格爾身份認(rèn)證管理及解決方案第1頁/共70頁匯報(bào)提綱1公司介紹2安全需求分析3信息安全解決方案4格爾安全應(yīng)用產(chǎn)品演示介紹第2頁/共70頁匯報(bào)提綱1公司介紹2安全需求分析3信息安全解決方案4格爾安全應(yīng)用產(chǎn)品演示介紹第3頁/共70頁公司概況3家股東：上海科投、格爾集團(tuán)、飛樂音響；注冊資金：5500萬人民幣；8年的信息安全行業(yè)經(jīng)驗(yàn)，專注于信息安全核心技術(shù)和產(chǎn)品研發(fā)；1個分公司、4個辦事處；在職人員300余人,其中研發(fā)人員近200人公司本部在上海，總部在北京第4頁/共70頁信息安全綜合管理平臺1信息安全服務(wù)2尖端密碼技術(shù)研究3IC卡應(yīng)用安全產(chǎn)品4業(yè)務(wù)領(lǐng)域信息安全綜合管理平臺產(chǎn)品信息安全服務(wù)尖端密碼技術(shù)研究IC卡應(yīng)用安全產(chǎn)品PKI技術(shù)及其應(yīng)用產(chǎn)品第5頁/共70頁格爾行業(yè)地位第一

家中國PKI廠商第一

個金融IC卡國家規(guī)范的參與者第一

個國內(nèi)第一個研發(fā)綜合安全管理平臺唯一

的金融IC卡密鑰管理系統(tǒng)提供商最大

銷售量（自主研發(fā)產(chǎn)品）的PKI廠商第6頁/共70頁主要資質(zhì)國家保密局涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)軟件開發(fā)資質(zhì)證書國家密碼管理局-商用密碼產(chǎn)品生產(chǎn)許可證-商用密碼產(chǎn)品銷售許可證中華人民共和國公安部計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證中國國家信息安全測評認(rèn)證中心國家信息安全證書認(rèn)證產(chǎn)品型號證書解放軍信息安全測評中心軍用信息安全產(chǎn)品認(rèn)證證書11家WLAN、WAPI國家標(biāo)準(zhǔn)定點(diǎn)廠商之一……第7頁/共70頁格爾擁有的部分技術(shù)專利專利名稱專利號金融IC卡密鑰管理系統(tǒng)中的隨機(jī)密鑰約定方法01132343.4IC卡在線應(yīng)用追加技術(shù)03150909.6徹底刪除硬盤文件的方法01132347.7基于數(shù)據(jù)倉庫的信息安全審計(jì)方法0315777.8具有MIME數(shù)據(jù)類型過濾技術(shù)的SSL代理方法01132344.2基于數(shù)字證書實(shí)現(xiàn)的動態(tài)口令認(rèn)證方法03129281.X實(shí)現(xiàn)WEB應(yīng)用安全加固的快速部署技術(shù)03151410.3數(shù)字證書認(rèn)證系統(tǒng)中實(shí)體證書跨應(yīng)用互通方法03129282.8數(shù)字證書跨信任域互通方法200310109056.2橢圓曲線加密、解密的方法和裝置02154717.3橢圓曲線簽名、驗(yàn)證簽名的方法和裝置0215416.5第8頁/共70頁第9頁/共70頁研發(fā)體系國內(nèi)最早啟動CMMI4認(rèn)證的信息安全廠商2005.4啟動，已完成4個試點(diǎn)項(xiàng)目，效果得到了用戶的好評CMMI4將使公司走上可持續(xù)發(fā)展的道路第10頁/共70頁市場現(xiàn)狀格爾身份管理產(chǎn)品覆蓋了全國除臺、港澳之外的所有省、市、自治區(qū)；.身份供應(yīng)系列產(chǎn)品（PKI）取得良好業(yè)績2003年后，區(qū)域CA建設(shè)處于絕對優(yōu)勢地位目前已建設(shè)

