身份管理在电子政务中的应用--上海格尔软件

身份管理在电子政务中的应用上海格尔软件股份有限公司2005年08月20日内容提纲一.公司介绍二.网络安全解决方案分析三.电子政务信息安全解决方案四.格尔公司身份管理产品介绍五.内容小结内容提纲一.公司介绍二.网络安全解决方案分析三.电子政务信息安全解决方案四.格尔公司身份管理产品介绍五.内容小结格尔概况•股东组成（格尔集团、上海科投、飞乐音响）；•注册资金3500万人民币；•7年的信息安全行业经验；•1个分公司、4个办事处；•在职人员150余人业务领域PKI技术及其产品信息安全综合管理平台产品IC卡应用安全产品信息安全服务尖端密码技术研究格尔历程•中国第一家PKI厂商•自主研发产品销售量最大的PKI厂商•中国第一个金融IC卡国家规范的参与者•唯一一家金融IC卡密钥管理系统提供商•国内第一个综合安全管理平台•唯一具有国家商密资质的软件密码产品•2004年度中国最受信赖的PKI厂商主要资质•国家保密局-涉及国家秘密的计算机信息系统集成资质证书•国家密码管理局-商用密码产品生产许可证•国家密码管理局-商用密码产品销售许可证•国家密码管理局–产品和系统安审报告–商用密码产品技术鉴定证书•中华人民共和国公安部-计算机信息系统安全专用产品销售许可证•中国国家信息安全测评认证中心-国家信息安全证书认证产品型号证书•11家WLAN、WAPI国家标准定点厂商之一•……主要成就（1/2）•2003年–中标江苏省数字证书认证中心总承建商和产品提供商；–中标浙江省数字证书认证中心总承建商和产品提供商，获得宁波RA的运营资格；–S219二期工程——金融综合安全防御与安全数据交换系统；–中标湖北电力信息系统整体安全建设二期工程；•2004年–中标新疆数字证书认证中心总承建商和产品提供商；–承建河北省数字认证中心–中标中国农业银行总行业务管理数字证书认证中心；–中标中国建设银行证书认证中心；–国家统计局PKI系统二期建设主要成就（2/2）•参与中国人民银行金融网间互联标准的制定工作；•起草中国人民银行金融IC卡密钥管理体系规范、PSAM卡规范、业务加密机规范；•参与中国银联下一代金融IC卡卡片安全标准和个人化标准工作；•2002年获准成立上海市信息安全综合管理重点实验室•经过公开招标，2000年，2003年两次中标国家863信息安全应用示范工程金融子课题承担单位；•2000年起从事信息安全综合管理的技术研究，2001年经过公开招标，中标863信息安全综合管理课题承担单位，并在2003年10月获得863滚动支持；格尔拥有的部分技术专利专利名称专利号金融IC卡密钥管理系统中的随机密钥约定方法01132343.4IC卡在线应用追加技术03150909.6彻底删除硬盘文件的方法01132347.7基于数据仓库的信息安全审计方法0315777.8具有MIME数据类型过滤技术的SSL代理方法01132344.2基于数字证书实现的动态口令认证方法03129281.X实现WEB应用安全加固的快速部署技术03151410.3数字证书认证系统中实体证书跨应用互通方法03129282.8数字证书跨信任域互通方法200310109056.2椭圆曲线加密、解密的方法和装置02154717.3椭圆曲线签名、验证签名的方法和装置0215416.5客户评价•例：国家统计局PKI项目–1999年项目需求•第五次人口普查–2000年项目建设•三农调查直报–2001年项目改进验收•3000家房地产企业直报•2002年5000家工业企业直报–2004年系统升级•扩展二级RA–2005年业务量增长•10万左右用户•继续加强合作、维保质量体系•2004年通过ISO9000质量认证•2005年2月全面启动CMMI，计划2006年10月达到CMMI4保密管理•加强公司自身的信息安全建设和灌输每个员工的信息安全保密意识一直是作为公司严格的管理制度在执行•对用户负责、对公司负责、对自己负责是我们作为一个信息安全公司7年来的行为准则•顺利通过多次安全主管部门和重要用户的不定期安全抽查•无1例因泄密而影响的项目内容提纲一.