加密机使用手册

SHJ0902加密机使用手册

广州江南科友科技股份有限公司

2010-01

目录

第一章支付服务密码机简介 (4)

1.1密码机的功能 (4)

1.2密码机的技术特点 (4)

1.3密码机的技术指标 (5)

1.4密码机的外形结构 (5)

第二章支付服务密码机的使用 (6)

2.1密码机的配套清单 (6)

2.2密码机的安装 (7)

2.2.1安装步骤 (7)

2.2.2密码机的初始化 (7)

2.2.3注入密钥 (7)

2.3密码机各部分的说明 (8)

2.3.1IC卡插座 (8)

2.3.2密钥销毁锁 (8)

2.3.3机仓后部的锁 (8)

2.3.4蜂鸣器 (8)

2.4密码机的接口 (8)

2.5注意事项 (9)

第三章密钥管理哑终端使用说明 (10)

3.1使用说明 (10)

第四章加密机配置 (11)

4.1设置加密机IP (11)

4.2查看、添加和删除客户端IP (11)

4.3设置加密常用设置 (12)

4.4查看加密机IP地址、网关和子网掩码 (12)

第五章超级管理员，管理员和维护权限 (13)

5.1加密机权限分类 (13)

5.2进入相应管理权限状态 (13)

5.3超级管理员，管理员以及维护员的权限。 (13)

5.3.1 超级管理员权限 (13)

5.3.2 管理员权限 (13)

5.3.3 维护员管理员权限 (14)

5.5制作三种权限卡 (14)

5.5.1 IC卡的格式化 (14)

5.5.2超级管理员卡的制作 (15)

4.5.3管理员权限卡的制作 (17)

5.5.4维护员权限卡的制作 (18)

第六章密钥注入 (19)

6.1加载主密钥 (19)

6.2注入功能密钥 (20)

6.2.1产生随机的功能密钥 (20)

6.2.2产生密钥命令FK。 (21)

6.2.3明文分量类索引密钥注入 (22)

附录 (24)

附录1所有终端命令功能表 (24)

附录2LMK表 (25)

附录3密钥类型表 (27)

第一章支付服务密码机简介

支付服务密码机是用于银行卡网络系统的支持多进程的主机节点数据密码机，直接与主机相连接，以规定的协议通讯。此密码机设计可靠，结构合理，使用方便，外型美观。

1.1密码机的功能

支付服务密码机是金融网络安全系统的重要组成部分之一，主要的功能是实现对网络上传输的信息进行保护或鉴别，以保证金融信息的正确性，能够有效防止对通信数据的非法窃取或篡改。

1.2密码机的技术特点

?用于TCP/IP协议。

?所有密钥库的自动维护功能，包括密钥的产生、分发、注入和销毁。支持哑终端密钥管理方式。

?密码机具有完善的密钥保护功能，即使掉电,也能保护好密钥不被丢失；另外还有非法操作时的密钥销毁功能。

?具有完善的系统监测功能，可监测密码机硬件及软件的运行状态，并可对故障进行自动恢复。

?可以通过软件、硬件来设置、检测各部分的功能，设定系统的运行参数，具有完善的人机交互界面。

1.3密码机的技术指标

接口方式：RJ/45及RS—232

传输速率：10M/100M/1G自适应

工作电压：~220V±25％、50HZ

功耗：85W

可靠性：MTBF > 40,000h

1.4密码机的外形结构

图一：密码机前视图说明

１、IC卡插座

此处是管理密码机的IC卡的插入口

２、密钥销毁锁

紧极时可销毁密钥

３、电源灯

当密码机接通电源时，电源灯亮

４、工作灯

当密码机正进行加、脱密等安全处理时，加密灯亮５、报警灯

当密码机处于非正常状态时，报警灯亮，并伴有报警声

图二：密码机后视图说明

1、电源开关按钮控制对密码机的电

2、交流电源插座

3、机仓后锁

技术人员由此打开机箱维护密码机(用户请勿私自打开，否则可能造成严重后果)

