2022年格尔安全认证网关产品白皮书 .pdf

《2022年格尔安全认证网关产品白皮书 .pdf》由会员分享，可在线阅读，更多相关《2022年格尔安全认证网关产品白皮书 .pdf（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、格尔安全认证网关产品白皮书V5.0 上海格尔软件股份有限公司2007 年 8 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/i 保密事宜：本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。接受方同意维护本文档所提供信息的保密性，承诺不对其

2、进行复制， 或向评估小组以外、 非直接相关的人员公开此信息。对于以下三种信息， 接受方不向格尔公司承担保密责任：1 ) 接受方在接收该文档前，已经掌握的信息。2 ) 可以通过与接受方无关的其它渠道公开获得的信息。3 ) 可以从第三方，以无附加保密要求方式获得的信息。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax

3、: (86-021) 62327015 URL: http:/ii 目录1概述. 11.1您的网络应用安全吗？. 11.2解决网络应用安全您要考虑：. 12产品概述 . 23为什么选择格尔安全认证网关 . 33.1PKI 数字证书的全面支持 . 33.2对用户的一致性认证. 43.3自动签名验证 . 43.4单点登录 . 43.5多应用类型支持 . 53.6对应用的加速 . 53.7安全资质 . 53.8其他特性 . 54产品主要功能 . 65产品部署 . 95.1串联部署 . 95.2并联部署 .105.3双机热备部署 .115.4负载均衡部署 .136选购指南 .157客户端运行环境 .1

4、68产品支持联系方式 .169附录公司介绍 .169.1公司概述 .169.2技术与产品 .179.3服务支持 .179.4质量管理 .18名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/iii 9.5主要案例 .189.6公司文化理念 .1910名词

5、解释 .19名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/1 1概述1.1 您的网络应用安全吗？随着网络的快速发展，网络应用以其高效、便捷的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理， 越

6、来越多的重要信息在网络中传输，如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的网络应用都存在以下安全隐患：没有有效的身份认证机制： 一般都采用用户名 +口令的弱认证方式， 这种认证用户的模式，存在极大的隐患，具体表现在：（a）口令易被猜测；（b）口令在公网中传输， 容易被截获；（c）一旦口令泄密，所有安全机制即失效；（d）后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管理非常困难。数据传输不安全：当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输，而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。操作抵

7、赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网络应用亟需解决的一个严重问题。1.2 解决网络应用安全您要考虑信任是安全的基础，在缺乏信任的环境下，实现信息系统的安全是不可想象的，因此解决网络应用安全的一个核心问题是解决信任问题，信任主要体现在以下几方面：强身份认证。建立信任首先要确认参与者的身份，即身份认证。身份认证是安全保障的第一道门槛，也是后续安全措施的依据和基础，如果第一道门槛被攻破， 系统“认错人”，则后续的无论多么严密的安全措施基名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -

8、 - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/2 本实效，因此，身份认证机制强度的高低很大程度决定了安全系统的安全级别高低， 对于一个直接面对互联网， 如果身份认证机制的强度不够，根本无法起到屏障作用，无异于将网资源直接开放。因此，身份认证机制不在于多少，而在于够不够强。基于PKI 数字证书的认证是目前被广泛接受的强身份认证

9、机制之一。数据秘密性和完整性。一方面，认证机制越强，效率越低。在网络应用中并不是每次交互都进行认证，而是根据第一次认证后的凭证来辨认用户，因此在真正用户在线认证通过后，窃取用户的认证凭证，冒充用户访问是一种有效的攻击手段。因此身份认证过程以及后续传输通讯都需全程保密。另一方面，网络应用中的重要信息被其他人特别是竞争对手得到造成的损失极大，因此要求信息传输时对信息进行高强度加密，保证传输安全性。总之，信息在网络上明文传输，被人轻易获取，无异于自己打开门把东西拿给别人，系统有再强的其他安全机制有何用呢？全程加密是对数据秘密性及完整性保障的优选方案之一。不可抵赖性。不可抵赖是信任的一个关键因素也是一

