信安世纪产品方案201101

2024/8/15强化信息保障完善应用安全-信安世纪的产品与方案-目录2024/8/152公司简介信安世纪产品体系信安世纪产品介绍NetCertNSAENetSign信安世纪方案简介目录2024/8/153公司简介信安世纪产品体系信安世纪产品介绍NetCertNSAENetSign信安世纪方案简介公司简介2024/8/154公司概况成立于1998年，专业应用安全厂商，金融、政府、企业应用安全方案和产品提供者。全面资质高新技术企业、软件企业/国家密码管理局商用密码产品定点生产、销售单位/ISO9001质量体系认证/相关信息安全资质成功经验国内最成功的应用安全业务提供商，五大国有商业银行中有四家选用信安世纪安全产品，为超过5000万用户提供安全访问服务公司用户工、农、中、建、交等超过60家商业银行，超过80家集团财务公司、多家证券、期货公司、中石油、国家电网、中国烟草等众多政府、企业单位。行业经验2024/8/155国内最早为金融行业提供服务的PKI厂商超过11年为金融提供PKI和相关应用安全产品和服务的经验在金融行业拥有广泛的成功案例近40家银行客户、100家非银行金融机构产品支撑全球最大的数字证书中心农业银行CA中心活跃证书数量超过1400万工商银行的CA中心活跃证书数量超过1200万NSAE产品经受千万级用户的实践检验交行、华夏、众多省会及城市级商行等的应用体现了系统的可靠性和稳定性

主要案例–银行2024/8/156

中国工商银行总行中国农业银行总行中国建设银行总行中国邮储银行总行中国银行天津分行中国交通银行总行浦发行总行华夏银行总行恒丰银行总行国家开发银行总行光大银行华北：北京银行、内蒙古银行、包商、齐鲁银行、河北银行、晋商、青岛银行、廊坊、邯郸东北：哈尔滨银行、吉林银行、大连银行、锦州银行、抚顺商行西北：乌鲁木齐商行、宁夏银行、青海银行、兰州银行华东：无锡商行、杭州银行、厦门银行、温州银行、浙江民泰商业银行华中南：徽商银行、南昌银行、汉口银行、广州银行、重庆银行北京农村商业银行天津农合行山东省农信安徽省农信联社福建省农信联社广东省农信云南省农信联社宁波鄞州农商行、江阴农商行、吴江农商行、昆山农村商业银行、东吴农商行、顺德农村商业银行主要案例–机构与企业2024/8/157

中国证券登记结算公司PKI中心系统中国平安保险集团PKI中心系统中国人寿电子保单及身份认证项目太平洋保险集团电子保单安全系统大连商品交易所应用安全系统郑州商品交易所应用安全系统……中石油集团财务公司财务应用安全系统中石油股份财务公司财务应用安全系统中国海油集团财务财务应用安全系统中油财务公司网银安全系统中国电力集团财务财务应用安全系统中国华能集团财务公司财务应用安全系统中国华电集团财务公司财务应用安全系统中国电力投资集团财务应用安全系统大唐发电集团财务应用安全系统国家电网公司SG186项目应用安全系统中国中煤能源集团财务应用安全系统中国神华集团财务应用安全系统……机构与企业用户近百家主要案例–电子政务2024/8/158

国家烟草专卖局全国烟草行业CA认证体系国家电网SG186工程教育部高校招生应用安全系统国家财政部应用安全集成系统国家监察部网上举报安全系统公安部移动警务通应用安全系统北京国税网上报税安全系统北京市密钥管理中心（KMC）深圳地税网上报税安全系统深圳财政厅金财工程其它用户：国家税务总局、工信部、农业部、广电总局……典型客户强大的系统性能支撑

工行庞大的业务量

NSAE上一代产品NetSafe支撑了近千万证书用户访问截至2007年末，工行网上银行企业客户数已达98万户，个人客户数累计达到3908万户，网上银行交易额已超过89万亿元。

