得安密码构筑多维度云平台安全

值得用户信任的信息安全顾问

云剑—云安全解决方案

目录

一、云计算平台的安全需求

二、我国自主可控信息安全技术历程

三、云剑——云安全解决方案

四、得安公司和轻元公司

国家网络空间安全的形势

2014年2月27日，中央网络安全和信息化领导

小组成立：“没有网络安全就没有国家安全，

没有信息化就没有现代化。

2015年6月，教育部设立“网络空间安全”一

级学科；

2016年1月28日，国务院学位委员会增列“网

络空间安全”一级学科博士学位授权点；

2016年3月25日，中国网络空间安全协会成立。

云计算产业的发展

云计算是国家信息化发展的核心战略

工业和信息化部于《国家电子政务“十二五”规划》（工信部规〔2011〕567号）中已明确提出要“完成以云计算为基础的电子政务公共平台顶层设计”。2013年11月开始，18个省级和

59个市县区级启动云计算电子政务平台试点。

互联网+ 万众创新

移动互联网 物联网

大数据

云计算是互联网发展的引擎和基石，能够为用户提供“宾馆式”的、按需使用的计算、存储等资源服务。云计算时代，是不可阻挡的历史趋势和潮流。

云计算

云计算存在的安全隐患

外部攻击 密码泄露 配置漏洞 内部盗用

外部威胁 内部隐患威胁

目前云安全产品：抵抗网络攻击和病毒防护。

需要填补的安全隐患：在身份认证、数据保护、镜像安全、密钥管理等方面存在很大的安全风险。

云计算平台的安全需求

用户登录认证：远程登录的安全风险，现在多数采用用户名+口令、软件私

钥认证的方式

镜像文件的安全：目前多数采用HASH和软件私钥签名方式，容易伪造签名

数据加密保护：目前多数未加密或采用软件加密，密钥安全性不能保证；云

计算，云存储 高性能密码运算

多租户和虚拟化：资源共享，用户隐私；虚拟机

隔离、虚拟化安全

监管平台和网络防护：需要建立统一的监控平台，

监测平台的状态和威胁；具备网络攻击防护能力

……

云计算的安全问题

云盘问题：2016年3月31日，西安邮电大学密码技术实验室：百度、360 等国内多款云

盘被曝存严重安全隐患，Https用户认证、数据传输、存储、访问等安全问题， ……

OpenSSL漏洞：

2014年4月8日，OpenSSL的大漏洞——“heartbleed”，意思是“心脏流血”——

代表着最致命的内伤。黑客可能盗取帐号密码、登陆认证cookies、网银密钥等私密数据。

Dual_EC_DRBG(双椭圆确定性随机数生成器）是NIST制定的一个标准， 这里面存在

一个很隐蔽的缺陷使得攻击者能够解密数据。

2016年3月2日，OpenSSL官方发布Drown漏洞——Decrypting RSA with Obsolete

and Weakened Encryption，全球33%以上的Https服务器受影响。

软件密码算法实现和密钥管理：Openstack等软件算法实现，RSA私钥文件的不安全性，

运算过程中内存中的密钥易泄露。

目录

一、云计算时代的安全需求

二、我国自主可控信息安全技术历程

三、云剑——云安全解决方案

四、得安公司和轻元公司

自主可控的信息安全技术

标准和规范：全国信息安全标准化技术委员会（简称信息安全标委会，

TC260），WG1~WG7工作组，WG3-密码技术工作组

密码算法和协议：SM1对称密码算法、SM2椭圆曲线公钥密码算法、SM3

密码杂凑算法、SM4对称密码算法，IPSec，SSL协议等

核心技术和产品：密码芯片、PCI密码卡、服务器密码机、金融数据密码机、

签名验签服务器、CA数字认证系统、智能IC卡、智能密钥钥匙等

信息安全解决方案：密码服务平台、远程数据传输、数据安全存储、身份认

证和授权等

可信计算体系：TPCM/TCM可信基，《可信计算体系结构》等多项联盟标

准的制定。

国产自主可靠密码算法

HASH杂凑函数（SM3）

单向函数

随机序列

伪随机序列

公钥加密算法（SM2-3）

数字签名算法（SM2-1）

密钥协商协议（SM2-2）

无密钥

对称密码

公钥密码

密码算法

对称密码算法（SM1、SM4）

消息认证码(MACs)