9個區(qū)域CA

2個部委PKI體系

2個總行級金融PKI體系

多個行業(yè)及大型企業(yè)PKI體系第11頁/共70頁市場現(xiàn)狀金融IC卡安全體系處于優(yōu)勢地位：金融IC對稱密鑰體系處于壟斷地位，國內(nèi)唯一的金融IC卡密鑰管理系統(tǒng)提供商已建設(shè)一個國家級金融IC卡非對稱密碼體系在PBOC2.0體系中，確定了格爾的優(yōu)勢地位第12頁/共70頁市場現(xiàn)狀身份管理其它產(chǎn)品處于領(lǐng)先地位：提出“應(yīng)用+安全”創(chuàng)造新價(jià)值的理念，得到市場的廣泛認(rèn)可農(nóng)總行已有26萬柜員使用格爾的數(shù)字證書，日交易量達(dá)到200萬筆，截止2005年10月15日，累計(jì)交易金額5069億元為應(yīng)用安全量身定制的產(chǎn)品數(shù)量眾多安全與應(yīng)用的整合處于領(lǐng)先地位，對應(yīng)用的理解處于國內(nèi)領(lǐng)先地位第13頁/共70頁客戶組成江蘇省數(shù)字認(rèn)證中心浙江省數(shù)字認(rèn)證中心新疆?dāng)?shù)字認(rèn)證中心河北數(shù)字認(rèn)證中心安徽電子認(rèn)證管理中心國家現(xiàn)代信息技術(shù)研究所中國人民解放軍總后勤部國家統(tǒng)計(jì)局中國人民銀行總行中國工商銀行總行人民銀行上海分行中國銀行總行中國農(nóng)業(yè)銀行總行……政府金融電力其他軍工軍隊(duì)第14頁/共70頁匯報(bào)提綱1公司介紹2安全需求分析3信息安全解決方案4格爾安全應(yīng)用產(chǎn)品演示介紹第15頁/共70頁網(wǎng)絡(luò)安全解決方案分析網(wǎng)絡(luò)病毒服務(wù)器核心交換機(jī)保衛(wèi)網(wǎng)絡(luò)邊界網(wǎng)絡(luò)防火墻入侵檢測系統(tǒng)網(wǎng)絡(luò)審計(jì)……保衛(wèi)網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境/線路網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）……保衛(wèi)計(jì)算環(huán)境主機(jī)加固/防病毒主機(jī)IDS安全審計(jì)……審計(jì)服務(wù)器主機(jī)IDS主機(jī)加固應(yīng)用服務(wù)器第16頁/共70頁已解決的安全問題物理（設(shè)備、環(huán)境、鏈路等）安全防范攻擊（針對設(shè)備、鏈路、主機(jī)、服務(wù)器）主機(jī)安全防范入侵破壞主要針對外部攻擊第17頁/共70頁未解決的安全問題你是誰（身份認(rèn)證，解決信任問題）能干什么（身份授權(quán)，解決訪問控制）何時干了什么（責(zé)任認(rèn)定，解決管理問題）數(shù)據(jù)保護(hù)（數(shù)據(jù)加密，解決數(shù)據(jù)安全問題）第18頁/共70頁而且……帳號信息桌面OA系統(tǒng)人力資源系統(tǒng)電子郵件綜合業(yè)務(wù)系統(tǒng)財(cái)務(wù)系統(tǒng)VPN網(wǎng)絡(luò)應(yīng)用系統(tǒng)越來越多每個系統(tǒng)的用戶管理千差萬別授權(quán)機(jī)制不統(tǒng)一登錄方式不統(tǒng)一密碼管理復(fù)雜后果到處都是用戶新職員要在每個應(yīng)用系統(tǒng)里重新設(shè)置未授權(quán)訪問的風(fēng)險(xiǎn)錯誤定位非常復(fù)雜內(nèi)部安全難以管理第19頁/共70頁匯報(bào)提綱1公司介紹2安全需求分析3信息安全解決方案4格爾安全應(yīng)用產(chǎn)品演示介紹第20頁/共70頁格爾的網(wǎng)絡(luò)信任體系、安全應(yīng)用