市场份额稳居国内各家网上银行之首

荣誉分享

2002年，《银行家》（TheBanker）将2002年度唯一一个关于商业银行网站的大奖－－“全球最佳银行网站”（BestBankWebsite）奖项颁给中国工商银行网站。2003年－2007年，《环球金融》（GlobalFinance）杂志连续5年授予中国工商银行“中国最佳个人网上银行”（BestPersonalBankofChina）奖项。2007年，工商银行还被《环球金融》评为“全球最佳存款服务网上银行”和“亚洲最佳存款服务网上银行”，充分展现了工商银行的国际影响力，同时也确立了中国工商银行电子银行国内领先并达到国际先进水平的地位。2024/8/159典型客户实施时间：2005年起产品：NetCert证书系统（含CA、RA、KMC）证书已实施的应用面向集团内部员工签发数字证书，实现AD域登录功能。文档安全加密系统财务资金结算应用安全系统……后期规划安全企业门户系统等网上银行应用安全系统网上证券业务电子保单保险经纪人的网上业务……2024/8/1510实施时间：2003年起产品：NetCert证书系统（包含CA、RA、KMC）数字签名服务器NetSign全面支持证券登记结算业务网络投票系统股东名册系统股东资金查询系统其它投资人服务系统……面向中国证券市场服务超过3000万股民5000家多家机构1370家上市公司2024/8/1511典型客户典型客户实施时间：2007年产品：数字证书管理系统：NetCert系统（包含NetCertCA、NetCertKMC、NetCertOCSP、NetCertTSA、NetCertRA）SSL安全代理系统：NSAE硬件服务器数字签名系统：NetSign签名服务器建立烟草行业CA安全认证体系。应用于：生产经营决策管理系统办公自动化系统卷烟交易系统专卖准运证系统内网门户网站系统电子邮件系统公文安全传输等2024/8/1512目录2024/8/1513公司简介信安世纪产品体系信安世纪产品介绍NetCertNSAENetSign信安世纪方案简介物理安全信息产品安全存储安全管理安全通讯安全信息安全终极安全1、整体安全设计思路2、满足等保标准3、通过等保测评以主动安全需要为驱动,风险分析,PDCA...信息安全等级保护IA2024/8/1514国家信息系统安全等级保护2024/8/1515技术安全管理安全等级保护等级保护基本要求技术要求物理安全位置、访问控制、防破坏、防火、防雷、防潮、防静电、温湿控制、电力供应、电磁防护网络安全机构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范（G3）、网络设备防护主机安全安全标记（S4）、身份鉴别、访问控制、可信路径（S4）、安全审计、剩余信息保护（S3）、入侵防范、恶意代码防范、资源控制应用安全身份鉴别、安全标记（S4）、访问控制、可信路径（S4）、安全审计、剩余信息保护（S3）、通信完整性、通信保密性、抗抵赖（G3）、软件容错、资源控制、数据安全数据完整性、数据保密性、备分和恢复管理要求安全管理制度管理制度、制定和发布、评审和修订安全管理机构岗位设置、人员配备、授权和审批、沟通和合作、审核和检查人员安全管理人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理系统建设管理系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案（G3）、等级测评（G3）、安全服务商选择系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心(G3)、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备分与恢复管理、安全事件处置、应急预案管理2024/8/1516应用安全基本需求2024/8/1517机密性

Confidentiality

我的通信秘密吗？完整性

Integrity

我的通信被篡改了吗？身份认证Authentication

我跟谁在交易?不可否认

Non-repudiation

谁/何时-发来/收到?拦截修改制造?物理解决方案2024/8/1518通讯安全的传统物理解决方案机密 Confidentiality我的通信秘密吗？信封封装完整Integrity我的通信被篡改了吗？在可拆的地方加盖印章身份认证Authentication 我跟谁在交易？

