卫士通证书密钥管理系统技术白皮书

WESTONE技术白皮书系列计算机安全模块系列技术白皮书Chengdu Westone Information Inc, Co.成都卫士通信息产业股份有限公司目录1引言 (1)2安全需求分析 (1)3系统安全性设计 (2)4系统组成和功能 (3)4.1 CA证书系统 (3)4.2 服务器密码机 (4)5设备主要技术指标 (9)5.1 CA证书系统 (9)5.1.1 功能描述 (9)5.1.2 软件性能 (10)5.2 服务器密码机 (10)5.3 PCI数据安全卡主要技术指标 (11)5.4 桌面密码机主要技术指标 (12)5.5 安全PC卡技术指标 (13)5.5.1 物理接口 (13)5.5.2 系统技术指标 (13)5.5.3 传输速率 (13)5.5.4 密码特性 (14)5.5.5 外形尺寸、质量 (14)5.5.6 环境适应性 (14)6系统基本构成简图 (14)1引言随着我国国家信息化进程的不断深化，各行业、各单位利用计算机系统和计算机网络技术进行涉密信息的处理和传送的需求越来越大，计算机安全模块系列就是我公司为此开发的系列产品。

在一个完整的应用系统中有各种计算机平台，目前通常有台式PC机、便携式PC机、工作站和服务器。

为了能利用所有这些计算机来处理涉密信息，保证存放在计算机中信息的安全保密，保证用户间通信的安全保密，进而为这个系统提供信息安全保密功能，必须有一个安全保密设备系列来为各种不同的计算机平台提供安全保密功能，因此我公司提供开发了这一系列产品。

今后随着技术的发展，我公司还将研制适合新的计算机总线技术和接口技术的设备。

为了实现在同一个系统中的互联互通性，所有这些设备具有相同的安全保密功能，区别只是所支持的总线标准和接口标准，以及与计算机的结合方式，从而可适用于不同的计算机平台。

2安全需求分析根据党政机关、金融、证券、企事业等单位在英特网上实现数据传输、电子商务所必须的安全需求分析，计算机安全模块有以下安全需求：身份鉴别：本地客户需要对远程客户进行身份鉴别。

密钥管理及安全服务系统产品白皮书2017-10目录目录1 概述 (1)1.1 产品简介 (1)1.2 产品应用 (2)1.3 系统结构 (3)2 产品功能 (4)2.1 统一密钥管理 (4)2.2 统一应用安全接口 (4)2.3 密码设备分组及负载均衡 (5)2.4 远程主密钥分发功能 (5)2.5 多算法、多厂家密码机支持 (6)2.6 分级管理，职权分离 (6)2.7 模块化设计，支持热升级 (6)3 高可用性设计 (7)3.1 集群化部署 (7)4 性能指标 (8)4.1 性能指标 (8)4.2 对称算法算法 (8)4.3 非对称算法 (8)5 软硬件配置方案 (9)5.1 服务器配置 (9)5.1.1 硬件配置 (9)5.1.2 软件配置 (9)5.1.3 客户端配置 (9)5.1.4 硬件配置 (9)5.1.5 软件配置 (10)6 成功案例 (11)1 概述1.1 产品简介密钥管理及安全服务系统是为银行各种业务系统提供交易过程中安全服务的核心系统，通过安全方案的设计和数据安全处理保障交易过程中数据的安全。

密钥管理及安全服务系统管理各种型号的密码设备，支持同时为多个业务系统提供安全服务。

支持密码设备的分组和复用，不同的业务系统可共享相同型号的密码设备，大大降低了银行在安全系统和密码设备上的投入成本。

密钥管理及安全服务系统管理业务系统安全方案中的所有密钥，提供密钥的生成、启用、更新、停用、销毁、作废、备份、恢复等功能。

密钥管理及安全服务系统为业务安全方案中的所有密钥提供流程化的管理，重要的密钥操作都需要通过领导审批才能执行，保证密钥的安全。

业务系统通过密钥管理及安全服务系统提供的联机服务接口（API）获取实时的交易安全服务，例如PIN转换、MAC生成/验证、签名生成/验证、数据加/解密、密钥联机服务等，保证交易过程中的数据安全。

