囡
_!露黑
Secu—tv
国瑞数码安全系统有限公司概况:天津市国瑞数码安全系统有限公司于
1999年 1 1月9日在天津市新技术产业园区注册成立.注册资金为贰仟贰佰万人民币.
法定代表人为杨义先教授 (全国政协委员、博士生导师).企业经济性质为有限责任公
司。注册同时在北京成立了研发中心 (北太平庄路 25号.豪威大厦406室).公司的
技术依托单位为北京邮电大学信息安全中心.北京电信是公司的股东之一。
公司是国家密码管理委员会办公室审核批准的 商用密码产品生产定点单位 和
商用密码产品销售许可单位 信息产业部颁发的 计算机系统集成资质单位证书
和国家保密局颁发的 涉及国家秘密的计算机信息系统集成资质证书 。公司于2004
年6月通过IS09001国际质量管理体系认证。
(请登陆公司网站WWW.ncs-cyber corn.crt了解更多公司和产品信息 ).
电子政务中的
认证 授权与审计
国瑞数码安全系统有限公司
http://www.ncs-cyber.com .cn
国瑞数码安全系统有限公司副总经理 李忠献
一
、 目前在电子政务中信息安
全面临的问题
随着电子政务系统建设的迅速发
展 ,信息应用系统的种类也在不断增
多,其应用功能也在不断地增强。勿庸
置疑 ,信息化带来了劳动生产率的大
大提高,信息化加强了企事业单位的
管理力度,杜绝了人工管理上出现的
一 些漏洞,有力地促进了国民经济的
发展。
随着传统的各类业务逐步转移到
网络中来,必然出现越来越多的业务
系统种类,不同时期建设的业务系统
可能由不同厂家承担与开发,由于不
同厂家对于网络安全方面的认识和研
发能力的不同,加之用户对于网络安
全认识和需求的变化,不同时期建设
的业务和应用系统采用了可能并不相
同的系统安全策略。
目前,大部分企事业单位的信息系
统建设,尤其是在大型企业单位和电子
政务信息化建设方面,存在着如下几个
方面亟待解决的关键安全问题:
1.缺乏集中统一的用户身份认
证机 制
用户身份认证是建立安全应用系统
的第一道防线,各类业务系统和设备管
理的用户身份认证各自为政、互不相
同,其认证的方式呈现多样化,用户登
录不同的业务系统可能采用完全不同的
登录方式,管理员对于用户的管理在后
台是分散的;
2.缺乏集中统一 的资源访 问授
权机制
各种业务系统对于资源的授权访问
方式不同,资源访问授权分散于各类业
维普资讯
蕴0j 。 ≥ 毫 釜
务系统中,缺乏集中的资源访问授权,
使得管理员对于配置细粒度资源访问以
及授权往往感到力不从心;
3.缺乏集 中统一的 日志审计机
制
同样,系统资源的访问Et志以及系
统资源的关键操作审计信息也是分散
的,使得管理员对于系统安全事件的分
析和追踪变得十分复杂;
4.缺 乏单点登录机制
当一个用户需要操作多种不同的业
务系统时,用户需要采用不同的登录方
式进行多次登录,可能需要记忆多个不
同的登录 口令;
5.对于不同用户难于划分其权
限管理域
以电子政务信息系统为例,信息系
统的用户可能包括“系统管理员用户”、
“业务系统用户”、“同级单位用户”、“系
统开发商用户”等等,因为没有集中统
一 的认证、授权和审计机制,管理员难
以对诸多不同的用户按照权限管理域进
行合理划分,从而难以实施有效的管理
措施和手段。
国瑞数码安全系统有限公司依靠自
己强大的信息安全技术研发队伍,经过
多年的市场调研和产品研发,最近推出
了的资源访问控制安全支撑平台产品
DigitalTrust。DigitalTrust能够充分保
证信息系统中的各类资源和业务系统登
录以及访问时的安全性,为上层多种业
务和多种设备提供统 一的安全支撑服
务,提高信息系统的业务可扩展能力,
降低信息系统总体管理成本,实现 “一
个平台支撑 多种、I 务和设备的安全管
理”,同时与国际领先技术保持 同步,处
于国内技术领先地位。
二、DigitalTrust资源访问控制
安全平台简介
1.系统概述
DigitalTrust可以对多种业务系
统、设备、服务器和数据库进行统一集
中的认证、授权和审计,为上层应用提
供底层的应用安全基础平台。
DigitalTrust可以根据用户应用的
实际需要,提供高强度的身份认证 (一
次性口令和基于数字证书的认证),为
用户提供单点登录功能。当用户登录到
一 个应用系统时,不需要再次登录其他
应用系统就可以访问这些应用系统中有
囡
黑黑
Secuctty
李忠献,男,博士
北京邮电大学副教授,国瑞数码安全系
统有限公司副总经理,负责公司安全产品的开
发和安全项 目的实施。1O多年IT实践经验、软
件开发和工程管理经验。负责研发的产品包
括:WebGua州 网站卫士、NCS-1O8电话电
码防伪系统、NCS-CA证书管理 中心、NCS
PMI资源授权管理系统、NCS DigitalTrust业
务安全支撑平台、ESafe安全电子邮件、高速
加密卡、防火墙与VPN产品 负责实施的项
目包括:国家重大机密项 目1、2、3期、国家
无线电监测中心业务安全支撑平台、海关总署
终端安全管理、国家 自然科学基金委员会网络
安全评议系统、总参通信部安全工程、中国电
信Ic卡安全防伪算法.焦作市政府上网工程
