吉大正元简介-新-PPT课件.pptx

吉吉大正大正元元信息技信息技术股份有限公司股份有限公司简介1公司介公司介绍F 1999年2月成立F 注册资本：13530万元F主营业务：信息安全产品的研发、生产、销售，提供安全咨询、安全集成和行业应用开发等服务F国内最大的公钥基础设施（PKI）产品供应商F在PKI电子证书认证系统领域处于绝对领先地位F拥有88项自主知识产权，67项资质证书F国家密码管理局认定的首批商用密码产品生产定点单位和销售许可单位2公司公司资质F国家计算机信息系统集成一级资质证书F涉及国家秘密信息系统集成单位资质证书（甲级）F涉及国家秘密信息系统集成单位资质证书（软件单项）F信息安全服务一级资质3公司公司资质F商用密码产品生产定点单位证书F解放军信息安全测评中心军用信息产品认证证书F公安部信息安全产品销售许可证F国家信息安全测评中心安全产品认证F国家重点软件企业4公司荣誉公司荣誉国家信息安全标准技术委员会 WG3：密码算法和密码模块工作组 WG4：PKI/PMI标准组5我我们的的优势产业地位：l认证、授权领域龙头企业资质最全：l系统集成一级、涉密甲级、软件单项、应急响应一级产品线齐全：l基础设施、安全支撑、安全应用市场占有率最高：l持续四年IDC评测身份管理与访问控制市场第一服务最佳：l服务体系、服务团队、服务经验6成功客成功客户电子政子政务全国人大、全国政协国家公安部金盾工程国家财政部金财工程国家水利部金水工程国家质监总局金质工程国家建设部国家铁道部国家交通部中央组织部中联部电子政务示范工程国家工业与信息化部国家地震局、林业局、粮食局中央电视台、新华社、人民日报社22家独立的地方数字证书认证中心，占据了国内70%以上的市场 7成功客成功客户电子商子商务金融金融证券券业央行国库管理系统银联金融认证中心CFCA中国银行、招商银行、建设银行、银联等八家商业银行上交所、深交所、人保财险、太平洋保险电信信业黑龙江网通中国移动、浙江移动、北京移动、重庆移动、贵州移动中国联通（集团以及其他7个省份的试点）、浙江联通营业厅管理8成功客成功客户电子子军务军队级国家军盾1号作战指挥系统总装、总参、海军机要局军工工级中国船舶工业集团公司中国兵器装备集团公司航天科工集团公司核工业集团公司核动力研究设计院航空规划设计研究院中国兵器工业207研究所9成功客成功客户能源行能源行业国家电网集团公司总部南方电网集团公司总部中国国电集团 中国华电集团公司中海石油气电集团中国神华集团有限责任公司华能集团南方电网超高压输电公司广西、贵州、海南、云南、辽宁、吉林、黑龙江、重庆、山西等省（市）电力公司国电泰州发电公司 神华财务有限公司10 服服务网网络11产品分品分类安全基安全基础类产品品 SRQ05数字证书认证系统、权限管理系统应用安全支撑用安全支撑类产品品 身份认证网关、统一用户管理系统、智能密码钥匙安全安全应用用类产品品 数字签名服务器、电子印章系统、磐石终端安全系统12产品分品分类13产品品定位定位 基于 PKI/PMI 技术 解决认证、授权、管理、内容 保护等应用安全问题。14身份身份认证三要素三要素你有什么？你有什么？认物不认人USB KEY、动态令牌、身份证、听课证、护照、彩票你知道什么？你知道什么？认信息不认人口令、用户名、暗号、密钥你有什么固有特征？你有什么固有特征？只认人长相、声音、指纹、虹膜 单因子/双因子认证15认证技技术对比比对比项PKI/CA动态口令指纹识别身份认证 防抵赖 X 数据完整性 XX信息加密 XX16PKI方案框架方案框架根据实际业务应用安全需求，依据相关政策和标准进行PKI/CA证书认证体系建设，方案总体框架如下：17安全支撑体系安全支撑体系扩展展设计 安全支撑体系框架如下：安全支撑体系框架如下：1、终端端双因素双因素认证（USBKEY+PIN）；）；2、数字数字签名名/签章章服服务，实现数据完整性和抗抵数据完整性和抗抵赖。18产品功能品功能【CA】：为用户自建CA，实现发证和证书管理功能，为用户提供唯一、安全、可信的身份标识。【身份身份认证网关网关】：安全支撑平台，提供统一身份认证，实现单点登录和访问控制等功能。【数字数字签名名】：提供数字签名和数字信封，保证数据完整性、数据保密、抗抵赖功能。【终端磐石登端磐石登录系系统】：终端安全登录控制（锁屏或断网功能），用户状态管理，文件保险箱功能等。19产品品简介介F CACA产品品F 身份认证网关F 数字签名服务器F 磐石终端安全系统20产品概述品概述JIT SRQ05 JIT SRQ05 电电子子证书认证证书认证系系统统JIT SRQ05电子子证书认证系系统（CA）用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统。