建設(shè)思路解決信息安全核心問題信息保密性身份真實(shí)性信息完整性授權(quán)合法性不可抵賴性包含信任（身份認(rèn)證－PKI、PKI應(yīng)用）授權(quán)（訪問控制）責(zé)任認(rèn)定（安全審計(jì)、證據(jù)采集）內(nèi)容保護(hù)（安全應(yīng)用）第21頁/共70頁基于數(shù)字證書的身份管理安全思路堅(jiān)持積極防御、綜合防范；全面提高信息安全防護(hù)能力滿足政府服務(wù)及辦公網(wǎng)絡(luò)安全可信的需求信息、應(yīng)用的深度防御身份管理基礎(chǔ)設(shè)施安全平臺基于身份管理應(yīng)用支撐類安全產(chǎn)品和中間件第22頁/共70頁身份管理體系架構(gòu)身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份認(rèn)證身份授權(quán)基于身份管理的應(yīng)用系統(tǒng)身份供應(yīng)第23頁/共70頁身份管理體系架構(gòu)身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份認(rèn)證身份授權(quán)基于身份管理的應(yīng)用系統(tǒng)身份供應(yīng)身份認(rèn)證基礎(chǔ)支撐平臺NTC——構(gòu)建安全的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)；SJY49——構(gòu)筑金融IC卡密鑰管理基礎(chǔ)結(jié)構(gòu)；SSLVPNAdaptorfor3rdDBMS(Oracle/DB2/Informix/SQLServer)Adaptorfor3rdLDAPSDK第24頁/共70頁身份管理體系架構(gòu)身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份認(rèn)證身份授權(quán)基于身份管理的應(yīng)用系統(tǒng)身份供應(yīng)身份供應(yīng)—讓網(wǎng)絡(luò)上每個用戶擁有合法的數(shù)字身份可信的、權(quán)威的第三方CA/RAKMCCALiteEMVCA第25頁/共70頁身份管理體系架構(gòu)身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份認(rèn)證身份授權(quán)基于身份管理的應(yīng)用系統(tǒng)身份供應(yīng)來自于內(nèi)部的威脅

敏感文件被非法傳閱、修改、拷貝、刪除；操作者隨意更改自己的IP，造成網(wǎng)絡(luò)沖突；操作者有意或無意攻擊其他內(nèi)部機(jī)器；責(zé)任認(rèn)定困難，事后取證難度大

重要文件的使用缺乏審計(jì)跟蹤；數(shù)據(jù)庫的操作缺乏審計(jì)跟蹤；事故追查困難；第26頁/共70頁身份管理體系架構(gòu)身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份認(rèn)證身份授權(quán)基于身份管理的應(yīng)用系統(tǒng)身份供應(yīng)身份責(zé)任認(rèn)定系統(tǒng)滿足[27]號文的關(guān)鍵組件你干了什么（責(zé)任認(rèn)定）對合法操作、非法操作的責(zé)任認(rèn)定確保對信息“機(jī)密性、完整性、真實(shí)性、不可抵賴性”的保護(hù)第27頁/共70頁身份管理體系架構(gòu)身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份授權(quán)基于身份管理的應(yīng)用系統(tǒng)身份供應(yīng)身份認(rèn)證身份認(rèn)證的解決方案你是誰--檢查用戶實(shí)體身份標(biāo)識，判斷是否允許進(jìn)入系統(tǒng)安全認(rèn)證網(wǎng)關(guān)；LAN接入認(rèn)證網(wǎng)關(guān)；單點(diǎn)登錄系統(tǒng)（SSO）；網(wǎng)絡(luò)上哪些設(shè)備能接入網(wǎng)絡(luò)？需要提供哪些憑證