身份证，护照等不可否认Non-repudiation谁/何时-发来/收到？

签名，日期网络信任体系2024/8/1519“加强以密码技术为基础的信息保护和网络信任体系：规范和加强以身份认证、授权管理、责任认定等为主要内容的的网络信任体系建设。”《关于加强信息安全保障工作的意见》——(中办发〔2003〕27号文)安全技术的发展历程：通讯保密40-70年代计算机安全80年代信息系统保护90年代网络信任体系本世纪网络信任体系的内容2024/8/1520身份鉴别授权管理责任认定身份认证数据机密性数据完整性不可否认性PKI/CA数字证书系统数字证书应用支撑综合管理信安世纪的产品技术图2024/8/1521应用身份认证审计通信保密访问控制完整性不可否认身份管理NetCertNetPass远程访问NSAENetGate内容安全NetSign信安应用安全基础平台ISFCISFJISFW目录2024/8/1522公司简介信安世纪产品体系信安世纪产品介绍NetCertNSAENetSign信安世纪方案简介2024/8/1523NetCert数字证书系统NetCert的目标2024/8/1524基本功能签发和管理数字证书：身份认证，数字签名的基础用户量支持海量用户适用范围可伸缩性的模块化部署，支持从小型企业到运营商的应用可用性与应用的无缝连接NetCert系统组成CAServerKMCServerKMCAdminCAAdminNetCertEnrollRAServerRADSEEDSOCSPServerTSAServer2024/8/1525主要功能X.509V3证书的生命周期管理（签发、废止、更新…）证书策略定制灵活的证书管理流程加密证书的密钥管理（产生、分发、备份，恢复…）日志，查询，统计管理2024/8/1526安全性中国信息安全评测中心评测通过国密局产品鉴定，全面支持硬件加密设备2024/8/1527公安部销售许可高性能与稳定性先进基于先进的ISFW服务器框架大容量支持海量证书规模，容量达到2000万以上快速卓越的性能，超过200000张/小时的发证能力成熟在大型金融机构成功部署并长期稳定运行2024/8/1528高性能与稳定性2024/8/1529支持负载均衡部署，性能平滑扩展支持高可用性部署（热备）通过负载均衡和HA技术，更加可靠地保证7*24不间断运行具有第三方设备故障智能检测功能，自动恢复正常运行负载均衡设备NetCert服务器NetCert服务器NetCert服务器用户RA可扩展性体系结构扩展：支持多级CA体系，交叉认证RA系统扩展部署扩展2024/8/1530ROOTCACA1CA2CA3根CA证书USER1USER2USER3用户证书用户证书用户证书三级CA证书二级CA证书二级CA证书灵活性广泛支持各种平台第三方系统Solaris，AIX，HPUX，Linux，WindowsOracle，DB2，SybaseSUNDirectory，NovellNDS，MicrosoftAD，OpenLDAP，OracleOID，南开创元ITEC-iDS3.0Websphere，Weblogic，Tomcat…

…系统各个组件可以灵活选择部署通过标准接口支持多种加密机、IC卡、USBkey，按需选择可以自由定义证书模版策略RA系统定制2024/8/1531应用支持B/S应用HTTP/HTTPSC/S应用（SSLVPN）Mail，FTP，Telnet，数据库，Notes等目录服务协议LDAP/AD2024/8/1532Web和文件的数字签名文件加密/安全存储IPSecVPN系统电子印章MicrosoftAD域认证联合身份认证IDFF/SSO根CA子CA模式根CA—子CA建立共同的根CA2024/8/1533ROOTCA内部CA外部CACA3根CA证书USER1USER2USER3用户证书用户证书用户证书二级CA证书二级CA证书二级CA证书典型部署2024/8/1534NetCertCA成功案例银行业工行网银系统CA农行网银系统CA建行网银CA交行网银CA北京农村商业银行网银CA顺德农商行CA山东农信网银CA……非银行金融平安保险集团中国证券登记结算总公司国泰君安证券中国人寿保险代理人CA系统其他行业烟草全行业，包括各级管理局和公司中石油，多家油田CA北京kmc中心2024/8/15352024/8/1536NSAE应用安全网关（应用交付设备）SSL协议2024/8/1537SSL/TLS协议是目前Internet上使用最广泛的安全协议微软IE和其它主流浏览器均内置SSL客户端为基于TCP/IP协议的客户/服务器模式的应用提供安全访问机制客户/服务器身份认证客户/服务器之间数据传输通道加密保证数据传输过程中的私密性、完整性SSL/TLSSSL协议原理2024/8/1538SSL用户Web服务提供商CASSL协议网络位置2024/8/1539在网络中的位置应用层之下TCP/IP层之上SSL/TLSHTTPIPFTPSMTPTCPSSL/TLSSSL协议过程2024/8/1540客户端客户端发起SSL会话服务器响应，发出证书(包括服务器公钥)客户端验证服务器证书签名，生成一个随机数密钥，使用服务器公钥对其加密，再发送给服务器(如果是双向SSL，客户端需要对上述数据作签名后，连同证书一起发送给服务器)（双向SSL，服务器先验证客户端证书，之后）服务器使用私钥对随机数密钥解密，经过一些运算得到与客户端相同的会话密钥，通知客户端即将开始加密模式下的通信HTTPS加密数据流(使用会话密钥加解密)Web服务器公钥（非对称）密钥算法加密对称密钥算法加密2024/8/1541SSL实现方式2024/8/1542SSL/TLShttpCALDAP服务器