JIT SRQ05电子子证书认证系系统由以下几个核心由以下几个核心组件件组成：成：CA 签发管理系统（CA Server）RA 注册管理系统（RA Server）KM 密钥管理中心（KM Server）OCSP 在线证书状态查询系统（OCSP Server）CA Server为产品的核心，其他组件围绕认证中心提供更完善的安全解决方案。21功能介功能介绍系系统结构构22功能介功能介绍系系统组成成JIT SRQ05 电子子证书认证系系统服服务器器（软件、B/S架构）JIT SRQ05 CA Server 签发管理系统JIT SRQ05 KM Server密钥管理中心JIT SRQ05 RA Server注册管理系统JIT SRQ05 OCSP Server 在线证书查询系统开开发用用APIJIT RA Toolkit 连接CA，实现证书管理功能JIT OCSP Toolkit 连接OCSP，实现证书状态查询功能23功能介功能介绍CA ServerCA Server的核心作用的核心作用签发、管理证书和CRL以以证书为中心管理数据中心管理数据24功能介功能介绍CA Server证书管理基本功管理基本功能能证书申请证书下载证书更新证书注销证书冻结证书解冻证书查询证书归档25功能介功能介绍KM ServerKM Server的核心的核心作用作用为CA提供加密密钥管理加密密钥生命周期以密以密钥为中心管理数据中心管理数据支持为多CA提供密钥服务26功能介功能介绍KM Server密密钥管理管理定时产生密钥即时产生密钥备用密钥统计在用密钥查询司法取证密钥归档同一机构下同一序列号的同一机构下同一序列号的证书只能申只能申请使用一使用一对密密钥“三三库”要求要求备用密钥库在用密钥库归档密钥库27功能介功能介绍RA ServerRA Server的核心的核心作用作用实现证书申请录入、审核功能管理证书对应的用户信息以用以用户为中心管理数据中心管理数据28功能介功能介绍RA Server证书管理管理证书申请、证书下载、证书查询、证书更新证书冻结、证书解冻、证书注销批量申请证书、批量下载证书用用户管理管理用户组管理添加用户、修改用户、删除用户冻结用户、解冻用户、注销用户29功能介功能介绍RA Server用用户自主服自主服务自主下载证书自主更新证书下载根证书下载CRL可灵活控制的自主服务模式可扩展的用户身份验证模式30功能介功能介绍OCSP ServerOCSP核心功能核心功能提供在线证书状态查询服务支持对多CA提供证书状态查询服务OCSP标识证书状状态有效 Using注销 Revoked未知 Unknown31功能介功能介绍开开发用用APIRA Toolkit连接CA，实现证书管理功能OCSP Toolkit连接OCSP，实现证书状态查询功能32产品品简介介F CA产品F 身份身份认证网关网关F 数字签名服务器F 磐石终端安全系统33产品品简介介JIT Cinas 身份身份认证网关网关 基于PKI技术开发的硬件产品产品定位：品定位：满足用户对基于证书的高强度身份认证安全需求 面向多个应用系统，提供统一的身份认证服务可以解决如下可以解决如下问题：强身份认证：解决各种密码问题而引起的安全风险单点登录：降低用户使用应用系统的复杂性34解决解决问题使用数字证书表示用户身份提供统一身份认证服务用户身份对应，实现单点登录主路代理技术：用户访问应用服务器时，需要通过网关的身份认证35产品功能品功能身份身份认证认证验证用户证书信任域、有效期、证书状态；单、双向认证选择；支持多信任域；支持多家厂商证书黑名单动态下载更新(HTTP协议、LDAP协议)及手工导入；证书信息传递；单单点登点登录录数据保数据保护护支持多应用单点登录主从账号对应，与应用系统认证一致访问访问控制控制针对WEB应用，基于URL细粒度控制根据认证方式、安全访问级别、DN规则实现应用级访问控制数据传输加密与完整性校验应用系统地址隐藏安全安全审计审计用户对应用的访问行为详细审计管理员配置、管理网关的操作详细记录支持日志报送36产品功能品功能状状态监态监控控监控系统资源使用情况监控系统服务运行情况监控在线用户业务状态系系统统管理管理支持串口命令行、WEB界面两种管理方式支持系统备份恢复支持分权管理双机双机热备热备信息信息传递传递支持双机热备功能，避免单点故障统统一一门户门户支持展现应用系统列表支持定制门户显示风格支持应用隐藏及自定义门户支持将证书、从帐号等身份信息传递给应用系统支持将IP地址、认证方式等客户端信息传递给应用系统37产品特点品特点多样的身份认证机制支持所有的B/S、C/S架构的应用系统应用系统零改造接入细粒度的访问控制完善的监控审计、支持日志报送支持分权管理完全的网络兼容性和应用兼容性自身安全性高WEB方式管理、无客户端软件，简单易用38产品品简介介F CA产品F 身份认证网关F 数字数字签名服名服务器器F 磐石终端安全系统39产品品概述概述数字数字签名服名服务器器：基于数字证书和PKI技术自主研制的硬件安全产品，提供数字签名和数字信封服务，满足用户在网络交易中行为不可抵赖，信息完整性、私密性等需求。