格尔-身份认证管理及解决方案

CA, RA, KMC, LDAP, OCSP ......
PMI/AA/ARA/PMS
安全设备 管理平台
……
NTC,SJY49, SSL VPN, Adaptor for 3rd DBMS,Adaptor for 3rd LDAP,SDK ……
格尔产品与电子政务系统结合
责任认 定系统
(签名验证 服务器
政
金 军 融 工 军 电 力 其
府
队
他
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
网络安全解决方案分析
保卫网络边界
网络防火墙
入侵检测系统 网络审计……
网络
保卫网络基础设施
环境/线路 网络设备 （路由器、交换机）…… 病毒服务器 审计服务器
核心交换机
保卫计算环境
• 11家WLAN、WAPI 国家标准定点厂商之一 • ……
格尔拥有的部分技术专利
专利名称 IC卡在线应用追加技术 彻底删除硬盘文件的方法 基于数据仓库的信息安全审计方法 具有MIME数据类型过滤技术的SSL代理方法 基于数字证书实现的动态口令认证方法 实现WEB应用安全加固的快速部署技术 专利号 03150909.6 01132347.7 0315777.8 01132344.2 03129281.X 03151410.3 金融IC卡密钥管理系统中的随机密钥约定方法 01132343.4
SRQ15逻辑图
机 柜
NTC终端加密机
XX省电子认证管理中心
AAS接入认证服务器 SSL安全代理服务器 安全审计服务器
1
1000 BASE X AMBER = ACTIVITY GREEN LINK OK = FLASHING GREEN = DISABLED 10/100 BASE TX 4 5 6 7 8 9 10 11 1 1 2 2
市场现状
• 格尔身份管理产品覆盖了全国除台、港澳之外的所有省、市、自治区； •身份供应系列产品（PKI）取得良好业绩
2003年后，区域CA建设处于绝对优势地位 目前已建设
9
2 2
个区域CA
个部委PKI体系
个总行级金融PKI体系 . 多个行业及大型企业PKI体系
市场现状
• 金融IC卡安全体系处于优势地位：
身份责任认定
身份供应
身份认证基础支撑平台
身份管理体系架构
加强以身份认证、授权管理、责任认定等为主要内容的
网络信任体系建设
基于身份管理的应用系统 身份责任认定
身份供应
身份认证
身份授权
身份认证基础支撑平台
格尔的产品线
签名验证 服务器 时间戳权 威服务器 工作站防 泄密系统 安全审计
网盾桌面安全组件,安全数据交换平台MSP,即时安全 消息系统,Internet用户管理系统,网络保险箱, 安全邮件系统,…… 安全认证网关； LAN接入认证网关； 单点登录系统（SSO）； ……
主要资质
• 国家保密局
– 涉及国家秘密的计算机信息系统软件开发资质证书
• 国家密码管理局
-商用密码产品生产许可证 -商用密码产品销售许可证
• 中华人民共和国公安部
– 计算机信息系统安全专用产品销售许可证
• 中国国家信息安全测评认证中心
– 国家信息安全证书认证产品型号证书
• 解放军信息安全测评中心
– 军用信息安全产品认证证书
基于数字证书的身份管理
• 安全思路
–坚持积极防御、综合防范；全面提高信息安 全防护能力 – 满足政府服务及办公网络安全可信的需求 –信息、应用的深度防御
• 身份管理基础设施安全平台 • 基于身份管理应用支撑类安全产品和中间件
身份管理体系架构
基于身份管理的应用系统 身份责任认定
身份供应
身份认证
身份授权
SVS 192.168.156.206
TSA 192.168.156.207
Webmail 192.168.157.201 192.168.156.201 192.168.157.202
NTC
192.168.156.208
192.168.156.253
192.168.156.214
NTC
192.168.155.202
身份管理体系架构 来自于内部的威胁
敏感文件被非法传阅、修改、拷贝、删除；
操作者随意更改自己的IP，造成网络冲突；
