文档介绍:格尔安全认证网关产品白皮书上海格尔软件股份有限公司2007年8月保密事宜:本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格尔公司承担保密责任:1)接受方在接收该文档前,已经掌握的信息。2)可以通过与接受方无关的其它渠道公开获得的信息。3)可以从第三方,以无附加保密要求方式获得的信息。 目录1 概述 1 您的网络应用安全吗? 1 解决网络应用安全您要考虑: 12 产品概述 23 为什么选择格尔安全认证网关 3 PKI数字证书的全面支持 3 对用户的一致性认证 4 自动签名验证 4 单点登录 5 多应用类型支持 5 对应用的加速 5 安全资质 5 其他特性 64 产品主要功能 65 产品部署 9 串联部署 9 并联部署 10 双机热备部署 11 负载均衡部署 136 选购指南 157 客户端运行环境 168 产品支持联系方式 169 附录公司介绍 16 公司概述 16 技术与产品 17 服务支持 17 质量管理 18 主要案例 18 公司文化理念 1910 名词解释 19概述您的网络应用安全吗?随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患:没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在:(a)口令易被猜测;(b)口令在公网中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管理非常困难。数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输,的开放性造成传输信息存在着被窃听、被篡改的安全问题。操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟需解决的一个严重问题。解决网络应用安全您要考虑信任是安全的基础,在缺乏信任的环境下,实现信息系统的安全是不可想象的,因此解决网络应用安全的一个核心问题是解决信任问题,信任主要体现在以下几方面:强身份认证。建立信任首先要确认参与者的身份,即身份认证。身份认证是安全保障的第一道门槛,也是后续安全措施的依据和基础,如果第一道门槛被攻破,系统“认错人”,则后续的无论多么严密的安全措施基本实效,因此,身份认证机制强度的高低很大程度决定了安全系统的安全级别高低,对于一个直接面对互联网,如果身份认证机制的强度不够,根本无法起到屏障作用,无异于将网资源直接开放。因此,身份认证机制不在于多少,而在于够不够强。基于PKI数字证书的认证是目前被广泛接受的强身份认证机制之一。数据秘密性和完整性。一方面,认证机制越强,效率越低。在网络应用中并不是每次交互都进行认证,而是根据第一次认证后的凭证来辨认用户,因此在真正用户在线认证通过后,窃取用户的认证凭证,冒充用户访问是一种有效的攻击手段。因此身份认证过程以及后续传输通讯都需全程保密。另一方面,网络应用中的重要信息被其他人特别是竞争对手得到造成的损失极大,因此要求信息传输时对信息进行高强度加密,保证传输安全性。总之,信息在网络上明文传输,被人轻易获取,无异于自己打开门把东西拿给别人,系统有再强的其他安全机制有何用呢?全程加密是对数据秘密性及完整性保障的优选方案之一。不可抵赖性。不可抵赖是信任的一个关键因素也是一个关键约束,是对结果的认可和保障,如果可以事后赖账,无法追究责任,那么先前所作的一切都是前功尽弃。现实生活中已经形成一套不可抵赖性的方式方法,而在网络世界中,数字签名技术是公认的不可抵赖性实现的最优方案,《电子签名法》的颁布和实施也提供了相应的法律依据。产品概述图表1E型网关外观图表2G型网关外观(以上产品外观图仅做参考,具体外观及接口以实物为准)格尔网关为网络应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务及数字签名及验证服务,可以有效保护网络资源的安全访问。支持HTTP、HTTPS的B/S应用以及FTP、远程桌面等通用的C/S应用。为什么选择格尔安全认证网关格尔安全认证网关是:上海格尔软件自主研发的网络安全应用产品。基于PKI数字证书体系的经过国家密码管理局认证的认证加密产品(SJY128)。唯一一款集强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的产品。格尔安全认证网关的价值体现在以下几个方面:P