安全网关系统
技术白皮书
中安网脉(北京)技术股份有限公司 北京电子科技学院
二零零九年三月
版权声明
安全网关系统技术白皮书
首先,我们非常感谢您查看本文档:
本文档介绍了安全网关系统的产品体系结构、功能、运行环境,为用户在选用本系统时提供参考。本手册仅提供电子文档。
Copyright ? 2006 by SINOINFOSEC,中安网脉(北京)技术股份有限公司版权所有。
未经书面许可,用户不得以任何形式或通过任何途径,包括使用影印、录制在内的电子或机械手段等对该书任何部分进行复制或传播。
警告和承诺:
本文档用于提供关于“安全网关系统”的产品信息。尽管我们尽最大的努力使本文档尽可能的完备和准确,但疏漏和缺陷之处在所难免。
任何人或实体由于本文档提供的信息造成的任何损失或损害,中安网脉(北京)技术股份有限公司不承担任何义务或责任。
本书中表达的观点权属于中安网脉(北京)技术股份有限公司。
系统版权:
中文名称:安全网关系统
英文简称:iSecway
版本号: 2.0
开发单位:中安网脉(北京)技术股份有限公司
本系统的版权单位:
中安网脉(北京)技术股份有限公司
地址:北京市丰台区富丰路7号
邮政编码:100070
电话:(010)63783209 或 83635361
邮箱:support@https://www.doczj.com/doc/c37018878.html,
安全网关系统是中安网脉(北京)技术股份有限公司自主研发的受法律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法以及出于任何目的复制或传播本软件,权利人将追究侵权者责任并保留要求赔偿的权利。
本软件系统及其文档中使用到其他公司的有关资源,其版权归相应公司所有,亦受到法律的严格保护。
反馈信息:
您的反馈意见将使我们受益非浅。如果您对本手册有任何疑问、意见或建议,请与我们联系:support@https://www.doczj.com/doc/c37018878.html,,感谢您对我们的支持和帮助。
目录
第1章 产品研发单位简介 (4)
第2章 产品概述 (5)
第3章 产品主要功能 (7)
3.1安全网关 (7)
3.2安全管理中心 (7)
3.3客户端登录认证 (8)
3.4基于USB KEY的存储加密和身份认证 (8)
第4章 产品主要特点 (9)
4.1服务器保护强度高 (9)
4.2用户认证严格 (9)
4.3传输加密 (9)
4.4存储加密 (9)
4.5易用性 (10)
第5章 关键技术 (11)
5.1用户认证 (11)
5.2用户授权 (11)
5.3安全隧道 (11)
5.4数据安全 (12)
5.5自身安全 (12)
5.6数据备份 (13)
5.7集群功能 (13)
5.8日志审计 (13)
第6章 主要技术指标 (14)
6.1安全网关 (14)
6.2安全管理中心 (14)
第7章 产品部署 (15)
第8章 产品应用领域 (17)
第9章 技术支持 (18)
第1章产品研发单位简介
“中国商用密码与信息安全的中流砥柱”——是中安网脉(北京)技术股份有限公司肩负的国家使命,是中安网脉公司孜孜以求的奋斗目标,也是中安网脉公司自我评价的衡量标准。
“把握网络脉搏,引领安全方向”——中安网脉(北京)技术股份有限公司专注于商用密码与信息安全产品的开发与服务,致力于中国电子政务的整体安全方案解决,正逐步成为中国信息安全领域的创新者和技术的领先者。
中安网脉(北京)技术股份有限公司由北京电子科技学院控股成立,北京电子科技学院隶属于中共中央办公厅,是我国唯一一所为全国各级党政机关培养信息安全专门人才的高等院校。学院有一支由教授、高工等专家为主导,由博士、硕士为成员的专业教学科研队伍。学院的建设和发展有着得天独厚的政治优势和各项保障,多年来一直得到党中央和中央办公厅领导的关怀和重视。温家宝、曾庆红、王刚等中央领导同志都为学院的发展和建设作过许多重要指示,并多次亲临学院视察工作。
中安网脉(北京)技术股份有限公司是集计算机网络信息安全服务、商密软、硬件产品、信息安全产品、提供网络安全整体解决方案的开发和研制为一体的高科技企业。公司拥有高素质专业员工58人,其中,80%以上为大学本科以上学历,他们具有丰富的科研开发、技术支持、生产及管理的专业知识和经验。公司技术力量雄厚,核心研发团队以经验丰富的信息安全专家为主导,由博士、硕士为成员组成,技术骨干均具有5年以上的网络通信、密码安全产品开发经验,已开发出了众多国内技术领先的产品,获得了较为广泛的应用。公司在数字电话密码机、传真加密机、内网安全、数据库加密、信息源加密、电子文档安全控制、安全审计等信息安全领域技术领先,研制成功的几十种密码与信息安全产品已广泛应用于各大部委、兵工系统和全国部分省市的党政机关。同时,公司在安全办公应用软件、信息安全等级保护、信息化密码保障服务的设计、开发、实施等方面也取得了一系列成绩和经验,很好地为我国的信息化建设起到了保驾护航的作用。
第2章产品概述
随着网络信息安全问题的日益突出,网络上的各类应用系统面临着严重的安全威胁。各种安全问题层出不穷,影响着应用系统的自身安全,这些威胁主要来自:用户身份识别,用户访问权限控制,数据传输安全,对访问过程的完整记录等。
(1)无法对用户身份进行识别
随着非授权入侵事件的增加,网络上的各种应用系统面临着严重的安全威胁。对于已经部署众多服务器的单位(包括OA服务器、电子邮件服务器、数据库服务器等),迫切需要建立严格的访问控制措施,依据用户身份和权限,对服务器的访问行为进行控制和授权,增强服务器的安全性,防止外来非法用户通过各种手段攻击或访问服务器。
(2)用户访问缺乏权限控制
一般来说,应用软件系统中,信息总是对特定用户开放,而对其他用户要求保密。用户被允许正常访问特定的信息,但同时又被禁止访问某些信息。用户在未授权情况下通过一些手段越权访问了别人不允许他访问的信息,可能造成他人的信息泄密。尤其是一些重要的应用和业务系统,例如OA系统、电子邮件系统、数据库系统和文件服务器等,对于这些应用和业务系统,需特别关注合法用户的非授权侵犯问题,即合法用户在没有得到许可的情况下访问了他本不该访问的资源,尤其是一些存储有重要和敏感数据的服务器。
(3)数据传输缺乏安全保障
在数据传输的过程中,访问服务器的数据安全和完整性无法得到保障,非法用户可以通过各种手段窃取或篡改网络上传输的敏感数据。
(4)服务器访问缺乏记录
用户访问服务器,同时对其进行各种操作(如:私自拷贝、复制、删除、打印、刻录等),可能会造成文件丢失,内部重要数据被泄密。所以,缺乏对服务器访问的有效而真实的记录,使得安全事件发生后,无法对用户行为进行责任认定。
为保证内部网络中业务系统数据访问、存储的安全性,实现对业务系统服务器、终端的密码安全保护,并使业务终端能够访问内网中的共享资源,中安网脉(北京)技术股份有限公司研制开发了“安全网关系统”,致力于解决各类应用服务器的整体安全防护问题。
安全网关系统主要由安全网关、安全管理中心、安全客户端组成。安全管理中心通过与内网认证中心结合,为安全网关、USB-KEY颁发数字证书,为安全网关、USB-KEY下发数据加密密钥、安全规则及防护策略,使业务终端与安全网关建立VPN隧道以实现安全访问服务器。
整个系统的结构图,如图2-1所示。
图 2-1 安全网关系统结构图
第3章产品主要功能
3.1 安全网关