SHA-1

SHA256

MD5

AES

DES

IDEA

RSA

ECDSA

ECDH

目录

一、云计算时代的安全需求

二、我国自主可控信息安全技术历程

三、云剑——云安全解决方案

四、得安公司和轻元公司

云剑：第一个全方位云安全解决方案

外部攻击防护

• 边界保护和接入安全• 漏洞扫描和实时修复• 实时监测和应急响应• 黑客攻击和DDoS防护

用户数据安全

• 控制台/虚拟机双因素身份认证

• 镜像文件安全认证• 高强度、高性能数据加

密保护• 核心数据防篡改认证

数据中心安全

• 云基础平台（虚拟机等）安全隔离和监控

• 应用层安全漏洞扫描• 授权管理和行为审计• 安全策略和持续监控

以国产密码技术（SM2、SM3、SM4算法）为基础，以可信计算体系为核心，集成云密

码设备和云密钥管理系统，为用户提供硬件高速数据加密、高安全性密钥管理、镜像签

名认证、双因子认证以及虚拟机安全隔离、监控预警、安全策略等安全保障，实现对云

平台的多维度、全方位整体安全防护。

可信计算体系是保障云安全的基础和关键

可信计算体系

该方案采用了可信计算体系，以可信平台控制模块（TPCM+TCM）为信任根，以可信主板为平台，

以可信软件为核心，以可信网络连接作为纽带，实现完整的可信链条传递，以主动度量控制、应用

透明的方式提供可信保障，建立自我防护、主动免疫保护的框架，为实现云计算安全提供技术支撑。

计算虚拟机

镜像

物理机

存储硬盘 快照/备份 共享存储

对象存储 冷存储

网络公网IP 子网 路由器

防火墙 负载均衡 跨中心连接

数据库MySQL PostgreSQL MongoDB

Neo4j OrientDB

容器镜像仓库 容器集群 Docker

消息与服务集成消息队列 服务总线

社交与通知Email 短消息 微信

手机 微博

大数据Hadoop Spark

Storm

服务编排应用构建 应用目录

混合编排

弹性伸缩

集群自动部署

持续集成

滚动升级

镜像构建

Solr

用户和开发者工具API SDK CLI 应用开发工具

缓存

Redis Memcache

RPC服务 服务发现

认证

用户管理

计费

授权

账户管理

消息通知

工单

灰度发布

计算机架构x86 ARM

PowerPC

存储后端技术LVM Ceph GlusterFS

SAN SSD

虚拟网络技术和SDN技术VxLAN Geneve Calico

VLAN Flannel SDN交换机SAS/SATA

服务组件安装

系统管理

系统管理

系统备份恢复

日志

监控

归档

垃圾清理

监控日志

告警

用户数据安全

云加固

数据中心安全

外部攻击防护

多维云安全

多中心

混合云管理

应用迁移

异地容灾

异构云

异构伸缩

双因素认证和整体防护

物理机 物理机 物理机

虚拟机

得安密码云服务

金融

系统安全防护

访问控制

政务 电商

交通

抗DDoS攻击防护

医疗教育

控制台双因素认证（SSL/TLS加密）

USB密钥虚拟机

虚拟机 虚拟机

虚拟机 虚拟机

虚拟机 虚拟机

虚拟机 虚拟机

虚拟机 虚拟机

虚拟机双因素认证（SSH加密）

互联网

用户名/密码

生成证书

注入证书

云平台用户轻元加固云数据中心管理平台

镜像文件签名验证

应用安全扫描

授权管理和行为审计

安全策略和持续监控

数据加密

边界保护和介入安全

应用安全防护

游戏

多媒体 智能制造

镜像签名验证服务

物理机 物理机 物理机

虚拟机

得安密码云服务

轻元加固云数据中心管理平台

USB签名密钥虚拟机

虚拟机 虚拟机

虚拟机 虚拟机

虚拟机 虚拟机

