来源:蜘蛛抓取(WebSpider)
时间:2016-08-30 02:30
标签:
专利费减备案系统
国瑞数码-产品信息
DigitalTrust& 终端安全登录系统DTSL2000E V3.0一、产品简介
&&& 国瑞数码终端安全登录系统企业版 DTSL2000E V3.0是国瑞数码专门为保护涉密信息系统的计算机终端安全而定制研发的产品。
&&& 国瑞数码终端安全登录系统企业版 DTSL2000E V3.0包含两部分:web管理端、终端安全登录客户端软件。
&&& 国瑞数码终端安全登录系统企业版 DTSL2000E V3.0主要包括用户管理、终端登录控制、审计管理等功能。
二、系统结构
&&& 终端安全登录系统企业版 DTSL2000E V3.0包括web管理端、终端安全登录两大模块。
&&&&web管理端组成部分:
&&& 1)&身份管理
&&& 身份管理主要对整个平台的机构、用户的管理以及用户的认证方式和访问策略的管理。
&&& 2)&用户终端
&&& 用户终端:创建或收集了终端,并与用户绑定,分配了策略。只有与用户绑定的终端,用户才可以正常登录并使用该终端。
&&& 3)&审计管理
&&& 对用户的操作进行审计。
&&& 4)&管理维护
&&& 管理维护各子模块。
&&& 5)&三员管理
&&& 为平台用户提供访问各子系统的相关权限,主要分为菜单权限、资源权限和组织机构权限三种类型权限。其中菜单权限主要负责各子系统的可访问性和可见性。
&&&&终端安全登录组成部分:
&&& 1)&终端登录认证Gina
&&& 用户在被授权的终端上,输入用户名/密码,或者插入USB KEY并输入用户PIN码,即可实现终端操作系统的自动登录。
安装了终端安全登录客户端软件后,系统能够禁止用户使用安全模式登录终端操作系统,从而有效防止了个别非法用户企图通过安全模式进入终端的情况的发生。
&&& 2)&客户端软件
&&& 使用USB KEY登录的用户,拔出USB KEY后,计算机将会自动锁屏。
三、产品特点
&&&& 该产品具有如下特点:
&&& 1)&完全自主知识产权。
&&& 2)&广泛采用业界标准和协议,并保持和国内外最新密码技术和硬件技术的同步。
&&& 3)&终端安全登录系统企业版 DTSL2000E V3.0各个模块的开发和设计都严格遵循相应的国际和国内标准。系统支持标准的协议和算法。
&&& 4)&电子钥匙的认证方式,提供高强度的安全性。
&&& 5)&支持远程桌面连接。
&&& 6)&windows多平台适用性。
四、产品资质
五、典型客户
&&&&&终端安全登录系统企业版 DTSL2000E V3.0可以为以下类型的用户提供服务:
&&& ● 国防军工行业:国防科技工业局及下属办事机构、兵器/电科/船舶/航天/核工业集团等大型国防军工企业单位及其下属单位;
&&& ● 政府部门:税务、工商、公检法、烟草、水利、交通等;
&&& ● 通信行业:电信、移动等;
&&& ● 金融行业:银行、保险、证券、期货等;
&&& ● 企业单位:电力、石油、化工、交通、煤炭、粮食。 终端安全登录与文件保护系统DigitalTrust V2.0一、产品简介
&&& 终端安全登录与文件保护系统DigitalTrust& V2.0是国瑞数码专门为保护涉密信息系统的计算机终端安全而定制研发的产品。
&&& 终端安全登录与文件保护系统DigitalTrust& V2.0包含三部分:安全登录模块、安全文件保护模块和文件保险箱模块。
&&& 终端安全登录与文件保护系统DigitalTrust& V2.0主要包括计算机终端登录控制、计算机终端文件安全保护、计算机终端文件保险箱等功能。
二、功能介绍
1、安全登录模块
&&& 安全登录模块是终端安全登录与文件保护系统DigitalTrust& V2.0的重要组成部分。主要实现操作系统的终端登录认证的功能,支持多种登录方式(USB KEY+PIN码、用户名+口令),支持断网锁屏、禁用安全模式等安全策略。
该模块主要分为4部分:终端登录认证GINA、断网锁屏守护线程、安全策略配置、身份认证服务,如下图所示:
2、安全文件保护
&&& 安全文件保护模块主要实现对单个文件的加解密的功能。能够防止我们的电子资料或文档在所有者未知的情况下被第三方拷贝复制而得到明文,实现涉密电子文件的加密,有效防止数据的非法复制和传播,保护所有者的利益。
支持口令加密、解密验证、临时解密、发送到保险箱、发送到移动存储设备等功能。
3、文件保险箱
&&& 文件保险箱是从硬盘中划分一个(多个)新的加密虚拟安全磁盘,这个磁盘拥有盘符,磁盘大小由用户设定;在NTFS格式下安全磁盘最大可支持64GB;FAT32格式下实现了最大容量为4G。系统对放入文件保险箱中的数据自动进行加密存储。用户只需简单的将要保护的资料放到文件保险箱内,资料便由驱动层自动加密。相反,用户如需要开启已经加密的资料只须启动并通过电子钥匙登录文件保险箱,资料便会透明的自动解密,既方便又安全。在此状态下不影响计算机的正常使用,文件保险箱只针对保险箱内容的保密性、安全性进行工作。
拔出USB KEY,文件保险箱盘符和保险箱的镜像文件在资源浏览器中不会显示出来,从而提高了安全性。
功能主要包括:管理员初始化、保险箱主界面、浏览保险箱、打开文件保险箱、关闭保险箱、恢复文件保险箱、创建文件保险箱、删除文件保险箱、注销保险箱、管理员配置等。
三、产品特点
1、完全自主知识产权
&&& 国瑞数码具备完全的自主知识产权,国瑞数码具有终端安全登录与文件保护系统DigitalTrust& V2.0计算机软件著作权登记证书。
2、技术主流性和先进性
&&& 终端安全登录与文件保护系统DigitalTrust& V2.0广泛采用业界标准和协议,并保持和国内外最新密码技术和硬件技术的同步。其中终端登录认证GINA、断网锁屏守护线程、身份认证、文件加解密等具有多项技术创新,终端安全登录与文件保护系统DigitalTrust& V2.0的管理理念和技术符合信息系统安全管理的发展方向,具有很强的技术先进性。