4、RS-232C 9芯插座2

5、TCP/IP接口2

6、TCP/IP接口1

7、并口（接并口打印机用）

8、RS-232C 9芯插座1

第二章支付服务密码机的使用

2.1密码机的配套清单

密码机一台

使用说明书一本

220V交流电源线一根

IC卡一套（6张）

串口线一根

2.2密码机的安装

2.2.1安装步骤

第一步密码机通过TCP/IP接口与主机连接，即可进入生产环境。

第二步固定好线缆的两端，以保证其良好的接触和安全。

第三步接上220V的交流电源线，打开密码机交流电源开关。

2.2.2密码机的初始化

在哑终端上进行如下初始化（连接方法见第3章）：

为密码机分配IP地址、网关及子网掩码；为密码机分配一个通信端口；为密码机分配一个客户；为密码机设置PIN长度、消息头长度、字符编码等。

2.2.3注入密钥

密码机在使用之前应先注入密钥。如果没有注入密钥，密码机起动后会报警。

在哑终端上进行如下操作：（方法见第3章）

完成密码机三张超级权限卡的制作，再从三张超级权限卡中导入主密钥三个成份，在密码机中自动合成主密钥。

2.3密码机各部分的说明

2.3.1 IC卡插座

密码机采用推推式IC卡座。将密码机专用卡的触片面向上、向前，按照IC卡上标示的方向，对准插座方向适当用力推入即可操作，再轻推一下即可弹出，此时才可以拔出IC卡。

2.3.2密钥销毁锁

用于销毁密钥。销毁密钥时，先将密码机电源关闭，然后密钥销毁锁转至销毁状态，1秒后密钥销毁。

2.3.3机仓后部的锁

用来固定机仓。

2.3.4蜂鸣器

密码机内部还装有蜂鸣器，用于异常时报警或者在有些操作过程中给予声音提示。

2.4密码机的接口

密码机有3个接口：2个以太网口，1个串口。

2.5注意事项

密码机必须注入密钥才能正常工作。

严禁带电打开密码机的机仓和拨/插通信线缆。

严禁强电流、高电压对密码机的冲击。

密码机不能正常工作时，请填好保修单，及时与供应商联系，以便进行检查、维修。

若IC卡损坏，严禁随便丢弃，必须交还给配发单位，由配发单位统一处理。

第三章密钥管理哑终端使用说明

3.1 使用说明

打开密码机前请用密码机配套串口线缆连接哑终端串口和密码机COM1端口（CONSOLE端口）。

连接方法：

用哑终端连接线缆连接PC机的串口和密码机的COM1端口。测试过程中用PC机上Windows自带的“超级终端”软件，模拟哑终端。

在Windows

。超级终端设置：9600bps、8位数据位、1位停止位、无奇偶校验位。

第四章加密机配置

4.1 设置加密机IP

超级终端与加密机连接好，在HSM-AUTH3>提示符下执行list命令，将会显示加密机自带的所有终端命令：

a acn acy ad

b

c car

d cardkey cc ch check checkkey ck clearallkey cls copy cp cs ct cv des ec fc fk gc help history ip iv ka kb k

e key kg ki list lk lo loadmk loadtestkey ltk mk mkadminister mksuper mkworker port printer prt pv pw qh qp rand rc reboot renew s

f ver wk

在HSM-AUTH3>提示符下执行IP命令：

HSM-AUTH3>ip

Enter IP address:10.8.2.8

Enter Default Gateway:10.8.2.254

Enter Subnet mask:255.255.255.0

按回车键，加密机IP设置成功。

4.2 查看、添加和删除客户端IP

在HSM-AUTH3>提示符下执行ct命令:

1. 19

2.168.1.244

2. 200.200.200.244

Add a client / Delete a client / delete all Clients [A/D/C]: 选择A、D、C完成客户端IP的添加和删除。

4.3 设置加密常用设置

在HSM-AUTH3>提示符下执行ch命令:该命令功能设置PIN长度，消息头长度，打印方式以及字符编码方式。

HSM-AUTH3>ch

Pin Length [4-12]:6

Message Header Length [0-99]:0

Printer Response [1-2]:1

Ascii/Ebcdic/IBM5250 [A/E/I]:A

Password/Clear [P/C]:P

4.4 查看加密机IP地址、网关和子网掩码

在HSM-AUTH3>提示符下执行qh命令：

当执行qp后，加密机输出如下信息：

HSM-AUTH3>qp

IP address:10.8.2.8

Default Gateway:10.8.2.254

Subnet mask:255.255.255.0

第五章超级管理员，管理员和维护权限

5.1 加密机权限分类

由于加密机的终端命令涉及到加密机的密钥以及加密机的相关配置，从安全方面考虑，加密机管理权限分3种：超级管理员，管理员以及维护权限。不同权限身份的管理人员对加密机执行的操作不同。

5.2 进入相应管理权限状态

当用超级终端连接加密机时，默认的是维护管理员权限，如果要进入超级管理员和管理员全选，需要执行终端命令 a ，按照提示插入IC卡，输入IC卡口令的过程中，加密机会计算出IC中的校验值与密码机中存储的校验值做比较，然后进入相应的管理权限状态。

5.3 超级管理员，管理员以及维护员的权限。

5.3.1 超级管理员权限

超级管理员拥有最高权限，能执行所有的终端命令。

（终端命令功能见附录1）

5.3.2 管理员权限

管理员权限能执行加密了提供的大部分终端命令，权限如下：a，b，c，card，cc，ch,check,ckeckkey,ck,cls,ct,cv,des,ec，

fc,fk,gc,ip,iv,ka,kb,ke,key,kg,ki,mkworker,port ,printer, prt,pv,pw,qh,qp,rand,rc,ver,wk,history

5.3.3 维护员管理员权限

维护员权限很低，只能执行仅有的几条终端命令，权限如下：a,card,check,checkkey,des,history,qh,qp,rand,rc,ver

这些终端命令基本上是一些查看加密机相关设置的命令。

5.5 制作三种权限卡

5.5.1 IC卡的格式化

在制作权限卡之前，必选将IC卡格式化，格式化终端命令fc，示例如下：

HSM-AUTH3>fc

Something in the card, Continue? [Y/N]:Y

Card pin:********

Retype Card pin:********

Enter date[YYMMDD]:090225

Enter time[HHMMSS]:220000

Enter Issuer ID:0000

Enter User ID:0000

Format success!