虚拟机 虚拟机

虚拟机 虚拟机

互联网

验证签名

云平台用户

计算服务 证书管理服务镜像服务

存储服务 ……服务 用户管理服务

导入证书

上载镜像

启动虚拟机

启动前验证

高强度、高性能数据加密服务

得安密码云服务

轻元加固云数据中心管理平台

互联网/Internet

对象存储服务

…

…

共享文件存储服务

虚拟机硬盘存储服务

客户端：GUI/CLI/API SDK

视频监控系统的安全风险

视频监控系统的安全风险

摄像头等设备的安全接入和控制：存在被黑客远程控制摄像头、

非法获取视频资料、非法接入监控设备等安全风险。

视频信息的网络传输安全：视频信息从摄像头到监控系统的传输过程中，经过

了互联网的很多个路由器和交换机，存在被黑客非法截获视频信息的风险。

视频信息的存储安全：视频信息存储在SAN等存储

设备中，必须通过加密保证存储数据的保密性。

建立CA数字认证系统：为视频监控系统建立一个统一的CA数字认证系统，向每一个摄

像头等设备颁发一个唯一的数字证书，每一个设备接入监控系统时需要进行识别和认

证，防止非法接入和黑客攻击。

实现视频信息的加密传输：视频信息从摄像头到分局监控系统、市局监控系统的传输

过程中，实现点到点的加密传输，保证攻击者不能截

获视频信息的内容。

监控系统平台安全：采用防火墙、入侵检测系统、防病毒

系统、安全审计系统实现对整个监控平台的系统防护。

实现视频信息的加密存储安全：采用高性能的加密算法，将

视频信息加密后存储在SAN等存储设备中，保证存储数据的

保密性。

视频监控系统的安全解决方案

工控系统安全解决方案

本方案主要结合我国现有工业控制系统的特点和安全问题，分析控制系统的要求及其面临

的威胁和攻击，从终端身份认证、数据安全传输和存储安全等方面提出整体的安全解决方案，

可以广泛应用到电力、石化、交通、能源、市政以及制造业等涉及国计民生的重要行业中。

方案优势

1、采用国产密码算法SM1、SM2、SM3、SM4等，保证数据的完整性和机密性；

2、采用数字证书和认证技术，实现工控设备之间的身份认证和密钥协商等功能；

3、利用数据加密和密码杂凑算法，实现工控系统的数据传输的保密性和完整性；

4、支持统一的密钥管理功能，实现对整个工控系统的密钥管理；

5、通过密码控制模块实现终端身份认证、控制指令的安全下发，相关数据的安全上报。

工控系统安全解决方案

密码控制模块

高性能密码运算和密钥管理

SM2椭圆曲线密码算法快速实现：高速椭圆曲线点乘运算

FPGA芯片、X86 CPU、嵌入式CPU的实现

数字签名和验签速度的一致性

SM3、SM4算法的快速实现

密钥生成的安全性，弱密钥问题

密钥存储的安全性，秘密共享机制

密钥的前向安全性和管理机制

密钥销毁的安全性

50多种密码产品体系

PCI/PCI-E密码卡：SJY02、SJY03、SJY02-A、SJY03-A/B/C/D/E、SJY109、SJK0814-

A/B、SJK1220、SJK1555 密码卡

服务器密码机：SJY05、SJY05-A/B/C/D、SJJ0929、SJJ1206、SJJ1540服务器密码机、

SJJ1542金融数据密码机

签名验签服务器：SRJ1201、SRJ1310签名验签服务器

智能IC卡/SD卡：SIC02智能IC卡、SJK1123智能IC卡、智能SD卡、IC卡读卡器

智能密码钥匙：SZD13-A/B/C/D/E智能密码钥匙、SJK1124智能密码钥匙

CA认证系统类： SRQ24数字认证系统、SZT1106数字证书认证系统

密钥管理系统：SMG02密钥管理系统、SYT1109密钥管理系统

IPSec VPN：SJW60 VPN网关机、SJJ0807 VPN网关机、SQY21 VPN客户端