&&& 终端安全登录与文件保护系统DigitalTrust& V2.0各个模块的开发和设计都严格遵循相应的国际和国内标准。系统支持标准的协议和算法。
4、高强度的安全性
&&& 终端安全登录与文件保护系统DigitalTrust& V2.0为应用系统提供了高强度的安全保证。能有效地防止电脑遗失等引起的泄密;能有效地防止IE、聊天工具、电子邮件等网络工具的泄密;能有效地防止间谍软件、黑客、病毒等攻击的泄密;能有效地防止移动设备拷贝数据的泄密等。
5、电子钥匙的认证方式
&&& 安全的开启方式。USB KEY与电脑绑定后,成为打开密文的钥匙,需要插入具有相应权限的USB KEY才可以正常登录到操作系统进行操作。
6、强大的存储空间
&&& 拥有多达256GB的存储空间,存储文件、照片,音乐,电影等,可以建立许多您想要的数据保险箱(每个保险箱最大可支持64G,每个用户可创建4个保险箱)。
7、简单易用性
&&& 终端安全登录与文件保护系统DigitalTrust& V2.0符合用户的使用习惯,简单易用的管理界面,方便快捷的文件加解密,不会改变用户的操作习惯。
8、多平台适用性
&&& 本产品可用于多种不同的操作系统平台,如Windows2000、Windows2003、Windows XP。
四、运行环境
1)&硬件环境
&&& ● 至少100 MB的硬盘空间用于安装
&&& ● 屏幕分辨率至少为像素
&&& ● 至少512 MB的可用内存
&&& ● 至少Pentium4 2.0G CPU&
&&& ● 80G以上硬盘
2)&软件环境
&&& ● 产品可以在多种Windows操作系统平台上运行,包括:
&&& ● Microsoft Windows2000
&&& ● Microsoft Windows XP
&&& ● Microsoft Windows2003等。
五、产品资质
六、典型用户
&&& 终端安全登录与文件保护系统DigitalTrust&V2.0可以为以下类型的用户提供服务:
&&& ● 国防军工行业:国防科技工业局及下属办事机构、兵器/电科/船舶/航天/核工业集团等大型国防军工企业单位及其下属单位。
&&& ● 政府部门:税务、工商、公检法、烟草、水利、交通等;
&&& ● 通信行业:电信、移动等;
&&& ● 金融行业:银行、保险、证券、期货等;
&&& ● 企业单位:电力、石油、化工、交通、煤炭、粮食。 DigitalTrust& 应用安全平台DTSP一、产品简介
&&& 国瑞数码DigitalTrust应用安全平台DTSP(简称安全平台DTSP2000)是国瑞公司推出的资源访问控制应用安全平台,可以对信息系统进行统一账号(Account)管理、集中登录认证(Authentication)、集中访问控制(Authorization)和集中安全审计(Audit),为管理人员访问信息系统提供安全基础平台。
&二、产品特点
&&& 该产品具有如下特点:
&&& 1、用户和资源账号统一集中管理、灵活配置。通过集中账号管理,使得只有认证的用户才能登录被关联授权使用的资源系统账号;
&&& 2、用户身份认证方式多样,支持用户口令、数字证书、指纹认证等;
&&&&3、 用户单点登录可被授权使用多种资源系统,如业务系统、主机设备、网络设备等;
&&& 4、基于票据(或签名票据)的用户会话机制,系统更安全;
&&& 5、管理维护更加简单便捷;
三、运行环境
服务器操作系统
Windows2003、Debian Linux 2.6
管理终端操作系统
Windows XP/Win7
IE7以上的IE内核浏览器
Mysql5、OracleDB11g
目录服务器
Open LDAP2.4、OracleLDAP11g
四、产品资质
五、面向客户
&&& 随着信息化的发展,业务系统逐渐完善和丰富,设备以及网络规模不断扩大,系统管理越来越复杂,目前很多的信息化系统需要建设统一的安全基础支撑,可以为上层多种应用提供安全服务,这些服务包括用户/账号管理、身份认证、资源访问授权和用户操作日志审计。
&&& DT平台可以为以下类型的用户提供安全管理服务:
&&& ● 国防军工行业:国防科技工业局及下属办事机构、兵器/电科/船舶/航天/核工业集团等大型国防军工企业单位及其下属单位。
&&& ● 政府行业:税务、工商、公检法、烟草、水利、交通等;
&&& ● 通信行业:电信、移动等;
&&& ● 金融行业:银行、保险、证券、期货等;
&&& ● 企业单位:电力、石油、化工、交通、煤炭、粮食。 DigitalTrust& 应用安全网关DTGW2000G V3.0一、产品简介
&& 国瑞数码DigitalTrust& 应用安全网关DTGW2000G V3.0(简称DT安全网关3.0),是国瑞公司的的一款硬件网关产品,该产品严格按照国家保密局BMB17、BMB20、BMB22等相关标准进行设计,为各种类型业务资源系统提供一个统一的应用安全支撑平台。基于先进的4A管理理念,实现对资源账号的统一管理,对用户身份的统一认证,对资源操作的统一授权,对用户行为的统一审计,达到用户身份可识别,资源访问可控制,用户行为可审计。
&& 作为新一代的应用安全网关,相比前代产品,DT安全网关3.0在安全性和易用性方面具备更加优异的表现: &&
&&&& 1)部署方便&
&&&& 提供多种类型用户信息同步方式,快速集成第三方身份管理系统
&&&& 提供多种类型资源业务整合方式,快速接管几乎所有类型资源业务
&&&& 扩展支持多种身份认证方式组合,灵活满足多变复杂的用户认证要求
&&&& 配置定制相关产品平台功能模块,高效满足不同领域的访问控制要求
&&&& 2)控制面广&
&&&& 立体式用户身份鉴别,涉及终端登录、网络接入、网关拦截、资源访问、跨域认证
&&&& 多类型资源账号管理,包括BS资源、CS资源、主机服务器、网络设备、数据库等