公司介绍二.网络安全解决方案分析三.电子政务信息安全解决方案四.格尔公司身份管理产品介绍五.内容小结网络安全解决方案分析SiSiOA系统情报分析系统调度指挥系统防病毒服务器安全审计客户端客户端客户端网络WAN网络核心服务器群用户群保卫网络边界网络防火墙入侵检测系统网络审计……保卫网络基础设施环境线路网络设备（路由器、交换机）……保卫计算环境主机加固主机防病毒主机IDS安全审计……解决了哪些安全问题•物理安全•设备安全•链路安全•主机安全•防范攻击（针对设备、链路、主机、服务器）•防范入侵破坏没有解决的安全问题•你是谁（资源的被访问者）•能干什么•干了什么•数据保护身份管理•包含–信任（身份认证－PKI、PKI应用）–授权（访问控制－PMI、PMI应用）–内容保护（安全应用）–审计监控（安全管理、安全审计）•解决信息安全核心问题内容提纲一.公司介绍二.网络安全解决方案分析三.电子政务信息安全解决方案四.格尔公司身份管理产品介绍五.内容小结电子政务•电子政务、电子商务以及整个社会信息化都是国家信息化建设的重要组成部分。•电子政务安全是国家信息安全的核心。格尔的信息安全解决方案•框架–支撑性安全基础设施–网络边界深度防御–计算环境的深度防御–网络基础设施的深度防御•安全思路–信息、应用的深度防御•提供身份管理基础设施安全平台•提供基于身份管理应用支撑类安全产品和中间件安全支撑平台网络基础设施安全基础设施平台应用系统PKI信任体系CAKMLDAPOCSP时间戳加密机计算环境防护网络边界防护基础设施防护PMI授权体系SOAAAPMS防火墙入侵检测网络审计防病毒安全审计主机加固环境线路网络设备基础防护系统NTC网络终端加密机信息安全总体框架结构图SSL安全认证网关AAS签名验证服务器网络认证网关网络保险箱网盾桌面安全套件电子印章系统WebMail审计监控系统接入层电子政务应用系统NTC网络终端加密机SSL安全认证网关AAS接入认证服务器网络认证网关审计监控系统身份管理基础设施平台信任管理体系CAKMLDAPOCSP时间戳加密机授权管理体系SOAAA服务层网络保险箱SVS签名验证服务电子印章系统PMS访问控制系统电子政务安全应用网盾保险箱WebMail网盾碎纸机网盾文件加解密网盾PC保护网盾邮件代理身份管理解决方案基于身份管理的安全产品体系一级CA一级AA二级CA二级AAWebAPPWebAPPSSL安全网关SVS签名验证服务器APPSVS签名验证服务器NTC网络终端加密机NTC网络终端加密机NTC网络终端加密机NetNetAAS接入认证系统AAS接入认证系统二级CA二级AACA服务器电子签章系统电子签章系统WAN网络边界防御NTC网络终端加密机网络基础设施防御AAS接入认证系统计算环境防御网盾电子签章系统SSL安全网关SVS签名验证服务器支撑性基础设施CA、KM、PMI、审计内容提纲一.公司介绍二.网络安全解决方案分析三.电子政务信息安全解决方案四.格尔公司身份管理产品介绍五.内容小结PKI\PMI平台系统•提供基于证书的身份发放•提供基于证书的身份全生命周期的管理•提供基于属性、角色和规则的授权决策入侵检测漏洞扫描防病毒管理终端标准时间源Sniff负载均衡负载均衡网络管理终端入侵检测漏洞扫描管理终端入侵检测漏洞扫描KMC密钥管理中心密钥管理服务器*2数据库服务器*2磁盘阵列密码服务器*2监控审计服务器CA中心CA服务器*2主LDAP服务器*2数据库服务器*2磁盘阵列时间服务器*2密码服务器*2监控审计服务器RA中心RA服务器*2CA前置服务器*2MMS服务器*2密码服务器*2监控审计服务器管理终端入侵检测漏洞扫描发布查询系统WEB服务器*2LDAP服务器*2OCSP服务器*2时间戳服务器*2SSL网关服务器*2密码服务器*2监控审计服务器安全网关（SSL）•对WEB应用服务透明，兼容各种Web服务器；•可同时为多个WEB服务器提供服务；•配置快速备份和恢复；•支持用户访问信息的审计接口；•提供不同性能级别（L、W、E、G）的产品满足用户需求；•基于Web的管理界面，让用户可以轻松完成所有复杂的配置。