应用安全类： 云安全密码服务平台、SHR1101安全中间件、电子签章系统、安全U盘系统、

得安终端安全登录与文件保护系统

得安密码服务平台成功案例

已经应用于中国建设银行、中国邮政储蓄银行等多家金融单位，是国内最成熟、应用最广泛的

密码安全服务平台，荣获中国建设银行金融科技进步一等奖和中国人民银行科技发展三等奖。

成功案例1：中国建设银行密码安全服务平台项目

从2004年-2012年完成密码服务平台五年开发，2012年到2015年已完成新一代三期期项目的

建设。平台目前已经在建行一百多个信息系统中推广应用。

成功案例2：中国邮政储蓄银行POS业务系统项目

从2009年开始密码安全服务平台开始在中国邮政储蓄银行POS系统、手机银行、全国逻辑集中

等推广，已经完成全国包括35个一级省行、门户网站、IC卡系统、储蓄全国中心等系统的上线。

中国建设银行重大客户项目 中国建设银行网上银行项目

中国建设银行密码服务平台（2004年—） 中国建设银行总行现金管理平台系统

中国建设银行总行应用整合平台系统 中国建设银行总行统一认证授权平台系统

中国邮政储蓄银行总行POS系统 中国邮政储蓄银行总行手机银行系统

陕西省农信合项目 ……

目录

一、云计算平台的安全需求

二、我国自主可控信息安全技术历程

三、云剑——云安全解决方案

四、得安公司和轻元公司

国家密码管理局首批认定的商用密码科研、生产定点单位和销售许可单位

国家工信部认定的信息系统集成资质单位

国家保密局认定的涉密系统集成资质单位

中国信息安全测评中心认定的信息安全服务资质单位

通过了CMMI三级资质认证、ISO9001质量管理体系认证

国家规划布局内重点软件企业、国家火炬计划软件产业基地骨干企业

可信计算产业联盟副理事长单位

中国网络空间安全协会第一届理事单位

中国密码学会理事单位、中国计算机学会计算机安全专委会常委单位

得安公司

得安公司

得安成立于1997年，是国家首批认定的七家商用密码科研、生产定点单位和销售许可单位之一

商用密码领域第一个产品批号：自主研发的“SMS100-1网络安全平台” （商密鉴字第【1】号） 是

国内第一个通过国家密码管理机构鉴定的商用密码系统，在中国证券登记结算公司等系统中使用。

商用密码行业第一个国家级奖项：荣获国家科技进步三等奖，是国内商用密码领域第一个获得国家级

奖励的项目。

我国第一代商用密码卡和密码机 ：自主研发的SJY02/03密码卡、SJY05服务器密码机，是我国第一

代商用PKI密码卡和密码机，在中国建设银行网上银行、重客项目等项目中成功应用。

得安公司

2007年—2008年，得安公司研制出了我国第一批支持国产标准密码算法SM1、SM2、SM3算法的

PCI密码卡和服务器密码机产品，获得国家密码科技进步二等奖。

2012年，得安公司牵头制定的《密码应用标识规范》作为我国第一批密码行业标准进行颁布，以及

《服务器密码机技术规范》、《签名验签服务器技术规范》、《IPSec VPN技术规范(修订版)》等

30多项国家标准、行业标准的制定。

2004年开始，研发了我国金融领域第一个密码服务平台，已经成功在中国建设银行总行、中国邮政

储蓄银行总行成功应用，是国内最早的、最先进的面向金融领域的密码服务平台。该项目获得了中国

建设银行科技进步二等奖、中国人民银行科技进步三等奖。

轻元公司简介

• 美国微软、美国威睿公司总部核心研发成员回国创办。

• 研发了全球第一个容器和虚拟机组合服务、统一管理的新一代云计算平台

• 该产品荣获工信部颁发的2016年最佳云计算产品云帆奖

• 获得了14项国际领先的软件著作权专利。• 纯内资公司，获得著名国企和基金的数千万人民币天使轮投资。

THANKS

值得用户信任的信息安全顾问