凯时K66

解决方案

客户案例
客户案例
客户案例
客户案例

   国产密码应用方案   

密改背景

随着《中华人民共和国网络安全法》、《中华人民共和国密码法》、“GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》”、“GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》”等一系列法规标准的发布、密码应用已上升至国家安全的战略高度。密码是国之重器、在网络安全防护中具有不可替代的重要作用,是保障网络安全的核心技术和基础支撑。

密改建设前案例

网络安全已经初步实现,外接设备,但关键节点缺乏密码设备保障; 移动终端接入安全强度不够,无法满足用户业务系统扩展对安全方面的需求,传统的TF卡。

密改建设后案例

凯时K66提供全面的密码产品支持;

凯时K66提供VPN安全网关、软密钥(协同签名)系统,实现移动终端的国产密码算法认证改造;

凯时K66提供密码服务平台。满足密评要求,合理分配硬件物理密码设备,提供密改解决方案,提供统一的、标准的、高性能的签名验签服务、数据加解密服务。

解决方案
密码应用一站式闭环服务

提供密码应用安全咨询、密码应用方案规划与设计、密码应用安全性评估(合作方)、密码应用整改、密码应用工程交付、密码应用服务、运维等密码应用一站式闭环服务。

灵活开放的合作方式

支持的合作方式包括但不限于:系统建设/整改、应用咨询、委托;运营、联合运营、按需服务等。

应用方案

凯时K66提供完整的密码产品,可针对“密评”中的技术要求提供对应的密码产品与服务。

   零信任解决方案   

方案概述

凯时K66基于“零信任”的网络安全概念、达到用户最小权限和安全访问控制的目的,为用户构建零信任安全访问体系,通过安全隧道和单包认证技术、动态访问控制、统一权限管理、风险引擎、策略分析等服务,在公司应用访问控制、密码产品和身份治理技术积累的基础上,遵循“持续验证,为政府机构、金融、制造业、教育、医疗和地产等行业的数字化转型保驾护航,永不信任”的安全理念。

零信任体系架构

以安全隧道、单包认证技术为基础、以用户身份为核心,重构访问控制的信任基础,坚持权限最小化原则,通过风险预警、动态权限等服务进行身份访问控制。

▶ 业务资源隐身、重塑安全边界——企业资源隐藏在ET-SDP网关后面,暴露面为“0”。

▶ 多种认证方式满足复杂业务场景——凯时K66零信任解决方案支持用户名口令认证、UKey认证、短信认证、扫码认证和人脸、指纹等生物特征认证方式,同时可根据用户环境进行动态认证。

▶ 风险预警、动态权限等服务为安全保驾护航——终端动态感知识别环境安全状况,根据用户行为和环境安全评估进行风险预警,实现权限动态处理和动态认证,降低安全风险

身份治理经验

凯时K66自03年成立以来,实现了用户电子身份的全生命周期管理,经过多年的创新实践与经验积累,用户入职、兼职、借调、离职等生命周期中关键节点全自动化处理,不断进行产品完善。

▶ 身份治理经验丰富——多年身份治理经验,行业龙头用户认可。

▶ 用户数据中台——业务系统对接。赋能数字化建设,避免组织机构重复建设,保护数据安全,解决信息孤岛、僵尸账号等问题,降低信息泄露风险。

▶ 数据稽查和自动化运维——数据治理更加方便快捷的同时。进一步保护数据安全,通过风险识别和自动化处理。

密码技术基座

凯时K66零信任解决方案以多年密码技术积累为基础、结合密码服务平台,提供加解密服务、签名验签服务和数字证书等服务,打造企业数据安全的坚实底座。

通过集成凯时K66密码服务平台、确保被保护资源的身份鉴别安全、数据完整性、数据机密性和操作的不可否认性。既可以通过数字证书的应用、结合多种认证方式,还可以为零信任方案提供安全底座和信任基础,保证企业运行的安全,赋能零信任解决方案,有效提升零信任体系实施效率,增加零信任解决方案的易用性。