&&&& 全方位单点登录体验,通过票据协议和代填技术支持几乎所有类型资源业务
&&&& 多来源审计分析处理,支持用户行为关联分析,审计特定场景下的用户操作行为&
&&&& 3)安全性高&
&&&& 依据国家信息安全等级保护的基本要求
&&&& 遵循涉密信息系统分级保护的管理规定和技术标准
&&&& 采用/兼容身份管理和访问控制相关的标准协议
&&&& 客户端到网关间、产品模块间采用安全通道进行数据通信
&&&& 证书认证支持国家密码管理局最新发布的SM2椭圆曲线公钥密码算法
&&&& 身份票据信息采用随机数加时效、且一次性使用
&&&& 4)维护简单&
&&&& 用户操作通过维持现况、简化步骤、在线帮助、自助服务,不影响用户平时操作习惯
&&&& 管理操作通过向导配置、分级授权、批量处理、自动同步,不加大管理员日常维护管理
&&&& 软件程序支持在线下载、自动升级、问题反馈,数据备份,不增加系统软件维护工作量
&&&& 系统部署支持串接部署、旁路部署,负载均衡、双机热备,不影响网络环境和用户使用
二、系统结构
&&& DT安全网关包括管理中心、用户平台、代理网关、数据中心、客户端代理五个子系统,如下所示。
三、管理范围
&&&& DT安全网关支持目前已知的几乎所有的业务资源类型,如主机服务器、网络设备、资源系统、数据库系统,具体信息列举如下:
&&&& 1)&主机服务器
&&&& 主机服务器包括SUN Solaris、IBM AIX、HP UX等主流UNIX平台服务器、Redhat Linux、RedFlag Linux、Suse Linux等主流Linux平台服务器、Windows xp,Windows 2000、Windows 2003、Windows 2008等主流Windows平台服务器。服务器上不需要安装任何代理程序,仅需做简单的配置工作。用户通过telnet/ssh/rdp登录这些主机服务器。
&&&& 2)&网络设备
&&&& 网络设备包括路由器、交换机等。网络设备上不需要安装任何代理程序,仅需做简单的配置工作。用户通过telnet/ssh登录这些网络设备。
&&&& 3)&资源系统
&&&& B/S资源系统一般通过零改造整合、插件整合、接口整合等多种方式被DT安全网关接管。用户通过http/https登录这些资源系统。
&&&& C/S资源系统一般通过零改造整合、配置整合、接口整合等多种方式被DT安全网关接管,需要安装客户端软件。用户通过C/S业务标准客户端登录这些资源系统。
&&&& 4)&数据库系统
&&&& 数据库系统,如Oracle、SQL Server、MySql等,一般通过零改造整合、配置整合等多种方式被DT安全网关接管。数据库系统上不需要安装任何代理程序,用户通过数据库标准客户端登录数据库系统。
&&&& 5)&其它业务资源系统
&&&& 可以通过零改造整合、配置整合、插件整合、接口整合等多种方式被DT安全网关接管。
四、产品特点
五、产品资质
七、典型客户
&&& 随着信息化的发展,业务系统逐渐完善和丰富,资源系统规模不断扩大,用户管理、身份鉴别及访问控制越来越复杂,亟需有效的技术手段解决分级保护和等级保护带来的用户管理、身份鉴别和访问控制等安全问题。
&&& DT安全网关可以为以下类型的用户提供服务:
&&& ● 国防军工行业:国防科技工业局及下属办事机构、兵器/电科/船舶/航天/核工业集团等大型国防军工企业单位及其下属单位;
&&& ● 政府部门:税务、工商、公检法、烟草、水利、交通等;
&&& ● 通信行业:电信、移动等;
&&& ● 金融行业:银行、保险、证券、期货等;
&&& ● 企业单位:电力、石油、化工、交通、煤炭、粮食。 瑞盾智能密码钥匙SJK1211一、产品概述
&&& 瑞盾智能密码钥匙产品(简称&瑞盾Key&)是天津市国瑞数码安全系统有限公司自行开发的安全产品。瑞盾Key属于小型智能密码设备,是一种USB接口的硬件设备。它内置智能卡芯片,存储用户数据、密钥、证书等,利用内置的密码算法实现数据加解密、签名与验证等安全算法功能。
二、产品构成
&&& 瑞盾Key产品组成分为硬件和软件两部分:
&&&&1、硬件为智能密码钥匙固件。
&&& 2、软件由智能卡操作系统COS、驱动、接口库两部分组成。
&&&&&&& 1)COS支持CCID(Integrated Circuit(s) Cards Interface Device)协议,使用时无需安装驱动程序。
&&&&&&& 2)接口库提供ISO智能卡通用APDU命令集(ISO7816标准)和Microsoft的CSP实现。
三、产品功能
&&& 1、支持RSA、SM2非对称密码算法。
&&& 2、支持SSF33、SM1对称密码算法。
&&& 3、支持SHA1、SM3数字摘要算法。
&&& 4、支持真随机数发生器。
&&& 5、支持4层文件结构。
&&& 6、支持64位全球唯一序列号。
&&& 7、支持CCID协议(免驱动)。
&&& 8、支持标准指令符合ISO)标准和MS CSP标准。
&&& 9、支持PKI/CA应用(数字证书)。
四、产品资质
& SJY124县乡安全公文传输系统一、产品概述
&&& SJY124县乡安全公文传输系统基于公共网络,采用商用密码实现安全公文生成、传输和管理等基本功能,其基本安全需求是:保证公文在办理、传输过程中的完整性和机密性,以及公文收发双方的真实性和不可抵赖性。安全公文传输系统是一套软硬件产品,它主要包括:密钥管理中心系统、Web安全公文传输系统和短信通知系统等多个子系统。这些系统的设计、开发和建设,严格执行了国家密码管理局颁布的《县乡安全公文系统的技术要求》。
二、系统架构
