证书服务及4A产品.ppt

北京国富安电子商务安全认证有限公司 数字证书服务及4A产品介绍 目录 国富安数字证书服务 2 1 国富安公司背景及资质 国富安公司的背景与资质 部委唯一具有法律地位和运行资质的CA机构国富安CA具有信息产业部颁发的电子认证服务许可资质 我国最早通过鉴定 具有自主版权的安全认证系统国富安公司承担的国家 九五 科技攻关项目 商业电子信息安全认证系统 是我国首家自主开发 具有自主版权的CA认证系统 国家领导视察CA认证中心建设 信息安全领域里的领跑者北京国富安电子商务安全认证有限公司成立于1998年 是商务部中国国际电子商务中心直属的专业提供信息安全产品和服务的高新技术企业 核心竞争力 服务 人才 机房 经验 五大核心竞争力 技术 国富安公司的技术研发实力 统一安全认证项目 是国富安承担的国家金关工程的骨干工程外经贸专用网项目 实现了一体化的用户权限管理平台 为用户提供统一登录 统一权限 统一认证门户 国富安CA认证中心 GFASSO单点登录系统 GFAFourA4A集中安全管理平台 GFACA电子认证系统 GFAIPASS安全链路接入网关 GFAAudit集中审计系统 电子认证服务使用密码许可证电子认证服务许可证商用密钥产品生产定点单位涉密信息系统集成资质计算机信息系统集成资质高新技术企业证书信息安全产品型号证书身份鉴别系统销售许可证安全报送系统销售许可证GFAiPassV1 0销售许可证商业电子信息安全认证系统软件著作权登记证书CA软件著作权证书 国富安公司的背景与资质 2 国富安公司数字证书服务 2 1国富安CA介绍 总体介绍 国富安CA于1998年研发 总体分为两层 第一层为根CA 第二层为运营CA 可以根据CPS依据其策略向不同行业和领域扩展信任体系 运营CA由CA系统 RA系统和LA受理点三部分组成 系统采用一主二备备份容灾机制的体系架构 系统性能 发证能力CA系统每签一张证书为3秒左右 签发并发量为200 300张 CA系统批量发证能力为1200张 小时 若CA8小时工作时间 连续运行批量发证的能力为9600张 天 系统24小时证书和CRL查询处理能力每小时查询处理能力 50000次 单个查询应答时间为0 03秒 LDAP支持百万级的容量 随证书量的增大 可以无限扩容 2 2数字证书服务模式 数字证书服务模式 国富安公司提供以下三种模式的数字证书服务方式 完全第三方模式合作RA模式合作LA模式 完全第三方模式 特点介绍 最基本的证书服务模式 用户身份鉴定和证书发放都由国富安CA完成 所颁发证书具有第三方资质 合作RA模式 特点介绍 具有完整的证书信任体系功能所颁发证书具有第三方资质可继续部署及管理多个下级LA机构初期投入较小建设周期短运营维护简便 合作RA模式 系统功能 管理下级LA系统操作员及用户管理用户审核业务请求受理证书申请受理证书注销受理证书更新受理查询统计 合作LA模式 特点介绍 具有完整的证书信任体系功能所颁发证书具有第三方资质初期投入较小建设周期短运营维护简便 合作LA模式 系统功能 操作员及用户管理用户审核业务请求受理证书申请受理证书注销受理证书更新受理查询统计 模式比较 2 3数字证书服务优势 国富安承担的外经贸专用网的CA受理点服务网络安全服务项目 建设成覆盖全国范围的大规模 高性能 大容量 高可靠性 稳定安全的CA认证系统平台 拥有持续10年为商务部及其他客户单位服务的丰富运营经验累计发证量达到100多万多张服务于大型并发项目的丰富经验纺织品配额招标 加工贸易审批 丰富的运营管理经验 完善的技术服务网络 国富安公司在全国各省 直辖市 自治区建立了32家RA注册机构 在全国100个城市都建设有自己的技术支持服务机构 服务范围遍布全国 为客户提供随时随地的技术支持和售后服务 保证了国富安公司销售服务的快速和便捷 完善的技术服务网络 先进的容灾备份体系 国富安公司在北京经济技术开发区建有国内CA机构中硬件设施最完善 容灾体系最安全的机房 东单建设有同城数据备份中心 