格尔身份认证管理及解决方案.ppt

上海格尔软件股份有限公司 闫仲森,从优秀到卓越,我们追求,汇 报 提 纲,汇 报 提 纲,公司概况,3家股东：上海科投、格尔集团、飞乐音响；注册资金：5500万人民币；8年的信息安全行业经验，专注于信息安全核心技术和产品研发；1个分公司、4个办事处；在职人员300余人,其中研发人员近200人公司本部在上海，总部在北京,业务领域,信息安全综合管理平台产品,信息安全服务,尖端密码技术研究,IC卡应用安全产品,PKI技术及其应用产品,格尔行业地位,第一 家中国PKI厂商 第一 个金融IC卡国家规范的参与者第一 个国内第一个研发综合安全管理平台唯一 的金融IC卡密钥管理系统提供商最大 销售量（自主研发产品）的PKI厂商,主要资质,国家保密局涉及国家秘密的计算机信息系统软件开发资质证书 国家密码管理局-商用密码产品生产许可证-商用密码产品销售许可证中华人民共和国公安部计算机信息系统安全专用产品销售许可证中国国家信息安全测评认证中心国家信息安全证书认证产品型号证书解放军信息安全测评中心军用信息安全产品认证证书11家WLAN、WAPI 国家标准定点厂商之一,格尔拥有的部分技术专利,研发体系,国内最早启动CMMI4认证的信息安全厂商2005.4 启动，已完成4个试点项目，效果得到了用户的好评CMMI4将使公司走上可持续发展的道路,市场现状,格尔身份管理产品覆盖了全国除台、港澳之外的所有省、市、自治区；,.,身份供应系列产品（PKI）取得良好业绩2003年后，区域CA建设处于绝对优势地位目前已建设 9 个区域CA 2 个部委PKI体系 2 个总行级金融PKI体系 多个行业及大型企业PKI体系,市场现状,金融IC卡安全体系处于优势地位：金融IC对称密钥体系处于垄断地位，国内唯一的金融IC卡密钥管理系统提供商已建设一个国家级金融IC卡非对称密码体系在PBOC2.0体系中，确定了格尔的优势地位,市场现状,身份管理其它产品处于领先地位：提出“应用+安全”创造新价值的理念，得到市场的广泛认可农总行已有26万柜员使用格尔的数字证书，日交易量达到200万笔，截止2005年10月15日，累计交易金额5069亿元为应用安全量身定制的产品数量众多安全与应用的整合处于领先地位，对应用的理解处于国内领先地位,客户组成,江苏省数字认证中心浙江省数字认证中心新疆数字认证中心河北数字认证中心安徽电子认证管理中心国家现代信息技术研究所中国人民解放军总后勤部国家统计局中国人民银行总行中国工商银行总行人民银行上海分行中国银行总行中国农业银行总行,政府,金融,电力,其他,军工军队,汇 报 提 纲,网络安全解决方案分析,网络,病毒服务器,核心交换机,保卫网络边界网络防火墙入侵检测系统网络审计,保卫网络基础设施环境/线路网络设备（路由器、交换机）,保卫计算环境主机加固/防病毒主机IDS安全审计,审计服务器,主机IDS,主机加固,应用服务器,已解决的安全问题,物理（设备、环境、链路等）安全防范攻击（针对设备、链路、主机、服务器）主机安全防范入侵破坏主要针对外部攻击,未解决的安全问题,你是谁（身份认证，解决信任问题）能干什么（身份授权，解决访问控制）何时干了什么（责任认定，解决管理问题）数据保护（数据加密，解决数据安全问题）,而且,应用系统越来越多每个系统的用户管理千差万别授权机制不统一登录方式不统一密码管理复杂,后果到处都是用户新职员要在每个应用系统里重新设置未授权访问的风险错误定位非常复杂内部安全难以管理,汇 报 提 纲,格尔的网络信任体系、安全应用建设思路,解决信息安全核心问题信息保密性身份真实性信息完整性授权合法性不可抵赖性包含信任（身份认证PKI、PKI应用）授权（访问控制）责任认定（安全审计、证据采集）内容保护（安全应用）,基于数字证书的身份管理,安全思路坚持积极防御、综合防范；全面提高信息安全防护能力满足政府服务及办公网络安全可信的需求信息、应用的深度防御身份管理基础设施安全平台基于身份管理应用支撑类安全产品和中间件,身份管理体系架构,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,身份供应,身份管理体系架构,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,身份供应,身份认证基础支撑平台NTC构建安全的网络基础结构；SJY49构筑金融IC卡密钥管理基础结构；SSL