在格式化的过程中，对IC卡设置了密码，这个密码卡片持有人必须记住，因为在后面制作权限卡的时候会要求输入卡密码。

5.5.2超级管理员卡的制作

制作超级管理员权限卡其实也就是制作加密机主密钥的一个过程，在执行mksuper命令后，会要求输入 3个分量，三个分量分别存储在三张IC里面，做好密钥备份工作。加密机加载主密钥执行loadmk 命令，加密机会提示按顺序插入三张超级管理员卡，因此在制作超级管理员卡的时候必须记住IC卡的次序，且在有几台加密机的情况下必须标明每套卡与加密机的对应关系。

超级管理员卡制作步骤如下所示：

HSM-AUTH3>mksuper

Rmk component 1:

************************************************

Retype Rmk component 1:

************************************************

Rmk component 2:

************************************************

Retype Rmk component 2:

************************************************

Rmk component 3:

************************************************

Retype Rmk component 3:

************************************************

Insert the super card1 and press ENTER...

Card1 PIN:******

component 1 checkvalue:82E13665B4624DF5

Make the super card1 success!

Insert the super card2 and press ENTER!

Card2 PIN:********

Sorry,password error! remain time is 2

Insert the super card2 and press ENTER!

Card2 PIN:******

component 2 checkvalue:8CA64DE9C1B123A7

Make the super card2 success!

Insert the super card3 and press ENTER!

Card3 PIN:******

component 3 checkvalue:8CA64DE9C1B123A7

Make the super card3 success!

4.5.3管理员权限卡的制作

将格式化的IC卡插入加密机，执行 mkadminister 终端命令，加密机提示输入Card1密码，当密码输入正确后加密返回管理权限卡1的校验值，这个校验值将存入加密机，以后身份验证就是跟这个校验值有关系。

管理员权限卡的制作过程如下：

HSM-AUTH3>mkadminister

Insert the administer card1 and press ENTER!

administer card1 PIN:******

Make administer card1 now!Please wait for ...

Card checkvalue:F44D424C2DD75AE9

Make the administer card1 success!

New Hsm Password4:******

Retype New Hsm Password4:******

Hsm Password4 Set Ok !

Insert the administer card2 and press ENTER!

administer card2 PIN:******

Make administer card2 now!Please wait for ...

Card checkvalue:D86F0CF403ECCDA4

Make the administer card2 success!

New Hsm Password5:******

Retype New Hsm Password5:******

Hsm Password5 Set Ok !

HSM-AUTH3>mkwoker

mkwoker: command not found!

5.5.4维护员权限卡的制作

将格式化后的IC卡插入加密机，执行终端命令 mkworker,然后按加密机提示输入信息。

制作过程如下：

HSM-AUTH3>mkworker

Insert the worker card and press ENTER!

worker card PIN:******

Make worker card now!Please wait for ...

Card checkvalue:0A410D6C7702F77A

Make the worker card success!

New Hsm Password6:******

Retype New Hsm Password6:******

Hsm Password6 Set Ok !

第六章密钥注入

6.1 加载主密钥

加载主密钥后，下次重启连接PC超级终端将是维护员权限，如果加密机是加载的测试密钥，则再次重启加密机连接PC超级终端将是超级管理员权限。

加密机投入运行时，必须先制作超级管理员卡和装载MK。由于DES 算法依靠某一个密钥进行加密，同时所有密钥和数据都经由MK进行加密，所以MK必须通过一种安全的方法生成和维护。主密钥的加载方式是：在PC的超级终端执行LOADMK命令，然后按提示插入超级管理员卡和输入密钥（超级管理员卡的制作见4.5.2）。

注意：插入超级管理员卡必须按制卡顺序插入IC卡。

加载主密钥的步骤如下：

先制作超级管理员卡！

用卡合成主密钥！

HSM-AUTH3>loadmk

Insert the super card1 and enter card1 Pin:******

New Hsm Password1:******

Retype New Hsm Password1:******

Hsm Password1 Set Ok !

component 1 checkvalue:82E13665B4624DF5

Insert the super card2 and enter card2 Pin:******

New Hsm Password2:******

Retype New Hsm Password2:******

Hsm Password2 Set Ok !

component 2 checkvalue:8CA64DE9C1B123A7

Insert the super card3 and enter card3 Pin:******

New Hsm Password3:******

Retype New Hsm Password3:******

Hsm Password3 Set Ok !