操作者有意或无意攻击其他内部机器；
基于身份管理的应用系统
责任认定困难，事后取证难度大
身份供应
身份认证 身份授权 重要文件的使用缺乏审计跟踪；
身份责任认定
数据库的操作缺乏审计跟踪；
身份认证基础支撑平台 事故追查困难；
身份供应
•Adaptor for 3rd LDAP
•SDK
身份认证基础支撑平台
身份管理体系架构
身份供应—让网络上每个用户
拥有合法的数字身份
•可信的、权威的第三方CA/RA •KMC •CA Lite
身份供应 身份认证 •EMV CA 身份授权 身份责任认定 基于身份管理的应用系统
身份认证基础支撑平台
你是谁--检查用户实体身份标识，判断是否允许 进入系统
安全认证网关；LAN接入认证网关；单点登录系统 （SSO）； 基于身份管理的应用系统
Web应用上 •哪些设备能接入网络？ • 面向Web接入的认证 身份认证 身份授权 • 每个用户拥有合法有效的数 •需要提供哪些凭证 MAC/IP/有效的数字证书… 字证书才能访问Web应用 •统一的策略 网络上
5411 Enterprise Switch 2
4
5
6
7
8
9
wenku.baidu.com10
11
3 3 R
我们追求
从优秀到卓越
上海格尔软件股份有限公司 闫仲森
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
公司概况
• 3家股东：上海科投、格尔集团、飞乐音响； • 注册资金：5500万人民币； • 8年的信息安全行业经验，专注于信息安全核 心技术和产品研发； • 1个分公司、4个办事处； • 在职人员300余人,其中研发人员近200人 • 公司本部在上海，总部在北京
金融IC对称密钥体系处于垄断地位，国内唯 一的金融IC卡密钥管理系统提供商 已建设一个国家级金融IC卡非对称密码体系 在PBOC2.0体系中，确定了格尔的优势地 位
市场现状
• 身份管理其它产品处于领先地位：
提出“应用+安全”创造新价值的理念，得 到市场的广泛认可 农总行已有26万柜员使用格尔的数字证书， 日交易量达到200万笔，截止2005年10月 15日，累计交易金额5069亿元 为应用安全量身定制的产品数量众多 安全与应用的整合处于领先地位，对应用的 理解处于国内领先地位
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
上海格尔--演示环境网络拓扑图
SRQ15:数据库 192.168.156.203
加密机 192.168.154.2
SRQ15 KOAL OA Server SSL 192.168.156.203 192.168.156.32 192.168.156.205 KEY:192.168.154.1
业务领域
1 信息安全综合管理平台 2 信息安全服务 3 尖端密码技术研究 4 IC卡应用安全产品
PKI技术及 其应用产品
格尔行业地位
• 第一
家中国PKI厂商
• 第一
• 第一
个金融IC卡国家规范的参与者
个国内第一个研发综合安全管理平台
• 唯一
• 最大
的金融IC卡密钥管理系统提供商
销售量（自主研发产品）的PKI厂商
主机加固/防病毒 主机加固 主机IDS 应用服务器
主机IDS
安全审计……
已解决的安全问题
• • • • • 物理（设备、环境、链路等）安全 防范攻击（针对设备、链路、主机、服务器） 主机安全 防范入侵破坏 主要针对外部攻击
未解决的安全问题
• 你是谁（身份认证，解决信 任问题） • 能干什么（身份授权，解决 访问控制） • 何时干了什么（责任认定， 解决管理问题） • 数据保护（数据加密，解决 数据安全问题）
光纤链路
Eth0:192.168.40.1/30
CA/AA服务器 Eth0:192.168.3.2/24 Eth1:192.168.168.1/30
数据库 /主LDAP服务器 192.168.3.3/24
SD
SAMP服务器 192.168.3.4/24 管理 审计 备份 备份库 磁带机
192.168.3.1/24