VPNAdaptor for 3rd DBMS(Oracle/DB2/Informix/SQL Server)Adaptor for 3rd LDAPSDK,身份管理体系架构,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,身份供应,身份供应让网络上每个用户 拥有合法的数字身份可信的、权威的第三方CA/RAKMCCA LiteEMV CA,身份管理体系架构,身份责任认定,来自于内部的威胁 敏感文件被非法传阅、修改、拷贝、删除；操作者随意更改自己的IP，造成网络冲突；操作者有意或无意攻击其他内部机器；责任认定困难，事后取证难度大 重要文件的使用缺乏审计跟踪；数据库的操作缺乏审计跟踪；事故追查困难；,身份管理体系架构,身份责任认定,身份责任认定系统 满足27号文的关键组件你干了什么（责任认定）对合法操作、非法操作的责任认定确保对信息“机密性、完整性、真实性、不可抵赖性”的保护,身份管理体系架构,身份认证,身份管理体系架构,身份授权,全方位的细粒度授权管理前提：用户身份标识被认证授权等级决定用户所拥有的系统权限范围合法的授权,身份管理体系架构,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,将身份管理技术融入到网络和应用OA、门户、审批、公文传输、邮件系统移动办公、桌面安全数据加密存储,身份供应,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,身份供应,加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设,身份管理体系架构,格尔的产品线,NTC,SJY49,SSL VPN,Adaptor for 3rd DBMS,Adaptor for 3rd LDAP,SDK,安全认证网关；LAN接入认证网关；单点登录系统（SSO）；,PMI/AA/ARA/PMS,网盾桌面安全组件,安全数据交换平台MSP,即时安全消息系统,Internet用户管理系统,网络保险箱,安全邮件系统,CA,RA,KMC,LDAP,OCSP.,签名验证服务器时间戳权威服务器工作站防泄密系统安全审计安全设备管理平台,格尔产品与电子政务系统结合,服务层(网络保险箱,SVS签名验证服务器,电子印章系统PMS服务系统),责任认定系统(签名验证服务器时间戳权威服务器安全审计工作站防泄密系统 安全设备管理平台),应用层(网盾保险箱，PC保护，安全电子邮件文件加解密，邮件代理),电子政务应用系统,身份管理基础设施平台,接入层(AAS,SSL,NTC),汇 报 提 纲,SRQ15逻辑图,SRQ15电子证书认证系统,SSL运行网络环境,SSL安全认证网关,对WEB应用服务透明，兼容各种Web 服务器；可同时为多个WEB服务器提供服务；配置快速备份和恢复；支持用户访问信息的审计接口；提供不同性能级别（L、W、E、G）的产品满足用户需求；基于Web的管理界面，让用户可以轻松完成所有复杂的配置。,为B/S或C/S的网络应用提供数据加密、身份认证和数据完整性校验的安全解决方案。,SSL安全认证网关应用结构,用户名/口令(明文)页面信息(明文),高强度身份认证基于数字证书的身份认证高强度数据传输安全所有从用户端到安全认证网关到数据都采用不低于128位的数据加密传输保护Web服务器前置于Web服务器,用户无法直接访问Web服务器高可靠性支持双机冗余,最大限度保证不中断服务,KOAL SSL5管理界面,身份认证（SSL）下的OA系统,SVS运行环境,签名验证服务器(SVS),结合有效的时间源，提供时间戳的签名验证功能，进一步增强网上操作的时效性；可同时为多个应用提供签名/签名验证服务；基于Web的管理界面，让用户可以轻松完成所有复杂的配置。