component 3 checkvalue:8CA64DE9C1B123A7

RMK checkvalue:82E13665B4624DF5

6.2 注入功能密钥

功能密钥的注入是通过PC超级终端执行ec或者gc终端命令生成，key终端命令用于注入索引类功能密钥。

6.2.1产生随机的功能密钥

gc命令是随机产生指定的功能密钥，LMK表见附录2。

天融信TA系统数据库维护手册

TA系统数据库维护手册 利用TA系统做数据库的备份和恢复 1、本地数据库备份: 1、具体方法： 使用GUI连接到TA Server上，在服务器配置里面选择任务调度策略，新建一个备份数据库任务， ri L J 肆霜驚繰畿瞿箴蠶蠶令黠F向导’您只扁要）^择和输入-锁 ?:上一歩⑤fr一步凰〉|飓消1 注意：完全备份的间隔时间根据日志产生量来确定, 的计算公式是：完全备份的间隔天数<= （磁盘大小12）1每天产生的日志量，推荐至少每周做一次完全备份

设 S 任务执行时闾 翳鹭驛矗餐離舉熬期靡?下跻调度时间?翻沁择 O 立即执昏 ?计立嗣— 每天执行 ?毎周执行 厂 1 L 債 D 垢月执匸r o 自定义时问 pi ZJ 31^~3 3 14" 上’ ：'4 取消 I 注意：备份参数选择完全备份， 可以根据需要选择是否清除数据库里面的数据; 如果选择了 “备份完成后清除旧日志” 定要选“紧缩数据库空间”才能保证数据库空间有效释放。 厂 1 L 債 1、 融髓巒执行时，■^统将日志目鳩份在愆指走的歸桎下.關徨为远程服务 备份类型；? 融韻邺? O 増量备份（増呈备愉之前必颔进行过完全备份） H ■ ■ ■ ■ ■ ■ ■ X 0不删除I 日日志 O 渚除所有旧日志 O 活隍氏于厂 数嶠库选项: □紧霜数据库空间 验证完全备份是否成功: 棗曲日志° <上 1步迢〕I T -步?〉| 取消 ]

在开始菜单，选择程序， TOP SEC 安全审计综合分析系统，审计服务器，配置服务器，在 数据库设置里面找到备份文件路径，验证路径里面是否存在定制时间的文件，并且以 DBK 为扩展名 基本设置数据库设置 厂 1 L - I II 詹麗驚繰畿霭霧離卸翳号鯛'您只需要选擇和输1硕 数据库类型 |HS 5eL SIKVEE2000 3 服薯器诵口 |1433 用尸名 恋码 备阱文件诧径 [eTVbak = 取消 I 2、 建立增量备份: 任务荃本信息

SJL05金融大数据加密机_用户手册簿_2.0

SJL05金融数据加密机 1.00 成都卫士通信息产业股份有限公司

SJL05金融数据加密机用户手册 目录 1产品概述 (3) 2设备清单 (3) 3产品介绍 (4) 3.1主要功能 (4) 3.2技术指标 (6) 3.3密码体制 (6) 3.4工作方式 (6) 3.5兼容标准 (6) 3.6环境要求 (6) 3.7物理特性 (7) 4设备安装 (7) 4.1安装条件 (7) 4.2密码机示意图 (7) 4.3密码机硬件安装方法 (8) 4.4控制台终端管理程序安装方法 (9) 5控制台终端操作 (10) 5.1基本信息 (10) 5.1.1版本查看 (10) 5.2参数设置 (11) 5.2.1打印端口配置 (11) 5.2.2交易端口配置 (12) 5.2.3特殊授权控制 (13) 5.2.4设置通信格式 (14) 5.3网络配置 (15) 5.3.1安全访问设置 (15) 5.3.2设置密码机IP地址 (19) 5.3.3设置密码机路由 (22) 5.4密钥管理 (25) 5.4.1密钥注入 (25) 5.4.2本地主密钥校验值 (41) 5.4.3密钥备份恢复 (41) 5.5密钥产生 (43) 5.5.1RSA密钥 (43) 5.5.2随钥 (44) 成都卫士通信息股份有限公司- I -

SJL05金融数据加密机用户手册 5.5.1变种密钥 (45) 5.5.2非变种密钥 (47) 5.6口令和令牌管理 (48) 5.6.1key操作 (48) 5.7恢复出厂设置 (50) 5.7.1销毁密钥 (50) 附录A 密码机提示音 (51) 成都卫士通信息股份有限公司- 51 -

天融信防火墙配置指南

一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻： 用户-->访问者 城市-->主机 地点-->端口 为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNAT）。比如A学校有100台计算机，但是只有一个互联网IP，上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问，比如计算机A访问计算机B，那么，计算机B 相当于服务器，计算机A相当于客户机。如果是访问网页，一般就是客户机访问服务器的80端口。在访问的过程中，浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的，就是你进行下载的同时也同时提供了被下载的服务，你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换（SNAT）和目标转换（DNAT）。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面，如下面的图例。

