应用层
(网盾保险箱，PC保护，安全电子邮件 文件加解密，邮件代理……)
电子政务应用系统
时间戳权威 服务器
安全审计 工作站防泄 密系统
(网络保险箱,SVS签名验证服务器,电子印章系统 PMS服务系统……)
服务层
安全设备管 理平台
……)
接入层
(AAS,SSL,NTC……)
身 份 管 理 基 础 设 施 平 台
机 柜
NTC终端加密机 AAS接入认证服务器 SSL安全代理服务器 安全审计服务器
SVS签名验证服务器 网络保险箱理服务器
TSA时间戳服务器
工作站防泄密服务器
Webmail服务器
NTC终端加密机
SRQ15电子证书认证系统 加密机 华为24口交换机
机柜
SRQ15电子证书认证系统
XX省 密钥管理中心
身份供应
身份认证基础支撑平台
身份责任认定
身份管理体系架构
全方位的细粒度授权管理
•前提：用户身份标识被认证 •授权等级决定用户所拥有的系统权限范围 •合法的授权
身份责任认定 基于身份管理的应用系统
身份供应
身份认证
身份授权
身份认证基础支撑平台
身份管理体系架构
将身份管理技术融入到网络和应用
OA、门户、审批、公文传输、邮件系统 基于身份管理的应用系统 移动办公、桌面安全 数据加密存储 身份认证 身份授权 ……
身份供应
•Adaptor for 3rd LDAP
•SDK
身份认证基础支撑平台
身份管理体系架构
身份供应—让网络上每个用户
拥有合法的数字身份
•可信的、权威的第三方CA/RA •KMC •CA Lite
身份供应 身份认证 •EMV CA 身份授权 身份责任认定 基于身份管理的应用系统
身份认证基础支撑平台
而且……
综合业务系统 电子邮件
应用系统越来越多
• • • • 每个系统的用户管理千差万别 授权机制不统一 登录方式不统一 密码管理复杂
财务系统
后果
VPN 网络 人力资源系统
• • • • •
到处都是用户 新职员要在每个应用系统里重 新设置 未授权访问的风险 错误定位非常复杂 内部安全难以管理
OA系统 桌面 帐号信息
基于数字证书的身份管理
• 安全思路
–坚持积极防御、综合防范；全面提高信息安 全防护能力 – 满足政府服务及办公网络安全可信的需求 –信息、应用的深度防御
• 身份管理基础设施安全平台 • 基于身份管理应用支撑类安全产品和中间件
身份管理体系架构
基于身份管理的应用系统 身份责任认定
身份供应
身份认证
身份授权
政
金 军 融 工 军 电 力 其府队他
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
网络安全解决方案分析
保卫网络边界
网络防火墙
入侵检测系统 网络审计……
网络
保卫网络基础设施
环境/线路 网络设备 （路由器、交换机）…… 病毒服务器 审计服务器
核心交换机
保卫计算环境
5411 Enterprise Switch 2
4
5
6
7
8
9
10
11
3 3 R
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
上海格尔--演示环境网络拓扑图
SRQ15:数据库 192.168.156.203
加密机 192.168.154.2
SRQ15 KOAL OA Server SSL 192.168.156.203 192.168.156.32 192.168.156.205 KEY:192.168.154.1
业务领域
1 信息安全综合管理平台 2 信息安全服务 3 尖端密码技术研究 4 IC卡应用安全产品
PKI技术及 其应用产品
格尔行业地位
• 第一
家中国PKI厂商
• 第一
• 第一
个金融IC卡国家规范的参与者
个国内第一个研发综合安全管理平台
• 唯一
• 最大
的金融IC卡密钥管理系统提供商
销售量（自主研发产品）的PKI厂商
我们追求
从优秀到卓越
上海格尔软件股份有限公司 闫仲森
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
汇报提纲
1
公司介绍 安全需求分析 信息安全解决方案 格尔安全应用产品演示介绍
2
3
4
公司概况
• 3家股东：上海科投、格尔集团、飞乐音响； • 注册资金：5500万人民币； • 8年的信息安全行业经验，专注于信息安全核 心技术和产品研发； • 1个分公司、4个办事处； • 在职人员300余人,其中研发人员近200人 • 公司本部在上海，总部在北京
主机加固/防病毒 主机加固 主机IDS 应用服务器
