1、上海格尔软件股份有限公司 闫仲森,从优秀到卓越,我们追求,汇 报 提 纲,汇 报 提 纲,公司概况,3家股东:上海科投、格尔集团、飞乐音响; 注册资金:5500万人民币; 8年的信息安全行业经验,专注于信息安全核心技术和产品研发; 1个分公司、4个办事处; 在职人员300余人,其中研发人员近200人 公司本部在上海,总部在北京,业务领域,信息安全 综合管理平台产品,信息安全服务,尖端密码技术研究,IC卡应用安全产品,PKI技术及其应用产品,格尔行业地位,第一 家中国PKI厂商 第一 个金融IC卡国家规范的参与者 第一 个国内第一个研发综合安全管理平台 唯一 的金融IC卡密钥管理系统提供商 最大
2、 销售量(自主研发产品)的PKI厂商,主要资质,国家保密局 涉及国家秘密的计算机信息系统软件开发资质证书 国家密码管理局 -商用密码产品生产许可证 -商用密码产品销售许可证 中华人民共和国公安部 计算机信息系统安全专用产品销售许可证 中国国家信息安全测评认证中心 国家信息安全证书认证产品型号证书 解放军信息安全测评中心 军用信息安全产品认证证书 11家WLAN、WAPI 国家标准定点厂商之一 ,格尔拥有的部分技术专利,研发体系,国内最早启动CMMI4认证的信息安全厂商 2005.4 启动,已完成4个试点项目,效果得到了用户的好评 CMMI4将使公司走上可持续发展的道路,市场现状,格尔身份管理产
3、品覆盖了全国除台、港澳之外的所有省、市、自治区;,.,身份供应系列产品(PKI)取得良好业绩 2003年后,区域CA建设处于绝对优势地位 目前已建设9 个区域CA2 个部委PKI体系2 个总行级金融PKI体系多个行业及大型企业PKI体系,市场现状,金融IC卡安全体系处于优势地位: 金融IC对称密钥体系处于垄断地位,国内唯一的金融IC卡密钥管理系统提供商 已建设一个国家级金融IC卡非对称密码体系 在PBOC2.0体系中,确定了格尔的优势地位,市场现状,身份管理其它产品处于领先地位: 提出“应用+安全”创造新价值的理念,得到市场的广泛认可 农总行已有26万柜员使用格尔的数字证书,日交易量达到200
4、万笔,截止2005年10月15日,累计交易金额5069亿元 为应用安全量身定制的产品数量众多 安全与应用的整合处于领先地位,对应用的理解处于国内领先地位,客户组成,江苏省数字认证中心 浙江省数字认证中心 新疆数字认证中心 河北数字认证中心 安徽电子认证管理中心 国家现代信息技术研究所 中国人民解放军总后勤部 国家统计局 中国人民银行总行 中国工商银行总行 人民银行上海分行 中国银行总行 中国农业银行总行 ,政府,金融,电 力,其 他,军 工 军 队,汇 报 提 纲,网络安全解决方案分析,网络,病毒服务器,核心交换机,保卫网络边界 网络防火墙 入侵检测系统 网络审计,保卫网络基础设施 环境/线路
5、 网络设备 (路由器、交换机),保卫计算环境 主机加固/防病毒 主机IDS 安全审计,审计服务器,主机IDS,主机加固,应用服务器,已解决的安全问题,物理(设备、环境、链路等)安全 防范攻击(针对设备、链路、主机、服务器) 主机安全 防范入侵破坏 主要针对外部攻击,未解决的安全问题,你是谁(身份认证,解决信任问题) 能干什么(身份授权,解决访问控制) 何时干了什么(责任认定,解决管理问题) 数据保护(数据加密,解决数据安全问题),而且,应用系统越来越多 每个系统的用户管理千差万别 授权机制不统一 登录方式不统一 密码管理复杂,后果 到处都是用户 新职员要在每个应用系统里重新设置 未授权访问的风
6、险 错误定位非常复杂 内部安全难以管理,汇 报 提 纲,格尔的网络信任体系、安全应用 建设思路,解决信息安全核心问题 信息保密性 身份真实性 信息完整性 授权合法性 不可抵赖性 包含 信任(身份认证PKI、PKI应用) 授权(访问控制) 责任认定(安全审计、证据采集) 内容保护(安全应用),基于数字证书的身份管理,安全思路 坚持积极防御、综合防范;全面提高信息安全防护能力 满足政府服务及办公网络安全可信的需求 信息、应用的深度防御 身份管理基础设施安全平台 基于身份管理应用支撑类安全产品和中间件,身份管理体系架构,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,