中国网络安全供应商50强

前言 自2015年10月，《中国网络安全企业50强》（以下简称“50强”）首次发布以来，安全牛就一直在筹划《50强》的第二次发布，并于今年3月初正式启动调查工作。经过三个多月的调研、审核及评定工作之后，于今日凌晨正式发布。 本次调查从近500家安全企业中筛选出150家候选企业，通过公开资料收集、调查表填写、电话会议及当面沟通等形式获得基础资料。再由专业调查人员结合技术专家及行业资深人员组成的调查委员会，根据本次的调查指标和方法论进行审核、打分和评比，最终评选出50家网络安全公司，调查数据基于2015年全年度的数据和信息。 本次《50强》调查，取消了传统、新兴企业和大型企业网安部门之分，统一进行排名。并且，在榜单的最后，还特别推荐了在各个安全新兴领域，最具有发展潜力的20家初创企业。入选这个名单的初创企业，还将优先进入到今年中国互联网安全大会的“创新沙盒”中做候选。 值得关注的是，经统计，本次榜单中的50强企业，在2015年企业安全业务的销售总收入约为180亿元，较为客观真实地反映了中国网络安全自由市场的真实规模。 本榜单全文于2016年6月21日由安全牛微信和网站平台首发，并将面向全球发布英文版，为国内外相关行业和机构了解中国网络安全企业的基本状况提供借鉴与参考。 中国网络安全企业50强 一、50强榜单 50强矩阵图 （注：本图为矩阵图，与传统的数轴、象限图不同，本矩阵图的横轴的走向为从右往左，即左上角为最重要的位置，更为符合国内的阅读习惯。左上角出现的企业，意味着在规模和影响力两大指标体系中均处于高端。） 50强综合排名： 01.华为 主要业务领域： 防火墙、入侵检测/入侵防御、统一威胁管理、抗DDoS、VPN、云WAF。 02.启明星辰

天融信网络信息安全解决总结方案.doc

计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。以该思想为出发点，北京天融信公司提出了"网络信息安全解决方案"。 一、网络信息安全系统设计原则 ? 1.1满足Internet分级管理需求 ? 1.2需求、风险、代价平衡的原则 ? 1.3综合性、整体性原则 ? 1.4可用性原则 ? 1.5分步实施原则 目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，考虑技术难度及经费等因素，设计时应遵循如下思想： （1）大幅度地提高系统的安全性和保密性； （2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； （3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； （4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展； （5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； （6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想，网络信息安全系统应遵循如下设计原则： 1．1 满足因特网的分级管理需求 根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。 第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。 第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。 第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。精品文档

DPC使用手册资料

打印日期：10/21/2018 数据准备客户端系统 DPC使用手册 广州江南科友科技股份有限公司 2013-09-09

文档修改记录

目录 1 文档说明 (4) 1.1文档范围 (4) 1.2系统简介 (4) 2 设备清单 (5) 2.1设备清单 (5) 3 系统网络架构 (6) 4 系统配置 (7) 4.1数据准备DPC系统配置 (7) 4.2加密机配置 (13) 4.3DPC客户端配置 (13) 5 制卡管理员使用手册 (15) 5.1用DPC客户端登陆DPC系统 (15) 5.2密码机管理 (16) 5.3密码机正常状态 (17) 5.4如何删除加密机组....................................................................................... 错误！未定义书签。 5.5如何在密码机组里增加加密机 (18) 5.6如何删除加密机组里的加密机 (19) 5.7如何查询并修改加密机信息 (19) 5.8密钥状态监测 (20) 5.8.1 密钥导入异常问题 (21) 5.8.2 数据准备密钥明细 (22) 5.8.3 数据准备失败密钥明细 (23) 5.8.4 批次数据准备任务完成状态 (23) 6 常见异常问题处理 (24) 6.1密钥导入异常问题 (24)

6.2加密机异常 (25) 6.3制卡脚本获取不到DPC制卡密钥 .............................................................. 错误！未定义书签。

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录 一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

启明星辰研究报告121807

日期：2015.09.17 一、投资建议 代码股票名称所属行业板块研究员投资评级 002439 启明星辰网络信息安全、大数据、 计算机 刘林买入 二、内外部研究人员具体看法 研究员正面理由网络信息安全行业景气度上行，有望迎来黄金发展期； 收购众多信息安全领域的企业，成为“大安全”的龙头企业；公司并表，半年度企业扭亏为盈。 研究员反面理由行业毛利整体下降；政府预算不达预期企业整合不达预期 三、公司基本情况及跟踪 1、政策预期及变化政策方面预期会有完善网络信息安全的法律法规。 2、公司在行业产业链的地位在行业中属于上中游，上游为基本的硬件设备制造原料供应商，下游多为政府、军队IT等企业。 3、公司在所处行业中的地位是网络信息安全领域的龙头企业； 4、公司融资计划及进度暂无融资计划 四、财务架构