广州建有异地容灾备份中心 实现了 同城 异地 三点热备份 是中国唯一 世界一流的信息化基础运营环境 广东分中心 北京东单 北京中心 完备的基础运营设施 完备的基础设施容灾中心共安装400千伏安UPS电源4台 80千伏安UPS电源2台 当停电时 可以为机房内服务器及网络设备提供不间断供电服务 容灾中心地下一层共安装3台1120千瓦发电机 在广场地下安装了储量为60吨的发电机配套柴油罐 以应对突发的停电事故 容灾中心地下一层空调机房共安装4台中央空调机组 其中2台使用 2台备份以保证办公区的正常温度和网络机房内7 24小时的恒温 恒湿 IDC机房及地下一层CA机房均安装了机房环境监测系统 当遇到温度 湿度超出正常范围或空调漏水等情况时 该系统可通过电话或短信方式及时通知机房值守人员 保证365天7 小时安全运行 24 发电机组 国富安公司的运营维护机房 CA认证中心机房 加工贸易 商务部纺织品配额 中国建设银行 中国国电集团 EC网会员 外交部 国富安 中国建设银行中国国电集团公司中国移动通信集团公司北京现代汽车有限公司中国医药保健品进出口总公司北京高阳圣思园信息技术有限公司北京中保信房地产开发有限公司北京世纪通宝科技有限公司北京鹤麒医药电子商务有限公司北京先锋环宇电子商务有限公司中国蔬菜市场网中国民生医药电子商务网 数字证书服务成功案例 3 国富安4A产品介绍 用户分散 缺乏监管 授权混乱 数据分散 重复建设 多次登录 面临的困境 EC平台 发展4A产品的初衷 账号管理 Account 缺少帐号和自然人的逻辑关联 一旦出现安全问题 很难定位到自然人各系统的帐号管理独立且分散 管理员很难完成对帐号的有效管理账号多人共用 难以实现帐号权限的有效监督和审核当有人员或岗位变动时 管理员需要频繁地登录到各个系统中为相应的用户创建 删除 修改帐号 工作量巨大用户在各个系统上自主设定 修改密码 密码强度难以保证 定期修改的规定难以执行无效账户难以彻底删除或者禁止帐号 安全现状 认证管理 Authentication 多样的身份认证系统 每个系统都有一套独立的认证管理体系 给管理员带来了很大负担各信息系统都有一套独立的认证管理体系 无法贯彻统一的登录控制策略登录各系统都需要输入用户名和口令 用户操作繁琐现有系统中账号级别与认证方式不对应 安全现状 授权管理 Authorization 各应用系统都有一套独立的授权管理 缺乏集中统一的资源授权管理 各系统分别管理所属的系统资源 无法严格按照最小权限原则分配权限随着用户数量的增加 权限管理任务越来越重用户的权限和自己的工作职责是不一致的 安全现状 审计管理 Audit 各应用系统都有一套独立的审计管理 并且审计内容和强度不一致 无法贯彻统一的审计管理策略缺乏集中统一的设备审计管理 无法有效完成对日志记录的定期审阅 无法对日志进行综合分析 不能及时发现异常 对出现问题立即采取有效的防护措施 安全现状 GFA4A集中管理平台的最终目标是建立一套信息安全的基础设施 并通过它为各种应用提供包括用户信息 身份认证 授权管理 审计与责任认定等功能在内的安全支撑服务 GFA4A集中管理平台目标 产品组成 GFA4A集中安全管理平台将包含如下产品 GFA4A安全管理平台系统组成 GFAAuth GFAARA GFASSO GFAAudit GFAAccount Auth Service Auth Gina Auth Pam ARA UserInfo ARA Service SSO Login SSO Portal SSO Filter Audit Service Audit Watch Audit Monitor Audit Report Audit Filter Account Admin Account Service 国富安4A集中安全管理平台 解决方案 总体逻辑架构 功能介绍 主帐号创建 修改 删除 锁定 解锁 同步 可以从现有的信息系统中导入 如OA系统等 从帐号的搜集 创建 删除 锁定 解锁 