USB key 移动办公安全解决方案

实验〈 Access VPN通信实验－采用USB Key的数字证书方式〉【实验名称】Access VPN通信实验－采用USB Key的数字证书方式【实验目的】学习配置Remote to Site的IPSec VPN隧道，熟悉移动办公方式下的VPN隧道建立。

同时体会移动用户身份认证的方式采用USB Key设备存储数字证书的方式。

【背景描述】假设某员工正在外地出差，但需要访问公司内部的服务器资源，而这些服务器资源因安全性考虑并不直接在公网上开放，因此该员工必须通过先和公司建立VPN隧道，再获得访问内部资源的权利。

移动用户在建立VPN隧道前必须获得公司出口VPN设备的身份许可。

为了安全，用户的身份信息不采用传统的口令方式，而是采用USB Key设备的方式（USB Key内存储标示用户身份的数字证书）。

【需求分析】需求：解决出差员工和公司之间通过Internet进行信息安全传输的问题。

分析： IPSec VPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet网络传输的安全性，是目前最安全、使用最广泛的VPN技术。

因此我们可以通过建立IPSec VPN的加密隧道，实现出差员工和公司之间的信息安全传输。

采用USB Key设备存储用户的数字证书，可以防止数字证书被盗用，这也是目前最为安全的一种身份认证方式。

【实验拓扑】【实验设备】设备型号数量备注锐捷VPN设备RG-WALL V501台锐捷VPN远程接入系统RG-SRA1套软件程序锐捷密钥存储器RG-Key1个锐捷证书管理系统RG-CMS1套软件程序锐捷路由器设备1台Windows系统的PC机推荐Win XP系统1台Windows系统的服务器1台建议开设FTP服务【预备知识】1、网络基础知识、网络安全基础知识、VPN基础知识；2、IPSec协议的基本内容、其工作模式；3、IKE协议的基本工作原理；4、数字证书、CA的基本概念和工作原理。

概述双因子认证： PIN 码和硬件构成了用户使用 NiKey180 的两个必要的因素。

带 有安全存储空间： 存储空间的读写操作必须通过程序实现，可以存储数字证书、 用户密钥等秘密数据。

硬件实现加密算法：内置 CPU 智能卡芯片，可以实现 PKI 体系中使用的数据 加解密和签名的各种算法。

符合 MS CAPI、HID 等规范和标准。

基于国密办批准的安全智能芯片设计，自主设计片上操作系统（ COS） ，数据 存于芯片中，更高的安全性，更好的稳定性。

支持国家密码管理委员会办公室 批准的分组密码算法。

芯片内部集成随机数发生器，采用物理噪声源，产生真随机数。

密钥存于智能智能密码钥匙芯片中，运算也在智能芯片中完成，无法跟踪。

支持 ITU-T X.509v3 证书存储。

支持多证书，底层动态库接口支持最多 79 张 证书 （证书总大小<28KB） ， CSP 接口支持最多 16 张证书 （证书总大小<28KB） ，管理工具支持最多 9 张证书（证书总大小<28KB） 。

NiKey180提供基于 Windows 和 Linux 平台的用户开发接口函数库 (提供底层 API 接口)。

标准中间件(Middleware)：Microsoft CSP，PKCS#11。

体积与普通 U 盘相同，体积小，重量轻，方便用户随身携带和移动作业。

64 位全球唯一系列号。

智能密码钥匙 NiKey180 是曙光公司精心打造的 USB Key 解决方案，内置 8位国产安全芯片，自主开发 COS，实现 RSA、DES、3DES、AES、SM1 算 法，支持 Key 内生成 RSA 密钥对。

硬件实现数字签名，私钥永不出 Key。

NiKey180 智能密码钥匙提供 CSP 和 PKCS#11 接口以及底层动态库，通过非 对称密钥技术实现可靠的身份认证和数据加密，广泛应用于 PKI 体系，可以满 足网上银行、数字证书用户的需求。

1.1 系统简介本系统是参照国际领先的CA系统的设计思想,继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性，自主开发的、享有完全自主知识产权的数字证书服务系统。

系统具有完善的功能，能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。

CA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心(CA）又包含相应的模块，系统架构如下图：图1 CA系统模块架构图CA系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。

CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型iTrusCA,不同类型系统的网络建设架构是不同的。

CA系统具有下列特点：A。

符合国际和行标准；B. 证书类型多样性及灵活配置。

能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书；C. 灵活的认证体系配置。

系统支持树状的客户私有的认证体系,支持多级CA,支持交叉认证；D。

高安全性和可靠性。

使用高强度密码保护密钥,支持加密机、智能卡、USB KEY等硬件设备以及相应的网络产品（证书漫游产品）来保存用户的证书;E. 高扩展性。

根据客户需要，对系统进行配置和扩展,能够发放各种类型的证书;系统支持多级CA,支持交叉CA；系统支持多级RA.F。

易于部署与使用。

系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行,并具有详细的操作说明。

G。

高兼容性。

支持各种加密机、多种数据库和支持多种证书存储介质。

1.2 认证体系设计认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。

证书的信任关系是一个树状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA 又签发它的下级CA,以此递推，最后某一级子CA签发最终用户的证书.认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好.层次越多，技术实现越复杂，管理的难度也增大。