&&& SJY124县乡安全公文传输系统体系分为:最底层为基础服务层,位于操作系统之上,主要采用密码技术(包括密码设备)、网络技术、通信技术等;中间层为安全服务层,主要提供API服务、CA服务、证书和密钥管理服务以及密钥管理系统等;最高层为安全应用API,包括证书验证、证书解码、数字信封、基于证书的数字签名和身份认证等API服务,为上层的安全公文传输等系统应用提供接口。整个系统的架构如下图所示:
三、系统组成
&&& SJY124县乡安全公文传输系统由密钥管理系统、Web安全公文传输系统、GSM短信服务系统、加密系统升级系统等构成。总体网络部署图如下:
&图: 网络部署图
&&& 1)&Web安全公文传输子系统
&&& Web安全公文传输子系统的基本功能包括:实现公文的加密传输和完整性验证,用户身份鉴别,用户单位列表管理,收发文管理和回执管理等。如下图所示:
&● 支持传输状态的查询和统计。用户自己发的文可以查看收文者是否阅读、什么时间阅读的、有多少人已经阅读、有多少人没有阅读等信息。
&● 支持用户单位列表管理。
&● 支持点对点和群发公文。
&● 多级发文权限管理。针对不同的用户身份管理员用户、普发文用户、普通用户、隐藏用户。管理员、普发文用户和隐藏用户能给所有用户发文,普通用户一次只能给一个用户发并无法给隐藏用户发文。
&&& 2)&短信服务子系统
&&& 短信发送权限管理、日志服务。如下图所示:
&● 收文用户短信提醒;
&● 未读文用户短信重复提醒;
&● 一条短信内容多个用户接收;
&● 短信内容预设置;
&● 信息快速准确安全;
&&& 3)&加密系统升级子系统
&&& 通过ftp服务器,对加密系统进行系统的更新服务。如下图所示:
&&& 4)&密钥管理子系统
&&& 密钥管理子系统的基本功能包括:加密密钥对管理、签名密钥对管理、设备主密钥和报文密钥的管理。
四、技术特点
&&& 1)&公文处理子系统
&● 支持公文的本地加密存储。
&&&& & 使用签名密钥对的私钥对公文进行签名;
&&&& & 使用签名密钥对的公钥对公文进行完整性验证;
&&&& & 使用报文密钥对公文进行加密保护;
&&&& & 采用数字信封方式,使用加密密钥对的公钥对报文密钥进行加密。
&● 具有有效授权机制,保证未经授权公文不能解密后明存。
&● 登录系统必须经过身份验证,只能进入经授权的界面进行权限内的操作。
&● 支持日志记录和审计,实现操作行为的查询和验证。
&● 管理员和审计员的权限相互独立。
&&& 2)&公文传输子系统
&● 支持公文的加密传输。
&&&& & 使用签名密钥对的私钥对公文进行签名;
&&&& & 使用签名私钥对的公钥对公文进行完整性验证;
&&&& & 使用报文密钥对公文进行加密保护;
&&&& & 采用数字信封方式,使用加密密钥对的公钥对报文密钥进行加密。
&● 支持传输状态的查询和统计。
&● 支持断点续传和故障报警。
&● 支持用户单位列表管理。
&● 支持公文群发。
&&& 3)&密钥管理子系统
&● 支持面向公众服务的数字证书应用。
&● 报文密钥符合随机性要求。
&● 用于存储加密报文密钥与用于传输加密的报文密钥相互独立。
&● 签名密钥对和加密密钥对相互独立,并保证私钥的安全性。
&● 支持签名密钥对和加密密钥对的定期更换。
&● 支持对历史数据的恢复。
五、运行环境
&● 服务器操作系统:Windows Server 2003、Windows Server 2000
&● 客户端系统:Windows XP、Windows 2000
&● 数据库:SQL Server 2000、MySQL 5.1、Access2003
&● 客户端软件:Office 2003以上
六、产品资质
七、典型客户
&&& ● 县级及县级以下政府部门 SYT1102密钥管理系统 V2.0
1.&产品简介
&& SYT1102密钥管理系统主要是对用户加密密钥进行生成、存储、分发等管理,实现用户密钥从产生到最终销毁整个生命周期中的有效管理。密钥管理系统可以同时为多个电子认证服务机构提供安全、有效、规范、统一的服务,实现用户密钥的生成、存储、分发、更新、撤销、备份、恢复、销毁和归档等功能。
&&& 密钥管理系统体系为三级架构:由运行环境、密钥管理系统、密钥应用系统三部分组成。总体结构如下图所示:
&&&&& 图:密钥管理系统体系架构图
2.&功能介绍
&&& 密钥管理系统按模块功能或划分为密钥生成系统、密钥恢复系统、密钥服务系统、安全认证系统和安全审计系统。
&&& 1)&密钥生成系统
&&& 密钥生成系统作为整个密钥管理系统的基础,主要提供备用密钥对的生成服务,并加密存储到密钥备用库中。功能主要包括:加密机配置、密钥算法配置、密钥池配置、密钥生成策略、密钥库存状态监控和密钥产生。密钥生成策略可手动生成密钥,也可自动生成密钥。
&&& 2)&密钥恢复系统
密钥恢复系统主要实现了加密机等系统配置功能,提供对在用库或历史库中的密钥查询和本地恢复。
&&& 3)&密钥服务系统
&&& 密钥服务系统作为密钥管理系统的核心,提供密钥查询、统计、销毁、密钥数据备份恢复等服务。用户通过接口服务配置模块,可配置接口服务使用的证书和端口,并对接口服务的起动和停止进行管理。功能主要包括:加密机配置、自动归档策略配置、证书配置、端口配置、密钥查询、密钥统计、密钥销毁、密钥信息归档、密钥信息恢复、归档文件管理。
&&& 4)&安全认证系统
&&& 安全认证系统主要负责密码密钥管理系统各个子系统的安全认证登录管理工作,还承担整个管理中心的用户和签发服务器的管理,并提供密码SYT1102密钥管理系统证书下载服务,在整个密码密钥管理系统中占有非常重要的地位。系统由系统配置模块、用户管理模块、签发服务器管理模块、系统证书下载模块组成。
&&& 5)&安全审计系统
&&& 审计服务系统作为密钥管理系统的一个组成部分,为整个系统提供日志记录和查询统计服务。各子系统(包括密钥生成系统、密钥恢复系统、密钥管理服务系统、安全认证系统等)中的所有操作都将记录到审计库,并且能够对审计日志数据进行查询、分析、统计和制作数据图表。
3.&系统性能与容量
&支持的CA认证机构:不小于10个;