相关密钥初始化完成后，业务系统就可以调用密钥管理及安全服务系统提供的API进行各种安全处理。

证书及密钥管理系统技术白皮书Westone Host Security Module Serial White Paper卫士通信息产业股份有限公司Westone Information Industry Inc.随着信息保障要求的不断提高，我们迫切需要一种能产生高质量随机数的发生设备。

众所周知，密钥、密表的随机质量直接影响加密结果的安全性，而随机数作为密钥、密表的原始素材也就显得尤为重要。

为此，卫士通信息产业股份有限公司于2003年研制成功了证书及密钥管理系统。

目前，许多银行、企事业单位安全系统已经不止一种安全产品应用于系统中。

为各种安全产品分发密钥时，密钥的载体不相同（常用的存储密钥设备有存储卡、USBkey、智能IC卡）；由于原有运行在PC机上的软件系统功能比较单一，一般是一种安全产品对应一套分发密钥的软件系统（发卡系统），这些已经越来越不适应发展的需要。

为此，将不同设备分发密钥的软件系统制作成COM控件模块挂接到证书及密钥管理系统中，这样将大大提高设备本身的扩展性能和灵活性。

1产品概述1.1产品简介证书密钥管理系统（Manage System of Certificate & Key, 简称 MSCK）是卫士通信息产业股份有限公司自主研制的证书/密钥管理工具。

该设备具有标准化、高安全、高可靠、高扩展性四大特性，其主要目是产生和分发密钥，及对用户信息和密钥进行管理，是专业的各类安全应用系统的密钥管理解决方案。

1.2产品组成1.证书及密钥管理系统1台2.智能IC卡4张3.用户手册 1本4.产品合格证1份5.装箱清单 1份1.3产品功能证书及密钥管理系统主要功能如下：系统管理系统管理是MSCK的系统管理核心，包括系统用户和系统维护两大部分。

系统用户是系统的管理者，负责和维护整个系统的正常运行。

权限控制是主管对操作员执行权限的控制。

系统维护包括系统配置（系统备份和恢复）和日志管理（登录日志和操作日志）两部分。

博睿勤数据库安全保密支撑平台(BR-SDB V2.0)技术白皮书军用信息安全产品（军密认字第0194号）商用密码产品（国密证第0129号）博睿勤技术发展有限责任公司目录1. 概述 (1)1.1. 数据库安全在信息安全中的地位 (1)1.2. 基于应用的数据库安全解决办法及弱点 (1)1.3. 博睿勤数据库安全保密支撑平台 (1)1.4. 适用领域 (2)2. 系统架构与工作原理 (2)2.1. 安全的数据库应用系统架构 (2)2.2. 总体结构与工作原理 (3)2.3. 安全子系统结构与工作原理 (4)2.4. 系统组成 (5)3. 系统功能 (5)3.1. 增强的身份鉴别过程 (5)3.2. 数据库存储加密 (6)3.3. 数据库访问通信加密 (6)3.4. 备份与恢复 (6)3.5. 其它安全功能 (6)4. 特点 (6)4.1. 安全功能应用无关 (6)4.1.1. 标准接口 (6)4.1.2. 标准SQL支持 (6)4.1.3. 加密内容可管理和配置 (7)4.2.高安全性 (7)4.2.1. 强调整体安全 (7)4.2.2. 高强度加密算法及专用芯片 (7)4.2.3. 安全的数据库加密密钥管理 (7)4.2.4. 一次一密的通信加密 (7)4.2.5. 安全的运行管理 (7)4.3. 高效率 (8)4.4.广泛的平台支持 (8)4.5.丰富的产品形态 (8)5. 性能与技术指标 (8)5.1. 硬件密码装置技术与性能指标 (8)5.2. 数据库加密总体性能指标 (9)6. 应用系统开发与移植 (9)6.1. 应用系统接口技术 (9)6.2. 已有系统移植方法和过程 (10)6.3. 应用系统开发方法和过程 (10)1.概述1.1. 数据库安全在信息安全中的地位“信息化是我国加快实现工业化和现代化的必然选择”，而信息安全问题是影响信息化进程的重要因素之一。

