。

这些安全子领域通常在各个业务系统中独立建立，随着大规模安全设施的部署，安全管理成本不断飞速上升，同时对这些安全基础设施产品和它们产生的信息的管理成为日益突出的问题。

具体体现在:●海量事件企业中存在的各种IT设备提供大量的安全信息，特别是安全系统，例如安全事件管理系统和漏洞扫描系统等。

这些数量庞大的信息使得管理员疲于应付，容易忽略一些重要但是数量较少的告警。

海量事件是现代企业安全管理和审计面临的主要挑战之一。

●孤立的安全信息相对独立的IT设备产生了相对孤立的安全信息。

企业缺乏智能的关联分析方法，分析多个安全信息之间的联系，揭示安全信息的本质。

例如什么样的安全事件是真正的安全事件，它是否真正影响到业务系统的运行等。

SecuInter安全中间件 技术白皮书V3.0广东省电子商务认证中心Guangdong Electronic Certification Authority目录第一章综述 (3)第二章产品特点 (3)第三章产品结构与技术原理 (4)3.1. 产品结构 (4)3.1.1. SecuBase基础模块 (4)3.1.2. SecuForm安全表单签名组件 (5)3.1.3. SecuTimeStamp数字时间戳服务 (5)3.1.4. SecuMail安全电子邮件组件 (6)3.1.5. 门限加密组件 (6)3.2. 技术原理 (7)第四章运行环境 (7)第五章典型应用 (7)5.1. 电子政务 (7)5.2. 电子商务 (8)第六章技术服务 (9)6.1. 支持与服务内容 (9)6.1.1. 产品安装服务 (9)6.1.2. 产品升级服务 (9)6.1.3. 技术咨询 (9)6.2. 支持与服务方式 (9)6.2.1. 电话支持 (9)6.2.2. 电子邮件 (9)6.2.3. 在线支持 (10)6.2.4. 现场支持服务 (10)6.3. 技术培训 (10)6.3.1. 参加人员 (10)6.3.2. 培训地点 (10)第一章综述随着Internet的不断蓬勃发展，网络安全成为人们日益关注的焦点，PKI（Public Key Infrastructure）在网络安全中的重要性逐步被大家所认识，应用也日趋广泛，建立基于PKI 技术的网络安全信任体系也正成为人们追求的目标。

广东省电子商务认证中心是我国成立最早的数字认证机构之一，本着"CA保证应用安全，应用推动CA发展"的经营模式，为社会各界提供有安全保障的电子政务和电子商务的服务，以安全和标准化运营支持广东省的信息化建设。

为了推动CA的发展，结合多年来的技术经验、应用经验，独立自主开发了基于PKI的SecuInter安全引擎中间件。

终端安全统一管理系统白皮书-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII文档类型：文档编号：终端安全统一管理系统V5.0白皮书北京亿赛通科技发展有限责任公司二O一三年十月十一日产品需求说明书目录1.产品简介 (1)2.产品架构 (2)2.1. 终端监控引擎 (2)2.2. 总控中心 (3)2.3. 管理控制台 (3)2.4. 系统数据库 (3)3.产品功能 (4)3.1. 终端运维管理 (4)3.2. 终端安全加固 (5)3.3. 终端主机准入控制 (6)3.4. 移动存储介质管理 (7)3.5. 终端安全审计 (9)4. 产品性能 (11)4.1. 总控中心性能 (11)4.2. 终端监控引擎性能 (11)4.3. 产品性能指标 (11)4.4.自身安全性125. 产品部署 (12)5.1.产品形态125.2.部署模式135.2.1. 本地部署 (13)5.2.2. 分级部署 (13)1.产品简介EUMS®终端安全统一管理系统 V5.0 版是一款定位于为政府和企业用户提供集中的终端（桌面）综合安全管理的桌面管理产品。

系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理，为政府和企业用户打造一个安全、可信、规范、健康的内网环境。