MAC/IP/有效的數(shù)字證書…統(tǒng)一的策略Web應(yīng)用上面向Web接入的認(rèn)證每個用戶擁有合法有效的數(shù)字證書才能訪問Web應(yīng)用第28頁/共70頁身份管理體系架構(gòu)身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份認(rèn)證基于身份管理的應(yīng)用系統(tǒng)身份供應(yīng)身份授權(quán)全方位的細(xì)粒度授權(quán)管理前提：用戶身份標(biāo)識被認(rèn)證授權(quán)等級決定用戶所擁有的系統(tǒng)權(quán)限范圍合法的授權(quán)第29頁/共70頁身份管理體系架構(gòu)身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份認(rèn)證身份授權(quán)基于身份管理的應(yīng)用系統(tǒng)將身份管理技術(shù)融入到網(wǎng)絡(luò)和應(yīng)用OA、門戶、審批、公文傳輸、郵件系統(tǒng)移動辦公、桌面安全數(shù)據(jù)加密存儲……身份供應(yīng)第30頁/共70頁身份責(zé)任認(rèn)定身份認(rèn)證基礎(chǔ)支撐平臺身份認(rèn)證身份授權(quán)基于身份管理的應(yīng)用系統(tǒng)身份供應(yīng)

加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)

身份管理體系架構(gòu)第31頁/共70頁格爾的產(chǎn)品線NTC,SJY49,SSLVPN,Adaptorfor3rdDBMS,Adaptorfor3rdLDAP,SDK……安全認(rèn)證網(wǎng)關(guān)；LAN接入認(rèn)證網(wǎng)關(guān)；單點(diǎn)登錄系統(tǒng)（SSO）；……PMI/AA/ARA/PMS網(wǎng)盾桌面安全組件,安全數(shù)據(jù)交換平臺MSP,即時安全消息系統(tǒng),Internet用戶管理系統(tǒng),網(wǎng)絡(luò)保險(xiǎn)箱,安全郵件系統(tǒng),……CA,RA,KMC,LDAP,OCSP......簽名驗(yàn)證服務(wù)器時間戳權(quán)威服務(wù)器工作站防泄密系統(tǒng)安全審計(jì)安全設(shè)備管理平臺……第32頁/共70頁格爾產(chǎn)品與電子政務(wù)系統(tǒng)結(jié)合服務(wù)層(網(wǎng)絡(luò)保險(xiǎn)箱,SVS簽名驗(yàn)證服務(wù)器,電子印章系統(tǒng)PMS服務(wù)系統(tǒng)……)責(zé)任認(rèn)定系統(tǒng)(簽名驗(yàn)證服務(wù)器時間戳權(quán)威服務(wù)器安全審計(jì)工作站防泄密系統(tǒng)安全設(shè)備管理平臺……)應(yīng)用層(網(wǎng)盾保險(xiǎn)箱，PC保護(hù)，安全電子郵件文件加解密，郵件代理……)電子政務(wù)應(yīng)用系統(tǒng)身份管理基礎(chǔ)設(shè)施平臺接入層(AAS,SSL,NTC……)第33頁/共70頁匯報(bào)提綱1公司介紹2安全需求分析3信息安全解決方案4格爾安全應(yīng)用產(chǎn)品演示介紹第34頁/共70頁第35頁/共70頁第36頁/共70頁SRQ15邏輯圖第37頁/共70頁SRQ15電子證書認(rèn)證系統(tǒng)第38頁/共70頁SSL運(yùn)行網(wǎng)絡(luò)環(huán)境安全認(rèn)證網(wǎng)關(guān)第39頁/共70頁SSL安全認(rèn)證網(wǎng)關(guān)對WEB應(yīng)用服務(wù)透明，兼容各種Web服務(wù)器；可同時為多個WEB服務(wù)器提供服務(wù)；配置快速備份和恢復(fù)；支持用戶訪問信息的審計(jì)接口；提供不同性能級別（L、W、E、G）的產(chǎn)品滿足用戶需求；基于Web的管理界面，讓用戶可以輕松完成所有復(fù)雜的配置。為B/S或C/S的網(wǎng)絡(luò)應(yīng)用提供數(shù)據(jù)加密、身份認(rèn)證和數(shù)據(jù)完整性校驗(yàn)的安全解決方案。