近年来，业界对信息安全的重要性有了很深的认识，采取了大量积极有效的措施，但都偏重于对网络和操作系统的保护，真正对数据库中的信息实施直接保护的并不多。

中国电信集团公司技术标准中国电信网络平安技术白皮书〔2021 年版〕2010-3-30 发布2010-4-10 实施中国电信集团公司发布目1.录网络平安综述............................................................................................ . (1)1.1. 2021 年网络平安态势总体状况 (1)1.2. 电信网络平安技术及应用开展动态 (2)2. 电信网络平安技术开展与应用............................................................................................ (4)2.1. 移动互联网平安............................................................................................ (4).移动终端平安............................................................................................ . (4).网络平安............................................................................................ (6).应用与内容平安............................................................................................ (7)2.2. IP 网平安 (9).承载网平安............................................................................................ .. (9).支撑系统平安............................................................................................ .. (11).应用系统平安............................................................................................ .. (12).平安管理............................................................................................ . (13).IPv6 网络演进 (16)3. 网络平安热点............................................................................................ .. (18)3.1. 云平安............................................................................................ .. (18).云计算平安............................................................................................ (18).平安云............................................................................................ .. (20)3.2. 物联网平安............................................................................................ (21)4. 网络平安设备............................................................................................ .. (22)5. 结语............................................................................................ (27)关于中国电信网络平安实验1. 网络平安综述1.1. 2021 年网络平安态势总体状况2021 年以来，国内互联网用户及应用继续保持着高速开展，据统计，2021年底我国互联网网民数量到达 3.84 亿，上网用户达 2.33 亿。

捷普安全运维管理系统Jump Gatekeeper白皮书Version 2.0西安交大捷普网络科技有限公司2014年1月目录一、运维管理面临的安全风险 (1)1.运维操作复杂度高 (1)2.运维操作不透明 (1)3.误操作给企业带来严重损失 (2)4.IT运维外包给企业带来管理风险 (2)5.法律法规的要求 (2)6.人员流动性给企业带来未知风险 (2)二、运维审计势在必行 (3)1.设备集中统一管理 (3)2.根据策略实现对操作的控制管理 (3)3.实时的操作告警及审计机制 (3)4.符合法律法规 (3)5.易部署、高可用性 (4)三、安全运维管理方案 (5)1.捷普安全运维管理系统简介 (5)2.应用环境 (6)四、系统功能 (7)1.运维事件事前防范 (7)1）完整的身份管理和认证 (7)2）灵活、细粒度的授权 (7)3）后台资源自动登录 (7)2.运维事件事中控制 (8)1）实时监控 (8)2）违规操作实时告警与阻断 (8)3.运维事件事后审计 (9)1）完整记录网络会话过程 (9)2）详尽的会话审计与回放 (9)3）完备的审计报表功能 (9)五、系统部署 (11)六、系统特点 (13)1.全面的运维审计 (13)2.更严格的审计管理 (13)3.高效的处理能力 (13)4.丰富的报表展现 (14)5.完善的系统安全设计 (14)七、产品规格参数 (15)1.参数规格 (15)2.产品功能 (15)一、运维管理面临的安全风险随着IT建设的不断深入和完善，计算机硬软件系统的运行维护已经成为了各行各业各单位领导和信息服务部门普遍关注和不堪重负的问题。

由于这是随着计算机信息技术的深入应用而产生的，因此如何进行有效的IT 运维管理，这方面的知识积累和应用技术还刚刚起步。

对这一领域的研究和探索，将具有广阔的发展前景和巨大的现实意义。

大中型企业和机构纷纷建立起庞大而复杂的IT系统，IT系统的运营、维护和管理的风险不断加大。

SJW77电力系统纵向加密认证装置(WT125-7P-AA)快捷使用指南（请在使用产品前仔细阅读本指南）卫士通信息产业股份有限公司二零一四年制目录1关于本指南32安全申明33设备及组件介绍43.1.低端产品前面板介绍43.2.低端产品后板介绍44产品配件及设备启动55本地管理软件安装步骤66设备的初始化96.1导出设备证书请求106.2导出管理员卡证书请求116.3导入根证书116.4导入设备证书126.5导入管理员卡证书，并完成初始化137使用配置指南158常见问题及疑难解答248.1常见问题248.2疑难解答268.2.1进入纵向加密认证装置命令行的方法268.2.2隧道状态、设备状态查询268.2.3网络排查（PING、SPING、TCPDUMP等）278.2.4应急处理办法289产品维护和保养281关于本指南SJW77电力系统专用纵向加密认证装置(商密局鉴定型号：SJW77网络密码机，以下统称为纵向加密认证装置)属于行业专用产品，主要部署在各级电力调度网络(见图一)中，是保护国家电力调度通讯信息基础而重要的数据加密设备。

