,数字证书服务及4A产品介绍,目 录,国富安数字证书服务,2,1,国富安公司背景及资质,国富安公司的背景与资质,部委唯一具有法律地位和运行资质的CA机构 国富安CA具有信息产业部颁发的电子认证服务许可资质。,我国最早通过鉴定、具有自主版权的安全认证系统 国富安公司承担的国家“九五”科技攻关项目“商业电子信息安全认证系统”是我国首家自主开发、具有自主版权的CA认证系统。,国家领导视察CA认证中心建设,信息安全领域里的领跑者 北京国富安电子商务安全认证有限公司成立于1998年，是商务部中国国际电子商务中心直属的专业提供信息安全产品和服务的高新技术企业。,核心竞争力,服务,人才,机房,经验,五大核心竞争力,技术,国富安公司的技术研发实力,统一安全认证项目,是国富安承担的国家金关工程的骨干工程外经贸专用网项目，实现了一体化的用户权限管理平台，为用户提供统一登录、统一权限、统一认证门户,国富安 CA认证中心,GFA SSO 单点登录系统,GFA FourA 4A集中安全 管理平台,GFA CA 电子认证系统,GFA IPASS 安全链路 接入网关,GFA Audit 集中审计系统,电子认证服务使用密码许可证 电子认证服务许可证 商用密钥产品生产定点单位 涉密信息系统集成资质 计算机信息系统集成资质 高新技术企业证书 信息安全产品型号证书 身份鉴别系统销售许可证 安全报送系统销售许可证 GFA iPass V1.0销售许可证 商业电子信息安全认证系统 软件著作权登记证书 CA软件著作权证书 ,国富安公司的背景与资质,2,国富安公司数字证书服务,2.1 国富安CA介绍,总体介绍,国富安CA于1998年研发，总体分为两层：第一层为根CA，第二层为运营CA ，可以根据CPS依据其策略向不同行业和领域扩展信任体系。运营CA由CA系统、RA系统和LA受理点三部分组成 。 系统采用一主二备备份容灾机制的体系架构；,系统性能,发证能力 CA系统每签一张证书为3秒左右，签发并发量为200300张； CA系统批量发证能力为1200张/小时；若CA 8小时工作时间，连续运行批量发证的能力为9600张/天； 系统24小时证书和CRL查询处理能力 每小时查询处理能力50000次，单个查询应答时间为0.03秒； LDAP支持百万级的容量，随证书量的增大，可以无限扩容；,2.2 数字证书服务模式,数字证书服务模式,国富安公司提供以下三种模式的数字证书服务方式： 完全第三方模式 合作RA模式 合作LA模式,完全第三方模式,特点介绍: 最基本的证书服务模式。 用户身份鉴定和证书发放都由国富安CA完成。 所颁发证书具有第三方资质。,合作RA模式,特点介绍: 具有完整的证书信任体系功能 所颁发证书具有第三方资质 可继续部署及管理多个下级LA机构 初期投入较小 建设周期短 运营维护简便,合作RA模式,系统功能： 管理下级LA系统 操作员及用户管理 用户审核 业务请求受理 证书申请受理 证书注销受理 证书更新受理 查询统计,合作LA模式,特点介绍: 具有完整的证书信任体系功能 所颁发证书具有第三方资质 初期投入较小 建设周期短 运营维护简便,合作LA模式,系统功能: 操作员及用户管理 用户审核 业务请求受理 证书申请受理 证书注销受理 证书更新受理 查询统计,模式比较,2.3 数字证书服务优势,国富安承担的外经贸专用网的CA受理点服务网络安全服务项目，建设成覆盖全国范围的大规模，高性能、大容量、高可靠性、稳定安全的CA认证系统平台。 拥有持续10年为商务部及其他客户单位服务的丰富运营经验 累计发证量达到100多万多张 服务于大型并发项目的丰富经验 纺织品配额招标、加工贸易审批,丰富的运营管理经验,完善的技术服务网络,国富安公司在全国各省、直辖市、自治区建立了32家RA注册机构，在全国100个城市都建设有自己的技术支持服务机构，服务范围遍布全国，为客户提供随时随地的技术支持和售后服务，保证了国富安公司销售服务的快速和便捷。