主机IDS
安全审计……
已解决的安全问题
• • • • • 物理（设备、环境、链路等）安全 防范攻击（针对设备、链路、主机、服务器） 主机安全 防范入侵破坏 主要针对外部攻击
未解决的安全问题
• 你是谁（身份认证，解决信 任问题） • 能干什么（身份授权，解决 访问控制） • 何时干了什么（责任认定， 解决管理问题） • 数据保护（数据加密，解决 数据安全问题）
SRQ15逻辑图
机 柜
NTC终端加密机
XX省电子认证管理中心
AAS接入认证服务器 SSL安全代理服务器 安全审计服务器
1
1000 BASE X AMBER = ACTIVITY GREEN LINK OK = FLASHING GREEN = DISABLED 10/100 BASE TX 4 5 6 7 8 9 10 11 1 1 2 2
你是谁--检查用户实体身份标识，判断是否允许 进入系统
安全认证网关；LAN接入认证网关；单点登录系统 （SSO）； 基于身份管理的应用系统
Web应用上 •哪些设备能接入网络？ • 面向Web接入的认证 身份认证 身份授权 • 每个用户拥有合法有效的数 •需要提供哪些凭证 MAC/IP/有效的数字证书… 字证书才能访问Web应用 •统一的策略 网络上
• 11家WLAN、WAPI 国家标准定点厂商之一 • ……
格尔拥有的部分技术专利
专利名称 IC卡在线应用追加技术 彻底删除硬盘文件的方法 基于数据仓库的信息安全审计方法 具有MIME数据类型过滤技术的SSL代理方法 基于数字证书实现的动态口令认证方法 实现WEB应用安全加固的快速部署技术 专利号 03150909.6 01132347.7 0315777.8 01132344.2 03129281.X 03151410.3 金融IC卡密钥管理系统中的随机密钥约定方法 01132343.4
网盾，AAS PC 192.168.156.215
Webmail PC 192.168.155.201 192.168.156.200
防泄密PC 192.168.156.213
安审 192.168.156.212
网络保险箱 192.168.156.211
AAS 防泄密 192.168.156.210 192.168.156.209
金融IC对称密钥体系处于垄断地位，国内唯 一的金融IC卡密钥管理系统提供商 已建设一个国家级金融IC卡非对称密码体系 在PBOC2.0体系中，确定了格尔的优势地 位
市场现状
• 身份管理其它产品处于领先地位：
提出“应用+安全”创造新价值的理念，得 到市场的广泛认可 农总行已有26万柜员使用格尔的数字证书， 日交易量达到200万笔，截止2005年10月 15日，累计交易金额5069亿元 为应用安全量身定制的产品数量众多 安全与应用的整合处于领先地位，对应用的 理解处于国内领先地位
身份管理体系架构
身份责任认定系统
满足[27]号文的关键组件 你干了什么（责任认定）
基于身份管理的应用系统 对合法操作、非法操作的责任认定
确保对信息“机密性、完整性、真实性、不 可抵赖性”的保护 身份认证 身份授权
身份供应
身份责任认定
身份认证基础支撑平台
身份管理体系架构
身份认证的解决方案
SVS 192.168.156.206
TSA 192.168.156.207
Webmail 192.168.157.201 192.168.156.201 192.168.157.202
NTC
192.168.156.208
192.168.156.253
192.168.156.214
NTC
192.168.155.202
光纤链路
Eth0:192.168.40.1/30
CA/AA服务器 Eth0:192.168.3.2/24 Eth1:192.168.168.1/30
数据库 /主LDAP服务器 192.168.3.3/24
SD
SAMP服务器 192.168.3.4/24 管理 审计 备份 备份库 磁带机
192.168.3.1/24
身份管理体系架构 来自于内部的威胁
敏感文件被非法传阅、修改、拷贝、删除；
操作者随意更改自己的IP，造成网络冲突；
操作者有意或无意攻击其他内部机器；
基于身份管理的应用系统
责任认定困难，事后取证难度大
身份供应
身份认证 身份授权 重要文件的使用缺乏审计跟踪；
身份责任认定
数据库的操作缺乏审计跟踪；
身份认证基础支撑平台 事故追查困难；
数字证书认证系统中实体证书跨应用互通方法 03129282.8