SJW77电力系统纵向加密认证装置严格按照《电力专用加密认证装置技术规范》进行设计和开发，该设备采用专门的加密封包格式，在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。

同时也支持与其它厂家纵向加密装置互联互通。

本快速安装指南以介绍纵向加密认证装置常用功能为主，更详细的介绍与案例分析请参考《SJW77电力系统专用纵向加密认证装置用户手册》。

2安全申明➢登陆纵向加密认证装置时，需要认证管理员IC卡，IC卡丢失或使用不匹配的IC卡均会导致登陆失败，所以请妥善保管管理员IC卡。

➢为了使纵向加密认证装置能够更稳定的工作，因此本设备配备了双电源。

在设备上架后，对设备尽量使用两路供电。

➢设备上架后，将设备固定好，并连接好接地线。

3设备及组件介绍3.1.低端产品前面板介绍SJW77电力系统纵向加密认证装置前视图3.2.低端产品后板介绍SJW77电力系统纵向加密认证装置后视图4产品配件及设备启动在产品包装箱内装有电力系统纵向加密认证装置一台，交叉线三根，直连线两根，电源线两根，机箱脚垫四个，用户IC卡两张，本地管理安装光盘一张，接地线一根，浮动螺母十六套，用户手册一本，产品合格证一份，售后服务指南一份，产品装箱清单一份，用户开箱后请参见装箱清单检查配件是否齐全，然后查看设备外观是否有损坏现象，如有问题，请勿使用并及时与我公司取得联系，处理相关事宜。

T o n g T ec h®安全中间件TongSEC技术白皮书东方通科技中间件技术白皮书（9）目录1.前言 (3)1.1. 本书范围 (3)1.2. 本书读者 (3)1.3. 进一步参考资料 (3)2. 引言 (3)3. PKI概念 (3)3.1. 系统安全 (3)3.2. 安全技术 (4)3.3. 公钥基础设施（PKI－Public-key Infrastructure） (5)4.TongSEC V1.0 (6)4.1. TongSEC体系结构 (6)4.2. TongSEC系统组成 (8)4.3. TongSEC产品特点 (9)5. 网络商务应用安全系统规划建议 (10)5.1. 安全系统的整体规划 (10)5.2. 安全系统的管理机制 (11)6. 案例 (13)6.1. WEB浏览器的支持 (13)6.2. 电子邮件 (14)6.3. 文件/目录应用 (14)6.4. 网络商务 (14)6.5. CryptoAPI使用 (14)1.前言1.1. 本书范围本文档介绍东方通科技的安全中间件产品TongSEC。

TongSEC的远期目标是提供全面的企业级安全解决方案，包括安全策略、安全管理、电子支付（支付网关、电子钱包）框架、PKI 体系结构、二次开发接口等。

它的近期目标主要为建立PKI-enabled的应用打下基础产品，包括PKI体系结构和二次开发接口，这也是本文阐述的内容。

1.2. 本书读者本文档主要介绍PKI体系结构的概念和TongSEC V1.0功能。

1.3. 进一步参考资料TongSEC管理和操作手册、TongSEC应用编程手册。

2. 引言网络商务日益深入人心的今天，安全、可靠、可扩充的网络商务应用系统的建立，是当前各行各业信息主管面临的主要挑战之一。

由于涉及广域网、Internet、电子支付等问题，如何保障系统安全更是系统建设的重中之重。

为此，人们越来越多的使用数字证书和PKI系统来保障系统的安全。

卫士通证书密钥管理系统技术白皮书证书及密钥管理系统技术白皮书Westone Host Security Module Serial White Paper卫士通信息产业股份有限公司Westone Information Industry Inc.1 产品概述 .................................................................. 错误!未定义书签。