7、身份供应,身份管理体系架构,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,身份供应,身份认证基础支撑平台 NTC构建安全的网络基础结构; SJY49构筑金融IC卡密钥管理基础结构; SSL VPN Adaptor for 3rd DBMS(Oracle/DB2/Informix/SQL Server) Adaptor for 3rd LDAP SDK,身份管理体系架构,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,身份供应,身份供应让网络上每个用户拥有合法的数字身份 可信的、权威的第三方CA/RA KMC CA Lite EM
8、V CA,身份管理体系架构,身份责任认定,来自于内部的威胁敏感文件被非法传阅、修改、拷贝、删除;操作者随意更改自己的IP,造成网络冲突;操作者有意或无意攻击其他内部机器; 责任认定困难,事后取证难度大重要文件的使用缺乏审计跟踪;数据库的操作缺乏审计跟踪;事故追查困难;,身份管理体系架构,身份责任认定,身份责任认定系统满足27号文的关键组件 你干了什么(责任认定) 对合法操作、非法操作的责任认定 确保对信息“机密性、完整性、真实性、不可抵赖性”的保护,身份管理体系架构,身份认证,身份管理体系架构,身份授权,全方位的细粒度授权管理 前提:用户身份标识被认证 授权等级决定用户所拥有的系统权限范围 合
9、法的授权,身份管理体系架构,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,将身份管理技术融入到网络和应用 OA、门户、审批、公文传输、邮件系统 移动办公、桌面安全 数据加密存储 ,身份供应,身份责任认定,身份认证基础支撑平台,身份认证,身份授权,基于身份管理的应用系统,身份供应,加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设,身份管理体系架构,格尔的产品线,NTC,SJY49, SSL VPN, Adaptor for 3rd DBMS,Adaptor for 3rd LDAP,SDK ,安全认证网关; LAN接入认证网关; 单点登录系统(S
10、SO); ,PMI/AA/ARA/PMS,网盾桌面安全组件,安全数据交换平台MSP,即时安全消息系统,Internet用户管理系统,网络保险箱, 安全邮件系统,CA, RA, KMC, LDAP, OCSP ,签名验证服务器 时间戳权威服务器 工作站防泄密系统 安全审计 安全设备管理平台 ,格尔产品与电子政务系统结合,服务层 (网络保险箱,SVS签名验证服务器,电子印章系统 PMS服务系统),责任认定系统 (签名验证服务器 时间戳权威服务器 安全审计 工作站防泄密系统 安全设备管理平台 ),应用层 (网盾保险箱,PC保护,安全电子邮件 文件加解密,邮件代理),电子政务应用系统,身份管理基础设施
11、平台,接入层 (AAS,SSL,NTC),汇 报 提 纲,SRQ15逻辑图,SRQ15电子证书认证系统,SSL运行网络环境,SSL安全认证网关,对WEB应用服务透明,兼容各种Web 服务器; 可同时为多个WEB服务器提供服务; 配置快速备份和恢复; 支持用户访问信息的审计接口; 提供不同性能级别(L、W、E、G)的产品满足用户需求; 基于Web的管理界面,让用户可以轻松完成所有复杂的配置。,为B/S或C/S的网络应用提供数据加密、身份认证和数据完整性校验的安全解决方案。,SSL安全认证网关应用结构,用户名/口令(明文) 页面信息(明文),高强度身份认证 基于数字证书的身份认证 高强度数据传输安
12、全 所有从用户端到安全认证网关 到数据都采用不低于128位的 数据加密传输 保护Web服务器 前置于Web服务器,用户无法 直接访问Web服务器 高可靠性 支持双机冗余,最大限度保证 不中断服务,KOAL SSL5管理界面,身份认证(SSL)下的OA系统,SVS运行环境,签名验证服务器(SVS ),结合有效的时间源,提供时间戳的签名验证功能,进一步增强网上操作的时效性; 可同时为多个应用提供签名/签名验证服务; 基于Web的管理界面,让用户可以轻松完成所有复杂的配置。 产品提供各种API接口(C,Java,COM),满足各种应用的需求;产品签名和验证采用标准PKCS#7接口,便于和第三方签名或