为B/S或C/S的网络应用提供数据加密、身份认证和数据完整性校验的安全解决方案。INTERNET应用服务器1应用服务器2数据库服务器用户客户端IE浏览器LDAP服务器访问控制服务器日志审计服务器KOAL-SSL服务器签名验证服务器（SVS）•结合有效的时间源，提供时间戳的签名验证功能，进一步增强网上操作、网上交易的时效性；•可同时为多个应用提供签名验证服务；•基于Web的管理界面，让用户可以轻松完成所有复杂的配置。•产品提供各种API接口，满足各种应用的需求；产品签名和验证采用标准PKCS#7接口，便于和第三方签名或验证签名的产品进行配合运行。为网络应用提供操作凭证和操作数据验证的功能，和签名客户端软件产品共同组成签名认证服务平台。INTERNET应用服务器用户客户端IE浏览器LDAP服务器访问控制服务器日志审计服务器KOAL-SVS服务器数据库服务器电子签章系统•数字印章（电子印章、电子签章）系统是伴随着信息化建设而出现的高新技术。主要解决电子文件的签字盖章问题，用于辨识电子文件签署者的身份，保证文件的完整性，确保文件的真实性、可靠性和不可抵赖性。•数字印章是传统印章和数字签名技术相结合的产物。电子签章系统设计签章写入介质电子签章系统---签章验证过程接入认证网关（AAS）接入认证网关结构证书证书客户端客户端支持802.1x协议的交换机认证服务器LDAP服务器受保护网络网络保险箱•网络保险箱实现个人私有资料在服务器上的安全存储，具有以下特点：•存储在网络安全存储系统中的内容必须是加密的，即使是系统的管理员也无法查看其中的内容•用户只能看到和打开自己存储的内容或者别人授权给自己的内容•用户到网络安全存储系统之间的信息传输都是加密的。网盾保险箱网盾保险箱可以对机密数据提供高强度的安全保护，同时不影响用户的正常操作。即使电脑遗失，也不会泄密。•使用网盾保险箱能够建立虚拟的安全分区，其操作同普通的硬盘分区完全相同，但其中的数据是自动加密保存的。•网盾保险箱打开之后，用户可以象使用其它硬盘一样来使用它，用户可以在上面安装应用程序、保存文档数据等。•当网盾保险箱关闭之后，保险箱所有者之外的任何人都无法访问其中的数据；而且即使把网盾保险箱所在的硬盘拆卸下来，安装到其它机器上去，也无法读出其中的内容。网盾碎纸机文件碎纸机采用以随机数据多次重写文件或空磁盘区的方案，确保文件的数据在删除后彻底清除，不可恢复。安全审计系统解决的问题（一）•PKI/PMI平台系统–提供网络可识别但不可复制的身份证–告诉被访问系统你是谁的依据–基于可信身份的授权决策•安全网关–快速部署–让应用系统识别谁能访问–对多个应用达到单点登录，不用重复输入口令•签名系统、电子印章–用我的身份告诉别人我真的并确认写了什么–当然，也赖不掉解决的问题（二）•接入认证网关–谁？能够用什么机器？从哪个入口？进入到网络中来•网络保险箱–解决个人保存在文件服务器上的数据安全–只有通过认证的拥有者可以看到，管理员也看不见•网盾–解决单机文件安全–通过身份认证的人才能够使用–多人采用一台机器也可以保障内容独立管理解决的问题（三）•安全审计–什么人、在什么时候、采用什么机器、在网络上使用了多长时间–当前有多少人在网络上，大概访问的位置在哪里–一个阶段我们的业务应用有多少人在访问、流量有多大–某个人当前在访问什么，前一个阶段在网络中做了哪些事情内容提纲一.公司介绍二.网络安全解决方案分析三.电子政务信息安全解决方案四.格尔公司身份管理产品介绍五.内容小结小结•安全基础设施建设≠安全–身份管理中的PKI/PMI是一套机制，为信任与授权提供支撑–身份管理和应用的有机结合才能体现安全的价值•身份管理的生命力–用户的使用习惯不发生大的变化–提供快速部署、二次开发等不同层