1.1 产品简介....................................................... 错误!未定义书签。

1.2 产品组成....................................................... 错误!未定义书签。

1.3 产品功能....................................................... 错误!未定义书签。

1.4 技术指标....................................................... 错误!未定义书签。

2 技术特点 .................................................................. 错误!未定义书签。

2.1 系统自身....................................................... 错误!未定义书签。

2.2 稳定性........................................................... 错误!未定义书签。

3 关键技术/系统优势（与同类竞争产品的比对分析）错误!未定义书签。

3.1 基于角色的用户权限管理 ........................... 错误!未定义书签。

目录一、产品定位和功能描述 (2)二、产品工作原理、部署和管理方式 (2)1、产品结构和工作原理 (2)2、产品部署模式 (3)3、产品管理模式 (3)三、产品的主要技术特点 (4)产品的技术特点 (4)四、系统最低硬件配置要求 (8)Symantec 防病毒产品技术白皮书大纲一、产品定位和功能描述Symantec Mail Security for Microsoft Exchange 结合了内容过滤、防垃圾邮件和业界领先的防病毒技术提供广泛的、集成的邮件安全解决方案，利用自动扫描和修复能力，它用最少的管理提供高性能的病毒防护，改进的内容过滤以及集成的防垃圾邮件功能防止不需要的内容来自网络的任何地方，同时防止机密信息外泻。

Symantec Mail Security for Microsoft Exchange由赛门铁克安全响应中心支持—世界领先的研究和响应机构。

二、产品工作原理、部署和管理方式1、产品结构和工作原理对于发送到 Microsoft Exchange 服务器上的邮箱和公用文件夹中的消息正文和附件， Symantec Mail Security for Microsoft Exchange 会进行扫描。

当您执行标准扫描时，Symantec Mail Security for Microsoft Exchange 会分解文件，并使用已知病毒特征的病毒定义文件对它们进行病毒扫描。

Symantec Mail Security for Microsoft Exchange 还会使用 Symantec Bloodhound 启发式技术来对不存在已知定义的病毒进行扫描。

Bloodhound启发式技术会寻找自我复制这样的异常文件行为，以发现可能受感染的文件。

当您创建过滤子策略并将其应用于扫描作业时，您指定的项目将与消息内容、特征和属性进行比较。

属性包括发件人、主题、附件文件名称和附件文件大小。

Symantec Mail Security for Exchange 的工作原理结构图如下：2、产品部署模式直接安装在MS Exchange Server 上，支持Exchange 2000 with SP3以上及Exchange 2003。

数字证书安全应用套件（ICSSO）白皮书一、概述数字证书安全应用套件（ICSSO）是西安中望软件资讯有限责任公司自主开发的一套基于CA（Certificate Authority）体系实现数字身份认证、数据加解密、签名加密、数字信封等系统功能，确保应用系统的数据安全和应用安全，极大提升系统的安全性。

二、系统应用结构数字证书安全应用套件（ICSSO）可以结合到其它各种类型的应用系统中，实现数字证书的安全要求。

在一个完整的、基于CA体系解决方案，ICSSO系统必须与相关的应用系统（如电子政务、电子商务、OA办公自动化系统、其它业务管理系统等）、ICMS 数字证书管理系统相结合、相配套使用。

见如下示意图：即ICMS数字证书管理系统是整个安全架构的基础系统。

有关ICMS数字证书管理系统请参考《ICMS数字证书管理系统白皮书》三、系统特点1、基于PKI技术实现用户身份认证，同时支持客户-服务器间的双向身份认证，消除了"用户名+口令"的传统登录方式带来的系统安全性问题，保证身份认证的安全性和准确性，所以是最安全和方便的身份认证方式：。

2、采用以数字证书为基础的公钥密码系统(Certificate-based public key cryptosystem)，通过可信的第三方(Trusted Third Party；TTP)来保证证书和公钥的有效性。

3、对关键信息加密传输和存储：使用本系统后，关键信息以密文的形式传输和存储，即使是系统管理员，也看不到此部分信息，只有拥有对应证书和私钥的用户才能看到此关键信息。