安全网关为新型网络安全设备,主要用于解决局域网之间的网络通信的安全保密问题,保护重要数据在局域网上进行安全传输的网络安全设备。通过对IP 数据包的加密实现网络之间的加密通信;通过其网络访问控制功能在保护的网络和外部网络之间建立保护屏障,控制对内部网络的访问以保证内部网络的安全。它在网络层(IP层)采用IPSEC标准对数据报进行加密处理。利用IPSEC封装技术,可以组建VPN,并且对数据包提供鉴别服务、数据的机密性、抗重播及有限的抗流量分析等多项功能。
具体功能如下:
(1)安全通道:不同节点之间可建立各自独立的安全通道,提高网络安全性。
(2)密钥管理:由安全管理中心统一产生、分发密钥,并定时自动刷新。
(3)集中管理:安全管理中心对全网设备进行集中统一管理和监控;
(4)身份鉴别:采用基于授权智能卡的身份鉴别管理,以控制对加密系统的使用;
(5)日志审计:机自动记录运行状态,完整的日志信息自动向管理中心汇总。
(6)防火墙:提供基于包过滤的防火墙功能,支持网络访问控制,防止外部用户攻击。
3.2 安全管理中心
安全管理中心是整个“基于VPN内网安全系统”的中心。安全管理中心与安全网关、USB终端密码模块进行通信,实现对安全网关、USB终端密码模块的全面管理。安全管理中心通过密钥管理协议统一管理整个密码机系统工作过程中的所有密钥,并且还提供对密码机工作过程中的访问控制规则、网络参数、网络流量、状态查询、日志审计等管理。
3.3 客户端登录认证
客户端软件包括USB Key或者密码盒的驱动,VPN客户端的驱动和客户端软件。客户端首先需要安装密码设备的驱动,然后通过WEB方式下载安装客户端软件。客户端使用USB Key或者USB 密码盒会有一个登录过程,需要用户输入密码。这个登录过程可以和VPN的登录合二为一,减少用户输入密码的次数,增加易用性。用户一旦登录,首先启用密码设备,然后读取用户信息和证书,开始基于用户证书的身份认证过程。如果身份认证成功,则开始进行VPN密钥协商(IKE),IKE采用公钥列表方式来建立IKE的会话密钥。
3.4 基于USB KEY的存储加密和身份认证
终端设备采用USB Key或者USB 密码盒设备,能支持客户端上本地数据存储加密和VPN通信的密钥协商加密算法。目前对本地存储加密和VPN通信密钥协商采用国家密码主管部门批准的商用密码算法。
USB Key或者USB 密码盒还存储用户的RSA私钥和用户证书,用来进行用户身份认证。对于VPN的密钥协商则采用公钥列表方式来完成,用户的公钥列表集中存放在密钥管理中心。该用户的公钥列表,写入到用户设备中。
第4章产品主要特点
4.1 服务器保护强度高
为了增强服务器资源的访问控制和安全保护,在服务器资源前部署安全网关设备,安全网关可以用来在访问不信任的外网或内网上关键的服务资源时提供安全保护,对服务器的访问行为进行统一的认证授权和访问控制。同时,访问专用服务器的用户必须先与安全网关之间建立加密的VPN通信隧道,然后通过安全网关的授权后对服务器进行访问。
4.2 用户认证严格
建立VPN隧道以及访问授权控制均使用内网认证中心制发的数字证书实现。采用PKI数字证书和身份令牌在开机登录时强验证用户身份的合法性,各用户独自的标识信息安全存放在Key中,由USB口读入,供终端计算机验证执行部件识别,在验证识别过程中不泄露身份特征信息,做到真正的不可假冒和伪造。如果用户无合法的Key,就不能正常使用内网安全系统访问专用业务服务器。
4.3 传输加密
客户端与服务器端进行数据交换时,通过客户端和安全网关之间的安全隧道进行数据加密传输。客户端建立安全隧道后,支持明通状态、密通状态、明通与密通共有的状态,缺省为密通状态。通过密通状态,业务终端只能与专用业务服务器双向传输加密数据;通过明通状态,业务终端可单向的访问其他子网的公共服务器,但不可访问专用业务服务器;通过明通与密通共有的状态可实现既与专用服务器双向传输加密数据,又可实现单向的访问其他子网的公共服务器。4.4 存储加密
客户端用户使用个人私钥对本地文件进行加密存储。用户可应用本人的USB-KEY对自身或其他业务终端上的数据进行加密存储,当访问该数据时,只有使用本人的USB-KEY才能解密进行读取,其他用户是不能够通过其他方式进
行访问的。
4.5 易用性
客户端驱动、代理软件可以下载安装,客户端系统安装、操作十分简便。
第5章关键技术
5.1 用户认证
当用户连接到安全网关时,用户必须确认是连接到正确的内网安全系统,而不是一些假冒的服务器;同时,安全网关也必须确认用户的真实身份,而不是一些假冒的恶意攻击者。因此,系统必须提供双向的认证机制。
安全网关通过PKI/CA机制来验证双方的身份,避免“中间人攻击”。当连接建立时,终端会验证服务器的证书,如果服务器证书不是所信任的CA中心所签发的,连接将被主动拒绝;同样,安全网关也会验证终端用户的证书,保证用户身份的真实性和合法性。而“中间人”无法提供这样的合法身份,也就杜绝了“中间人攻击”现象。
5.2 用户授权
安全网关通过授权机制来控制合法终端访问应用系统的请求,每个终端用户都在安全网关的控制下来访问各个应用系统。
安全网关对每个用户都可以设置详细的访问权限,包括两个层次:一是用户是否可以访问到应用系统;二是用户可以访问到哪个应用系统。经过这两个层次的授权,有效地控制用户的访问权限。
5.3 安全隧道
完成身份校验后,终端和安全网关之间建立起安全隧道,通过终端本地的虚拟网卡和安全网关之间形成一个密通通道。密通通道传输报文使用加密技术进行包重组。同时,可选择终端的明通连接将断开。使用这样的技术基于两个目的:一是终端和应用系统之间的通讯将在密通通道中进行,没有合法用户身份不可能进入此密通通道,也就无法对应用系统进行攻击;二是杜绝了恶意攻击者通过木马作为跳板来攻击应用系统。
终端连接到安全网关时,首先采用IKE和安全网关之间进行密钥的协商,并且在通讯过程中定期地进行密钥协商以更换会话密钥,增强数据报文的安全强度。(客户端下载动态算法,采用扩散算法的方式提高本地U-KEY的加密速度)报文传输过程中,采用定期更新的会话密钥进行加密传输,中间拦截者无法对数据报文进行还原。
5.5 自身安全
(1)身份认证
当安全网关收到一个来自用户的连接请求时,通过挑战/响应方式完成基于证书的身份认证。认证身份后,获取该用户的访问授权信息,根据授权信息决定是否运行该用户访问受保护服务器。
(2)拒绝服务攻击
内置IP黑洞功能,对于非以KEY为源头发出的网络连接不予响应,可以预防黑客漏洞扫描、DDOS攻击等恶意破坏。只开放需要的服务必需的端口,其他端口一律屏蔽,预防漏洞攻击等攻击手段。
受保护服务器放置于安全网关之后,在整个网络之中相当于被安全网关物理隔离,在没有KEY身份的情况下,无从获知应用系统的存在,即任何恶意攻击都无法攻击这个目标。
(3)IP过滤
当某个用户向安全网关发起连接请求,安全网关会检查该用户的IP地址是否在信任列表,如果该IP地址不在信任列表,则该次连接请求将被拒绝。
管理员可以将已知信任的IP地址或IP网段添加到安全网关的信任列表中。例如,管理员可以将内网的每个网段添加到信任列表之中。
(4)软件升级
客户端可以自动连接安全网关进行在线升级。客户端周期性的向安全网关查询新版本程序。如果有新版本程序存在,客户端会下载新版本的程序进行升级。
将安全网关中的数据(用户信息、资源信息、安全策略等)备份到其他服务器,当安全网关发生故障时可以及时将备份数据导入安全网关,方便维护。5.7 集群功能