EUMS®终端安全统一管理系统 V5.0 版是北京亿赛通科技发展有限责任公司（以下简称亿赛通）一个里程碑式的、战略性的产品版本，该版本通过对用户需求的持续跟踪使得产品功能进一步丰富，通过系统架构的优化调整使得产品性能显著提升，借助EUMS®终端安全统一管理系统 V5.0 版的发布，亿赛通公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。

EUMS®终端安全统一管理系统在为用户提供终端安全保护手段的同时，更加强调为用户提供便利的终端运维管理手段。

安盟双因素身份认证系统---信息安全的门户1 概述我们现在的信息系统的建设基本上是从基础建设(机房、布线、主机系统平台）开始，然后是内容（数据库、影院系统---OA/ERP/CRM/Mail等）的建设，一旦信息网络中有了有价值的内容，我们又开始部署安全防护（防病毒、入侵检测等），对于与外界有连接的网络采取边界防护及安全访问（防火墙、VPN），在实现了边界安全之后，业务和应用的安全问题开始浮出水面。

只有身份认证和管理技术能够密切结合企业的业务流程，防止重要资源不被非法访问。

数据存在的价值就是被合理访问。

建立信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问，未经授权的“人”无法访问数据。

如果没有有效的身份认证手段，访问者的身份就很容易被伪造，使得任何安全防范体系都形同虚设。

就好像人们建造了一座非常结实的保险库，安装了非常坚固的大门，却没有安装门锁。

如果把信息安全体系看作一个木桶，那么防火墙、入侵检测、VPN、安全网关等就是木桶的壁板，身份认证就相当于木桶底。

可以说，身份认证用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据，而防火墙等技术针对数字身份进行权限管理，解决数字身份能干什么的问题。

由此可见，身份认证是整个信息安全体系的基础，我们把身份认证技术称为“信息安全的门户技术”。

2安盟身份认证系统产品介绍2.1.安盟双因素身份认证系统组件安盟身份认证系统由安盟身份认证服务器、安盟身份认证代理、认证设备以及认证应用编程接口（API）组成。

2.1.1 认证服务器在安盟身份认证解决方案中，安盟身份认证服务器软件是网络中的认证引擎，由安全管理员或网络管理员进行维护，可以实现以下功能：¾认证：安盟身份认证服务器只允许能够提供无法猜测和复制的令牌代码以及静态PIN码的用户接入系统，这将保证登录的用户确实为授权的个体，大大降低了攻击和非法访问的风险。

即使是拥有上万用户和多个办公室的企业网络，仍能受到安盟身份认证服务器的保护，该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。

中软睿剑统一认证管理系统产品白皮书Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】中软睿剑统一认证管理系统产品白皮书中国软件与技术服务股份有限公司应用产品研发中心目录1.产品介绍中软睿剑统一认证系统是一款国产安全中间件产品，致力于解决业务系统安全集成问题。

中软睿剑统一认证系统能够帮助组织消除分散管理带来的安全隐患，建立完整的安全认证体系。

通过高效、安全的集成，实现了企业对用户和业务系统的统一管理，从而提高企业信息安全和管理效率，为企业的安全、快速的发展提供了保障。

产品分为统一认证和统一管理两大子系统。

共包括统一认证、统一管理、数据同步和安全审计四大功能模块。

实现了包括统一身份认证、统一用户管理在内的完整单点登录解决方案。

产品经过一系列国家级项目检验的，设计理念先进，能够满足不同客户、不同安全级别的系统集成需求。

2.产品特点标准化：遵循CAS协议和SAML规范，保证了与其他系统的无缝集成跨域名：支持跨顶级域名、多层次应用的单点登录跨平台：支持Java EE、PHP、.NET等多种平台系统的无缝集成免编程：支持遗留B/S系统的免编程集成，极大提高集成效率高性能：支持不低于300万/小时的登录次数，支持集群化应用部署安全可靠：数据传输支持多种加密方式多数据库支持：支持Oracle、DB2、SQL Server和达梦数据库3.产品功能中软睿剑统一认证系统提供身份认证（包括令牌认证、模拟认证）、统一管理、数据同步、安全审计四大核心功能。