4、系统安装和使用都很简单：本软件将数字证书这一"复杂"的工具隐藏在系统后台，使用者不需要了解关于CA的任何知识就能方便的使用。

在系统的安装上，普通的管理员按照说明书就能完成，极大的降低了技术门槛。

5、可以实现与系统代码级的结合，并且适用于各种类型的应用系统。

6、使用国密办认定的EKEY存储介质，具有安全性高、速度快、稳定性高等特点。

SJW-22网络密码机技术白皮书上海华堂网络有限公司上海市外高桥保税区网络发展有限公司目录1、概述 (3)2、SJW22产品介绍 (5)2.1、SJW22的适用范围 (5)2.2、SJW22的主要功能 (5)2.3、SJW22的安全机制 (7)2.4、SJW22的主要特点 (10)3、SJW22的主要技术指标 (12)3.1产品类型 (12)3.2系统组成 (12)3.3硬件配置 (12)3.4电气性能 (12)3.5 执行标准 (13)3.6参考的安全规范及标准 (13)3.7支持网络传输协议 (13)3.8 主要性能指标 (13)4、典型配置方案 (14)5、VPN关键技术简介 (16)5.1、隧道技术 (16)5.2、数据加密技术 (21)1、概述随着现代网络技术的迅猛发展，网络互联已经成为一种不可阻挡的潮流。

目前广泛分布的各种内部网络都由公共网络互联起来，借助于互联网这一工具完成信息的传递以及信息的共享，但这种互联方式极易受到外界的攻击，导致对内部网络的非法访问和信息泄露。

如何保证用户的信息在公共网络上安全的传递，不被怀有恶意的人加以窃听、破坏，是目前安全界面临的一个重要的课题和发展方向。

网络密码机是基于VPN技术而实现的一种网络安全设备。

VPN，英文全称是Virtual Private Network，中文名称一般称为虚拟专用网或虚拟私有网。

它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。

网络密码机采用专用硬件来加密和保护局域网数据在公共网络上传输的安全，因此具有极高的安全强度和网络性能。

上海市外高桥保税区网络发展有限公司是我国最早专业从事因特网（Internet）及计算机通信网络信息安全研究、产品开发与安全服务的高科技企业之一。

CA证书管理系统技术白皮书第1章前言随着国内网络规模的扩大和用户群体的急剧增加，在中国开展大规模电子政务和电子商务应用和服务将会成为社会的潮流，而如何保证网上电子政务和电子商务的安全性将会成为制约其发展的关键技术问题。

Internet给人们带来方便的同时，也带来了安全问题，安全问题是应用网络技术最担心的问题，而如何保障电子证书和电子商务活动的安全，将一直是核心研究领域。

目前，保障电子商务安全比较成熟的技术方案是采用PKI认证框架体系，通过使用数字证书和加密、数字签名技术实现交易双方身份的确认和信息的加密传送。

加密技术中的公开钥加密技术最好地解决了密钥的管理和分发问题。

而证书中心机构就是解决公钥体系中公钥的合法性认证问题。

PKI/CA标准与协议的开发迄今已有15年的历史，目前的PKI/CA已完全可以向企业网络提供有效的安全保障。

PKI/CA是一个以被广泛认可的一种成熟的安全整体解决方案。

第2章产品介绍2.1 产品概述SSPCA是企业级的CA系统，相对公共CA而言，企业证书管理系统适合于一个机构、一个企业的内部业务系统。

企业级CA的用户之间的信任关系不是依赖于CA的可信性，而是依赖于技术以外的行政、上下级等关系。

CA系统的主要目的是为这些用户在网络上进行业务活动时，提供更安全的保障。

所以，我们认为企业级CA与公共CA的最大不同点是如何与业务系统有机地结合，保证业务系统即安全又方便易用。

SSPCA是一个与安全服务平台结合的企业CA。

如果需要独立的CA系统，建议购买 CA。

由于不同机构、企业的业务应用的多样性，导致企业证书管理系统需要定制或客户化以满足客户的需求。

企业级证书管理系统需要很好的结构和扩展性，可以方便地构建和实施不同需求的证书管理系统系统。

这就是 SSPCA遵循的产品策略。

SSPCA有一个稳定的核心，一个良好的结构。

提供多种接口，可以方便地扩展规模和功能。

包括证书申请方式（手工、批量、在线、离线）、增加各种证书保存介质（IC卡、USB key、软盘、文件）、选择证书发布方式（人工、WEB、目录服务器、邮件）、支持多种密钥生成方式（CA 生成、客户生成）等。