搜索
目录国富安数字证书服务21公司背景及资质国富安4A产品介绍34成功案例1国富安公司背景及资质国富安公司的背景与资质部委唯一具有法律地位和运行资质的CA机构国富安CA具有信息产业部颁发的电子认证服务许可资质。我国最早通过鉴定、具有自主版权的安全认证系统国富安公司承担的国家“九五”科技攻关项目“商业电子信息安全认证系统”是我国首家自主开发、具有自主版权的CA认证系统。国家领导视察CA认证中心建设信息安全领域里的领跑者北京国富安电子商务安全认证有限公司成立于1998年,是商务部中国国际电子商务中心直属的专业提供信息安全产品和服务的高新技术企业。核心竞争力服务人才机房经验强大的技术研发实力丰富的运营维护经验完善的技术服务网络一流的容灾备份机房充足的优秀人才储备技术国富安CA受理点服务网络安全服务项目建设成覆盖全国范围的大规模、高性能、大容量、高可靠性、稳定安全的CA认证系统平台。国富安公司的技术研发实力统一安全认证项目是国富安承担的国家金关工程的骨干工程外经贸专用网项目,实现了一体化的用户权限管理平台,为用户提供统一登录、统一权限、统一认证门户国富安信息安全报送系统IPASSIPASS被列入国家火炬计划,具有身份认证、加密传输、权限控制与强审计功能。科研项目与课题国富安承担了“十一五”科技部现代服务交互支撑平台和北京市科学技术委员会基于电子商务的用户多角色数据模型等若干重大科研项目。国富安CA认证中心GFASSO单点登录系统GFAFourA4A集中安全管理平台GFACA电子认证系统GFAIPASS安全链路接入网关GFAAudit集中审计系统电子认证服务使用密码许可证电子认证服务许可证商用密钥产品生产定点单位涉密信息系统集成资质计算机信息系统集成资质高新技术企业证书信息安全产品型号证书身份鉴别系统销售许可证安全报送系统销售许可证GFAiPassV1.0销售许可证商业电子信息安全认证系统软件著作权登记证书CA软件著作权证书……国富安公司的背景与资质2国富安公司数字证书服务2.1国富安CA介绍总体介绍国富安CA于1998年研发,总体分为两层:第一层为根CA,第二层为运营CA,可以根据CPS依据其策略向不同行业和领域扩展信任体系。运营CA由CA系统、RA系统和LA受理点三部分组成。系统采用一主二备备份容灾机制的体系架构;系统性能•发证能力CA系统每签一张证书为3秒左右,签发并发量为200~300张;CA系统批量发证能力为1200张/小时;若CA8小时工作时间,连续运行批量发证的能力为9600张/天;•系统24小时证书和CRL查询处理能力每小时查询处理能力50000次,单个查询应答时间为0.03秒;LDAP支持百万级的容量,随证书量的增大,可以无限扩容;2.2数字证书服务模式数字证书服务模式国富安公司提供以下三种模式的数字证书服务方式:完全第三方模式合作RA模式合作LA模式完全第三方模式特点介绍:最基本的证书服务模式。用户身份鉴定和证书发放都由国富安CA完成。所颁发证书具有第三方资质。合作RA模式特点介绍:具有完整的证书信任体系功能所颁发证书具有第三方资质可继续部署及管理多个下级LA机构初期投入较小建设周期短运营维护简便合作RA模式系统功能:•管理下级LA系统•操作员及用户管理•用户审核•业务请求受理证书申请受理证书注销受理证书更新受理•查询统计合作LA模式特点介绍:具有完整的证书信任体系功能所颁发证书具有第三方资质初期投入较小建设周期短运营维护简便合作LA模式系统功能:•操作员及用户管理•用户审核•业务请求受理证书申请受理证书注销受理证书更新受理•查询统计模式比较完全第三方模式国富安合作建设LA模式国富安合作建设RA模式自建证书信任体系模式所颁发数字证书资质具有第三方认证资质具有第三方认证资质具有第三方认证资质不具有第三方认证资质投入成本无先期投入先期投入较小先期投入较小先期投入巨大建设周期无系统建设周期周期很短周期较短周期较长后期运营维护无简单简单复杂是否可继续部署及管理下级证书申请审批机构不可以不可以可以可以证书信任体系是否具备逻辑独立性不具备不具备不具备具备2.3数字证书服务优势•国富安承担的外经贸专用网的CA受理点服务网络安全服务项目,建设成覆盖全国范围的大规模,高性能、大容量、高可靠性、稳定安全的CA认证系统平台。