系统采用开放架构，提供了完善的API体系，并支持用户自定义扩展。

统一认证：支持用户名/口令、数字证书、Windows域、USBKey等多种认证方式；支持关系型数据库、LDAP、ActiveDirectory等多种认证源；支持Java EE、PHP、.NET等多种平台系统的无缝集成。

统一管理：提供用户帐户生命周期管理，采用可扩展的机构、岗位、职能组织机构模型；提供对业务系统的集中管理，并定制用户的访问策略。

UTrust SSO统一身份认证和单点登录平台技术白皮书Version 4.0神州融信信息技术.chinautrust.目录1为什么需要单点登录 (3)2单点登录技术 (4)3UTRUST SSO简介 (4)4UTRUST SSO功能 (5)4.1.SSO单点登录 (6)4.1.1基于B/S结构的应用系统单点登录 (6)4.1.2基于C/S结构的应用系统单点登录 (7)4.1.3与Windows域结合的单点登录 (7)4.2.统一身份管理 (7)4.2.1.多种身份认证方式 (7)4.2.2.统一用户身份认证 (7)4.2.3.统一用户身份管理 (8)4.3.统一授权管理 (9)4.3.1.访问资源管理 (9)4.3.2.访问策略管理 (9)4.3.3.分级授权管理 (9)4.4.统一审计 (9)4.5.安全管理 (10)5UTRUST SSO特点 (10)6UTRUST SSO解决方案 (11)1、部署UTrust SSO (11)2、应用系统整合 (12)3、门户集成方案 (13)4、UTrust SSO实施效益 (14)1 为什么需要统一认证和单点登录企事业经过多年的信息化建设，已经形成了一大批比较成熟的应用系统，其涉及的应用面覆盖了企事业的大部分生产或业务，政府部门包括办公系统，人事系统，财务系统、信息管理系统等，对于企业还有生产调度系统、劳资管理系统、设备管理系统、PDM或ERP系统等。

由于历史的原因，各应用系统在开发的初期都是独立进行的，造成了彼此之间操作上的割裂和数据之间通信的割断。

每一个系统都需要用户输入用户名和密码才能登录。

随着业务的发展，企事业将来会增加到几十个应用系统在网上运行。

尤其对于一些权限较高或是涉及业务较多的用户，如果每一个系统都需要他们进行密码的验证，那么用户使用系统的不便性是可想而知的。

因此经常会有一些用户将多个系统设置成同一密码或是将记不住的密码写在纸上贴在桌子上，这样，对业务系统的访问存在着极大的安全隐患，使一些别有用心的工作人员有机会利用他人密码登录系统，进行非法操作，也会给发生重大事故后的责任追查带来困难。

T o n g T ec h®安全中间件TongSEC技术白皮书东方通科技中间件技术白皮书（9）目录1.前言 (3)1.1. 本书范围 (3)1.2. 本书读者 (3)1.3. 进一步参考资料 (3)2. 引言 (3)3. PKI概念 (3)3.1. 系统安全 (3)3.2. 安全技术 (4)3.3. 公钥基础设施（PKI－Public-key Infrastructure） (5)4.TongSEC V1.0 (6)4.1. TongSEC体系结构 (6)4.2. TongSEC系统组成 (8)4.3. TongSEC产品特点 (9)5. 网络商务应用安全系统规划建议 (10)5.1. 安全系统的整体规划 (10)5.2. 安全系统的管理机制 (11)6. 案例 (13)6.1. WEB浏览器的支持 (13)6.2. 电子邮件 (14)6.3. 文件/目录应用 (14)6.4. 网络商务 (14)6.5. CryptoAPI使用 (14)1.前言1.1. 本书范围本文档介绍东方通科技的安全中间件产品TongSEC。