&产生RSA 密钥对的时间:1024位6对/秒;2048位1对/秒
&产生ECC 密钥对的时间:500对/秒
&最大并发访问量:不小于30个/秒;
&密钥存储期:不小于10年;
&密钥库容量总计:1.6T。
4.&产品特点和优势
&&& 1)&高安全可靠性
&&& SYT1102密钥管理系统作为十分重要的安全基础设施,其自身的安全性非常重要。系统能够防止来自系统内部和来自系统外部的各种可能的威胁,能充分保证系统的正常运行,防止信息被窃取、假冒或篡改;数据库中的敏感信息,例如存储加密密钥等,都进行了安全防护;并且建立了完善的数据备份与恢复机制,充分保证整个系统高可用性和高可靠性。
&&& 2)&支持ECC算法
&&& 系统支持国家主管部门批准的ECC算法,ECC算法和其他几种公钥系统相比,其抗攻击性具有绝对的优势。ECC高安全性能包括:计算量小,处理速度快;存储空间占用小;带宽要求低。
&&& 3)&与CA安全通信
&&& 系统采用安全通道与CA进行通信,保证信息的机密性、真实性和完整性。
&&& 4)&密钥加密存储
&&& 系统对用户加密私钥经加密机加密后,以密文方式保存。
&&& 5)&系统统一认证
&&& 系统对各子系统访问用户采用统一认证方式,即:所有子系统的用户认证请求统一提交到安全认证子系统进行认证,认证后将结果返回相应子系统,各子系统根据安全认证系统的认证结果,接受或拒绝用户访问申请。
&&& 6)&符合国家有关法律法规
&&& SYT1102密钥管理系统的设计和开发、选用的算法和设备都符合国家的相关法律、法规。
&&& 7)&可扩展性
&&& 系统具有良好的扩展性,体系结构上具有可伸缩性,以适应扩大业务范围和增加多种应用的需要,特别是系统硬件和软件应采用模块化的可扩展结构。关键的密钥服务器可以通过集群方式以提升和扩展系统的性能和处理能力。
&&& 8)&标准化
&&& 系统的各个部分遵循相应的国际和国内标准。系统支持标准的密码算法、消息格式和协议。
&&& 9)&易操作性
&&& 系统屏蔽所有复杂的密码运算和密码协议具体细节,用户能简单地通过应用程序提供的界面实现系统操作,界面友好,操作方便。
&&& 10)&可维护性
&&& 系统具备良好的可维护性。系统的软、硬件系统都采用良好的模块化结构,保证系统设计的合理性,并配置相关的管理手段。
5.&面向客户
&省、市各级国家密码管理局:建立省、市密钥管理系统,为省、市电子认证服务机构提供密钥管理服务。
&大中型企业:建立企业级密钥管理系统,为企业级的数字证书系统提供密钥管理服务。
&其他需要商用密码的组织、法人、社会团体、个人等。
6.&资质证书
SZT1105数字证书认证系统V4.0一、产品简介
&&& )是国瑞公司自行独立开发的商用密码产品。其主要功能是实现了SM2和RSA算法数字证书的申请、审核、签发、发布、制证、更新、废除等数字证书全生命周期的管理。并通过向应用系统的各类网络设备、服务器、终端和用户等提供数字证书,以实现用户身份认证以及数据的完整性、机密性和不可抵赖性等安全功能。
二、体系架构
和CA服务,以及证书、CRL和密钥管理服务;最高层为安全应用API,包括证书验证、证书解码、数字信封、基于证书的数字签名和身份认证等API,为上层的各种电子商务、电子政务应用提供标准的接口。整个架构如下图所示:&
三、技术标准
&&& NCS-CA V4.0的设计与开发采用国际国内标准和规范,主要包括:
&&O《证书认证系统密码及其相关安全技术规范》(国家密码管理局,2005)
&&O《数字证书认证系统密码协议规范》(国家密码管理局,2007)
&&O《数字证书认证系统检测规范》(国家密码管理局,2007)
&&O《证书认证密钥管理系统检测规范》(国家密码管理局,2007)
&&O《信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架》(GB/T 5)
&&O《信息安全技术& 公钥基础设施& 数字证书格式》(GB/T )
 &O&网络传输控制协议与网际协议(TCP/IP)
&&O&ITU X.509标准
&&OPKCS系列标准
&&OPKIX系统标准
 &O&LDAP V3协议
&&O&OCSP协议
 &O&SSL协议
四、系统组成
NCS-CA V4.0划分为三个功能区:
核心操作区:包括证书签发系统、安全审计系统、数据库系统、证书主发布系统等。&
&服务管理区:包括证书注册系统、证书从发布系统、OCSP系统等。&
&远程注册区:包括远程注册系统。
远程注册区属于可选组件,当需要为用户提供远程在线申请、审核和制证服务时,可建设远程注册区。比如,在用户数量较大且区域划分明确的情况下,可通过建立多个远程注册区以提高系统的响应效率。
NCS-CA V4.0设置专用的CA证书签发系统,完成签发数字证书的功能和提供为用户签发双证书(签名证书和加密证书)的功能。
NCS-CA V4.0完全基于B/S架构,服务端软件可以运行在UNIX、Linux、Windows等多种操作系统之上,并可以通过浏览器进行管理和维护,便于用户操作使用。同时系统采用模块化设计,支持多种硬件加密设备,支持多种数据库平台。
NCS-CA V4.0签发的证书完全遵循X.509标准,证书介质支持智能IC卡、智能密码钥匙等多种存储设备。
NCS-CA V4.0既可用于为互联网用户提供证书服务,又可用于政府部门、企事业单位来建立自身的PKI/CA平台系统,为电子商务、电子政务的发展提供强有力的安全保障。NCS-CA V4.0采用标准化、模块化设计,可根据用户需求灵活裁剪,实现与标准数字证书管理系统模块(如密钥管理中心)的无缝对接,完全适用于为公众及不同行业部门和企事业单位构建不同规模的PKI/CA认证系统。
五、应用接口
&&& 接口,能很方便地进行二次开发。
六、系统特点
6.1可扩展性
NCS-CA V4.0具有很高的可扩展性,主要表现在以下几个方面:
&O体系结构的扩充
NCS-CA V4.0体系结构具有可扩展性,可以很方便地构建新的CA中心、RA中心和二级RA中心等。
&O软、硬件系统的扩充
NCS-CA V4.0的软、硬件系统具有模块化结构,能够灵活配置设备,方便地进行在线扩容和升级,同时应用软件也具有模块化扩展能力,能适应扩大业务范围、增加多种应用的需要。
&O容量的扩充
NCS-CA V4.0的证书容量能够随着业务的增长灵活扩容。
&O适用于多种应用需求
NCS-CA V4.0所签发证书能够满足不同的业务需要。
&O交叉认证
NCS-CA V4.0能方便地与第三方CA进行交叉认证。
&O加密算法
NCS-CA V4.0的加密算法应符合相关法律和法规要求,并能对加密算法的种类和强度进行扩充和替换。
NCS-CA V4.0的设计与实现充分考虑了安全措施,按安全级别划分了不同的功能操作区,最大限度地保证了CA系统中核心模块的安全。密钥的产生与存储采用硬件密码设备来完成,保证了密钥的安全。系统内部服务器之间的通信都采用安全通道保证安全传输。系统管理员的身份是通过存储在USB Token的管理员证书来验证的。
NCS-CA V4.0的兼容性表现在互操作能力方面,NCS-CA V4.0遵循相关的国际国内标准,支持多种数据库平台、硬件密码设备和存储介质,支持多种证书类型及证书应用协议,支持交叉认证。
NCS-CA V4.0管理维护界面易操作。CA管理维护终端和RA管理维护终端提供图形化的操作界面;所有的管理维护均采用B/S模式实现。
NCS-CA V4.0具备良好的可维护性。系统的软、硬件系统都采用良好的模块化结构设计与实现。
NCS-CA V4.0具备很强的灵活性。可以根据用户需求对系统进行灵活裁剪,为用户量身定制一套满足需求的CA系统。可以设立多级CA和RA中心;可以选择配置OCSP服务;可以选择配置LDAP服务器等。
NCS-CA V4.0签发的证书除了支持通常安全电子邮件、SSL连接等外,还支持Windows2000智能卡域登录,代替明文账号和口令的弱认证机制的缺点,实现基于数字证书的Windows域用户的强认证机制。
NCS-CA V4.0支持虚拟CA,即使用一套硬件设备和安装一套CA系统软件,可以构建不同的证书签发机构。
NCS-CA V4.0支持证书模板,可以对批量的证书申请按照某一证书模板进行批量签发。
NCS-CA V4.0支持证书标准扩展,还支持自定义扩展,操作员只需进行简单的配置就可在证书中实现自定义扩展的编码。
&O证书管理功能完备,流程简单、安全、实用
&O完全基于B/S架构,系统建立、使用和后期维护简单
&O双中心、双证书体系结构
&O支持多种证书介质(磁盘、IC卡、USB Token)
&O支持OCSP
&O支持多种证书编码格式
&O支持多种证书发布方式(数据库、LDAP、WWW、FTP)
&O支持中文证书
七、运行环境
&O服务器操作系统:Windows2003、Windows2000、Linux
&O管理终端操作系统:Windows 98/2000/XP/7
&O数据库:Microsoft SQL Server 2000、Oracle9、Mysql5
&O目录服务:Open LDAP、iPlanet LDAP、ITEC-iDS
八、资质证书
九、典型客户
&●
&● &●&
&● &● 。 IDC/ISP信息安全管理系统 V1.0一、产品概述
&&&&国瑞公司研发的IDC/ISP信息安全管理系统,通过采用分布式数据采集、智能包重组和流重组、自适应深度协议分析、实时网络协议封堵、实时网络流量管控、海量数据存储、深度数据挖掘等多种先进的技术手段,实现了对IDC机房内网络流量、IP地址、域名、信息内容、应用等各类资源信息的采集、监测、分析、预警和管控,并实现了对IDC机房内网站、论坛、博客等各种应用、网络安全事件、用户行为等的审计分析,满足电信管理部门和IDC/ISP经营者的信息安全管理需求,为依法加强互联网管理,保障网络和信息安全,营造绿色、健康、有序的互联网环境,净化网络不良内容,提升网络服务品质,促进互联网文化繁荣发展和维护社会稳定提供了有效的技术手段和管理支撑。
二、产品功能
&&&&系统主要实现十大功能:基础数据上报、基础数据监测、访问日志管理、违规网站管理、信息监测发现、综合管控管理、管局指令管理、统计查询管理、用户权限管理、系统管理。
&&& 整个系统的功能架构,如下所示:
&&&&&&&&&&
三、产品特点
&&& 本产品技术先进,架构合理,功能强大,使用顺畅,成熟、稳定、安全、快速、易用、美观,是一个国内领先的优秀的信息安全管理系统。
1、符合标准,技术成熟
国瑞数码的互联网管理类产品已经在工信部、天津管局、山东管局、天津联通、天津电信、天津移动、山东联通、山东电信、山东移动、长城宽带、世纪互联等多个客户拥有几十个成功案例,随着这些案例中产品的磨合,相关产品已经十分成熟完善,能够满足大部分用户的需求。
本产品是按照工业和信息化部《互联网数据中心和互联网接入服务信息安全管理系统接口规范》、《互联网数据中心和互联网接入服务信息安全管理技术要求》设计与实现。
2、技术先进,扩展性好
信息技术的发展十分迅速,在综合考虑性价比的前提下,及时了解新技术,使用主流的先进技术、设备和算法,使安全管理系统更先进、更完善。
本产品基于国瑞数码多年在互联网管理方面的产品和项目经验进行设计,本产品采用J2EE开发架构设计、流量采集和管控设备基于Linux内核实现,整个系统采用平台化、模块化设计思路,模块之间和本系统与外部系统之间通过标准接口交互,产品总体技术先进,扩展性强。
3、串并兼顾、适应性强
支持并接和串接两种部署方式:并接模式接入,不改变用户的网络拓扑结构,不需要对现有的网络主机进行修改或配置,对用户的网络性能没有任何影响;串接模式管控效果更好。企业可以基于自己的需求,进行快速部署。
独立部署,方便灵活。
提供基于Rich Client技术的WEB 管理界面。兼具B/S模式的便捷与C/S模式的高效、易用
