《信息安全产品研发项目阶段总结报告.docx》由会员分享,可在线阅读,更多相关《信息安全产品研发项目阶段总结报告.docx(38页珍藏版)》请在第一文库网上搜索。
1、交流材料创新成果信息安全产品研发项目阶段总结报告2021年7月10日一、项目概况二、主要研究内容及考核指标三、合同执行情况四、阶段研究成果五、知识产权及经费使用情况六、存在问题及下一步工作安排附件1:项目阶段检查情况表附件2、外协课题阶段总结报告(附检查意见)附件3、测试(试验)报告1、项目概况1.1 项目基本信息项目基本信息申报项目名称产品研发项目承担单位及负责人牵头单位信息安全研发部负责人外协单位经费预算总预算(万)外协(万)项目起止时间开始时间结束时间项目类别自立科研项目1.2 项目背景1.2.1 生产需求未来几年,一方面,随着信息系统对业务支撑作用越来越大,信息系统中承载的关键业务数据
2、越来越多,数据的安全保护变得越发重要,以密码技术、PKI技术为核心的应用/数据安全软硬件产品及技术服务需求大增;另一方面,在海外网络、网络安全域、物联网基础网络建设方面,对于网络安全产品需求量进一步加大。主要体现在如下几方面:应用加密机:集团各信息系统承载着越来越多诸如勘探开发研究成果、油气储运动态等敏感数据,数据外泄影响巨大;同时云计算、大数据等技术的应用,使得数据趋于集中化,而移动应用又使得数据更分散,这些新的变化导致数据保护难度加大。通过硬件加密机在服务端对关键数据进行加密是数据保护是最有效手段之一,因此硬件加密机具有非常广阔的市场需求。同时以加密机为基础平台,通过与软件的结合,可延伸出
3、一系列一体化硬件产品;应用安全开发套件:结合服务端硬件加密机以及客户端各种密码设备(UKey、SDKey、认证设备等)的密码技术应用实现强身份认证、数据完整性、数据保密性、抗抵赖等安全功能是一个极其复杂的过程,而且使用不当,会造成密码技术理论强度降低的安全风险。一套好的应用安全开发套件将能很好的屏蔽复杂的密码应用细节,加快推广密码应用技术与应用系统建设的结合,提升集团信息系统的整体信息安全防护能力。更可以作为凯捷内部基础技术库,供所有需要用到加解密技术的软硬件产品使用;安全认证网关:集团身份管理与认证项目目前已发放USB Key30多万,按集团计划,未来会继续在邮件等系统推广USB Key强身
4、份认证等,随着用户逐步习惯PC及移动端硬件数字证书,未来大量地区公司自建系统需要和身份认证系统集成。将应用加密机和身份认证网关结合的一体化安全认证网关,易于部署和管理,安全可靠,可直接销售给地区公司,并同时带动统一认证集成服务;安全邮件客户端:集团邮件系统承载了大量涉及财务信息、技术方案等企业敏感信息,邮件泄密事件时有发生,集团公司非常希望能够结合数字证书等技术,通过强身份认证、数据加密/签名等保障邮件安全性;网络安全产品:防火墙、链路加密机、VPN等网络安全硬件产品是集团信息化与信息安全建设的必要基础设施,根据国家加强信息安全自主可控的政策要求,集团公司希望凯捷通过与外协单位开展合作,采用引
5、进研发等方式,逐步形成具有自主知识产权的网络安全硬件产品,同时培养一支具备产品再创新与定制化开发能力的技术团队。L2.2行业现状应用加密机一一产品技术成熟,但和行业应用结合的还较少,随着未来对数据安全保护需求的增加,未来和行业应用结合将会有很大市场空间;安全开发套件一一目前市场上部分信息安全厂商有一些密码应用的函数库、接口库等,但基本都与厂商自家产品结合紧密,扩展性较差,无法满足应用系统对密码技术使用的要求;安全认证网关一一市场上没有能够与集团身份认证体系结合的认证网关产品;安全邮件客户端一一市场上已有一些相关产品,但由于很少有企业将PKI、硬件证书应用的像集团这样普及,因此基于PKI的安全邮
6、件客户端规模化应用案例还很少。集团具备应用的基础,将已有产品和集团PK1以及相关管理机制等结合定制,具有很好的应用前景;网络安全硬件产品(防火墙、链路加密机、VPN) 一一技术及产品功能相对成熟,在内部也有大量使用;但随着集团信息安全整体防护水平和检测能力的提升,信息安全运行中心项目的开展,此类安全产品均需进行一定的客户化开发,因此也为凯捷自定义开发此类产品预留了很好的空间。1.2.3 公司技术现状信息安全板块在信息安全基础技术、信息安全规划、应用安全、信息安全项目建设与运维、软硬件开发等相关领域积累了多年经验,具备企业级信息安全规划设计、密码技术应用、软硬件设计与开发能力。具体表现为:熟练掌
7、握PKI技术及其应用一一板块承担了集团公司身份管理与认证系统建设及运维工作,掌握了基于PKI技术的信息安全应用,如身份认证、数字签名、数据加解密、信源加密、数据传输加密等;熟练掌握各种网络安全硬件设备的使用一一板块近年来承担了集团网络安全域项目和海外网络建设,具备一批熟悉网络技术及网络安全技术的技术人员。掌握了多种防火墙、链路加密机与VPN硬件产品的部署、安装、调试、管理和维护的方法,了解了相关产品的功能及技术指标;具备加密机及安全认证网关的部署、配置、运维、调优等方面的能力和经验;应用安全管理方法论作为理论依据一一板块经过多年安全项目经验积累,总结了一套成熟的应用安全管理方法论,该方法论已经