TongSEC的远期目标是提供全面的企业级安全解决方案，包括安全策略、安全管理、电子支付（支付网关、电子钱包）框架、PKI 体系结构、二次开发接口等。

它的近期目标主要为建立PKI-enabled的应用打下基础产品，包括PKI体系结构和二次开发接口，这也是本文阐述的内容。

1.2. 本书读者本文档主要介绍PKI体系结构的概念和TongSEC V1.0功能。

1.3. 进一步参考资料TongSEC管理和操作手册、TongSEC应用编程手册。

2. 引言网络商务日益深入人心的今天，安全、可靠、可扩充的网络商务应用系统的建立，是当前各行各业信息主管面临的主要挑战之一。

由于涉及广域网、Internet、电子支付等问题，如何保障系统安全更是系统建设的重中之重。

为此，人们越来越多的使用数字证书和PKI系统来保障系统的安全。

TongWeb技术白皮书东方通科技公司2004.05目录1.概述 (3)2.应用服务器概念及TONGWEB 的起源 (3)2.1三层/多层应用模式和应用服务器 (3)2.2J2EE体系结构 (4)3.TONGWEB 体系结构 (4)3.1概述 (4)3.2T ONG W EB主要构件和功能 (5)（1）易于扩展服务的TongWeb内核 (5)（2）TongWeb Web容器 (6)（3）TongWeb EJB容器 (6)（4）会话管理器 (7)（5）数据库管理功能 (8)（6）名字目录服务 (8)（7）JCA支持 (8)（8）Java消息管理 (9)（9）交易服务与交易API (10)（10）安全服务 (10)（11）集群与均衡负载 (11)（12）Web Service支持 (11)（13）通过IIOP与CORBA对象的交互 (11)（14）开发和管理工具支持 (12)4.与传统应用的集成 (12)4.1支持J AVA连接器体系统结构（JCA） (12)4.2与T ONG EASY、T ONG LINK/Q的的集成 (12)1.概述本技术白皮书是为想深入了解TongWeb 的技术人员编写，内容包括三层/多层应用模式介绍、应用服务器和J2EE介绍、TongWeb体系结构、功能特性、与传统应用的集成等几个部分。

2.应用服务器2.1三层/多层应用模式和应用服务器传统的应用系统模式是“主机/终端”或“客户机/服务器”。

随着Internet 的发展壮大，新的开发模式也应运而生，即所谓的“浏览器/服务器”结构、“瘦客户机”模式。

但是以Internet 为基础的企业级应用，不仅要求在分布式环境下实现信息的采集、管理、发布、交换、处理等，还要求能解决好以下问题：∙快速开发和构建∙处理大量并发事务∙交易完整性∙易扩展∙互操作性∙可靠性∙信息安全要很好地解决以上问题，仅靠简单的Web技术是不够的，需要引入三层/多层应用模式。

技术白皮书目录第一部分公司简介........................................ 错误!未定义书签。

第二部分网络安全的背景................................. 错误!未定义书签。

第一章网络安全的定义.................................... 错误!未定义书签。

第二章产生网络安全问题的几个方面....................... 错误!未定义书签。

2．1 信息安全特性概述.................................... 错误!未定义书签。

2. 2 信息网络安全技术的发展滞后于信息网络技术。

.......... 错误!未定义书签。

2．3TCP/IP协议未考虑安全性.............................. 错误!未定义书签。

2．4操作系统本身的安全性................................ 错误!未定义书签。

2．5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX 控件进行有效控制......................................... 错误!未定义书签。

2．6忽略了来自内部网用户的安全威胁...................... 错误!未定义书签。

2．7缺乏有效的手段监视、评估网络系统的安全性............ 错误!未定义书签。

2．8使用者缺乏安全意识，许多应用服务系统在访问控制及安全通信方面考虑较少，并且，如果系统设置错误，很容易造成损失................... 错误!未定义书签。

第三章网络与信息安全防范体系模型以及对安全的应对措施.... 错误!未定义书签。

3．1信息与网络系统的安全管理模型........................ 错误!未定义书签。

统一身份认证管理平台UTS V4.0产品白皮书北京天安捷信科技有限公司2013年5月1前言随着信息化的不断深入，企业的IT环境越来越复杂。

众多IT系统的建设，一方面为企业带了先进高效的管理方法和工作平台，帮助企业更好的实现业务目标；另一方面也为用户日常工作，IT系统管理和业务系统安全带来了很多的问题和风险信息孤岛难以打破实体身份难以管理共享安全难以保障应用效益难以体现管理水平难以提升北京天安捷信科技有限公司，在深刻理解企业应用系统整合需求的基础上，针对信息化管理现状，以业务需求为导向，自主开发出统一信任管理平台（UTS），为企业提供基于可信身份的统一信任管理解决方案。