体系架构
产品优势

丰富认证方式满足多种场景

用户名口令认证、UKey认证、短信认证、移动认证、扫码认证、人脸和指纹等多种认证方式

组织数据统一治理满足集团应用

用户电子身份全生命周期管理;虚拟组织满足下游各种业务场景;数据稽核保证数据一致性;全流程自动化处理

预设工作流贴合企业业务

预设多种工作流处理,支持相关工作流业务咨询和调研定制

风险引擎为安全保驾护航

提供实时风险预警、并进行风险自动化处理,降低用户风险,扫除潜在威胁

动态权限实现运维自动化

ABAC 和 RBAC 授权方式;用户组和组织机构授权;动态权限;统一权限视图;权限互斥策略预警

员工自服务提高运维效率

支持员工在账号、信息、权限、密码等方面的自助服务,有效提高用户整体使用流程的效率

应用方案

应用场景一 复杂场景下安全访问控制

应用场景二 统一身份治理和集中管控

   安全保密应用场景   

终端身份鉴别

① 部署凯时K66身份鉴别系统后,插入USBKey,输入PIN码,登录终端操作系统;

② 通过单点登录集成,实现一把Key登录后,免登录访问所有信任应用系统,比如门户、OA、邮件等;

③ 拔除USBKey,终端系统将立即登出账号并自动锁屏。

终端文件使用

① 通过部署凯时K66电子文件密级标志管理系统,可以对历史文件批量定密。

② 对于新增文件通过关闭文件时强制标密、打开文件时提醒标密或手动标密三种标密方式、确保密级标志与电子文件不可分离,非授权的修改不可访问。

③ 系统内嵌AI智能分析识别引擎。通过对关键字和语义的深度学习,辅助用户准确定密。

文件流转

凯时K66安全增强电子邮件系统对内网邮件收发及通过邮件流转的文件进行密级流向控制,包括:

①用户、邮件、附件分别设置密级和密级匹配关系,动态匹配符合密级的接收人;

②检测附件是否标密。未标密禁止上传,禁止向低密级邮件上传高密级附件。

文件管理

通过凯时K66电子文档安全管理系统,可以解决以下问题:

①通过文档库功能,实现内网文件分级分类集中存储和安全分享;

②通过自动同步功能,实现终端文件自动备份;

③通过文件细粒度权限控制功能,实现对文件的访问控制。

文件管控

① 通过使用凯时K66电子文件密级标志管理系统,能够对文件流转进行密级控制和知悉范围控制

② 通过使用凯时K66文档发文信息隐写溯源系统,对流转文档添加隐写溯源信息,在不影响阅读使用的前提下,实现对电子文档、纸质打印文档、扫描文档、拍照、截屏等形式的文件进行泄密源头追溯;

③ 通过应用集成接口,为各类业务系统的流转文件提供水印、隐写溯源服务。

   商业秘密与敏感信息保护   

建立企业商密数据管理体系

  • 梳理商业秘密范围目录

    根据管理办法要求,梳理建立本单位商业秘密范围及目录。

  • 通过技术手段添加标识

    通过辅助标识技术,依据范围目录实现电子文档资料的标识。

  • 商业秘密电子文件管理

    电子文档标识,标识规范与商业秘密管理制度相结合。

  • 商业秘密纸质文件管理

    纸质标识,标识规范与商业秘密管理制度相结合。

商业秘密防护体系

▶ 制度体系:商业秘密安全防护需要建立商业秘密制度、商业秘密范围、商业秘密定密等基础规范体系。

▶ 防护体系:商业秘密安全防护需要建立覆盖全生命周期商业秘密信息安全的技术防护体系。

▶ 管理体系:商业秘密安全防护需要建立宣传教育、监督检查、审计追踪的管理体系。

▶ 全面覆盖:商业秘密安全防护需要建立能形成闭环的完整的制度规范体系、防护体系、管理体系。

高敏感信息防护策略:

适合对数据安全保密有严格要求的企业或企业内部的生产设计部门。存储和流转的敏感数据全部采用加密防护,是最严格安全的管理方案,外发文件必须经过审批。 其优点是几乎可以解决所有因文件产生的泄密问题。

保护对象:高敏感信息文件

选配套件:
  • ■ 企业网络身份认证管理套件
  • ■ 商密文件态势感知套件
  • ■ 文件安全交互套件
  • ■ 商密文件标识管理套件
  • ■ 企业云盘套件
  • ■ 服务开发平台

低敏感信息防护策略:

适用于企业管理者要在安全生产和生产效率间保持平衡。如企业的销售团队、售后服务团队、技术支撑团队,内松外紧的管理方式,强化文件外发后的安全保护能力,简化企业内部的管理制度和流程。内部操作灵活不影响生成办公、外部管理严格防止数据泄密和盗用。

保护对象:中低敏感信息文件

选配套件:
  • ■ 企业网络身份认证管理套件
  • ■ 商密文件标识管理套件
  • ■ 商密文件态势感知套件
  • ■ 溯源水印管理套件
  • ■ 企业云盘套件
  • ■ 文件安全交互套件