解决解决问题行为可追述，不可抵赖数据防篡改数据保密40产品概述品概述产品形品形态数字数字签名服名服务器器硬件签名服务器服务器接口（V-STK）：C版/COM版/JAVA版数字数字签名客名客户端端客户端接口（V-CTK）：COM版/JAVA版41产品概述品概述应用价用价值完整性完整性完整性完整性数字签名：如果签名验证失败，说明数据的完整性遭到了破坏机密性机密性机密性机密性不可抵不可抵不可抵不可抵赖赖数字信封：通过双层加密技术来保障数据的私密性数字签名：签名者事后不能否认自己的签名身份身份身份身份认证认证数字签名：接收者能验证签名，而任何其他人都不能伪造签名42功能介功能介绍数字数字签名服名服务器器管理员用户发送数据验证签名通过WEB方式管理服务器证书存储私钥存储CRL/OCSP证书状态检索发送数据解密信封数字签名服务器43功能介功能介绍数字数字签名服名服务器器 数字数字签名名 数字签名服务器支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。数字签名服务器支持对数据制作数字签名，签名结构符合PKCS#1标准；支持验证符合PKCS#1标准的签名结果。数字信封数字信封 数字签名服务器支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。证书验证 数字签名服务器支持对签名、加密证书进行全面验证。包括信任域、有效期和证书状态。交叉交叉验证 数字签名服务器支持配置多信任CA签发的根证书，可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。双机双机热备 数字签名服务器内置双机热备系统，采用主备机模式，主机（处于工作状态的机器）与备机之间通过网口连接心跳线，用于监听对方机器是否处于正常工作状态。44功能介功能介绍数字数字签名客名客户端端 数字数字签名名 数字签名客户端支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。数字信封数字信封 数字签名客户端支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。证书扩展展 证书作为用户身份标识，其中可以记载很多用户信息，如姓名、联系方式、工作单位、职务等等，也可以在CA机构定义扩展信息。数字签名客户端支持获取证书标准信息及其扩展信息，供应用系统使用。45功能介功能介绍特色功能特色功能 数字数字签名：名：事后验证：使用证书进行完整数字签名，签名结果中包含签名时的全部证书状态信息，接收者可在生成后的任意时间验证，而其他任何人都不能伪造。监控功能：安全管理员可以对签名、验签业务进行实时的监控和统计。业务日志管理功能：内嵌数据库，安全管理员可以设置、查看日志信息及状态。数字信封：数字信封：双证书体系：签名证书与加密证书完全独立，保障系统应用的安全监控功能：安全管理员可以对加密、解密业务进行实时的监控和统计。46产品品简介介F CA产品F 身份认证网关F 数字签名服务器F 磐石磐石终端安全系端安全系统47产品概述品概述-组成和定位成和定位进不去基于PKI技术的集中身份鉴别控制技术看不懂基于PKI的终端文件加密技术带不走移动存储介质控制技术终端行为监控技术赖不掉基于数字证书的行为审计48产品概述品概述产品形品形态磐石服磐石服务器器作用：集中控管客户端工作状态策略、集中审计磐石客磐石客户端端作用：约束控制和数据保护49功能介功能介绍身份身份鉴别保保护pp 鉴别鉴别控制控制控制控制使用数字证书登录本机或者域环境登录策略控制（鉴别次数，pin码规则）拔key断网插key联网/拔key锁屏等功能提供基于用户身份的进程访问控制功能pp 集中集中集中集中管理管理管理管理用户管理：基于数字证书的终端使用者身份管理状态管理：停用，启用策略管理：终端身份鉴别控制设置密钥管理：终端工作密钥的管理pp 数据保数据保数据保数据保护护基于数字证书的安全文件夹提供基于PKI技术的文件加解密交互保护机制50产品特点品特点强控身份控身份鉴别基于数字证书的强控身份鉴别统一行一行为审计基于数字证书的行为审计，身份唯一且可追溯安全文件安全文件夹基于数字证书的安全文件夹驱动技术，不改变用户使用习惯，安全可靠数据保障机制数据保障机制证书更新，key丢失不会导致被保护数据无法解密，同样无需借助“超级管理员key”，证书更新静默处理51产品功能模品功能模块产品模品模块分分类功能分功能分类型号型号规格格磐石终端安全系统服务器端（硬件）E2000-N客户端模块安全登录/保险箱/52 古有长城卫疆 今有正元护航选择正元=选择安全航航53