•拥有持续10年为商务部及其他客户单位服务的丰富运营经验•累计发证量达到100多万多张•服务于大型并发项目的丰富经验•纺织品配额招标、加工贸易审批丰富的运营管理经验金融通信电力电子政务教育电子商务国富安CA广泛应用于电子政务、电力、通信、金融、电子商务、教育等各类重大项目中,连续的安全稳定运行使得国富安积累了丰富的运营、管理和维护经验完善的技术服务网络国富安公司在全国各省、直辖市、自治区建立了32家RA注册机构,在全国100个城市都建设有自己的技术支持服务机构,服务范围遍布全国,为客户提供随时随地的技术支持和售后服务,保证了国富安公司销售服务的快速和便捷。先进的容灾备份体系国富安公司在北京经济技术开发区建有国内CA机构中硬件设施最完善、容灾体系最安全的机房。东单建设有同城数据备份中心,广州建有异地容灾备份中心,实现了“同城——异地”三点热备份,是中国唯一、世界一流的信息化基础运营环境。广东分中心北京东单北京中心完备的基础运营设施完备的基础设施容灾中心共安装400千伏安UPS电源4台、80千伏安UPS电源2台,当停电时,可以为机房内服务器及网络设备提供不间断供电服务。容灾中心地下一层共安装3台1120千瓦发电机,在广场地下安装了储量为60吨的发电机配套柴油罐,以应对突发的停电事故。容灾中心地下一层空调机房共安装4台中央空调机组,其中2台使用,2台备份以保证办公区的正常温度和网络机房内7*24小时的恒温、恒湿。IDC机房及地下一层CA机房均安装了机房环境监测系统,当遇到温度、湿度超出正常范围或空调漏水等情况时,该系统可通过电话或短信方式及时通知机房值守人员。发电机组国富安公司的运营维护机房加工贸易商务部纺织品配额中国建设银行中国国电集团EC网会员外交部中国建设银行中国国电集团公司中国移动通信集团公司北京现代汽车有限公司中国医药保健品进出口总公司北京高阳圣思园信息技术有限公司北京中保信房地产开发有限公司北京世纪通宝科技有限公司北京鹤麒医药电子商务有限公司北京先锋环宇电子商务有限公司中国蔬菜市场网中国民生医药电子商务网数字证书服务成功案例3国富安4A产品介绍用户分散缺乏监管授权混乱数据分散重复建设多次登录账号管理(Account)缺少帐号和自然人的逻辑关联,一旦出现安全问题,很难定位到自然人各系统的帐号管理独立且分散,管理员很难完成对帐号的有效管理账号多人共用,难以实现帐号权限的有效监督和审核当有人员或岗位变动时,管理员需要频繁地登录到各个系统中为相应的用户创建、删除、修改帐号,工作量巨大用户在各个系统上自主设定、修改密码,密码强度难以保证、定期修改的规定难以执行无效账户难以彻底删除或者禁止帐号安全现状认证管理(Authentication)多样的身份认证系统,每个系统都有一套独立的认证管理体系,给管理员带来了很大负担各信息系统都有一套独立的认证管理体系,无法贯彻统一的登录控制策略登录各系统都需要输入用户名和口令,用户操作繁琐现有系统中账号级别与认证方式不对应安全现状授权管理(Authorization)各应用系统都有一套独立的授权管理,缺乏集中统一的资源授权管理;各系统分别管理所属的系统资源,无法严格按照最小权限原则分配权限随着用户数量的增加,权限管理任务越来越重用户的权限和自己的工作职责是不一致的安全现状审计管理(Audit)各应用系统都有一套独立的审计管理,并且审计内容和强度不一致,无法贯彻统一的审计管理策略缺乏集中统一的设备审计管理,无法有效完成对日志记录的定期审阅。