10、个关键约束，是对结果的认可和保障，如果可以事后赖账，无法追究责任，那么先前所作的一切都是前功尽弃。 现实生活中已经形成一套不可抵赖性的方式方法，而在网络世界中，数字签名技术是公认的不可抵赖性实现的最优方案，电子签名法的颁布和实施也提供了相应的法律依据。2产品概述图表 1 E型网关外观名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 623

11、27010 Fax: (86-021) 62327015 URL: http:/3 图表 2 G 型网关外观（以上产品外观图仅做参考，具体外观及接口以实物为准）格尔网关为网络应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务及数字签名及验证服务，可以有效保护网络资源的安全访问。支持HTTP、HTTPS的 B/S 应用以及 FTP、远程桌面等通用的C/S 应用。3为什么选择格尔安全认证网关格尔安全认证网关是：上海格尔软件自主研发的网络安全应用产品。基于 PKI 数字证书体系的经过国家密码管理局认证的认证加密产品（SJY128） 。唯一一款集强身份认证、数据保密性、数据完整性及不可抵

12、赖性功能于一身的产品。格尔安全认证网关的价值体现在以下几个方面：3.1 PKI 数字证书的全面支持基于对 PKI 的深刻理解，格尔网关具备了对PKI 的全面支持，包括以下几个方面：证书单双向的认证选择：格尔网关可以配臵建立加密连接时是否认证用户证书。多服务，多站点证书支持：格尔网关可以建立多个服务，保护不同的应名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel

13、: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/4 用，每个服务可以使用不同的站点证书。多条证书链支持：格尔网关支持多条证书链同时存在、同时生效，即同一个 SSL服务可以同时认证多家CA 中心的证书用户。动态黑名单支持：格尔网关可以自动到LDAP 发布点获取黑名单，并动态更新，不需要重新启动服务。3.2 对用户的一致性认证通常的网关产品只是建立了一个加密连接，与应用完全无关，用户通过认证建立加密连接后必须经过再次认证（如用户名+ 口令、动态令牌等）登录应用系统，这种两次登录不仅没有加强安全性，而且在给用户带来不便的同时也带来安全隐患，

14、由于加密连接和应用对用户认证的不一致，用户可以使用自己的证书建立连接，使用别人的用户名登录， 这种方式给应用的流程和日后审计、取证带来了混乱。格尔网关可以将用户证书中的任意信息以cookie 方式向后台服务器传送， 应用系统无需额外接口就可以方便获取证书用户信息，即保证了用户的一次登录，又保证了应用对用户认证的一致性，安全性得到进一步保障。 同时，使用网关保护的多个应用系统也实现了对用户的单点登录功能，即用户使用一张证书登录所有应用系统。3.3 自动签名验证（专利技术之一）格尔网关创新性的提出了自动签名验证服务，有效解决了网络不可抵赖性问题，使其成为目前唯一一款集强身份认证、数据保密性、 数据

15、完整性及不可抵赖性功能于一身的产品，是PKI 产品的一种突破。自动签名验证的特色是“自动”，签名、验证等复杂工作都由格尔网关自动完成，对应用实现零 +开发，应用只需在网页中进行设臵，无需额外开发接口、无需额外专业知识就能轻松实现信息不可抵赖。3.4 SSL 协议中双证书的应用（专利技术之一）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021)

16、 62327010 Fax: (86-021) 62327015 URL: http:/5 双证书机制是当前我国PKI 体系建设的主流模式。 使用签名证书进行身份认证，使用加密证书进行密钥的交换和保护，既使 PKI 技术在应用中发挥其基于非对称密钥所带来的优势， 又满足了国家对 PKI 应用进行审计监管的需要， 是国家密码管理机构对 PKI 证书应用的基本要求。格尔网关创新的提出了双证书在SSL协议中的应用，并成功在产品中实现，符合国家密码管理机构对密码产品的要求。3.5 单点登录（专利技术之一）对于某些无法修改或者无法获取证书信息从而无法实现用户一致性认证的应用，格尔网关可以实现证书与原有用