13、验证签名的产品进行配合运行。,为网络应用提供操作凭证和操作数据验证的功能 ,和签名客户端软件产品共同组成签名认证服务平台。,签名验证服务器网络结构,用户进行网络作业,并进行数据签名;,用户提交作业信息和对应的签名信息至应用服务器,返回用户界面,应用服务器获取签名验证结果,应用服务器调用SVS验证签名接口验证签名信息是否真实,SVS功能演示,http:/192.168.156.203:8080/svsclient,AAS运行网络环境,受保护网络,接入认证网关,支持802.1x协议的交换机,接入认证网关(AAS),基于身份认证来判断某设备/用户是否具有网络接入权限 只有通过认证的网络设备才能接入当
14、前网络 杜绝了外来未授权设备接入本地网络可能带来的安全隐患,为网络提供认证接入功能。,AAS管理界面,http:/192.168.156.209:8080/account/,交换机根据认证结果决定是否允许该用户设备联入受保护网络,交换机将用户信息提交至接入认证网关进行验证,用户在联入受保护网络之前首先提交自己的身份信息至交换机,接入认证网关将验证结果返回给交换机,接入认证网关网络结构,受保护网络,接入认证网关,交换机,NTC运行环境,网络终端加密机NTC,为用户在复杂的Internet网络环境中,建立一个安全、稳定的应用平台,提供网到网之间的安全可靠通信。,安全性高:采用PKI证书认证的方式建
15、立隧道, 使用方便:NTC设备均支持透明网桥模式,接入网络不会影响已有的网络结构及配置 成本低:多网段的同时保护只需要一台NTC服务器,降低硬件成本。 维护方便:所有的设备均为一体化硬件,使用维护方便,另外由于采用多网段保护机制,减少设备数量,减少维护量 高可靠性:提供双机热备份的冗余保护,减少单点故障的概率,NTC 数据机密性保护,内部工作子网,下属机构,DDN/FR X.25专线,密文传输,明文传输,明文传输,WebMail运行环境,安全电子邮件系统,简单易用,用户不需要单独安装程序,不需要进行复杂设置。 具有独特的邮件跟踪功能。用户可以对自己发送的邮件状态进行查询,查看收件人是否收到、打
16、开邮件。 自动实现邮件的加密、解密、签名、验证等安全功能。 方便实现邮件的集中备份。,安全电子邮件演示,网络保险箱运行环境,管理服务 自定义协议,文件服务 SMB协议,证书服务 LDAP协议,网络保险箱,网络保险箱实现个人私有资料在服务器上的安全存储,具有以下特点: 存储在网络安全存储系统中的内容必须是加密的,即使是系统的管理员也无法查看其中的内容 用户只能看到和打开自己存储的内容或者别人授权给自己的内容 用户到网络安全存储系统之间的信息传输都是加密的,网络保险箱演示,管理端,客户端,格尔工作站防泄密系统以行为监控与审计和存储安全为出发点,针对涉密网络环境提供了一套全方位、多层次的防止敏感信息
17、泄露的管理、控制、跟踪、保护、取证的有效手段。,工作站防泄密系统,硬件化设计、即插即用 监控代理安装方式灵活多样 完善的模块化设计,降低升级、维护成本 监控与审计结合,全方位防止泄密 功能模块丰富、技术应用合理 完善的系统保护机制,系统通信安全可靠 日志丰富、报表灵活多样 系统可扩展性高 开发过程规范,系统稳定性高,工作站防泄密系统演示,客户端安装,服务器端管理 http:/192.168.156.210:8090,网盾客户端安全套件,网盾保险箱:对机密数据提供高强度的安全保护,同时不影响用户的正常操作。即使电脑遗失,也不会泄密。,文件碎纸机:采用以随机数据多次重写文件或空磁盘区的方案,确保文件的数据在删除后彻底清除,不可恢复。,证书设备管理:修改证书口令,安全审计运行环境,安全控制和审计系统,用户系统本地行为审计 用户网络接入审计 用户应用系统接入审计 用户关键业务操作审计,为用户在本地或者网络上的行为轨迹提供证据信息。,安全审计管理界面,结束语,格尔始终把创新作为企业生存之本 格尔始终把自己从事的事业与国家信息安全和金融安全紧密结合 格尔始终把“立足技术,服务用户”作为发展方向 格尔力争树立身份管理的中国品牌,谢谢!,