财务数据： A股合计8.30 亿股流通A股 5.51 亿股A股市值214.8 亿元流通市值142.59 亿元市盈率(PE) 117.98 市净率(PB) 14.40 2014年报2015年中报2015年盈预每股收益(基本）0.52 元0.1 元0.34 每股未分配利润0.5 元0.6 元 ROE(平均) 12.50 % 3.41 % 资产负债率17.22 % 14.35 % 销售毛利率48.35 % 47.26 % 销售净利率21.92 % 18.64 % 营业总收入61527 万元29493 万元 营收同比增长率31.42 % 35.51 % 净利润13485 万元5498 万元 2.82 净利润同比增长率49.97 % 52.80 % 首发上市日期2010-06-25 行业简述： 1.公司简介 启明星辰是一家专注于信息安全领域的企业，是国内具有较强实力，拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。公司目前拥有完善的专业的安全产品线，横跨防火墙/UTM、入侵检查管理、网络审计、终端管理、加密认证等技术领域，共有百余款产品型号。 2.企业主要产品 目前，企业已经形成了安全产品和安全服务两条业务主线，可以较为完备的覆盖客户的网络安全需求。 （1）安全产品 启明星辰提供入侵检测系统（IDS）、入侵防御系统（IPS）、防火墙/UTM、

2019年加密机选购大全.doc

加密机选购大全 加密机选购大全2010-12-05 17：19什么是加密机? 机加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。 加密机主要有四个功能模块 硬件加密部件 硬件加密部件主要的功能是实现各种密码算法，安全保存密钥，例如CA的根密钥等。 密钥管理菜单 通过密钥管理菜单来管理主机加密机的密钥，管理密钥管理员和操作员的口令卡。 加密机后台进程 加密机后台进程接收来自前台API的信息，为应用系统提供加密、数字签名等安全服务。加密机后台进程采用后台启动模式，开机后自动启动。 加密机监控程序和后台监控进程 加密机监控程序负责控制机密机后台进程并监控硬件加密部件，如果加密部件出错则立即报警。 加密机前台API 加密机前台API是给应用系统提供的加密开发接口，应用系统通过把加密机前台API使用加密的加密服务，加密机前台API是以标准C库的形式提供。目前加密机前台API支持的标准接口有：PKCS#11、Bsafe、CDSA等。

加密机支持目前国际上常用的多种密码算法 支持的公钥算法有 RSA DSA椭圆曲线密码算法Diffe Hellman 支持的对称算法有 SDBI DES IDEA RC2 RC4 RC5 支持的对称算法有 SDHI MD2 MD5 SHA1 大家知道，加密技术以往曾一直为政府机构专用，随着电子商务的普遍深入以及Internet向全球每一个角落的渗透，加密技术已经赢得了广泛的关注。加密技术能确保信息保密、确定信息没有被篡改、以及确认是谁提供的信息。今天，加密技术已被公认为是确保信息在全球网络传送安全的最经济、最强有力工具。与日俱增的各种服务应用的需求对计算机速度的进一步提高和通信应用程序的功能提出了更高的要求。 例如虚拟个人网络(VPN)、电子银行、WWW、多媒体电子邮件、可视会议及高保真电视等。在高速网络上进行的应用服务的保护长期以来一直受到高度关注。加密机是一个基于安全的操作系统平台、具有高级通信保密性、完整性保护功能的控制系统。它是专用软、硬件设备，可具有多个网络接口，可安装于内联网各局域网出口处，或安装于内联网与公共网络接口处，或集成于网络防火墙中，提供网络边界之间的加密、认证功能。加密机和主机之间使用TCP/IP 协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。 从逻辑上来看，加密机主要有四个功能模块组成： 硬件加密部件 硬件加密部件主要的功能是实现各种密码算法，安全保存密钥，主机加密机的硬件加密部件采取了多种安全措施，能够安全的保存一些重要的密钥，所以主机加密机特别适合于对密钥安全性要求特别高的应用。

加密机使用手册

SHJ0902加密机使用手册 广州江南科友科技股份有限公司 2010-01

目录 第一章支付服务密码机简介 (4) 1.1密码机的功能 (4) 1.2密码机的技术特点 (4) 1.3密码机的技术指标 (5) 1.4密码机的外形结构 (5) 第二章支付服务密码机的使用 (6) 2.1密码机的配套清单 (6) 2.2密码机的安装 (7) 2.2.1安装步骤 (7) 2.2.2密码机的初始化 (7) 2.2.3注入密钥 (7) 2.3密码机各部分的说明 (8) 2.3.1IC卡插座 (8) 2.3.2密钥销毁锁 (8) 2.3.3机仓后部的锁 (8) 2.3.4蜂鸣器 (8) 2.4密码机的接口 (8) 2.5注意事项 (9) 第三章密钥管理哑终端使用说明 (10) 3.1使用说明 (10) 第四章加密机配置 (11) 4.1设置加密机IP (11) 4.2查看、添加和删除客户端IP (11) 4.3设置加密常用设置 (12) 4.4查看加密机IP地址、网关和子网掩码 (12)