项目、西安中行客户服务中心项 目、中宇公司
短消息项 目。
权限的系统资源。
DigitalTrust可以对用户的资源访
问权限进行集中控制。它既可以控制用
户对 WEB网页的访问权限,也可以控
制用户对系统功能 (例如功能按钮、功
能莱单项等)的访问权限。DigitalTrust
还可以实现对数据库数据的字段级 (即
不同的用户对数据库表的某些字段具有
不同的访问权限)和记录级访问控制
(即不同的用户能够访 问的数据库记录
不同)。例如,财务系统中,只有高级管
理员才能查询员工的详细信息 ,包括 电
话、Email、地址等隐私信息,一般管
理员只能查询用户姓名等一般信息 (字
段级控制);一般管理员只能查询月薪
低于4000元的员工薪酬信息,而高级管
理员可以查询昕有员工的薪酬信息。
DigitalTrust还提供了Et志的集中
审计。DigitalTrust将用户昕有的操作
日志集中记录、管理和分析,便于对用
户行为进行监控,并可以根据审计日志
追究安全事故责任。
DigitalTrust将设备、服务器主机
和数据库的访问控制也纳入到集中的认
证、授权和审计的安全平台中。所有的
维普资讯
用户墙 D -rrr时统一认证授投审计安全支捧平台 路由器
业务与设备蠢源
图 l系统结构与原理
设备、服务器主机和数据库管理员必须 后台策略库
经过DigitalTrust的身份认证才能够登
录进行系统维护,有效的遏制了非法用
户登录并从事恶意行为的情况;而且
DigitalTrust对管理员的维护命令操作
权限进行了限制,不同的管理员具有不
同 的 可 操 作 命 令 集 。 同 样 的 ,
DigitalTrust也会对管理员的登录和命
令操作进行详细的日志记录。
2.系统结构与原理
(1)授权策略服务器 :负责对用户
进行授权 ;
(2)授权管理终端:对最终用户进
行授权 ;
(3)ORSP服务器:与SA服务器通
信,提供给系统统一的资源访问服务的
能力 ;
(4)SA服务器:提供给用户,业务
系统身份鉴别、授权、审计等统一接口
服务能力;
(5)数据库服务器:存放资源和用
户的授权等信息;
(6)审计分析终端:图形化管理工
具,提供管理员对审计数据进行分析查
找的功能。
基本原理简要描述如下:
(1)在逻辑上安全支撑平台是处于
用户和信息资源之间的中间层;
(2)用户对于所有资源的登录必须
要经过安全支撑平台进行身份确认;
(3)用户对于资源的访问必须经过
安全支撑平台的许可,安全支撑平台在
66 网 鹭 安 呈 技7It与匝用 2005.3
中进行查找和匹配,如果用户没有
访问权限,则不允许访问该资源;
(4)对于用户每一个资源的每一次
访问都能够在后台数据库中保存详细的
审计记录。
3.DigitalTrust可以管理的资
源
(1)B/S模式应用系统
DigitalTrust支持多种WEB服务
器平台,如果只对URL或者文件进行访
问控制,WEB业务系统不需要做任何
更改;如果需要对数据库的记录或者字
段进行访问控制,WEB业务系统需要
做简单的二次开发工作,DigitalTrust
提供AP1支持。
(2)C/S模式应用系统
DigitalTrust提供对C/S模式应用
系统的认证授权审计的支持,但是需要
二次开发,DigitalTrust提供二次开发
的AP1支持。
(3)网络设备的访问管理
DigitalTrust提供对网络设备的统
一 管理和维护,这些设备包括交换机、
路由器、防火墙等。
(4)服务器主机的访问管理
DigitalTrust提供对主机服务器的
统一管理和维护 ,这些服务器包括
UNIX平台服务器、Linux主机服务器
等。
(5)数据库服务器的访问管理
DigitalTrust提供对数据库服务器
的统一管理和维护,数据库类型包括
Oracle、Sybase、Microsoft SqlServer
等。
4.DigitalTrust的特点
(1)支持多层结构的认证授权审计
机制 ;
(2)各个业务点建立相对独立的用
户认证授权审计系统;
(3)支持口令认证和基于数字证书
的认证等多种认证方式;
(4)完善的用户、组、域管理结构;
(5)基于应用角色的资源授权管理;
(6)基于管理员角色的管理员权限
配置;
(7)实现系统的集中认证授权和审
计;
(8)实现全网的单点登录功能
(SSO);
(9)支持基于B/S结构和C/S结构的
各种应用,和业务系统进行无缝整合;
(10)具有用户全网漫游功能,支持
移动办公;
(11)支持设备的安全集中管理;
5.主要应用的行业和领域
DigitalTrust可以应用于以下行业
和领域 :
(1)通信:电信、移动等运营商;
(2)金融:银行、保险,证券;
(3)政府:海关、税务、工商、公检
法、烟草等;
(4)企业:石油、化工、交通、煤炭、
烟草、粮食等;
(5)军队;
6.DigitalTrust成功 案例
(1)国家无线电监测中心;
(2)解放军某部;
(2)国家某保密工程。
7.相关资质
DigitalTrust已经通过公安部的安
全测评,获得了安全产品销售许可证
(XKC30599),同时也获得了国家版权
局颁发 的软 件著 作权(软著登字第
027357号)。
维普资讯