统一信任管理平台可为企业实现：1)业务资源整合在多个不同业务系统之间搭建一座桥梁，相互之间关联到一个统一平台上，强化不同业务系统间的协同工作；系统访问将变得更加透明、便捷。

该平台的建立为实现业务系统的综合管理、高效整合提供了可行性和便利性；2)统一身份管理提供了有效、安全的身份管理机制，为企业完成各系统间的用户信息整合，实现用户生命周期的集中统一管理；同时基于PKI/CA体系为所有用户提供数字证书服务，使对企业应用系统的访问更加安全、可靠；3)安全策略集中统一的安全策略提高了系统的管理效率，通过统一的策略管理和基于角色的访问控制技术、各种高强度认证方式，提升了用户的认证体验和企业的管理效率；1技术架构图2-1 UTS V4.0技术架构图平台的技术优势采用JAVA开发，适应市场中主流的应用服务器。

如tomcat、websphere、weblogic、jboss、glassfish等前端采用javascript这种解释性脚本语言，兼容大部分浏览器采用springmvc框架，使得开发简洁，利于扩展采用hibernate框架，系统可以运行在市场各大主流数据库下。

2系统架构图3-1 UTS V4.0系统架构图系统整体功能架构主要由应用层、策略层、服务层、数据层和数据接口层组成，以上层次结构的设计主要功能如下：●应用层UTS用户主要分为系统用户和最终用户两类，应用层主要面向最终用户提供服务，在UTS整体架构设计中，能够独立作为应用面向最终用户提供服务的主要就是SSO单点登录系统，最终用户通过访问SSO单点登录系统完成UTS后台所有策略管理配置的实现机制效果。

数字校园系列软件产品统一身份认证平台功能白皮书目录1 产品概述............................................................................................................................... - 3 -1.1 产品简介................................................................................................................... - 3 -1.2 应用范围................................................................................................................... - 3 -2 产品功能结构....................................................................................................................... - 4 -3 产品功能............................................................................................................................... -4 -3.1 认证服务................................................................................................................... - 4 -3.1.1 用户集中管理............................................................................................... - 4 -3.1.2 认证服务....................................................................................................... - 5 -3.2 授权服务................................................................................................................... - 5 -3.2.1 基于角色的权限控制................................................................................... - 5 -3.2.2 授权服务....................................................................................................... - 6 -3.3 授权、认证接口....................................................................................................... - 6 -3.4 审计服务................................................................................................................... - 6 -3.5 信息发布服务........................................................................................................... - 7 -3.6 集成服务................................................................................................................... - 7 -3.6.1 应用系统管理............................................................................................... - 7 -3.6.2 应用系统功能管理....................................................................................... - 8 -3.6.3 应用系统操作管理....................................................................................... - 8 -4 产品特点............................................................................................................................... - 9 -4.1 基于角色的访问控制模型（RBAC） ...................................................................... - 9 -4.2 统一管理用户和组织机构信息............................................................................... - 9 -4.3 支持10多种语言开发的业务系统认证................................................................. - 9 -4.4 统一的认证和授权服务.........................................................................................- 10 -4.5 提供多种授权级别.................................................................................................- 10 -4.6 先进的体系结构.....................................................................................................- 10 -4.7 完善的安全设计.....................................................................................................- 10 -5 运行环境.............................................................................................................................- 10 -5.1 服务器配置.............................................................................................................- 10 -5.2 客户端配置.............................................................................................................- 11 -6 典型客户.............................................................................................................................- 11 -统一身份认证平台功能白皮书1产品概述1.1产品简介随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登录系统时需要多次输入用户名/密码，操作繁琐。