第五章超级管理员，管理员和维护权限 (13) 5.1加密机权限分类 (13) 5.2进入相应管理权限状态 (13) 5.3超级管理员，管理员以及维护员的权限。 (13) 5.3.1 超级管理员权限 (13) 5.3.2 管理员权限 (13) 5.3.3 维护员管理员权限 (14) 5.5制作三种权限卡 (14) 5.5.1 IC卡的格式化 (14) 5.5.2超级管理员卡的制作 (15) 4.5.3管理员权限卡的制作 (17) 5.5.4维护员权限卡的制作 (18) 第六章密钥注入 (19) 6.1加载主密钥 (19) 6.2注入功能密钥 (20) 6.2.1产生随机的功能密钥 (20) 6.2.2产生密钥命令FK。 (21) 6.2.3明文分量类索引密钥注入 (22) 附录 (24) 附录1所有终端命令功能表 (24) 附录2LMK表 (25) 附录3密钥类型表 (27)

北京高校校园网络安全案例

北京高校校园网络安全案例 北京某高校是为国家培养国家专业人才的专业院校。为了实现“科教强国”、“走内涵式发展道路”的发展之路，该院面临的挑战是如何实现教学与管理的信息化。而计算机 校园网可以说是目前发展信息技术的最基础的设施。因此，建设该院的校园网工程是信息化建设方面的紧迫任务，是学校可持续发展的重要保证之一。 总体建设目标 按照学院的需求，本系统应在技术上具有先进性，在设备选型方面具有适当的超前性和较强的可扩充性，保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性价比。系统应充分利用现有的通讯方式，实现最有效的信息沟通，采用开放式和具有可扩展性的结构方案，保证系统的不断扩充。 更为重要的是，随着安全系统的建成与开通，能够充分开发教育信息资源，开展相应的信息增值服务，为教育事业带来巨大的社会效益和经济效益；能够充分展现院校的窗口作用，提高整体工作水平和效率，树立学校新形象。 学院网络概述 该学院校园网络主要由计算机实验室、教学楼、学校信息资源服务器群、图书馆等网络组成。其中出口一方面连接CERNET，另一方面连接INTERNET；网络中心的核心交换由P550R 交换机完成，后通过P333T级联来连接各个网络部分。另外，核心交换机P550R上的代理服务器主要提供学生在机房实验室内连接外部网络之用。 安全风险分析 根据该学院校园网络整体结构，参考国际标准化组织ISO开放系统互联(OSI)模型，我们将网络系统划分成五个层次，即物理层安全、网络层安全、操作系统层安全、应用层安全以及管理层安全。 (一)物理层安全分析：在本方案中暂不做详述。 (二)网络层安全分析 1、网络边界的安全风险分析：该学院校园网络由教学区网络、计算机实验室网络和学校资源服务器群组成。由于存在外联服务的要求应在网络出口处安装防火墙对访问加以控制。但是由于已经配备的防火墙不支持TOPSEC联动体系，因此可能与需要配备IDS系统无法组成有效地联动，这一点的风险还是需要考虑的。 2、由于北京城市学院校园网络中大量的使用了网络设备，如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。 3、网络传输的安全风险分析：北京城市学院校园网络与其他院校的远程传输安全的威胁来自如下两个方面：A、内部业务数据明文传送带来的威胁；B、线路窃听。 (三)操作系统层的安全风险分析 系统级的安全风险分析主要针对北京城市学院校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。北京城市学院校园网络采用的操作系统(主要为Windows 2000 server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)本身在安全方面考虑较少，服务器、数据库的安全级别较低，存在一些安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。 (四)应用层安全风险分析 北京城市学院内部网络系统中主要存在以下安全风险：对业务系统的非法访问；用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；服务系统伪装，骗取用户口令。 (五)管理层的安全风险分析 责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

加密机初始化说明

加密机升级初始化说明 一、环境说明 现场四台加密机已经升级至最新程序，初始化时需要有串口的PC机一台，串口线一条，SecureCRT软件。 二、初始化过程 （1）检查/home/sk目录下是否有SKFILE目录，如果有，执行rm –rf SKFILE删除。 （2）使用加密机管理系统新建加密机信息，加密机编号使用机器内/etc/CCXX出厂信息文件中的编号。 （3）由串口初始化加密机（略）。 三、初始化成功后的操作 新程序需要使用到防伪码模板，模板信息文件位于/home/sk/work/sun/cfg下的MBXX。 初始化成功后，必须要手动生成这个模版信息。 模版信息生成方法： 1、在SecureCRT中telnet进入加密机，执行/home/sk/work/sun/bin下的sk_Output cd /home/sk/work/sun/bin ./sk_Output 2、执行sk_Output，屏幕最后给出的这些信息就是基准防伪码信息。 选中他们，右键copy。 3、将copy的信息粘贴到/home/sk/work/sun/cfg下的MBXX。 cd /home/sk/work/sun/cfg vi MBXX 编辑模版信息 按delete键，删除掉原来所有内容，粘贴进去新内容，模版信息内容为每个加密芯片对应的基准防伪码，最后一条记录后必须加一个回车换行。