17、户信息的映射，在应用无需任何改动的情况下自动完成系统登录，实现单点登录功能。3.6 多应用类型支持格尔网关除了可以对B/S 应用进行安全防护外， 对于 FTP、telnet 、SSH、远程桌面、 SMTP、POP3 等多种非 B/S 应用也可以进行安全防护，具有广泛的适用性。3.7 对应用的加速格尔网关高端产品采用硬件加速，加解密运算全部由硬件完成，效率是同等硬件环境下软件实现的10 倍以上，可以彻底将应用服务器的CPU 资源从繁重的加解密中解放出来，起到了对应用加速的作用。3.8 安全资质格尔安全认证网关通过了国家保密局、国家密码管理局的严格鉴定，取得了相关安全资质，符合国家对于密码产品的使

18、用规定。3.9 其他特性安全性：系统设臵专用网络接口管理系统，系统关闭所有不需要的服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/6 和端口（如 FTP、SSH等） ，只保留 SSL服务端口，避免外界的攻击。易用性：系统所有管理操作均采用web 方

19、式，操作简单方便。适用性：系统支持串联、并联等多种部署方式，适用不同的网络环境和应用需求。兼容性： 支持 IE、 Netscape、 Firefox 等主流浏览器，支持 IIS 、 Websphere、Weblogic、apache、tomcat 等主流 Web服务器。高可用性：系统支持双机热备。4产品主要功能功能说明功能类型证书认证单双向认证选择功能系统可以设臵是否需要用户提交用户证书基本功能动态黑名单功能系统可以自动更新黑名单、动态更新，不需要重新启动服务支持 LDAP、HTTP 等多种方式更新支持 B64、DER 等多种格式基本功能多站点证书功能系统可以拥有多个站点证书， 不同的服务可以

20、拥有不同的站点证书基本功能多证书链功能一个 SSL 服务中可同时配臵多条证书链，验证不同 CA 的用户证书基本功能多种证书支持功能支持格尔、 CFCA、SHECA 及多数省级 CA 中心数字证书基本功能证书信息传送功能系统可以将用户证书信息包括扩展项信息传送给应用系统基本功能应用支持名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62

21、327010 Fax: (86-021) 62327015 URL: http:/7 B/S 应用支持 B/S 应用基本功能通用 C/S 应用支持 FTP、telnet 、远程桌面以及通用的 C/S 应用扩展功能网络应用支持基于 IP 的所有应用扩展功能多服务功能系统可以创建多个SSL 服务，保护不同的应用服务，也可以采用同一个SSL服务保护多个应用服务 （需客户端）基本功能地址隐藏功能系统将真正应用服务的地址隐藏， 用户仅知道网关地址扩展功能支持应用重定向功能在有防火墙 NAT 映射的情况下正常访问有重定向的网站基本功能特色功能认证一致性系统通过特有的cookie 技术将用户的证书信息传送给

22、后台应用， 使应用无需证书接口开发就可以方便的获取用户证书信息基本功能自动签名验证系统自动实现对应用指定数据的签名和验证功能扩展功能自动登录功能对于特定应用，系统采用用户映射技术，将证书映射为原有系统中的账户，并进行自动登录， 在后台应用无需修改的情况下实现单点登录扩展功能策略统一下发系统实现客户端策略的统一下发， 用户无需对客户端进行任何配臵基本功能名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上

23、海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/8 信息统计系统能够对用户连接数、 应用访问情况， 系统资源占用等信息进行详细统计， 为更好了解应用及调节资源提供基础基本功能错误重定向系统对于认证错误可以重定向到用户指定页面，增强友好性基本功能访问控制功能实现 URL 级别的访问控制，对于不同用户、不同角色实现不同的控制扩展功能对称加密算法的替换系统支持加密算法的替换扩展功能系统管理系统备份恢复功能系统可以备份当前 SSL的所有配臵，保证系统瘫痪时的快速恢复基本功能恢复出厂设臵功能系统具有恢

24、复默认设臵功能， 方便使用基本功能日志发送功能系统将日志以SYSLOG 的方式发送到指定服务器。基本功能系统在线升级系统支持 Web 方式的系统升级基本功能性能检测功能系统支持对 CPU、内存、磁盘容量、连接数、进程等资源情况的收集， 便于系统的维护和问题定位基本功能可用性双机热备功能高可靠性扩展功能负载均衡系统具有集群功能扩展功能易用性名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路28