T o n g T ec h®TongWTP4.0技术白皮书东方通科技公司技术白皮书（15）目录1.前言 (3)2.基本术语 (4)3.体系结构 (5)3.1.产品组成 (5)3.1.1.文件服务器 (5)3.1.2.接入服务器 (6)3.1.3.文件传输控件 (6)3.1.4.客户端API (6)3.1.5.传输管理中心 (7)3.1.6.Web传输应用 (7)3.2.产品部署 (7)4.主要功能 (8)4.1.文件传输功能 (8)4.2.灵活的身份验证机制 (8)4.3.传输加密功能 (8)4.4.多种灵活的传输控制 (9)4.5.定制文件传输的目标位置 (9)4.6.集中式配置监控管理 (9)4.6.1.管理方式 (9)4.6.2.服务器监控 (10)4.6.3.业务传输监控 (10)4.6.4.预警及故障告警 (10)4.6.5.服务器动态配置 (10)4.6.6.查询统计 (10)4.6.7.操作审计 (10)4.7.日志管理 (10)5.安全传输机制 (10)5.1.身份验证过程 (11)5.2.安全传输过程 (12)5.2.1.文件上传 (12)5.2.2.下载过程 (12)6.实施方法 (13)6.1.服务器端工作 (13)6.2.客户端工作 (14)7.系统特点 (14)7.1.安全性 (14)7.2.高效性 (15)7.3.易使用 (15)7.4.可扩展 (15)1.前言随着Internet的高速发展和普及，基于Internet的应用系统也越来越普遍，企业的经销商、业务合作伙伴和客户都可以通过互联网直接与企业进行信息的交换，而不需要依赖昂贵的电信专线。

与此同时，互联网的全球性和开放性，也对企业在利用互联网中如何保证安全和高效提出了挑战。

文件作为系统与系统之间信息交换的载体，在基于Internet的应用系统中使用的也非常频繁。

如企业向银行报送待发工资表、基金销售报表；企业向税务部门提交各类税务报表；经销商向商家报送销售报表等；分公司员工向总公司上传财务资料、销售资料等。

UTrust SSO统一身份认证和单点登录平台技术白皮书Version 4.0神州融信信息技术.chinautrust.目录1为什么需要单点登录 (3)2单点登录技术 (4)3UTRUST SSO简介 (4)4UTRUST SSO功能 (5)4.1.SSO单点登录 (6)4.1.1基于B/S结构的应用系统单点登录 (6)4.1.2基于C/S结构的应用系统单点登录 (7)4.1.3与Windows域结合的单点登录 (7)4.2.统一身份管理 (7)4.2.1.多种身份认证方式 (7)4.2.2.统一用户身份认证 (7)4.2.3.统一用户身份管理 (8)4.3.统一授权管理 (9)4.3.1.访问资源管理 (9)4.3.2.访问策略管理 (9)4.3.3.分级授权管理 (9)4.4.统一审计 (9)4.5.安全管理 (10)5UTRUST SSO特点 (10)6UTRUST SSO解决方案 (11)1、部署UTrust SSO (11)2、应用系统整合 (12)3、门户集成方案 (13)4、UTrust SSO实施效益 (14)1 为什么需要统一认证和单点登录企事业经过多年的信息化建设，已经形成了一大批比较成熟的应用系统，其涉及的应用面覆盖了企事业的大部分生产或业务，政府部门包括办公系统，人事系统，财务系统、信息管理系统等，对于企业还有生产调度系统、劳资管理系统、设备管理系统、PDM或ERP系统等。

由于历史的原因，各应用系统在开发的初期都是独立进行的，造成了彼此之间操作上的割裂和数据之间通信的割断。

每一个系统都需要用户输入用户名和密码才能登录。

随着业务的发展，企事业将来会增加到几十个应用系统在网上运行。

尤其对于一些权限较高或是涉及业务较多的用户，如果每一个系统都需要他们进行密码的验证，那么用户使用系统的不便性是可想而知的。

因此经常会有一些用户将多个系统设置成同一密码或是将记不住的密码写在纸上贴在桌子上，这样，对业务系统的访问存在着极大的安全隐患，使一些别有用心的工作人员有机会利用他人密码登录系统，进行非法操作，也会给发生重大事故后的责任追查带来困难。