4、丰富的协议支持和自适应深度协议分析
支持网页访问、电子邮件、即时通讯、网络游戏、网络音视频、P2P下载、远程控制等超过100种常见网络协议。
从链路层到应用层对协议进行深度分析。
支持论坛、email、聊天室等的用户行为自动识别和数据分析。
根据内容自动识别各个连接的应用协议类型,保障审计的准确性。
5、全面、实时的可用数据
采用特征码协议识别技术,实现应用协议的精准识别,避免协议误判、漏判。
采用爬虫、组包相结合方式,支持主流协议内容的检测分析,针对需要用户名+口令登录的网站内容也可以实现内容检测和阻断。
具有强大的IP碎片重组(IP Fragments Reassembly)能力和TCP流重组(TCP Stream Reassembly)能力,任何基于协议碎片的逃避检测手段对本产品无效。
分布式部署数据采集引擎,优化的数据采集技术,直接从内核中采集数据包。延迟小、效率高、实时性强。
对人工填报信息,采用多种数据核验技术,保证数据准确、可用。
6、实时的网络封堵
可以对未备案网站、黑名单网站、违规网站进行快速、有效的隔离,达到事实上的&查封&效果,隔离不需要物理操作,并可以设置隔离的策略。
未备案网站一经发现能够自动进行隔离,未备案网站一经备案自动转为已备案并自动放行。
采用快速查找算法,从接收报文到发出封堵报文时延小于10us。
并接部署隔离率不低于97%,串接部署隔离率达100%。
发送构造的封堵报文,支持IP/域名/URL/端口等不同类型,封堵黑名单数量支持千万级。
7、海量数据存储和备份
系统内置海量数据存储空间,支持百兆、千兆网络环境下,高速、大流量数据的采集、存储。
灵活的远程备份功能,可以在不丢弃数据的同时保证系统持续稳定运行。
8、强大的数据深层挖掘
采用以相关度为核心,引入向量模型、查询串重构等技术的匹配算法,大大提高了全文检索的速度。对用户选定时间范围内的发件内容,根据预先设定的关键词库,自动快速的进行全文检索,匹配成功的内容将以醒目方式显示。
完善的自定义分析统计功能,可以实时统计任意一种网络行为属性,随时把握网络利用状况。
9、高度安全性和可靠性
网络传输中的数据,采用数据加密、消息认证等技术进行处理,避免数据在传输过程中被非法截取。网络通信的双方应利用双向认证技术,确保通信双方的正确身份和不可抵赖性。
系统关键的数据进行备份,便于进行数据恢复。
系统管理平台提供基于SSL加密的WEB管理方式。
分权、分级、分角色的用户管理。
提供完善的系统日志审计功能。
对于管理者IP白名单以外的地址自动隐藏系统 IP。
四、运行环境
操作系统软件
服务器操作系统
数据库软件
数据库管理服务
WEB服务器软件
Apache tomcat 6.0
五、应用领域
互联网基础运营商
互联网接入服务提供单位
互联网数据中心
IDC/ISP企业接入资源管理系统 V1.0一、产品概述
&&& IDC/ISP企业接入资源管理系统旨在记录接入资源的分配、使用、出租、转让等信息,对接入资源异常使用实行日常发现、分析和处置,使接入资源的空闲、预占、分配、变更、释放有据可查,解决接入资源管理的分配难、查询难、定位难、变更难等问题,大幅度提高了IDC/ISP企业接入资源管理效率和资源利用率,满足电信管理部门和IDC/ISP企业接入资源管理需求。
二、产品功能
&&& 本产品包括十大功能模块:物理资源管理、逻辑资源管理、客户信息管理、资源间的关联、资源定位管理、资源信息统计、异常及告警、日志管理、授权审计管理和系统管理。
&&& 系统的整体结构如下所示:
三、产品特点
&&& 本产品技术先进,架构合理,功能强大,使用顺畅,成熟、稳定、安全、快速、易用、美观。
1、符合标准:依据IDC/ISP接入资源管理平台技术要求和接口规范进行设计开发,并实时跟踪标准变化情况,进行相应调整。
2、简单易用:系统界面采用B/S方式管理,界面美观大方,并充分考虑用户使用习惯,采用人性化设计,简单易用。
3、准确率高:接入资源数据由下到上报备,逐级校验、审核,支持与IDC/ISP信息安全系统的资源发现数据比对校验,能够及时发现漏报、误报信息,确保数据完整、准确。
4、分级管理:提供对运营商公司(或大型具有分支机构的ISP)内部用户的分级管理,地市、营业厅的用户可以通过本系统逐级上报接入资源信息,由省公司(或ISP总部)汇总后提交部电信业务市场综合管理系统,保证接入资源信息的真实准确,同时,分解了资源管理工作任务,减轻工作压力。
5、灵活裁剪:系统采用模块化设计,支持IDC/ISP企业单级管理模式同时支持企业多级管理模式,支持小型报备单位的应用需要同时满足大型报备单位的应用需要。
6、与企业备案和信息安全管理系统的无缝集成:作为备案和信息安全管理相关标准的参加单位和系统研发单位,本系统支持与企业侧备案管理系统和信息安全管理系统的无缝集成。
四、运行环境
型号、配置
CPU:Xeon2.4G Hz
内存:2G或4G
应用服务器
Linux、Windows
Apache Tomcat 6.0
数据库应用
五、应用领域
基础运营商
因特网接入服务提供商(ISP)
因特网数据中心(IDC)
六、产品资质
接入服务提供者ICP/IP地址信息备案管理系统 V2.1一、产品概述
&&& 接入服务提供者ICP/IP地址信息备案管理系统提供如下功能:
&&& 为ICP报备单位提供ICP备案的录入、核实、审批、变更、注销、黑名单、未备案网站、接入数据核查、查询、统计等管理功能;
&&& 为IP报备单位提供IP地址来源、IP地址分配及使用信息、IP地址广播信息、自带IP地址信息、IP地址信息等的录入、修改、删除、分配、内部审核、查询、统计等管理功能;
&&& 为接入商提供接入的用户,即网站主办者,提供ICP备案的自行录入、注销、进度查询、个人信息维护等管理功能;
&&& 为网站接入服务提供者提供接入未备案网站的发现功能。
二、产品功能