采用集群功能可以将多台独立的安全网关整合起来提供高性能服务,减少每台安全网关的负载,提高整个安全网关集群的性能。
当网络规模扩大,原有安全网关超负荷时,可以简单的利用集群功能添加新的安全网关到整个集群中,提供高可用性以保证应用系统的正常工作。
5.8 日志审计
安全管理中心提供了非常丰富的日志功能,管理者可监视到异常流量、试图非法访问应用系统、异常登录等有效的分析信息,为综合分析提供依据。完整、精确的日志记录是成功进行审计的基础,是事后追查追踪的依据,同时也是预测安全发展态势的指南。
本系统日志记录依据下列原则:
(1)日志数据准确性:无论在哪种情况下,都提供准确的日志数据不误报。
(2)日志的完整性:系统提供完整的日志数据。
(3)日志的不可抵赖性
(4)日志的实时性
系统日志内容包括:
(1)管理员操作日志
(2)虚拟安全网络登录日志
(3)应用服务访问日志
(4)非授权访问日志
日志系统提供实时日志查看、告警日志查看、告警设置和历史日志审计。
第6章主要技术指标
6.1 安全网关
(1)物理接口:1000Base-T,1000Base-X,LC接口、单/多模;SC接口、单/多模等接口方式;
(2)通信协议:以太网,IEEE802.3,IEEE802.1q,IEEE802.1p,10BASE-T,100BASE-Tx;
(3)加密速率:双向处理50~70Mbps;
(4)电气指标:交流220V(+10%~-15%),50Hz(±3Hz);
(5)物理尺寸:2U机架式结构。
6.2 安全管理中心
(1)设备参数:512M内存、128M DOM盘,1个RS232串口,速率为9600bps;2个局域网接口,以太网卡的速率10/100M自适应。
(2)密码强度:支持最大单独300个安全网关或单独4096 USB加密模块的密钥管理,终端用户并发接入能力为200~300个/分钟(在成功率为100%的情况下,每分钟并发成功接入用户的个数。该数值与平台有关系)。
(3)环境条件:工作温度为0℃~40℃,存储温度为-20℃~55℃,相对湿度为20%~80%。
第7章产品部署
安全网关的接入根据安全网关的应用模式的不同而有差异,下面列举几种最常用的方式:
第一是旁路接入方式:一般为了用户使用时方便接入或网关只给外网用户提供接入服务时可以采用这种方式。如图7-1所示,红色线(短虚线)表示来自于外网用户的访问请求,通过安全网关到达服务器;而绿色线(长虚线)表示内网用户不经过安全网关直接访问服务器。
图7-1安全网关接入方式一
第二是虚拟网桥接入方式:主要应用在内网服务器保护上。其特点是不用改变用户的网络拓扑结构,以网桥方式串接到服务器前端。如图7-2所示,安全网关串接在服务器前,红色线(短虚线)表示来自于外网用户的访问请求,通过安全网关到达服务器;而绿色线(长虚线)表示内网用户也通过安全网关访问服务器。
图7-2安全网关接入方式二
第三种是路由接入方式:路由模式接入可以支持多个安全网关的集群方式,可支持保护多个网段的服务器群,可以替换某些内网中使用的路由器。如图7-3所示,安全网关采用路由接入方式,红色线(短虚线)表示来自于外网用户的访问请求,通过安全网关路由到服务器1和服务器2的网段;而绿色线(长虚线)表示内网中子网2的用户通过安全网关路由访问服务器1、2、3、4的网段。
图7-3安全网关接入方式三
第8章产品应用领域
随着通信基础设施建设和互联网络技术的飞速发展,各行各业纷纷借助互联网络技术来加快信息的流动速度,提升自身的综合实力。
安全网关可以实现局域网之间的网络通信的安全保密,实现重要数据在局域网上进行安全加密传输,通过对用户身份进行识别,数据传输进行加密,与内网PKI体系进行结合,对服务器访问权限进行设置以及对服务器访问进行记录等功能构造出局域网之间网络通信的安全平台。
所以,安全网关系统可以广泛的应用于对网络安全有较高要求的各个行业,主要包括政府机关、司法系统、军工企业、能源行业、金融行业等等。
第9章技术支持
单位:中安网脉(北京)技术股份有限公司
网址:https://www.doczj.com/doc/c37018878.html,
邮箱:support@https://www.doczj.com/doc/c37018878.html,
地 址:北京市丰台区富丰路7号
邮 编:100070
联系电话:(010)83635339,(010)83635358技术支持:(010)63783209,(010)83635337 传 真:(010)83635359
三种常用的网络安全技术 随着互联网的日渐普及和发展,各种金融和商业活动都频繁地在互联网上进行,因此网络安全问题也越来越 严重,网络安全已经成了目前最热门的话题,在运营商或大型的企业,每年都会在网络安全方面投入大量的资金 ,在网络安全管理方面最基本的是三种技术:防火墙技术、数据加密技术以及智能卡技术。以下对这三种技术进 行详细介绍。 1. 防火墙技术 “防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一 个安全网关( scurity gateway),而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。 防火墙有二类,标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站,该工作站的两端各接一个路 由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;另一个则联接内部网。标准防火墙使用专门的软 件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(dual home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway),它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的边疆,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。 随着防火墙技术的进步,双家网关的基础上又演化出两种防火墙配置,一种是隐蔽主机网关,另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。 2. 数据加密技术 与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据 被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前 各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加 密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴 别以及密钥管理技术四种。 (1)数据传输加密技术 目的是对传输中的数据流加密,常用的方针有线路加密和端——端加密两种。前者