,完善的技术服务网络,先进的容灾备份体系,国富安公司在北京经济技术开发区建有国内CA机构中硬件设施最完善、容灾体系最安全的机房。东单建设有同城数据备份中心，广州建有异地容灾备份中心，实现了“同城异地”三点热备份，是中国唯一、世界一流的信息化基础运营环境。,广东分中心,北京东单,北京中心,完备的基础运营设施,完备的基础设施 容灾中心共安装400千伏安UPS电源4台、80千伏安UPS电源2台，当停电时，可以为机房内服务器及网络设备提供不间断供电服务。 容灾中心地下一层共安装3台1120千瓦发电机，在广场地下安装了储量为60吨的发电机配套柴油罐，以应对突发的停电事故。 容灾中心地下一层空调机房共安装4台中央空调机组，其中2台使用，2台备份以保证办公区的正常温度和网络机房内7*24小时的恒温、恒湿。 IDC机房及地下一层CA机房均安装了机房环境监测系统，当遇到温度、湿度超出正常范围或空调漏水等情况时， 该系统可通过电话或短信方式及时通知机房值守人员。,保证365天7 小时安全运行,24,发电机组,国富安公司的运营维护机房,CA认证中心机房,加工贸易,商务部纺织品配额,中国建设银行,中国国电集团,EC网会员,外交部,国富安,中国建设银行 中国国电集团公司 中国移动通信集团公司 北京现代汽车有限公司 中国医药保健品进出口总公司 北京高阳圣思园信息技术有限公司 北京中保信房地产开发有限公司 北京世纪通宝科技有限公司 北京鹤麒医药电子商务有限公司 北京先锋环宇电子商务有限公司 中国蔬菜市场网 中国民生医药电子商务网,数字证书服务成功案例,3,国富安4A产品介绍,用户分散,缺乏监管,授权混乱,数据分散,重复建设,多次登录,面临的困境,EC平台,发展4A产品的初衷,账号管理（Account）,缺少帐号和自然人的逻辑关联，一旦出现安全问题，很难定位到自然人 各系统的帐号管理独立且分散，管理员很难完成对帐号的有效管理 账号多人共用，难以实现帐号权限的有效监督和审核 当有人员或岗位变动时，管理员需要频繁地登录到各个系统中为相应的用户创建、删除、修改帐号，工作量巨大 用户在各个系统上自主设定、修改密码，密码强度难以保证、定期修改的规定难以执行 无效账户难以彻底删除或者禁止帐号,安全现状,认证管理（Authentication）,多样的身份认证系统，每个系统都有一套独立的认证管理体系，给管理员带来了很大负担 各信息系统都有一套独立的认证管理体系，无法贯彻统一的登录控制策略 登录各系统都需要输入用户名和口令，用户操作繁琐 现有系统中账号级别与认证方式不对应,安全现状,授权管理（Authorization）,各应用系统都有一套独立的授权管理，缺乏集中统一的资源授权管理； 各系统分别管理所属的系统资源，无法严格按照最小权限原则分配权限 随着用户数量的增加，权限管理任务越来越重 用户的权限和自己的工作职责是不一致的,安全现状,审计管理（Audit）,各应用系统都有一套独立的审计管理,并且审计内容和强度不一致，无法贯彻统一的审计管理策略 缺乏集中统一的设备审计管理，无法有效完成对日志记录的定期审阅。 无法对日志进行综合分析，不能及时发现异常，对出现问题立即采取有效的防护措施,安全现状,GFA 4A集中管理平台的最终目标是建立一套信息安全的基础设施，并通过它为各种应用提供包括用户信息、身份认证、授权管理、审计与责任认定等功能在内的安全支撑服务。