第40頁/共70頁SSL安全認(rèn)證網(wǎng)關(guān)應(yīng)用結(jié)構(gòu)用戶名/口令(明文)頁面信息(明文)安全認(rèn)證網(wǎng)關(guān)高強(qiáng)度身份認(rèn)證基于數(shù)字證書的身份認(rèn)證高強(qiáng)度數(shù)據(jù)傳輸安全所有從用戶端到安全認(rèn)證網(wǎng)關(guān)到數(shù)據(jù)都采用不低于128位的數(shù)據(jù)加密傳輸保護(hù)Web服務(wù)器前置于Web服務(wù)器,用戶無法直接訪問Web服務(wù)器高可靠性支持雙機(jī)冗余,最大限度保證不中斷服務(wù)第41頁/共70頁KOALSSL5管理界面第42頁/共70頁身份認(rèn)證（SSL）下的OA系統(tǒng)第43頁/共70頁SVS運(yùn)行環(huán)境業(yè)務(wù)作業(yè)信息和對應(yīng)的簽名信息第44頁/共70頁簽名驗(yàn)證服務(wù)器(SVS)結(jié)合有效的時間源，提供時間戳的簽名驗(yàn)證功能，進(jìn)一步增強(qiáng)網(wǎng)上操作的時效性；可同時為多個應(yīng)用提供簽名/簽名驗(yàn)證服務(wù)；基于Web的管理界面，讓用戶可以輕松完成所有復(fù)雜的配置。產(chǎn)品提供各種API接口(C,Java,COM…)，滿足各種應(yīng)用的需求；產(chǎn)品簽名和驗(yàn)證采用標(biāo)準(zhǔn)PKCS#7接口，便于和第三方簽名或驗(yàn)證簽名的產(chǎn)品進(jìn)行配合運(yùn)行。為網(wǎng)絡(luò)應(yīng)用提供操作憑證和操作數(shù)據(jù)驗(yàn)證的功能，和簽名客戶端軟件產(chǎn)品共同組成簽名認(rèn)證服務(wù)平臺。第45頁/共70頁簽名驗(yàn)證服務(wù)器網(wǎng)絡(luò)結(jié)構(gòu)用戶進(jìn)行網(wǎng)絡(luò)作業(yè)，并進(jìn)行數(shù)據(jù)簽名；用戶提交作業(yè)信息和對應(yīng)的簽名信息至應(yīng)用服務(wù)器返回用戶界面應(yīng)用服務(wù)器獲取簽名驗(yàn)證結(jié)果應(yīng)用服務(wù)器調(diào)用SVS驗(yàn)證簽名接口驗(yàn)證簽名信息是否真實(shí)業(yè)務(wù)作業(yè)信息和對應(yīng)的簽名信息第46頁/共70頁SVS功能演示03:8080/svsclient第47頁/共70頁AAS運(yùn)行網(wǎng)絡(luò)環(huán)境身份認(rèn)證信息受保護(hù)網(wǎng)絡(luò)接入認(rèn)證網(wǎng)關(guān)支持802.1x協(xié)議的交換機(jī)第48頁/共70頁接入認(rèn)證網(wǎng)關(guān)（AAS）基于身份認(rèn)證來判斷某設(shè)備/用戶是否具有網(wǎng)絡(luò)接入權(quán)限只有通過認(rèn)證的網(wǎng)絡(luò)設(shè)備才能接入當(dāng)前網(wǎng)絡(luò)杜絕了外來未授權(quán)設(shè)備接入本地網(wǎng)絡(luò)可能帶來的安全隱患為網(wǎng)絡(luò)提供認(rèn)證接入功能。第49頁/共70頁AAS管理界面09:8080/account/第50頁/共70頁交換機(jī)根據(jù)認(rèn)證結(jié)果決定是否允許該用戶設(shè)備聯(lián)入受保護(hù)網(wǎng)絡(luò)交換機(jī)將用戶信息提交至接入認(rèn)證網(wǎng)關(guān)進(jìn)行驗(yàn)證用戶在聯(lián)入受保護(hù)網(wǎng)絡(luò)之前首先提交自己的身份信息至交換機(jī)接入認(rèn)證網(wǎng)關(guān)將驗(yàn)證結(jié)果返回給交換機(jī)接入認(rèn)證網(wǎng)關(guān)網(wǎng)絡(luò)結(jié)構(gòu)身份認(rèn)證信息受保護(hù)網(wǎng)絡(luò)接入認(rèn)證網(wǎng)關(guān)交換機(jī)第51頁/共70頁NTC運(yùn)行環(huán)境第52頁/共70頁網(wǎng)絡(luò)終端加密機(jī)NTC為用戶在復(fù)雜的Internet網(wǎng)絡(luò)環(huán)境中，建立一個安全、穩(wěn)定的應(yīng)用平臺，提供網(wǎng)到網(wǎng)之間的安全可靠通信。