&&& 本产品包括五大功能模块:ICP备案管理、IP备案管理、网站主办者自行备案管理、用户授权管理、未备案网站发现。
&&& 整个系统的结构树如下所示:
三、产品特点
&&& 本产品技术先进,架构合理,功能强大,使用顺畅,成熟、稳定、安全、快速、易用、美观,是一个国内领先的优秀的备案管理系统。
1、与省级系统无缝集成:作为省部级备案系统的开发商开发的企业侧备案系统,完全遵循标准接口规范,实现与省级系统无缝集成。
2、功能全面:支持ICP报备和IP报备。支持代为报备和自行报备。
3、未备案网站发现:在目标主机安装代理软件,可以发现接入的所有网站,并准确的分析出未备案网站以及未在本接入商备案的网站,发现率100%。
4、黑名单管理:形成黑名单网站再次备案和再次接入的事前有效预防和事后迅速查处机制。
5、简单易用:系统界面采用B/S方式管理,界面美观大方,并充分考虑用户使用习惯,采用人性化设计,简单易用。
6、分级管理:提供对运营商公司(或大型具有分支机构的ISP)内部用户的分级管理,地市、营业厅的用户可以通过本系统逐级上报备案信息,由省公司(或ISP总部)汇总后提交省通信管理局系统,保证备案信息的真实准确,同时,分解了备案工作任务,减轻工作压力。
7、准确率高:新增备案数据由下到上报备,逐级校验,存量备案数据核查校验,确保数据准确可靠。
8、灵活裁剪:系统采用模块化设计,支持ICP报备单位进行备案管理同时支持IP报备单位进行备案管理,支持企业单级管理模式同时支持企业多级管理模式,支持小型报备单位的应用需要同时满足大型报备单位的应用需要。
四、运行环境
型号、配置
Xeon2.4G Hz,2G或4G RAM,73G HD
安装操作系统、数据库、Web应用服务器、ICP/IP地址信息备案管理系统
操作系统软件
Debian Linux &2.6.18
数据库软件
数据库服务
WEB应用软件
Apache Tomcat6.0
五、应用领域
互联网基础运营商
具有IDC机房的互联网接入服务提供单位
没有IDC机房的互联网接入服务提供单位
六、产品资质
DigitalTrust资源访问控制安全网关_备案信息监管系统 V1.0一、产品概述
&&& DigitalTrust资源访问控制安全网关&&备案信息监管系统的主要任务是发现IDC机房内的未备案网站,并向管理员提出告警,确保管理员对未备案网站的&看得见&。可以根据管理员配置的策略,确定是否需要对未备案网站进行即时隔离或延时隔离,实现对违规网站的&关得了&。系统同时还提供网站内容栏目分析、网站访问量分析等功能。
&&& 本系统旨在为基础运营商、互联网服务接入提供商(ISP)各级部门提供方便、快捷的管理支撑;为配合政府监管部门快速处置互联网上的违法违规行为提供有效的技术保障;为实现齐抓共管,促进国民经济可持续发展、保障社会维稳、维护国家网络安全和信息安全提供基础数据和技术手段。
二、产品特点
&&& 本产品技术先进,架构合理,功能强大,使用顺畅,成熟、稳定、安全、快速、易用、美观,是一个国内领先的优秀的备案信息监管系统。
&&& ● 不影响现有网络:本系统旁路部署,不影响现有的网络结构,不需要对现有的网络主机进行修改或配置。
&&& ● 发现率100%:可以发现机房内的所有网站,并准确的分析出未备案网站,以及未在本接入商备案的网站。
&&& ● 违规隔离99%:接入商可以对未备案网站、黑名单网站、违规网站进行快速、有效的隔离,达到事实上的&查封&效果,隔离不需要物理操作,并可以设置隔离的策略。
&&& ● 网站监测和定位:监测接入网站的活动状态,监测接入网站的域名、备案状态、接入地、基础运营商和直接接入商,能做到自动发现、自动比对、自动隔离未备案网站域名,未备案网站一经备案自动转为已备案并自动更新网站的备案状态。
&&& ● 自动隔离/放行:未备案网站一经发现能够自动进行隔离,未备案网站一经备案自动转为已备案并自动放行。
&&& ● 栏目分析:提供对网站的经营栏目进行分析的功能,并可以保留中标网站的网页镜像。
&&&&● 分级管理:系统可以部署为分级的管理架构,如:集团公司为最高级,省级公司为第二级,并可以设置第三级、第四级等。
&&& ● 黑名单管理:形成黑名单网站再次备案和再次接入的事前有效预防和事后迅速查处机制。
&&& ● 与备案系统无缝集成:作为省部级、企业侧备案系统的开发商开发的备案信息监管系统,完全遵循标准接口规范,实现与备案系统无缝集成。
三、功能介绍
&&& 1、总体功能架构
&&& 本产品包括六大功能模块:未备案网站发现、违规网站隔离、栏目分析、统计分析、用户授权管理、系统管理。
整个系统的结构树如下所示:
&&& 2、未备案网站发现模块
&&& 未备案网站发现的主要功能模块如下图所示:
&&& 3、违规网站隔离模块
&&& 违法违规网站隔离的主要功能模块如下图所示:
&&& 4、栏目分析模块
&&& 栏目分析的主要功能模块如下图所示:
&&& 5、统计分析模块
&&& 6、用户授权管理模块
&&& 7、系统管理模块
四、产品构成
&&& 本产品由未备案网站发现和隔离管理系统(简称:NM)、发现隔离系统(简称:黑盒)两部分构成。其中发现隔离系统以硬件形态出现,部署在客户汇聚交换机的镜像端口,通过流量分析来实现发现和隔离。发现隔离系统依据能够处理的流量大小不同,区分为1G、5G、10G三种型号。未备案网站发现和隔离管理系统可以以硬件形态出现,也可以以软件形态出现,具体如下:
&&& 1、发现隔离系统(黑盒)
&&& 2、未备案网站发现和隔离管理系统(NM)
&&&& 1)软件形态
&&& 未备案网站发现和隔离管理系统安装在客户提供的一台PC服务器上,产品包装如下:
&&& 软件运行环境如下:
&&& 2)硬件形态
&&& 未备案网站发现和隔离管理系统安装到硬件工控机设备中,直接接入客户网络并进行配置即可使用。
五、应用领域
&&& ● 互联网基础运营商
&&& ● 具有IDC机房的互联网接入服务提供商