25、8 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/9 管理员易于操作系统所有管理操作都通过web 方式进行，方便使用基本功能用户的良好体验系统可以为终端用户提供良好的错误提示，如证书过期，证书未生效，证书已经作废等信息， 不会显示“此页无法显示”令用户不知所措的页面基本功能注：扩展功能不包含在产品的基本版本中，是用户可选配功能。5产品部署格尔网关可以部署为串联模式（桥模式）或者并联模式（单臂模式）。5.1 串联部署串联模式（桥模式）指格尔网关物理部署在用户和被保护的服务器之间，即格尔网关的外网口与用户网络连

26、接，内网口与被保护服务器相连。 由于被保护服务器通过内部网络与格尔网关连接，因此用户与服务器的连接被格尔网关隔离，用户只知道网关地址， 无法直接访问被保护服务器， 只有通过网关才能获得服务。串联模式（桥模式）是格尔网关的标准部署模式，也是推荐部署模式，其部署示意图如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010

27、Fax: (86-021) 62327015 URL: http:/10 SD用户证书Print ServerLink/RxLPT1LPT2COMPower/TX格尔安全认证网关服务器 1防火墙服务器 2服务器 3 .内网用户外部用户图表 3 串联部署示意图串联模式的优点是：安全性高：用户必须通过网关的认证加密后才能获取服务，同时网关将服务器与外界网络隔离，避免了对服务器的直接攻击。结构清晰：串联模式在物理部署和逻辑结构上都非常简单，容易理解。性能高：相对于并联模式，串联模式的效率及带宽利用率更高。串联模式的缺点是：需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。5.2 并联部

28、署并联模式（单臂模式）指格尔网关逻辑部署在用户和被保护的服务器之间，而物理连接是在同一网络中， 即格尔网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务，也可以直接连接到服务器 （在知道服务器名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: h

29、ttp:/11 地址情况下）获取服务。SD用户证书Print ServerLink/RxLPT1LPT2COMPower/TX格尔安全认证网关服务器 1防火墙服务器 2服务器 3 .内网用户外部用户图表 4 并联部署示意图并联模式的优点是：部署方便：应用无需作改动，用户只需变更一下访问地址即可。并联模式的缺点是：安全性低：由于服务器和外界网络连接，存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性；同时，网关到服务器的明文数据也在网络上传输，存在被窃听的安全隐患。性能较低：相对于串联模式，并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行，效率及带宽利用率相对较低。5.

30、3 双机热备部署系统支持双机热备功能， 在需要高可靠性的环境下需要对网关进行双机热备名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/12 部署。双机热备部署需要部署两台设备，一台作为主机，一台作为备机，两台机器都与网络连接， 两台设备之间使用交叉线连

31、接热备口进行状态检测，在正常情况下由主机提供服务， 当主机发生异常时系统自动切换到备机进行服务。部署方式如图：SD用户证书Print ServerLink/RxLPT1LPT2COMPower/TX格尔安全认证网关服务器 1防火墙服务器 2服务器 3.内网用户外部用户Print ServerLink/RxLPT1LPT2COMPower/TX心跳连线图表 5串联模式下的双机热备部署名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 24 页 - - - - - - - -

32、- 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/13 SD用户证书Print ServerLink/RxLPT1LPT2COMPower/TX格尔安全认证网关服务器 1防火墙服务器 2服务器 3 .内网用户外部用户Print ServerLink/RxLPT1LPT2COMPower/TX心跳连线图表 6 并联模式下的双机热备部署5.4 负载均衡部署格尔网关可以和大多数负载均衡设备配合使用，格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图

33、：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/14 SD用户证书Print ServerLink/RxLPT1LPT2COMPower/TX防火墙内网用户外部用户Print ServerLink/RxLPT1LPT2COMPower/TX格尔安全

34、认证网关Print ServerLink/RxLPT1LPT2COMPower/TX负载均衡设备.服务器群图表 7 负载均衡环境下的串联模式部署SD用户证书Print ServerLink/RxLPT1LPT2COMPower/TX防火墙内网用户外部用户Print ServerLink/RxLPT1LPT2COMPower/TX格尔安全认证网关Print ServerLink/RxLPT1LPT2COMPower/TX负载均衡设备 .服务器群图表 8 负载均衡环境下的并联部署注：负载均衡器将网络的SSL 流量负载到可用的格尔网关上，格尔网关对后端的Web 服务器并没有负载均衡的作用。名师资料总