安全电子邮件系统的设计与实现 摘要随着电子邮件越来越广泛的应用,电子邮件的安全性问题也越显突出,文章提出了一种提供数据加密和数字签名的安全电子邮件系统,并详细讨论了其设计与实现技术。 关键词电子邮件,MOSS,数字签名,数据加密 1 前言 近年来,伴随Internet的迅猛发展,电子邮件以其使用方便、快捷等特点已经成为Internet上最普及的应用。但是,由于电子邮件在Internet上未加任何保密措施的情况下,均以不加密的可读文件被传输,这样就存在邮件被人偷窥、篡改、截获、以及身份被人伪造等若干不安全因素,由此限制了电子邮件在重要信息传递与交换领域的应用。 目前国外已经出现了很多安全电子邮件软件,但是,由于他们对安全产品出口的限制以及国外软件可能存在“安全后门”,研制和开发具有自主知识产权的安全电子邮件软件,具有重大的政治意义和经济价值。 本文介绍的基于Windows平台上用Visual c++6.0开发的安全电子邮件系统,提供了电子邮件的保密性、完整性、不可否认性及身份认证。 2 设计与实现 本文实现的功能:收发邮件、转发邮件、答复邮件等标准邮件客户端功能;为防止邮件被窃听,自动加密邮件;防止邮件被篡改及伪冒、发送方抵赖,自动执行数字签名;为保证私钥高度安全,支持本地产生RSA密钥;地址簿除方便易用,还具有许多特殊的如公钥环管理等功能;支持从文件中导入及自动从邮件中获取公钥或数字证书;支持BIG5与GB2312的内码转换以及UUEncode编码方式;支持多帐户以及口令保护;支持拨号上网以及打印功能。 2.1 总体设计 系统有多个功能模块构成,总体结构如图1所示。 (1)个人密钥管理 个人密钥管理模块完成产生RSA密钥对、安全 地保存私钥、发布公钥、作废公钥的功能。 根据用户提供的信息(密钥长度、随机数种子、保护口令以及含用户名的基本信息),采用RSA算法生成模块产生公钥、私钥对。 图1 安全电子邮件系统结构图 采用MD5和IDEA加密算法对RSA私钥、用户口令以及随机数种子进行加密,实现安全保存。 本系统提供两种方式实现公钥的发布。一是基于信任模式下的方式:将公钥发送到文件或者通过E-mail发送;另一种是基于层次结构证书认证机构的认证方式:申请数字证书。 作废密钥也提供两种方式:本地删除和申请作废证书。后一种适用于公钥发布选择第二种方式的用户。 (2)发送邮件 发送邮件模块完成撰写邮件、格式化邮件、SMTP协议的实现功能。 撰写邮件由邮件编辑器完成。 格式化邮件严格按MIME协议来进行,对普通邮件直接发送,而对安全邮件按照MOSS协议对邮
●版权声明 Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能(SSO) (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)
3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活,维护简单 (18) 4典型应用 (18)
1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
第2章网络安全技术基础 1. 选择题 (1)SSL协议是()之间实现加密传输的协议。 A.物理层和网络层 B.网络层和系统层 C.传输层和应用层 D.物理层和数据层 (2)加密安全机制提供了数据的()。 A.可靠性和安全性 B.保密性和可控性 C.完整性和安全性 D.保密性和完整性 (3)抗抵赖性服务对证明信息的管理与具体服务项目和公证机制密切相关,通常都建立在()层之上。 A.物理层 B.网络层 C. 传输层 D.应用层 (4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务的是()。 A.认证服务 B.数据保密性服务 C.数据完整性服务 D.访问控制服务 (5)传输层由于可以提供真正的端到端的连接,最适宜提供()安全服务。 A.数据保密性 B.数据完整性 C.访问控制服务 D.认证服务 解答:(1)C (2)D (3)D (4)B (5)B 2. 填空题 (1)应用层安全分解成、、的安全,利用各种协议运行和管理。 解答:(1)网络层、操作系统、数据库、TCP/IP (2)安全套层SSL协议是在网络传输过程中,提供通信双方网络信息的性和性,由和两层组成。 (2)保密性、可靠性、SSL 记录协议、SSL握手协议 (3)OSI/RM开放式系统互连参考模型七层协议是、、、、、、。 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 (4)ISO对OSI规定了、、、、五种级别的安全服务。 对象认证、访问控制、数据保密性、数据完整性、防抵赖
(5)一个VPN连接由、和三部分组成。一个高效、成功的VPN具有、、、四个特点。 客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性 解答:(1)网络层、操作系统、数据库、TCP/IP (2)保密性、可靠性、SSL 记录协议、SSL握手协议 (3)物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 (4)对象认证、访问控制、数据保密性、数据完整性、防抵赖 (5)客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性 3.简答题 (1)TCP/IP的四层协议与OSI参考模型七层协议的对应关系是什么? Internet现在使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的协议族,这四层协议分别是:物理网络接口层协议、网际层协议、传输层协议和应用层协议。TCP/IP 组的4层协议与OSI参考模型7层协议和常用协议的对应关系如下图所示。 (2)简述IPV6协议的基本特征及与IPV4的IP报头格式的区别? TCP/IP的所有协议的数据都以IP数据报的形式传输,TCP/IP协议簇有两种IP版本:IPv4和IPv6。 IPv4的IP地址是TCP/IP网络中唯一指定主机的32位地址,一个IP包头占20字节包括IP版本号、长度、服务类型和其他配置信息及控制字段。IPv4在设计之初没有考虑安全性,IP包本身并不具有任何安全特性。
电子邮件安全(一) 【教学目的要求】熟悉各名词、术语的含义,掌握基本概念,特别是PGP、PGP 操作描述。掌握网络安全体系结构、安全攻击方法等基本概念。 【重点】PGP、PGP操作描述 【难点】PGP、PGP操作描述 【教学方法】多媒体教学和传统教学相结合。 【课时安排】2课时 【教学过程】 【导入】E-mail 是Internet上最大的应用之一,安全电子邮件主要解决身份认证和保密性相关的安全问题。 【讲解】 安全电子邮件 涉及到的问题: 安全算法的选择 系统邮件的信息格式 如何实现认证和信任管理 邮件服务器的可靠性 应用实际例子:PGP、S/MIME等 邮件信息格式 早期只支持ASCII文本格式 随着Email的发展需要发送各种类型数据,形成了MIME (Multipurpose Internet Mail Extensions,多用途网际邮件扩展) 5.1 PGP(Pretty Good Privacy) 1.提供了一种机密性和数字签名的安全服务,广泛用于电子邮件和文件存储的安全应 用 2.选择各种经过实际验证的安全算法作为基础构件 3.将这些算法有机整合起来,形成一个通用的独立于操作系统和硬件平台的应用程序 4.是一个自由软件包(https://www.doczj.com/doc/c37018878.html,) PGP的优势 1.免费得到, 支持多种平台(DOS/Windows、Unix、Macintosh等) 2.建立在一些经过实际验证的算法基础上(RSA、DSS、Diffie-Hellman、IDEA、3DES、 SHA-1、MD5),选用算法的生命力和安全性得到公众认可 3.应用范围极其广泛 4.不从属于任何政府机构和标准化组织 5.已经成为互联网标准文档(RFC3156) 6.免费得到, 支持多种平台(DOS/Windows、Unix、Macintosh等) 7.建立在一些经过实际验证的算法基础上(RSA、DSS、Diffie-Hellman、IDEA、3DES、