浏览器CRLhttphttphttpWeb/APP服务器Web/APP服务器Web/APP服务器SSL实现方式NSAE主要功能2024/8/1543SSL高速代理保证用户使用安全的SSL接入方式，高速访问内部应用服务器服务器负载均衡全面的四至7层服务器负载均衡功能，多种健康检测链路负载均衡同时具备出向/入向的链路负载均衡SSL基本功能2024/8/1544SSL

V2.0/V3.0、TLS

1.0协议支持支持多SSL服务通道，每个服务通道可配置单独的站点证书支持多CA信任域支持客户端证书过滤支持128位会话密钥支持最短会话密钥长度限制支持LDAP、HTTP

CRL下载模式端到端的SSL加密在客户端和NSAE之间实现SSL加密传输在NSAE和后台服务器之间可以选择配置明文传输或者SSL加密传输SSL应用结合功能2024/8/1545客户端证书信息透传功能支持HTTP

Header、Cookie、URL等多种方式支持J2EE标准证书透传模式证书信息透传安全保障机制Header、Cookie、URL检查请求重定向和响应重定向6种错误的自定义页面客户端IP传递功能NSAESSL代理加速应用图示2024/8/1546证书登录应用系统证书DN与用户信息映射应用证书关系映射表用户A---DN1用户B---DN2用户C---DN3…证书签发管理平台IE浏览器RALDAPCAKMChttps证书信息http证书信息证书信息用户信息用户信息证书信息CRL应用安全网关SSL握手验证：1.有效期2.CA签名3.CRL。SSL应用安全网关：1.发起安全握手2.验证服务器证书3.验证用户证书4.建立安全连接5.按照记录协议加密传输信息NSAE-B安全网关2024/8/1547NSAE-B：系统互联应用安全网关用户系统之间安全互联SSL代理高速SSL代理功能数字签名整合型方案，适用于资金业务多项增值功能支持1对1和1对多互联最多支持1对30台设备支持单信任域，多信任域NSAE–B安全网关2024/8/1548安全性通过国家密码管理局和公安部安全检测，并获得相关资质证明商用密码产品型号SJY133公安部信息安产品销售许可自身安全防护防火墙Console、SSH、HTTPS安全管理通道User、Enable、Configure三级管理角色支持SNMP

V3安全网管HTTP

Header、Cookie、URL检查多级别细粒度日志2024/8/1549产品资质证书2024/8/15502024/8/1551NetSign数字签名系统数字签名基本原理2024/8/1552基于公钥算法的密码学原理使接收者能核验发送者对报文的签名保证数据在传输和存储过程中的完整性及提供交易的不可否认性

《中华人民共和国电子签名法》２００４年８月２８日第十届全国人民代表大会常务委员会第十一次会议通过2005年4月1日施行意义：1.规范电子签名行为 2.确立电子签名的法律效力

3.维护有关各方的合法权益数字签名基本技术2024/8/1553数字签名密码学算法单向杂凑函数（Hash算法）非对称密码算法数字签名提供的安全保障完整性不可否认性数字签名流程2024/8/1554发送方信息私钥加密（签名）签名比较两者是否一致散列函数摘要公钥解密散列函数信息签名摘要摘要信息被确认接收方数字签名应用要点2024/8/1555什么信息需要数字签名关键交易报文配置更改签名与验签名必须验证签名:验证本次交易的有效性、完整性签名结果保存备验:应用中需要设计签名存储库NetSign系统图2024/8/1556NetSign数字签名应用简介2024/8/1557数字签名控件应用系统证书DN与用户信息映射应用证书关系映射表用户A---DN1用户B---DN2用户C---DN3…证书签发管理平台IE浏览器RALDAPCAKMC签名信息证书信息用户信息用户信息证书信息CRL数字签名服务器：1.验证签名信息2.通过DN与用户关联获得用户信息3.交易信息和签名信息存入数据库留痕4.事后验证数据库中存储的交易和签名信息数字签名服务器交易信息交易信息签名信息验签结果签名数字签名控件：1.获得交易信息2.调用密码接口数字签名数据库交易信息签名信息调用密码接口，在USBKey中密码运算数字签名技术的多种应用方式和产品202