35、结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/15 6选购指南格尔网关采用专用网络硬件设备，产品具有多个系列：E-2010 E-2020 G-4020 G-4040 设备高度1u 1u 2u 2u 网络接口4*100M 4*100M 6*1000M 4*10

36、00M 电源指标数量：电压（ V） ：电流（A） ：功率（W） ：1 100240 0.53 65 1 100240 36 200 1 90264 48 460 2 90264 48 460 工作温度0 C-40 C 0 C-40 C 0 C-40 C 0 C-40 C 工作湿度5-95RH， 不凝结5-95RH， 不凝结5-95RH，不凝结5-95 RH，不凝结最 大 新 建连接数60 次/秒160 次/秒2500 次/秒4000 次/秒最 大 并 发连接数400 800 2500 5500 最大流量50Mbps 120Mbps 680Mbps 850Mbps 注：上述所有规格及参数若有变动

37、恕不另行通知，请以厂家提供的最终配臵为准。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/16 7客户端运行环境与格尔 SSL安全网关连接的客户端推荐配臵如下：CPU：P3 800M 以上内存： 256M 以上操作系统： win2000 以上版本浏览

38、器： IE6.0 以上，密钥长度 128 位8产品支持联系方式上海格尔软件股份有限公司地址：上海市余姚路288 号 A 座 4 楼电话： （86-21 ）62327010 传真： （86-21 ）62327015 Email： 邮编： 200042 9附录公司介绍9.1公司概述上海格尔软件股份有限公司(以下简称格尔软件 )成立于 1998 年 3 月， 注册资本 3500 万，北京设营销和技术支持中心。公司下设北京格尔国信、上海格尔信息、上海格尔卫信及宁波格尔天屹等子公司，在全国各大中心城市还设有多个办事处。公司现有员工310 人，其中本科以上学历占93% ，技术开发人员 210 余人，约占

39、65% 。格尔软件是专业从事信息安全核心技术和产品研发，为客户提供信息安全整体解决方案与配套服务的国内身份管理领域的领先企业。公司是国内最名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/17 早研制 PKI 平台的厂商，国内首批商用密码产品定点生产与

40、销售单位，国家保密局批准认定的“涉及国家秘密的计算机信息集成甲级资质单位”，国家信息化工作领导小组计算机网络与信息安全管理工作办公室（国信安办）认定的 14 家计算机网络安全服务试点单位之一，国家“863”计划信息安全示范工程金融子项目的总服务商及“863”课题承担单位。公司曾获国家进步二等奖和上海市科技进步一等奖。公司还是全国信息安全标准化技术委员会的主要成员之一。经过全国信息安全标准化技术委员会严格审定，上海格尔软件股份有限公司被批准为WG1、WG4、WG5、WG7 工作组成员， 在 WG4 工作组中承担相关标准制定工作。9.2 技术与产品格尔软件坚持以技术创新推动企业的发展。公司长期从事

41、核心密码技术的研究并有深厚的积累，至今已申请了17 项自主研发的专利技术，其中7项已获国家专利局的授权，另外还拥有7 项软件著作权。目前，公司已形成PKI 基础平台产品、安全网关产品、内网安全应用产品（超级蓝盾系列）三大产品线。核心产品包括PKI/CA 身份认证产品、网盾桌面安全软件、安全认证网关、SSO 单点登录系统、网络保险箱系统、金融 IC 卡密钥管理系统、信息安全综合监控与管理平台产品等。9.3 服务支持客户至上是格尔软件的服务宗旨，对客户的全面支持服务与客户共同进步是格尔软件的追求。现在公司已为全国29 个省市的众多客户提供了产品或服务，协助用户进行系统维护及基于数字证书的应用推广。

42、公司在上海、北京、西安、湖南、湖北、安徽、江苏、浙江、贵州、福建等地设有技术支持服务机构或人员，为重点客户提供长期、稳定、高效的技术支持与服务。我们还同由其它公司承建的上海CA、西部 CA、陕西 CA、山东 CA、广东CA、CTCA、公安部等众多运营机构建立了战略合作关系，提供证书应用推广所需的产品及技术支持服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼

43、Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/18 公司利用自己深厚的技术积累，可以为客户提供信息安全咨询培训、安全解决方案设计、产品开发、信息安全系统建设及系统运行维护等一整套信息安全技术支持与委托服务。9.4 质量管理只有过程正确才能保证结果的正确。格尔软件视质量为生命， 继 04 年通过ISO9001 质量认证之后，公司又于 05 年在信息安全行业率先启动了CMMI软件能力成熟度的质量改进过程。现在公司已建立起一套规范的质量管理体系并通过了 SEI CMMI L3 的评估，成为国内目前少有的达到CMMI3 级的信息安全厂

44、商。质量过程的持续改进，保证了公司的研发能力和产品质量的不断提升。客户可以得到放心满意的产品和服务。9.5 主要案例国家 863 计划“ 数字证书应用综合管理 ” 课题国家 863 计划信息安全示范工程 “S219”项目浙江省数字证书认证中心；江苏省数字证书认证中心；河北省数字证书认证中心；湖南省数字证书认证中心；安徽省数字证书认证中心；新疆数字证书认证中心；贵阳数字证书认证中心；发改委金宏工程（一期）安全子系统网络信任体系；国家电子政务外网根CA 系统项目；航空一集团“金航”主干网安全总集成项目中国工程物理研究院CA 示范项目中国人民银行 IC 卡密钥管理系统项目中国人民银行银联卡根CA 认

45、证系统项目名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/19 上海卫生监督所信息安全系统；国家统计局行业性PKI 体系建设；上海出入境边防总站整体安全集成项目；国家“十五国家密码发展基金密码理论课题”；湖北电力信息系统整体安全建设一、二期工程；福建

46、电力信息系统信任与授权平台建设一、二期工程；中央办公厅某 H 网认证加密项目国家某部委内网全国纵向CA 认证系统及证书安全应用项目公安部内网基于 CA 认证的证书安全应用项目国家统计局全国人口普查及大型企业网络直报系统CA 认证系统项目上海市密钥管理系统试点项目信产部 “3G 无线通讯安全 ” 课题9.6 公司文化理念格尔定位 ： 领先的身份管理产品及解决方案提供商格尔文化 ：团结、奉献、严谨、创新、安全、高效格尔理念 ：安全 + 应用，创造新价值10 名词解释SSL：Secure Sockets Layer，安全套接层协议层，它是网景（Netscape ）公司提出的基于 WEB 应用的安全协

47、议。证书认证机构（Certificate Authority） ： 一个产生和确定公开密钥证书的可靠和可信的第三方机构。它发行数字证书并确保证书的可信性，或证明一个用户和它们的公共密钥的身份。认证机构也可以为实体产生和确定密钥。习惯上又称作认证中心（ CA） 。数字证书（Certificate ） ： 数字证书中心签发的用于代表实体身份的一段电文。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页，共 24 页 - - - - - - - - - 上海格尔软件股份有限公司上海市

48、余姚路288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/20 本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书（服务器证书） 。LDAP： (Lightweight Directory Access Protocol) 是一种轻量级的目录存取协定，提供客户从各个角落连接到目录服务器中。本手册中专指CA 用于发布证书及黑名单的 LDAP 服务。黑名单：通常所说的CRL（Certificate Revoke List ） ，因时间或者安全原因被废除的证书列表，一般发布在LDAP 上。Radius

49、：Remote Authentication Dial In User Service，广泛应用于宽带窄带认证系统的协议，前端一般为PPPoE 或者802.1x 。802.1x （基于端口的验证） ：启用通过外部服务器针对各个端口验证系统用户。只有经过验证和许可的系统用户才可以传输和接收数据。使用可扩展验证协议（EAP） ，通过远程验证拨入用户服务 （RADIUS）服务器来验证端口。数字签名（ digital signature ） ：具有手写签名功能如身份证明的一组电子数据。这些附加在数据单元上的一些数据，或是对数据单元所作的密码变换，允许数据单元的接收者用以确认数据单元的来源和完整性，并保护数据，防止被人（例如接收者）伪造。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页，共 24 页 - - - - - - - - -