MailGateway邮件安全网关产品解决方案随着计算机技术的普遍使用,对外发送电子文档已经成为我们日常工作和生活必不可少的方式,而邮件则成为企业日常办公必需的工具,怎样有效控制邮件外发文件,防止机密数据和敏感信息二次扩散,是当今企业所面临的重大安全问题之一。 I.需求分析 1.企业应用需求 1)邮件外发附件支持自动加解密。 2)与可信任客户合作厂商邮件交流,无需审批外发附件自动解密。 3)可根据需求灵活设置外发邮件附件自动解密名单。 4)可追溯邮件外发附件自动解密记录,方便审计。 5)应用系统必须可靠易操作。 2.预期目标 对于企事业单位用户使用邮件加解密网关后,用户与可信任客户合作厂商邮件交流无需走繁琐的审批流程,提高工作效率。邮件外发自动解密名单可根据需要灵活设置,权限设置和附件外发解密记录可追溯,用户工作习惯不改变。II.解决方案 1.方案概述 针对该类需求,MailGateway邮件安全网关能够全面解决该类信息资产安全问题。 适用于任何基于TCP/IP协议的网络体系(局域网或广域网),部署方便不改变原有网络结构。以下是方案部署拓扑图:
企业内部网络企业数据中心机房 2.方案效果 运行效果如下: 1)用户在邮件外发时先经过内部邮件服务器,然后转发到MailGateway,再转发到外部邮件服务器分发最终用户;邮件接收时直接经外部邮件服务转发到企业内部邮件服务器分到接收用户无需再经过MailGateway。 2) 邮件经过MailGateway时,根据设置策略匹配决定附件是否解密。 3) 邮件白名单设置后发到该用户的所有邮件自动解密附件。 4) 邮件白名单设置由管理员设定。 以下是方案效果示意图
安全网关和IDS互动解决方案 该方案特点: 通过安全网关(被动防御体系)与入侵检测系统(主动防御体系)的互动,实现“主动防御和被动防御”的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。两者的联动示意如下图: 方案概述: 1、项目简介 某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。 该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下属六个县局
网络和银行网络进行数据交换。 2、安全方案 通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的: 1)保障现有关键应用的长期可靠运行,避免病毒和黑客攻击; 2)防止内外部人员的非法访问,特别是对内部员工的访问控制; 3)确保网络平台上数据交换的安全性,杜绝内外部黑客的攻击; 4)方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地 访问内部网络,实现信息的最大可用性; 5)能对网络的异常行为进行监控,并作出回应,建立动态防护体系。 为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案,如下图所示。
主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。 本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口,由IDS传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。 在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果:使用大包ping 位于安全网关另一边的主机(这属于网络异常行为)。IDS会报警,ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患于未然。 “安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海本公司的SGW系列安全网关(Firewall+VPN)产品。 在Cisco路由器4006与3640之间,插入安全网关SGW25是必须的。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,SGW25在这里主要发挥防火墙和VPN的双重作用。 1)保障局域网不受来自外网的黑客攻击,主要担当防火墙功能; 2)能够根据需要,让外网向internet的访问提供服务,如:Web,Mail,DNS等服务; 3)对外网用户访问(internet)提供灵活的访问控制功能。如:可以控制任何一个内 部员工能否上网,能访问哪些网站,能不能收发email、ftp等,能够在什么时间 上网等等。简而言之,能够基于“六元组”【源地址、目的地址、源端口号(即: 服务)、目的端口号(即:服务)、协议、时间】进行灵活的访问控制。 4)下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过
安全认证网关Web系统开发规范 v1.1 电子政务外网电子认证办公室 2010年12月
目录 1规范描述 (1) 2开发常见问题 (2) 2.1如何保证应用用户与SSL连接用户的一致性? (2) 2.2http与https进行切换时应用如何保持用户session? (2) 2.3采用可选验证时,应用如何判断用户是否提交了证书? (3) 3应用接口 (4) 3.1接口描述 (4) 3.2接口实例 (5) 3.2.1Asp脚本示例 (5) 3.2.2JSP脚本示例 (6) https://www.doczj.com/doc/c37018878.html,的示例 (8) https://www.doczj.com/doc/c37018878.html,的C#脚本示例 (11)
SSL安全网关能够对用户的数字证书进行验证,在浏览器与Web服务器之间建立安全加密通道,可以为Web应用系统提供用户身份认证和数据保密的功能。为了充分利用SSL安全网关的安全功能,保证系统可操作性和性能,实现系统与安全网关的顺利结合,在Web应用系统的开发过程中应注意以下几点: ?系统中的用户标志设置必须以用户数字证书中的标志为基础。 ?用户身份的获取必须以安全网关提供为准,用户身份从cookie中获取,系统 可以去掉登录页面。 ?在使用超级连接时尽可能使用相对链接,禁止使用HTTP的绝对链接本地服 务,否则无法访问,本地服务用户只能通过HTTPS访问。 ?避免使用协议的特有功能,保持HTTP与HTTPS的通用性。 ?不得使用KOAL_开头的cookie作为有用信息,否则会被过滤。 ?避免使用过多的cookie信息,建议不要超过1000字节。 ?对于网页中参数的传递尽可能以POST方式,避免GET方式。 ?在网页美观的前提下,保证网页的简洁性,尽量减少网页中的帧数和资源数 目(图片等),提高SSL的连接性能。 ?减少使用重定向功能,避免使用多重重定向功能。 ?系统提供统一的固定端口对外提供服务,避免使用动态及多个端口。 ?对每个网页都必须对获取的用户身份cookie与应用保存的用户session值进 行对比,防止另一个用户使用未关闭的IE进行访问。 ?若网页包含多框架或多窗口,则网页内容的获取应统一由HTTPS方式获取, 避免混用其他方式(HTTP,about:blank空页面等)获取,否则会提示网页包含不安全内容。