信息设备和存储设备安全保密策略第一条定义XXXXXX信息设备和存储设备安全保密策略包括: 物理环境安全、信息设备安全、存储介质安全、操作安全、信息交换安全、审计安全以及运维安全, 本策略文件规定各项安全保密策略的配置要求。

第二条适用范围本安全保密策略适用于XXXXXX信息设备和存储设备安全保密管理工作。

第三条安全目标依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《武器装备科研生产单位保密资格认定办法》及《武器装备科研生产单位保密资格标准》（二级）等有关法律法规, 结合公司实际情况, 采用符合国家保密相关要求的技术和管理措施, 对公司信息设备和存储设备中应当遵循的规则和要求进行了详细的叙述, 以保障公司涉密信息安全。

第四条安全原则运行规范、事先预防、分类管控、按责落实。

第五条安全方针分类管理、责任到人, 预防为主、积极防范, 共同努力、保证安全。

第六条安全组织机构保密委员会是公司保密管理的领导机构, 贯彻国家有关保密工作的法律、法规、方针、政策, 落实集团公司等上级单位及公司党支部关于保密工作的部署和要求, 组织开展各项保密工作, 指导、检查各部门保密工作, 审议解决保密工作中的重大问题, 督促落实有关重大泄密隐患的整改工作。

科技质量部是公司信息化及网络安全归口管理部门, 负责信息系统、信息设备和存储设备的规划、建设、运行维护以及安全保密的监督管理工作, 接受保密工作机构的指导、监督和检查。

研发部是公司信息系统、信息设备和存储设备的运行维护机构, 负责公司信息系统、信息设备和存储设备的日常运维和安全保密日常管理工作, 接受信息化主管部门监督管理。

第七条安全管理人员公司配备相应的技术管理人员对公司信息系统、信息设备和存储设备的安全保密工作进行专业化管理。

安全保密管理员, 负责落实安全保密技术防护措施、安全评估、用户权限设置。

安全审计员, 负责对安全保密管理员和运维人员的日常操作行为进行审计。

统一身份认证设计方案(最终版)统一身份认证设计方案日期：2016年2月目录1.1 系统总体设计 (5)1.1.1 总体设计思想51.1.2 平台总体介绍61.1.3 平台总体逻辑结构71.1.4 平台总体部署8 1.2 平台功能说明 (8)1.3 集中用户管理 (9)1.3.1 管理服务对象101.3.2 用户身份信息设计111.3.2.1 用户类型111.3.2.2 身份信息模型121.3.2.3 身份信息的存储131.3.3 用户生命周期管理131.3.4 用户身份信息的维护14 1.4 集中证书管理 (15)1.4.1 集中证书管理功能特点15 1.5 集中授权管理 (17)1.5.1 集中授权应用背景171.5.2 集中授权管理对象181.5.3 集中授权的工作原理191.5.4 集中授权模式191.5.5 细粒度授权201.5.6 角色的继承21 1.6 集中认证管理 (22)1.6.1 集中认证管理特点221.6.2 身份认证方式231.6.2.1 用户名/口令认证241.6.2.2 数字证书认证241.6.2.3 Windows域认证241.6.2.4 通行码认证251.6.2.5 认证方式与安全等级251.6.3 身份认证相关协议251.6.3.1 SSL协议261.6.3.2 Windows 域261.6.3.3 SAML协议271.6.4 集中认证系统主要功能291.6.5 单点登录291.6.5.1 单点登录技术301.6.5.2 单点登录实现流程32 1.7 集中审计管理 (36)为了加强对业务系统和办公系统的安全管控，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。