权限灵活、以审计和水印为主:

▶ 操作审计:对用户的操作审计追踪,查看指定用户在指定时间段内商密文件的所有操作内容。

▶ 文件审计:对文件的操作审计追踪,查看指定商密文件在指定时间段内有哪些用户对其进行了哪些操作。

▶ 载体审计:对商业秘密载体流转进行审计追踪,查看商业秘密载体是否按制度要求落地执行。

▶ 系统审计:对商业秘密信息系统访问操作进行审计追踪,查看是否有违规操作情况发生。

非敏感信息防护策略:

适用于企业中基本不掌握核心数据,还原文件使用和流转轨迹,记录文件的全生命周期使用过程,监控审计为主的管理方案,如公司前台、市场部、行政部等,但时常与外单位文件交互的部门和团队。操作灵活、无感知、监控审计记录完整、可追溯可还原度高。

保护对象:非密文件、公开文件

选配套件:
  • ■ 商密文件态势感知套件
  • ■ 溯源水印管理套件

文件操作记录&备份、文件流转轨迹:

▶ 文件监测:对OA流转与应用中的商密文件进行监测。监测商密文件定密和授权情况,对违规使用行为报警。

▶ 系统监测:对存储在终端、服务器、数据库、存储等设备中的商密文件进行监测。

▶ 管理检查:对单位商业秘密的制度执行、定密规范、商业秘密载体管理、商业秘密人员管理等进行检查。

▶ 防护检查:对商业秘密信息系统、商业秘密存储销毁、商业秘密活动等进行检查。

   4A 管理应用场景   

  • 统一身份

    对接统一企业内外部的组织架构、人员信息,达到One ID标识用户,打破账号分散管理。

  • 统一认证

    实现认证标准统一,覆盖所有系统,认证方式丰富用户访问便捷,达到One Auth一次认证。

  • 统一鉴权

    对接用户及资源的权限关系、具备精细化权限管理能力,实现业务域内统一授权。

  • 统一审计

    统一对系统使用及系统维护进行操作审计。建立资源访问全过程的审计机制 ,实现“操作留痕”。

统一身份管理:身份集中,自动化管理

● 实现账号一键创建、一键回收管理

系统与人事事件联动、离职一键销毁等用户全生命周期管理场景,基于用户入、离、转、调等操作对应用账号的自动化同步,实现入职一键开通。

● 提升身份识别、账号合规管理能力

基于用户可信身份识别、对应用内有效账号、孤儿账号、僵尸账号有效识别及分类处理,实现应用账号合规管理。

目标:解决由于账号管理分散导致的账号失联、孤儿账号、一人多账号和账号之间的关联度不高的问题,达到One ID用户标识,实现账号的集中统一管理。

统一身份认证:丰富认证手段,实现动态调度

● 实现One Auth服务

统一密码,一次登录即可访问有权限的应用。

● 丰富认证手段

实现移动、PC端交互认证能力,增加动态口令\二维码扫描移动端认证、人脸、指纹生物增强认证等方式。

● 实现认证方式可配置可管

实现基于不同访问场景的认证方式可管可配。

目标: ● 提供多身份认证方式 ● 实现认证入口统一 ● 实现多认证方式实时调度

统一授权管理:一站完成授权,全程安全管控

● 实现用户统一授权

实现基于不同的授权管理模型,让用户一站访问权限范围内的域内所有应用。

● 实现用户行为监控,风险联动

实现用户访问行为的风险采集、风险建模及风险评估,实现基于用户行为风险的访问控制动态监控。

目标: ● 实现集中访问入口控制 ● 提升访问策略控制能力 ● 提升风险行为实时监测能力

统一审计管理:增强安全审计,行为可追溯

● 提升身份管理轨迹审计追溯能力

建立管理员管理过程的审计机制。记录身份管理行为轨迹,实现对管理行为的审计和变更轨迹追溯。

● 提升审计追溯能力

以用户身份为主线的访问行为的全流程采集、为业务安全运营保驾护航,有效杜绝共用账号、一人多账、权限未及时撤消、违规操作等安全隐患,实现用户从登录、业务操作等所有环节将被审计。

目标:● 建立端到端全访问过程的审计机制 ,实现“操作留痕”。

● 解决用户审计体系中存在的用户操作越权、操作追溯等审计数据不充分问题,实现用户操作全过程审计,防止用户操作生命周期审计断线。