安全性高：采用PKI證書認(rèn)證的方式建立隧道，使用方便：NTC設(shè)備均支持透明網(wǎng)橋模式，接入網(wǎng)絡(luò)不會影響已有的網(wǎng)絡(luò)結(jié)構(gòu)及配置成本低：多網(wǎng)段的同時保護(hù)只需要一臺NTC服務(wù)器，降低硬件成本。維護(hù)方便：所有的設(shè)備均為一體化硬件，使用維護(hù)方便，另外由于采用多網(wǎng)段保護(hù)機(jī)制，減少設(shè)備數(shù)量，減少維護(hù)量高可靠性：提供雙機(jī)熱備份的冗余保護(hù)，減少單點(diǎn)故障的概率第53頁/共70頁NTC數(shù)據(jù)機(jī)密性保護(hù)撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線SSN區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸?shù)?4頁/共70頁WebMail運(yùn)行環(huán)境第55頁/共70頁安全電子郵件系統(tǒng)簡單易用，用戶不需要單獨(dú)安裝程序，不需要進(jìn)行復(fù)雜設(shè)置。具有獨(dú)特的郵件跟蹤功能。用戶可以對自己發(fā)送的郵件狀態(tài)進(jìn)行查詢，查看收件人是否收到、打開郵件。自動實(shí)現(xiàn)郵件的加密、解密、簽名、驗(yàn)證等安全功能。方便實(shí)現(xiàn)郵件的集中備份。第56頁/共70頁安全電子郵件演示第57頁/共70頁網(wǎng)絡(luò)保險(xiǎn)箱運(yùn)行環(huán)境管理服務(wù)自定義協(xié)議文件服務(wù)SMB協(xié)議證書服務(wù)LDAP協(xié)議第58頁/共70頁網(wǎng)絡(luò)保險(xiǎn)箱網(wǎng)絡(luò)保險(xiǎn)箱實(shí)現(xiàn)個人私有資料在服務(wù)器上的安全存儲，具有以下特點(diǎn)：存儲在網(wǎng)絡(luò)安全存儲系統(tǒng)中的內(nèi)容必須是加密的，即使是系統(tǒng)的管理員也無法查看其中的內(nèi)容用戶只能看到和打開自己存儲的內(nèi)容或者別人授權(quán)給自己的內(nèi)容用戶到網(wǎng)絡(luò)安全存儲系統(tǒng)之間的信息傳輸都是加密的第59頁/共