无法对日志进行综合分析,不能及时发现异常,对出现问题立即采取有效的防护措施安全现状GFA4A集中管理平台的最终目标是建立一套信息安全的基础设施,并通过它为各种应用提供包括用户信息、身份认证、授权管理、审计与责任认定等功能在内的安全支撑服务。1安全账号Account2身份认证Authentication3授权管理Authorization4审计责任认定AuditGFA4A集中管理平台目标产品组成GFA4A集中安全管理平台将包含如下产品:序号产品名称功能描述备注1GFA-SSO国富安单点登录系统2GFA-Auth国富安身份认证系统3GFA-ARA国富安授权管理系统包括权限管理、查询;属性证书签发4GFA-Account国富安账号管理系统5GFA-Audit国富安审计系统包含强审计、责任认定GFA4A安全管理平台系统组成GFAAuthGFAARAGFASSOGFAAuditGFAAccountAuth-ServiceAuth-GinaAuth-PamARA-UserInfoARA-ServiceSSO-LoginSSO-PortalSSO-FilterAudit-ServiceAudit-WatchAudit-MonitorAudit-ReportAudit-FilterAccount-AdminAccount-Service国富安4A集中安全管理平台安全支撑系统桌面防护安全传输无线接入移动办公分支机构数据库应用系统网络设备操作系统系统管理员认证授权审计内部审计机制授权编辑相关表审计审计接口授权授权接口认证认证接口审计Syslog认证Radius审计内部机制授权内部机制认证内部机制GFA-AuditGFA-AuthGFA-AccountGFA-ARAGFA-SSO解决方案—总体逻辑架构功能介绍:主帐号创建、修改、删除、锁定/解锁、同步(可以从现有的信息系统中导入,如OA系统等);从帐号的搜集、创建、删除、锁定/解锁;主帐号和从帐号的关联;批量创建从帐号(用户入职时);批量删除从帐号(用户离职时);主账号/从账号口令策略的管理,支持长度、频度(使用多少次)、构成、周期(使用多长时间)等口令策略。账号分布报表功能4A安全管理平台--帐号管理最终目标:管理员在一点上即可对不同系统中的账号进行管理,实现:账号与人的关联;网络设备、操作系统、甚至应用系统中已有账号的收集;新建账号并同步到各系统中去;实现集中的密码策略,并按照密码策略的要求,自动、集中、定期修改系统账号的口令;实现集中删除一个自然人的所有或者部分系统账号;保留账号创建、分配、变更、删除整个过程的信息,从而知道什么时间、哪些账号给了哪些人,每个人拥有什么样的账号,便于审计。4A安全管理平台--帐号管理Agent账号管理服务器(GFAAccount)服务器主机服务器主机帐号同步服务User1User2…UsernUser1User2…UsernAgentAgent用户系统用户名密码张三Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB应用系统Agent网络设备User1User2…..Usern帐号同步服务User1User2…..Usern帐号管理员账号搜集4A安全管理平台--帐号管理用户系统用户名密码001Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB用户系统用户名密码001Portal系统user11234邮件系统User22345DOMINO系统User3AAAA报销系统user4CCCC工资系统user5BBBB系统1A123456主机1A123456主机2A123456Agent账号管理服务器(GFAAccount)服务器主机服务器主机帐号同步服务User1User2…UsernUser1User2…UsernAgentAgent应用系统Agent网络设备User1User2…..Use