电子邮件安全 电子邮件通常称为E-mail,是计算机网络上最早也是最重要的应用之一,世界各地的人们通过电子邮件互相传递信息,进行网上交流。电子邮件已经成为现在人们互相往来的一种常用方式。电子邮件是一种将电话通信的快速与邮政通信的直观易懂想结合的通信手段,与电话通信以及邮政通信相比,电子邮件有它得天独厚的优点。但是,在电子邮件飞速发展的同时,电子邮件的安全问题也随之浮出水面。 一.电子邮件的安全隐患 针对电子邮件的攻击分为两种,一种世界对电子邮件的攻击,如窃取电子邮件密码,截获发送邮件内容,发送邮件炸弹;另一种是间接对电子邮件的攻击,如通过邮件传输病毒木马。产生电子邮件安全隐患主要有3个方面: (1)电子邮件传送协议自身的先天安全隐患。众所周知,电子邮件传输采用的是SMTP 协议,即简单邮件传输协议,它传输的数据没有经过任何加密,只要攻击者在其传输途中把它截获即可知道内容。 (2)由邮件接收端软件的设计缺陷导致的安全隐患。如微软的OutLook曾存在的安全隐患可以是攻击者编制一定代码让木马或者病毒自动运行。 (3)用户个人的原因到时的安全隐患。 二.电子邮件的安全技术 1.端到端的安全电子邮件技术 端到端的安全电子邮件技术保证邮件从发出到被接收的整个过程中,内容无法被修改,并且不可否认。PGP和S/MIME是目前两种成熟的端到端安全电子邮件标准。 PGP(Pretty Good Privacy)被广泛采用,通过单向散列算法对邮件内容进行签名,以保证信件内容无法被修改,使用公钥和私钥技术保证邮件内容保密且不可否认。发信人与收信人的公钥都保存在公开的地方,公钥的权威性则可由第三方进行签名认证。在PGP系统中,信任是双方的直接关系。 S/MIME(Secure/Multipurpose Internet Mail Extensions)与PGP一样,利用单向散列算法、公钥与私钥的加密体系。但是,S/MIME也有两方面与PGP不同:议事S/MIME的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而嘴上一级的组织(根证书)之间相互认证;二是S/MIME将信件内容加密签名后作为特殊的附件传送。 2.传输层的安全电子邮件技术 电子邮件包括信头和信体。端到端安全电子邮件技术一般只对信体进行加密和签名,信头则由于邮件传输中寻址和路由的需要,必须保证不变。目前,主要有两种方式能够实现电子邮件在传输中的安全:一种是利用SSL SMTP和SSL POP,另一种是利用VPN或者其他IP通道技术。 3.电子邮件加密 加密时一种限制对网络上传输数据的访问权的技术,加密的基本功能包括: (1)防止不速之客查看机密的数据文件。 (2)防止机密数据被泄露或篡改。 (3)防止特权用户(如系统管理员)查看私人数据文件。 (4)使入侵者不能轻易地查找一个数据文件
WebRay应用防火墙 产品白皮书
目录 目录 (2) 应用背景 (3) 1.产品概述 (5) 2.产品特色 (7) 3.产品特性 (12) 4.部署模式 (15) 5.服务支持........................................................................................................ 错误!未定义书签。
应用背景 当Web应用越来越为丰富的同时,Web 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。2007年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达61228个,比去年增加了1.5倍。其中,中国大陆政府网站被篡改各月累计达4234个。 防火墙,UTM,IPS能否解决问题? 企业一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题。 防火墙的不足主要体现在: 1) 传统的防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。它就无需理解Web应用程序语言如HTML及XML,也无需理解HTTP会话。因此,它也不可能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。 2) 有一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,但局限于最初产品的定位以及对Web应用攻击的研究深度不够,只能提供非常有限的Web应用防护。 随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙无法进行七层防护,已经无法满足Web应用防护的需求。 IPS/UTM的不足: 入侵检测系统IPS/综合安全网关UTM是近几年来发展起来、逐渐成熟的一类安全产品。它弥补了防火墙的某些缺陷,由于IPS/UTM对WEB的检测粒度很粗,随着网络技术和Web应用的发展复杂化,IPS/UTM在WEB专用防护领域已经开始力不从心。
电子邮件系统安全解决方案 针对目前电子邮件系统存在的许多安全隐患,方标讯业提供一套领先的电子邮件安全解决方案。该方案包括了电子邮件反病毒,反垃圾,邮件加密传输,数字签名管理,负载均衡抗攻击,邮件中继网关等多种手段和措施,以满足用户对电子邮件安全的苛刻要求。 面向用户 电信级大规模电子邮局运营系统 电信级企业邮局托管运营系统 大中型企业的电子邮件系统 系统结构 下图是方标讯业电子邮件安全解决方案的系统工作原理图。主要工作区域在用户网络的边界防火墙和邮件系统之间,通过Foundir Email Security Suite 建立五层防护体系,防范来自外界的拒绝服务攻击。服务器上选装的Certificate Management,可以实现数字签名和内容加密管理,为用户提供个性化的电子邮件安全服务。通过邮件中继服务器Mail Relay的隔离和过滤处理,擦除邮件中继轨迹,避免内部网络结构外泄所引发的安全隐患。 功能特点 安全的电子邮件传输服务 方案中部署的Foundir SSL Gateway 是一个邮件通信信道加密网关,实现了用户端到服务器端甚至服务器端到服务器端的通信信道POP3、SMTP、Webmail、IMAP4会话过程的高强度加密防护,解决了邮件客户端以近乎明文方式登录系统带来的口令字泄密隐患。 稳定高效的电子邮件反防毒 在网关服务器上部署的Foundir VirusWall 是一套基于边界防病毒模式的电子邮件反防毒产品,内部采用了TCP代理、快速编解码以及多进程、多线程技术,减少了系统资源调度时间,提高了整体性能和效率,尤其在电信级的大用户量的电子邮件系统中, 性能表现优异。 强大的反垃圾邮件功能 在网关服务器与邮件服务器之间部署Foundir Spam Gateway,对邮件来源的发信人地址、姓名、邮件收信人、关键字进行多种条件组合的匹配过滤,智能识别潜在的垃圾邮件,并按照用户的需要给予适当的处理,尤其与硬件结合的功能对电信级的用户系统的性能有可靠的保障。 支持用户定制的邮件内容过滤 通过部署Foundir ContentFilter Gateway,可以实现电子邮件内容过滤,防止敏感内容和不安全的信息、文档、资料等透过电子邮件不恰当地传播。 简便易用的数字证书管理 在邮件服务器上部署的Cetitficate Management System提供电子邮件数字证书管理,支持所有主流的安全认证系统,例如VeriSign,InfoSec等。建立邮件内容加密、防窃听、反抵赖机制,是电子邮件应用于电子商务、电子政务的有力安全保证。 优秀的抗攻击性能 Foundir LoadBalance 邮件负载均衡网关,全面提高邮件系统的抗拒绝攻击能力,能够有效的抵制外来网络层攻击。通过审定超过TCP连接阀值,分别限制的POP3、POPs、SMTP、SMTPs、HTTP、HTTPs、IMAP4、IMAPs等访问,防止半连接方式的拒绝服务攻击。 方案特点