主帐号和从帐号的关联 批量创建从帐号 用户入职时 批量删除从帐号 用户离职时 主账号 从账号口令策略的管理 支持长度 频度 使用多少次 构成 周期 使用多长时间 等口令策略 账号分布报表功能 4A安全管理平台 帐号管理 最终目标 管理员在一点上即可对不同系统中的账号进行管理 实现 账号与人的关联 网络设备 操作系统 甚至应用系统中已有账号的收集 新建账号并同步到各系统中去 实现集中的密码策略 并按照密码策略的要求 自动 集中 定期修改系统账号的口令 实现集中删除一个自然人的所有或者部分系统账号 保留账号创建 分配 变更 删除整个过程的信息 从而知道什么时间 哪些账号给了哪些人 每个人拥有什么样的账号 便于审计 4A安全管理平台 帐号管理 Agent 账号管理服务器 GFAAccount 服务器主机 服务器主机 帐号同步服务 User1User2 Usern User1User2 Usern Agent Agent 应用系统 Agent 网络设备 User1User2 Usern 帐号同步服务 User1User2 Usern 帐号管理员 账号搜集 4A安全管理平台 帐号管理 Agent 账号管理服务器 GFAAccount 服务器主机 服务器主机 帐号同步服务 User1User2 Usern User1User2 Usern Agent Agent 应用系统 Agent 网络设备 User1User2 Usern 帐号同步服务 User1User2 Usern 帐号管理员 User1AUser2 Usern User1AUser2 Usern User1AUser2 Usern User1AUser2 Usern 账号批量增加 删除 4A安全管理平台 帐号管理 统一认证平台 服务器主机 网络设备 应用系统 数据库 用户 SSO 用户在登录帐号安全管理平台后 在登录他 她有权限访问的信息系统时不需要再输入口令 从而实现一处登录 处处通行 4A安全管理平台 统一认证 模块组成 SSO门户 SSOPortal Web过滤器 SSO Filter 智能口令 SSO Login 认证服务器 GFAAuth 4A安全管理平台 统一认证 总体架构 4A安全管理平台 统一认证 支持的认证方式用户名 密码动态口令数字证书指纹等生物特征智能卡短消息 身份认证方式选择普通用户选择用户名 口令关键用户选择证书等 安全策略密码规则 长度 构成 复杂度设置时间限制 频次限制 次数限制定期更改 4A安全管理平台 统一认证 集中的权限管理采用RBAC 基于角色的访问控制 的授权模式 对用户能够访问的资源进行授权 并集中保存再权限策略库中 权限分布报表功能支持按照用户 信息系统等条件出具权限分布的报表 操作控制功能对用户在信息系统中的具体操作按照相应的授权策略进行有效控制 4A安全管理平台 集中授权 实现功能 4A安全管理平台 集中授权 逻辑模型 访问的设备地址以管理员身份进行管理规定是特权用户定制可用命令集 访问的主机地址端口应用名消息字段菜单功能模块 粗粒度 细粒度源IP地址源IP地址段限制端口定制用户权限限制可用Shell命令 可执行程序 主机地址数据库名账号类别 网络设备 应用系统 服务器主机 数据库 4A安全管理平台 集中授权 集中的安全审计用户从登录4A平台开始 到退出整个过程中的用户在各个信息系统中的操作 审计内容展示按照用户 时间等条件查询出审计记录 每条记录对应一个会话 包括开始时间和退出时间 当点击相应记录时会出具在这个会话中该用户的所有操作 审计报表按照用户 信息系统等条件出具详尽的用户操作审计报表 4A安全管理平台 集中审计 实现功能 账号管理审计主账号与从账号对应关系主账号的创建时间创建人主 从账号的有限期密码更改规则 应用系统 网络设备 服务器主机 数据库 管理员 用户 账号授权审计权限分配时间 分配者主 从账号的访问权限资源的授权访问者 登录过程审计什么人用什么账号登录什么时间登录什么系统什么时间退出 身份认证审计身份认证统