1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。

USB Key是什么东西概述USB Key，也被称为USB闪存驱动器、U盘、存储棒等，是一种便携式存储设备，用于存储、传输和共享数据。

它是由闪存存储芯片和USB接口组成的，可以通过插入到计算机的USB接口中来访问其中存储的数据。

USB Key的外形通常为长方形，尺寸小巧便携，广泛应用于个人、教育和商业领域。

无需额外电源供应，USB Key可以直接通过USB接口与计算机或其他设备相连，实现快速数据传输，使用户能够轻松备份、存储和共享文件。

功能与用途1. 存储与备份数据USB Key的主要功能是存储和备份数据。

它的容量范围从几兆字节到数百兆字节或更大。

用户可以将各种文件如文档、照片、音频和视频文件保存到USB Key中，以便随时访问和传输。

此外，用户还可以将计算机上的重要文件备份到USB Key中，以防止丢失或损坏。

2. 数据传输除了存储数据之外，USB Key还可以用于数据传输。

它可以将文件从一台计算机传输到另一台计算机，或与其他设备进行数据交换，如打印机、数码相机、音频播放器等。

USB Key的高速数据传输速度使得文件传输变得更加高效和便捷。

3. 系统启动USB Key还可用作启动设备，用于安装或修复操作系统。

通过将操作系统的安装文件或恢复工具放置在USB Key中，并在计算机启动时选择从USB Key启动，用户可以轻松地进行操作系统的安装、修复或重装。

4. 移动应用程序许多应用程序现在已经支持便携式版本，用户可以将这些应用程序存储到USB Key中，并在需要时在不同的计算机上运行。

这对于那些需要经常使用特定应用程序的用户来说非常方便，如移动办公、浏览器插件等。

5. 信息安全由于USB Key具有便携性和高容量的特点，它也常用于存储和传输敏感数据。

许多USB Key配备了加密功能，可以保护存储在其中的数据免受未经授权的访问。

此外，一些USB Key还具备防病毒功能，可以帮助用户防止病毒和恶意软件的传播。

涉密计算机安全策略文件涉密计算机安全策略文件文件一、概述为加强公司的保密工作，维护国家和公司的安全利益。

以“谁主管谁负责、谁运行谁负责、谁使用负责”的工作原则，实行积极防范，突出重点、依法管理，既确保国家秘密又便利各项工作的方针。

根据《中华人民共和国保守国家秘密法》结合公司实际情况，制定本策略文件。

涉密计算机及信息系统安全策略文件是公司计算机和使用人员必须遵循的信息安全行为准则。

由公司保密办公室制订发布，并组织公司相关人员学习与贯彻。

二、策略本策略文件主要包括：物理和环境安全策略、运行管理策略、信息安全策略、安全保密产品安全策略、涉密移动存储介质策略、计算机病毒与恶意代码防护策略、身份鉴别策略、安全审计策略、其他安全策略。

1、物理和环境安全策略计算机信息和其他用于存储、处理或传输信息的物理设施，对于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。

因此，应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。

1)应该对计算机介质进行控制，涉密机的USB-Key必须进行物理保护；2)涉密笔记本待用时，必须存放在密码柜中；3)对设备应该进行保护，定期检查电源插排，防止电力异常而造成损坏等保护措施；4)对计算机和设备环境应该进行监控，检查环境的影响因素，温度和湿度是否超过正常界限（正常工作室温：10℃—35℃；相对湿度:35%—80%）；5)设备应该按照生产商的说明进行有序的维护与保养；2、运行管理策略为避免信息遭受人为过失、窃取、欺骗、滥用的风险，应当识别计算机及信息系统内部每项工作的信息安全职责，并补充相关的程序文件。

公司全体相关人员都应该了解计算机及系统的网络与信息安全需求。

1)信息设备和存储介质应当具有标识、涉密的应当标明密级，非密的应当标明用途；2)涉密计算机应当与内部非涉密网络和互联网计算机实行物理隔离；3)只有指定的涉密人员才能访问秘密、关键信息并处理这些信息；4)禁止使用非涉密的计算机和存储介质存储和处理涉密信息；5)未经保密办审批，禁止对计算机系统格式化或重装系统；6)涉密人员在使用白名单软件时可以自行修改安装，但名单以外的软件必须事先通过保密办的审批；7)当涉密人员离开公司时应该移交信息系统的访问权限，或涉密人员在公司内部更换工作岗位时应该重新检查并调整其访问权限3、信息安全策略为保护存储计算机的数据信息的安全性、完整性、可用性，保护系统中的信息免受恶意的或偶然的篡改、伪造和窃取，有效控制内部泄密的途径，防范来自外部的破坏，制订以下安全措施。

用友NC安全解决方案东方中讯数字证书认证有限公司目录1前言.................................................. 错误!未定义书签。

2应用安全需求概述...................................... 错误!未定义书签。

用友NC实现功能..................................... 错误!未定义书签。

CA应用需求......................................... 错误!未定义书签。

VPN安全应用需求.................................... 错误!未定义书签。

法律需求—电子签名法............................... 错误!未定义书签。

相关概念....................................... 错误!未定义书签。

相关规定....................................... 错误!未定义书签。

法律效益....................................... 错误!未定义书签。

3CA安全解决方案........................................ 错误!未定义书签。

总体架构........................................... 错误!未定义书签。

托管服务模式....................................... 错误!未定义书签。

网络架构....................................... 错误!未定义书签。

CA系统工作流程设计............................. 错误!未定义书签。

CA系统实施部署流程............................. 错误!未定义书签。