编号:CCRC-IR-042:2019 IT产品信息安全认证实施规则 物联网感知层网关 2019-04-26发布 2019-04-30实施中国网络安全审查技术与认证中心发布
目录 1.适用范围 (1) 2.认证模式 (1) 3.认证的基本环节 (1) 3.1认证申请及受理 (1) 3.2文档审核 (1) 3.3型式试验委托及实施 (1) 3.4认证结果评价与批准 (1) 3.5获证后监督 (1) 4.认证实施 (1) 4.1认证流程 (1) 4.2认证申请及受理 (1) 4.3文档审核 (2) 4.4型式试验委托及实施 (2) 4.5认证结果评价与批准 (3) 4.6获证后监督 (3) 5.认证时限 (5) 6.认证证书 (5) 6.1认证证书的保持 (5) 6.2认证证书的变更 (5) 6.3认证证书覆盖产品的扩展 (5) 6.4认证证书的暂停、注销和撤销 (6) 6.5获证产品名录的发布 (6) 7认证标志的使用 (6) 7.1认证标志的样式 (6) 7.2认证标志的使用 (6) 7.3加施位置 (6) 8收费 (7) 附件1: (8) 附件2: (10)
1.适用范围 本规则适用于中国网络安全审查技术与认证中心(CCRC)针对物联网感知层网关开展的信息安全认证。 感知层网关是指实现感知网络与通信网络、不同类型感知网络之间的协议转换和互联,部署于物联网感知层的网络连接设备。 2.认证模式 型式试验 + 获证后监督 3.认证的基本环节 3.1认证申请及受理 3.2文档审核 3.3型式试验委托及实施 3.4认证结果评价与批准 3.5获证后监督 4.认证实施 4.1认证流程 申请方向认证机构申请认证,认证机构在接收到申请方的认证申请后,审查申请资料,确认合格后向申请方选择的实验室安排检测任务,并通知申请方根据要求送样。实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证机构提交检测报告。认证机构对检测报告审查合格后,需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、相关安全保障能力文档进行综合评价,并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 4.2认证申请及受理 申请方向认证机构递交认证申请,并按要求提交相关资料,认证机构对资料进行初审,确定申请方提交资料满足要求后,受理该申请。 4.2.1认证的单元划分
反垃圾邮件网关的技术规范 一、邮件网关要求 1、基本要求 (1)采用专用的硬件平台,自身安全性高、稳定性好。保证邮件网关系统的稳定性和性能,确保邮件网关设备不会成为网络系统的性能瓶颈。 (2)优越的系统性能。每小时处理的邮件流量和对收发邮件的处理内容扫描速度在同类产品中领先,支持标准SMTP和POP3协议,适用于任何支持上述邮件协议的邮件系统。 (3)要求通过公安部防病毒网关产品认证和防垃圾邮件认证,且同时拥有这两类安全产品的认证证书,最好能有河南省公安厅在本地的经营推荐证明。 (4)可以有效地实现电子邮件病毒过滤、内容过滤、垃圾邮件过滤,蠕虫过滤,阻断后门程序、DoS/DDoS等动态攻击行为。 (5)针对通过SMTP、POP3、HTTP、FTP等协议传输的内容进行过滤处理。 2、功能要求 (1)具备强大的反病毒功能 对所有进出站的邮件进行病毒扫描,应能够有效过滤普通病毒、邮件病毒、蠕虫病毒、木马活动,可以进行病毒邮件的隔离、删除、以及清除病毒的操作,支持病毒扫描引擎和病毒代码库的实时在线更新,及时遏制最新病毒的发作。为了保证系统的最佳性能,缓存扫描结果。 采用自主知识产权的成熟的防病毒引擎。 (2)能抵御对邮件服务器的各种攻击 全面防范针对传输层25端口攻击,防止邮件地址泄露,保障后端邮件系统的安全。提供最完善的防攻击体系,有效地防范针对邮件系统的各类攻击,包括邮件服务应用层的字典算法攻击、目录树攻击、多线程攻击、DHA攻击、DoS攻击等;邮件网关层的空文件攻击、多重病毒感染攻击、多重压缩攻击等。 (3)具有多层反垃圾邮件的防御结构 提供有力的、灵活的反垃圾邮件措施来保护邮件系统免受垃圾邮件的攻击,全面地防御垃圾邮件对邮件系统进行攻击。 所有的邮件都必须通过验证,才可以被发送至邮件系统;拒绝非法用户邮件的投递。 支持速率限制、并发连接、连接频率限制,防止拒绝服务攻击、保护网络带宽。防止邮件系统负担过重,造成正常邮件信息发送失败,
XX科技IWSA实施方案
XX科技(中国)有限公司 2013年3月
目录 1、项目概述 (5) 2、项目实施方案 (5) 2.1项目实施范围及内容 (5) 2.2项目实施人员 (7) 2.3项目实施计划 (8) 3、实施环境综述 (9) 4、项目阶段及内容 (10) 4.1 项目启动 (10) 4.2 需求调研 (11) 4.3 设备采购 (11) 4.4 设备安装 (11) 4.5 项目初验 (12) 4.6 系统试运行 (12) 4.7 项目终验 (12) 4.8 保修期 (13) 5、实施总结 (13)
文档信息: 版本记录: 文档说明:
1、项目概述 XX科技作为业界极具影响力的专业防病毒解决方案及服务提供商,对XXXX 防病毒网关项目给予高度重视,并将指派XXX作为项目经理进入项目小组,直接掌控项目的技术水平和质量。XX科技将根据XXXX防病毒网关项目的具体要求,结合自己的业界经验及项目管理经验,努力满足XXXX对本项目提出的目标。在项目管理、系统安装、工程实施、项目验收、技术服务、技术培训等项目环节中做到守时、保质,使此项目成为精品和典范。 为了保证XXXX防病毒网关项目实施的质量和进度,本项目将参考并遵守一些国际上最新的相关信息安全工程标准和最新的研究成果,如: ●PMI项目管理方法学 ●SSE-CMM信息安全工程成熟度模型 ●IATF信息系统安全工程(ISSE)过程模型 2、项目实施方案 2.1项目实施范围及内容 实施的位置、网络范围和产品描述 本次实施内容为XX科技WEB安全网关-IWSA,XX科技互联网安全网关设备(简称IWSA)是一套针对互联网常用协议HTTP/HTTPS、FTP、SMTP/POP3等五种协议进行安全防护和策略控制的综合性网关解决方案,实现如下八大安全控制: 1.防病毒 2.防间谍软件 3.防网络钓鱼 4.防垃圾邮件 5.防JaveApplet&ActiveX恶意插件 6.流量配额管理 7.恶意URL阻止