,GFA 4A集中管理平台目标,产品组成,GFA 4A集中安全管理平台将包含如下产品：,GFA 4A安全管理平台系统组成,GFA Auth,GFA ARA,GFA SSO,GFA Audit,GFA Account,Auth-Service,Auth-Gina,Auth-Pam,ARA-UserInfo,ARA-Service,SSO-Login,SSO-Portal,SSO-Filter,Audit-Service,Audit-Watch,Audit-Monitor,Audit-Report,Audit-Filter,Account-Admin,Account-Service,国富安4A集中安全管理平台,解决方案总体逻辑架构,功能介绍: 主帐号创建、修改、删除、锁定/解锁、同步（可以从现有的信息系统中导入，如OA系统等）； 从帐号的搜集、创建、删除、锁定/解锁； 主帐号和从帐号的关联； 批量创建从帐号（用户入职时）； 批量删除从帐号（用户离职时）； 主账号/从账号口令策略的管理，支持长度、频度（使用多少次）、构成、周期（使用多长时间）等口令策略。 账号分布报表功能,4A安全管理平台-帐号管理,最终目标: 管理员在一点上即可对不同系统中的账号进行管理，实现： 账号与人的关联； 网络设备、操作系统、甚至应用系统中已有账号的收集； 新建账号并同步到各系统中去； 实现集中的密码策略，并按照密码策略的要求，自动、集中、定期修改系统账号的口令； 实现集中删除一个自然人的所有或者部分系统账号； 保留账号创建、分配、变更、删除整个过程的信息，从而知道什么时间、哪些账号给了哪些人，每个人拥有什么样的账号，便于审计。,4A安全管理平台-帐号管理,Agent,账号管理服务器（GFA Account）,服务器主机,服务器主机,帐号同步服务,User1 User2 User n,User1 User2 User n,Agent,Agent,应用系统,Agent,网络设备,User1 User2 . User n,帐号同步服务,User1 User2 . User n,帐号管理员,账号搜集,4A安全管理平台-帐号管理,Agent,账号管理服务器（GFA Account）,服务器主机,服务器主机,帐号同步服务,User1 User2 User n,User1 User2 User n,Agent,Agent,应用系统,Agent,网络设备,User1 User2 . User n,帐号同步服务,User1 User2 . User n,帐号管理员,User1 A User2 . User n,User1 A User2 User n,User1 A User2 User n,User1 A User2 . User n,账号批量增加/删除,4A安全管理平台-帐号管理,统一认证平台,服务器主机,网络设备,应用系统,数据库,用 户,SSO：用户在登录帐号安全管理平台后，在登录他/她有权限访问的信息系统时不需要再输入口令，从而实现一处登录，处处通行,4A安全管理平台统一认证,模块组成:,SSO门户（SSO Portal） Web过滤器(SSO-Filter) 智能口令(SSO-Login ) 认证服务器（ GFA Auth ）,4A安全管理平台统一认证,总体架构,4A安全管理平台统一认证,支持的认证方式 用户名/密码 动态口令 数字证书 指纹等生物特征 智能卡 短消息,身份认证方式选择 普通用户选择用户名/口令 关键用户选择证书等,安全策略 密码规则，长度、构成、复杂度设置 时间限制、频次限制、次数限制 定期更改,4A安全管理平台统一认证,集中的权限管理 采用RBAC（基于角色的访问控制）的授权模式，对用户能够访问的资源进行授权，并集中保存再权限策略库中。 权限分布报表功能 支持按照用户、信息系统等条件出具权限分布的报表。 操作控制功能 对用户在信息系统中的具体操作按照相应的授权策略进行有效控制。,4A安全管理平台集中授权,实现功能:,4A安全管理平台集中授权,逻辑模型:,访问的设备地址 以管理员身份进行管理 规定是特权用户 定制可用命令集 ,访问的主机地址 端口 应用名 消息字段 菜