网盾，AAS PC 192.168.156.215
Webmail PC 192.168.155.201 192.168.156.200
防泄密PC 192.168.156.213
安审 192.168.156.212
网络保险箱 192.168.156.211
AAS 防泄密 192.168.156.210 192.168.156.209
身份供应
身份认证基础支撑平台
身份责任认定
身份管理体系架构
全方位的细粒度授权管理
•前提：用户身份标识被认证 •授权等级决定用户所拥有的系统权限范围 •合法的授权
身份责任认定 基于身份管理的应用系统
身份供应
身份认证
身份授权
身份认证基础支撑平台
身份管理体系架构
将身份管理技术融入到网络和应用
OA、门户、审批、公文传输、邮件系统 基于身份管理的应用系统 移动办公、桌面安全 数据加密存储 身份认证 身份授权 ……
身份管理体系架构
身份责任认定系统
满足[27]号文的关键组件 你干了什么（责任认定）
基于身份管理的应用系统 对合法操作、非法操作的责任认定
确保对信息“机密性、完整性、真实性、不 可抵赖性”的保护 身份认证 身份授权
身份供应
身份责任认定
身份认证基础支撑平台
身份管理体系架构
身份认证的解决方案
应用层
(网盾保险箱，PC保护，安全电子邮件 文件加解密，邮件代理……)
电子政务应用系统
时间戳权威 服务器
安全审计 工作站防泄 密系统
(网络保险箱,SVS签名验证服务器,电子印章系统 PMS服务系统……)
服务层
安全设备管 理平台
……)
接入层
(AAS,SSL,NTC……)
身 份 管 理 基 础 设 施 平 台
机 柜
NTC终端加密机 AAS接入认证服务器 SSL安全代理服务器 安全审计服务器
SVS签名验证服务器 网络保险箱理服务器
TSA时间戳服务器
工作站防泄密服务器
Webmail服务器
NTC终端加密机
SRQ15电子证书认证系统 加密机 华为24口交换机
机柜
SRQ15电子证书认证系统
XX省 密钥管理中心
而且……
综合业务系统 电子邮件
应用系统越来越多
• • • • 每个系统的用户管理千差万别 授权机制不统一 登录方式不统一 密码管理复杂
财务系统
后果
VPN 网络 人力资源系统
• • • • •
到处都是用户 新职员要在每个应用系统里重 新设置 未授权访问的风险 错误定位非常复杂 内部安全难以管理
OA系统 桌面 帐号信息
身份认证基础支撑平台
身份管理体系架构
身份认证基础支撑平台
•NTC——构建安全的网络基础结构；
•SJY49——构筑金融IC卡密钥管理基础结构； •SSL VPN
身份责任认定 基于身份管理的应用系统
•Adaptor for 3rd 身份认证 身份授权 DBMS(Oracle/DB2/Informix/SQL Server)
客户组成
• • • • • • • • • • • • • • 江苏省数字认证中心 浙江省数字认证中心 新疆数字认证中心 河北数字认证中心 安徽电子认证管理中心 国家现代信息技术研究所 中国人民解放军总后勤部 国家统计局 中国人民银行总行 中国工商银行总行 人民银行上海分行 中国银行总行 中国农业银行总行 ……
数字证书认证系统中实体证书跨应用互通方法 03129282.8
数字证书跨信任域互通方法 椭圆曲线加密、解密的方法和装置
椭圆曲线签名、验证签名的方法和装置
200310109056.2 02154717.3
0215416.5
研发体系
• 国内最早启动CMMI4认证的信息安全厂商 • 2005.4 启动，已完成4个试点项目，效果 得到了用户的好评 • CMMI4将使公司走上可持续发展的道路
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
格尔的网络信任体系、安全应用 建设思路
• 解决信息安全核心问题
– – – – – 信息保密性 身份真实性 信息完整性 授权合法性 不可抵赖性
• 包含
–信任（身份认证－PKI、PKI应用） –授权（访问控制） –责任认定（安全审计、证据采集） –内容保护（安全应用）