SecureMail 安全保密邮件系统产品概述 SecureMail安全保密邮件系统是集邮件安全传输、邮件/用户密级设置、密级流向控制、邮件跟踪等功能于一身,为用户提供全面的邮件加密安全收发功能的产品,并可通过附加组件实现对邮件及附件的细粒度权限控制。 SecureMail 安全保密邮件系统产品功能 ?认证功能:系统支持USB智能卡登录和用户名/口令的两种登录认证方式,并提供一次性口令认证功能, 管理员可以为用户设置临时认证口令,用户可凭此一次性口令登录使用系统,管理员可设置一次性口令的有效次数或有效时间,一旦超过有效次数或有效时间,一次性口令即失效。 ?密级控制功能:系统密级设置,系统针对需处理涉密信息的单位用户,提供了密级设置功能,并可对邮件和用户分别设置各自密级属性。用户标密:管理员可对用户设置密级属性,用户的密级可分为普通、秘密和机密三个等级。 ?邮件标密:邮件的密级可分为普通、秘密和机密三个等级,用户发送邮件时必须首先选择邮件的密级,系统会根据指定的密级控制策略匹配用户和邮件两者的密级,禁止低密级用户接触高密级邮件。 ?密级流向控制:密级流向控制的目的是保证用户、邮件、附件三者的密级匹配,确保高密级的邮件不会向低密级用户发送,低密级用户也不能发送高密级邮件。密级流向控制首先对密级邮件在选择发送人员时,会筛选密级相对应的接收人员。若发生不符合密级的邮件传输,系统会自动阻断。通 ?讯录密级控制:系统具有通讯录功能,通讯录以组织机构树的形式展示用户信息,方便在发送邮件时快速选择一个或多个用户作为收件人。通讯录在选择收件人时,将根据邮件密级确定收件人的显示范围,当邮件为普通密级时,收件人将显示全部用户信息;当邮件为秘密级时,收件人只显示密级为秘密级的用户信息;当邮件为机密级时,收件人只显示密级为机密级的用户信息。系统设定不允许用户手工输入邮件地址,只能选择通讯录中的用户信息来添加收件人,可有效防止高密级邮件被发送到低密级用户。
Copyright 2000-2015 Coremail SystemCoremail 5.0功能介 绍 CM5.0功能介绍 Coremail电子邮件系统基础功能 功能的同时,也在以下多个方面展现出了其细致、出众的品质: 网页风格 Coremail V 5.0 极简风格是Coremail电子邮件系统的新一代界面,经过专业研发团队精雕细琢、潜心打造而成,操作流畅快速,界面简约清新,以用户的最佳体验作为交互设计的核心宗旨,带来更好的视觉交互体验。 登录页行业模板 Coremail V5.0为不同行业的客户提供了不同的登录页模板参考,客户还可以根据企业形象与企业文化进行自定义登录页。
?全新交互体验 基于Coremail近15年的研发经验,吸收归纳众多企业的实际使用场景和交互需求,同时采用现在国际上流行的交互设计理念,并借鉴iOS产品设计与交互设计理念的精髓,V 5.0在页面规范、操作规范、信息规范等方面提供更好的用户体验。 ?性能全面提升 V 5.0极简风格在性能优化过程中,引入了下一代HTML5和CSS3标准,兼容各种浏览器。同时,新界面进一步优化WebModule界面框架与智能动态组件系统,让页面加载刷新速度更快、更高效,页面显示也更快捷。 另外,通过对存储机制与动态数据管理中心的进一步优化,用户访问数据库、提取数据 的速度将更快;在同等的网络环境下,V 5.0极简风格表现得更快、更稳定!
智能终端模版 随着移动电子设备的不断普及,通过iPad平板电脑、iPhone/Android智能手机等方式进行移动办公,已成为一种办公新趋向。为了让您拥有更佳的移动办公体验,进一步提高工作效率,Coremail团队率先在国内邮件系统市场上推出了基于企业邮箱应用的专属移动端邮箱模板。 ?全新交互设计,操作体验更舒适。 模板界面设计清新、简洁、大方,采用邮件分栏式结构,阅读操作体验与iPad/iPhone/Andriod的特性相符,且与网页的操作逻辑保持一致。 ?使用HTML5等技术优化,享受极速应用。 模板设计中引入了HTML5标准与CSS3技术,这样不仅在速度上有了大幅提升,而且使用过程中也更安全。经测试,在同等的网络环境下,您收发邮件的速度将提升50%。 ?智能化管理,移动办公效率更高。 模板支持批量邮件操作和搜索操作,以及更快速地查找与处理邮件。同时,写信联系人自动匹配设计也颇为人性化;您只要输入一个字母,便能让您快捷地找到相应联系人。 ?附件上传、在线预览,轻松替代电脑办公 模板支持写信直接上传手机上的图片、音频、视频等文件,满足移动互联时代多媒体写信的需求。同时您还可在手机端在线浏览附件,无需安装任何程序,可以直接通过邮箱在线查看office文档、pdf文档、图片、压缩包等格式的附件中的内容。由于有效减少对手机缓存的占用,预览速度也比国外同类产品快,也更加便捷。 读写退信 ?联系人名片。读信时,可移动鼠标到收信人email地址,即浮现联系人名片。名 片包括个人头像、所在部门、办公电话等信息,还提供快捷操作查看邮件往来、 拒收、加入白名单等。 ?发信统计。您可以在已发送邮件中,看到邮件发送状态统计,包括一共发送给多 少人,多少封发送成功,多少封已阅读,多少封投递失败,多少封邮件被设置了
安全网关业务常见问题 Q:安全网关支持哪些网络接入模式? A:安全网关支持两种网络接入模式:一种是网桥模式,一种是网关模式。网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。 Q:网桥模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网桥模式,通常情况下应该部署在企业接入设备(防火墙或者路由器)的后面。安全网关的两个网口(内网口和外网口)连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址,不需要改变网络拓扑以及其它配置,透明接入网络。 Q:网关模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网关模式,通常情况下应该部署在企业网络出口处,做为宽带网络接入设备,保护整个内部网络。 Q:无法通过浏览器登录安全网关的管理页面? A:出现这种情况有以下几个原因: 未将登陆pc加入安全网关的管理客户端 网络无法连通(该登陆PC到安全网关的链路) Q:为什么在外网ping不通安全网关的外网口地址? A:安全网关出于安全考虑对外网口是禁ping的,因此是ping不通外网口地址的。不过从内网PC能ping通安全网关的外网口地址。 Q:安全网关支持哪些方式的VPN? A:对于企业连接不同地域网络的需求,安全网关提供了VPN功能,企业可以通过Internet连接不同地域的网络。 安全网关提供IPSEC和PPTP VPN接入方法。安全网关的VPN功能适用于网关接入模式下。 Q:安全网关安装完毕后,为什么能ping通外网,而无法浏览网页? A:出现这种情况有以下的原因 如果安全网关作为网桥模式部署在防火墙的后面,并且做了访问控制的策略,由于安全网关对于扫描的协议采取的是非透明的方式,所以需要增加安全网关的地址到策略中; 未在安全网关中设置本地区的DNS服务器,或pc客户端的DNS设置有误。 Q:安全网关支持DHCP服务器功能吗? A:安全网关可以做为一个单一DHCP 服务器使用,也可以成为其他DHCP服务器的代理。网关模式支持DHCP服务器功能,网桥模式下不支持DHCP服务器功能。 Q:如果忘记安全登录密码,怎么办?