8、在多个安全项目中经过验证,对应用安全管理具有很强的指导性。L2.4研究条件1、人员和组织保障:板块有安全技术总监1人,板块有信息安全技术部、应用部、研发部等部门,共计10余人;板块在多年信息安全项目实施过程中,积累一批具有丰富经验的信息安全需求分析、安全测试、系统实施人员;针对本次研发的各产品,均有熟悉相关业务的需求人员进行需求的收集与分析,有技术人员参与产品的设计、开发与测试验证等工作。2、软硬件保障:信息安全板块承担了集团网络安全域、海外网络、身份管理与认证、PKI/CA等项目或系统的建设及运维工作,对应系统均有开发测试环境,可供为本项目研发产品提供测试与验证环境;项目组有USB Key、
9、服务器密码机、SD Key认证设备等硬件加密设备,可供研究测试使用;身份认证平台的认证软件已在集团范围内无限期授权使用,作为此次研究的软件基础;项目组已在一款开源的Android邮件客户端的基础上,依托于集团PKI体系,实现与集团数字证书结合,为此次研究提供实践经验。1.2.4 目标针对集团信息安全建设过程中对信息安全软硬件产品的需求,拟有针对性的研发如下信息安全软硬件产品:1)应用加密机2)应用安全开发套件3)安全认证网关4)邮件客户端产品5)防火墙6)链路加密机1.1 VPN8)集成安全模块的工业级手持智能终端(产品化)2、主要研究内容及考核指标1.2 主要研究内容本项目研究内容主要包含如
10、下几部分:a)应用加密机安装调试完整版Linux操作系统,并进行安全加固,同时将加密机内部密钥管理、密码卡调用等复杂过程进行屏蔽,便于后续与应用结合,形成各种硬件产品;A加密机和集团PKI/CA系统集成,定制相关接口;设计、开发加密机管理程序(如:密钥管理、初始化管理等);收集分析应用对计算能力、网络吞吐量等性能方面的需求、从硬件(如:CPU、内存、网卡等)方面定义几款不同档次的硬件加密机;加密机外观设计、包装配件等的定制。b)应用安全开发套件针对各种密码技术应用场景,收集开发套件需求;设计开发套件的总体框架,充分考虑架构的先进性、灵活性及可扩展性;A开发已有密码设备的适配器,封装底层硬件密码
11、设备接口,满足应用对硬件密码设备的调用需求;提供面向对象层级的基础密码算法服务,支持Java. C#、Object-c等多种开发语言,适用于Linux、Windows、iOS、Android等不同平台;A抽象整合基础密码服务,为上层应用提供高级安全应用服务接口,如加密存储,数字信封等。c)安全认证网关安全认证网关在加密机中的安装调试,对认证网关软件做性能优化;对安全认证网关的底层操作系统进行安全加固,系统最小化裁剪;可扩展的网络服务接口及密钥管理接口的开发;认证网关软件与硬件加密机接口调用开发;现有数字证书在安全认证网关中的导入、应用;安全认证网关管理平台的设计、开发;安全认证网关的外观设计、
12、包装配件的定制。d)安全邮件客户端产品研究实现Android、iOS、PC用户使用邮件客户端时的用户强身份认证功能;实现邮件正文/附件数据加解密功能;A解决一个用户使用PC数字证书与移动证书时的互联互通问题;从功能及用户体验等方面对邮件客户端进行优化完善。e)防火墙收集整理防火墙产品在应用中的需求,完成产品规格定义;定制、开发并实现访问控制、统一策略管理及虚拟化支持等实际需求的功能;防火墙管理平台的设计、开发;防火墙外观设计及开模。f)链路加密机收集整理链路加密机产品在应用中的需求,完成产品规格定义;定制、开发并实现安全集中管理(密钥管理、策略管理)、远程密钥分发管理等功能;链路加密机管理平台
13、的设计、开发;链路加密机外观设计及开模。g) VPNA收集整理VPN产品在应用中的需求,完成产品规格定义; VPN定制功能的开发; VPN管理平台的设计、开发; VPN外观设计及开模。h)集成安全模块的工业级手持智能终端(产品化)从硬件、固件、软件层面对手持智能终端产品(手板样机)进行外观、安全性、功耗、功能、UI及用户体验等方面进行优化完善;按工业级设计标准对终端进行建模、开模、修模;对终端样机进行可靠性、稳定性及安全性测试,使终端能够达到量产及大规模推广使用的要求。1.3 考核指标221考核指标主要内容及考核指标主要工作量及研究内容考核指标1)整理安全邮件客户端和应用安全开发套件需求2)与
14、技术提供商就安全邮件客户端与应用开发套件进行前期技术交流,确定初步方案3)收集整理应用加密机定制化需求4)收集整理网络安全硬件产品定制化需求1)完成应用加密机定制化需求文档2)完成网络安全硬件产品的定制化需求文档5)对安全邮件客户端及应用开发套件进行整体设计6)安全邮件客户端及应用开发套件定制化开发及测试7)对应用加密机进行定制化开发及测试8)对应用加密机进行外观设计,并进行样机生产9)对安全认证网关进行需求分析与产品定义10)对安全认证网关进行设计研发,并进行样机生产3)完成安全邮件客户端及应用开发套件整体设计方案4)发布安全邮件客户端及应用开发套件Beta版5)完成应用加密机的软件开发6)完成应用加密机的样机生产7)完成安全认证网关的产品定义8)完成安全应用网关样机生产11)对安全邮件客户端及应用开发套件进行用户试验,并进行更新完善12)对应用加密机进行整机测试,并对其功能进行修改完善13)对网络安全硬件产品进行定制化开发及测试,并进行样机外观设计及生产9)发布安全邮件客户端及应用开发套件VL0版10)完成加密机测