产品提供各种API接口(C,Java,COM)，满足各种应用的需求；产品签名和验证采用标准PKCS#7接口，便于和第三方签名或验证签名的产品进行配合运行。,为网络应用提供操作凭证和操作数据验证的功能，和签名客户端软件产品共同组成签名认证服务平台。,签名验证服务器网络结构,用户进行网络作业，并进行 数据签名；,用户提交作业信息和对应的签名信息至应用服务器,返回用户界面,应用服务器获取签名验证结果,应用服务器调用SVS验证签名接口验证签名信息是否真实,SVS功能演示,http:/192.168.156.203:8080/svsclient,AAS运行网络环境,受保护网络,接入认证网关,支持802.1x协议的交换机,接入认证网关（AAS）,基于身份认证来判断某设备/用户是否具有网络接入权限只有通过认证的网络设备才能接入当前网络杜绝了外来未授权设备接入本地网络可能带来的安全隐患,为网络提供认证接入功能。,AAS管理界面,http:/192.168.156.209:8080/account/,交换机根据认证结果决定是否允许该用户设备联入受保护网络,交换机将用户信息提交至接入认证网关进行验证,用户在联入受保护网络之前首先提交自己的身份信息至交换机,接入认证网关将验证结果返回给交换机,接入认证网关网络结构,受保护网络,接入认证网关,交换机,NTC运行环境,网络终端加密机NTC,为用户在复杂的Internet网络环境中，建立一个安全、稳定的应用平台，提供网到网之间的安全可靠通信。,安全性高：采用PKI证书认证的方式建立隧道，使用方便：NTC设备均支持透明网桥模式，接入网络不会影响已有的网络结构及配置成本低：多网段的同时保护只需要一台NTC服务器，降低硬件成本。维护方便：所有的设备均为一体化硬件，使用维护方便，另外由于采用多网段保护机制，减少设备数量，减少维护量高可靠性：提供双机热备份的冗余保护，减少单点故障的概率,NTC 数据机密性保护,内部工作子网,下属机构,DDN/FRX.25专线,密文传输,明文传输,明文传输,WebMail运行环境,安全电子邮件系统,简单易用，用户不需要单独安装程序，不需要进行复杂设置。具有独特的邮件跟踪功能。用户可以对自己发送的邮件状态进行查询，查看收件人是否收到、打开邮件。自动实现邮件的加密、解密、签名、验证等安全功能。方便实现邮件的集中备份。,安全电子邮件演示,网络保险箱运行环境,管理服务自定义协议,文件服务SMB协议,证书服务LDAP协议,网络保险箱,网络保险箱实现个人私有资料在服务器上的安全存储，具有以下特点：存储在网络安全存储系统中的内容必须是加密的，即使是系统的管理员也无法查看其中的内容 用户只能看到和打开自己存储的内容或者别人授权给自己的内容 用户到网络安全存储系统之间的信息传输都是加密的,网络保险箱演示,管理端,客户端,格尔工作站防泄密系统以行为监控与审计和存储安全为出发点，针对涉密网络环境提供了一套全方位、多层次的防止敏感信息泄露的管理、控制、跟踪、保护、取证的有效手段。,工作站防泄密系统,硬件化设计、即插即用监控代理安装方式灵活多样完善的模块化设计，降低升级、维护成本监控与审计结合，全方位防止泄密功能模块丰富、技术应用合理完善的系统保护机制,系统通信安全可靠日志丰富、报表灵活多样系统可扩展性高开发过程规范，系统稳定性高,工作站防泄密系统演示,客户端安装,服务器端管理http:/192.168.156.210:8090,网盾客户端安全套件,网盾保险箱:对机密数据提供高强度的安全保护，同时不影响用户的正常操作。即使电脑遗失，也不会泄密。,文件碎纸机:采用以随机数据多次重写文件或空磁盘区的方案，确保文件的数据在删除后彻底清除，不可恢复。,证书设备管理:修改证书口令,安全审计运行环境,安全控制和审计系统,用户系统本地行为审计用户网络接入审计用户应用系统接入审计用户关键业务操作审计,为用户在本地或者网络上的行为轨迹提供证据信息。,安全审计管理界面,结束语,格尔始终把创新作为企业生存之本格尔始终把自己从事的事业与国家信息安全和金融安全紧密结合格尔始终把“立足技术，服务用户”作为发展方向格尔力争树立身份管理的中国品牌,谢谢！,