CTRL+S 打回车，保存。保存成功后，CTRL+C退出。执行more MBXX再查看确认一次模版信息。 4、reboot加密机后，MBXX中的信息生效，通过程序对该机生成的防伪码进行核验测 试，测试通过后上架。 以上工作全部四台机器都要作，完成后，将四台加密机带入机房。 加密机在安装搬动过程中务必保持其平稳，无振动。 四、上架安装 关闭一台老机器，替换入一台新机器，换入后修改IP地址并打开心跳进程。 换好一台后稍后再换另一台，按顺序换完全部3台老机器，再放入第四台新机器备用。 具体操作方法： （1）修改IP地址、子网掩码、网关。 IP地址、子网掩码、网关配置文件位于/ect/config下，分别是，ipaddr、netmask、 gateway。通过vi命令修改，改完后CTRL+S 打回车，保存，保存成功后，CTRL+C 退出。 （2）开启心跳进程（sk_DDrs） 心跳进程负责监控加密机主进程运行状态，当加密机主进程发生异常时，心跳 进程会重启加密机。修改/etc/init.d目录下的rc.local文件中最后一行 #/home/sk/work/sun/bin/sk_DDrs & 通过vi命令修改，将#去掉即表示开机自动启动sk_DDrs。改完后CTRL+S 打 回车，保存，保存成功后，CTRL+C退出。reboot加密机，开机后心跳进程自 动启动，屏幕上会每隔3秒输出一些“jmj work well!”的提示信息信息，表明 心跳进程启动，加密机状态正常。 （3）加密卡状态检测（hyapi071） 执行hyapi071程序可以对加密卡工作状态进行检测。 该程序位于/home/sk/work/sun/bin目录下。该程序被执行后，会给出1-7个选项， 按1-7的顺序执行这些功能，屏幕会返回若干16进制数值。若执行过程中出现 死机、无返回、ERR提示等，说明加密卡工作状态不正常。处理办法一般是重 新插拔加密卡。 hyapi071执行后会对加密卡重新植密钥，因此，执行hyapi071程序后，必须reboot 加密机，防止植入的新密钥对生产环境带来影响，导致核验失败。

天融信防火墙日常维护及常见问题

天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。 一、 防火墙的连接方式 5 硬件一台 ?外形：19寸1U 标准机箱 产品外形 接COM 口 管理机 直通线交叉线 串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式

产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条，颜色:灰色) -交叉(1条，颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机（一些高端交换机也可以通过交叉线与 防火墙连接） ?软件光盘 ?上架附件 6 二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中， 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态， 体请见下表： 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)

天融信尽职调查报告

天融信网络安全技术有限公司 尽职调查报告 一、公司概况及历史沿革 成立时间：1995年11月 注册资金：1700万元 主营范围：技术开发、技术转让、技术咨询、技术服务；经济信息咨询，接受委托从事劳务服务，购销计算机软硬件及外部设备、机械电器设备。 公司的历史沿革见附件一《天融信股权结构变化一览表》。 二、主要产品及市场情况 1.产品体系 2.主要产品 北京天融信公司在经过近五年的探索与研究之后，已在网络信息安全领域里取得了一定的成果，对相关的安全技术也有了一定的储备，目前已有的“网络卫士”系列安全产品，即以防火墙系统、信息审计系统、网络监控系统三大类产品为主导的系列安全产品就是针对计算机互联网的安全需要而开发的。它们的作用就是抵御网上的和卜法攻击，防止重要信息的泄密，对可能发生的攻击行为和信息泄密进行审计，以保证网络系统的运行安全和网上信息的可控使用。这三类产品既可独立使用，也可综合配置以满足不同用户的安全需要。主要进展情况如下：(1)网络卫士防火墙系列产品 NGFW2000：属国内首创，且已接近国际同类产品的技术水平，技术成熟，目前已在全国范围进行推广得到用户的广泛好评，是最为优秀的国产防 火墙产品。

NGFW3000：已开发完成，正在进行产品试用。该版本的防火墙系统集中了世界上主流防火墙的基本功能，并可通过对各功能模块的分裁剪与升 级，为不同类型的Internet接入网络提供全方位的网络安全服务。 (2)网络卫士VPN系统（SJW11网络密码机） 已开发完成，项目通过国家密码管理委员会办公室主持的技术鉴定，达到国内领先水平，已进入产品化阶段，并已提交多家用户试用。 (3)网络卫士信息审计系统 已开发完成，项目通过国家保密局和国务院信息办主持的技术鉴定，国内首创，目前产品已在中国工程物理研究院等多家单位使用。 (4)网络卫士监控系统 已开发完成，正进行产品试用、完善。 (5)网络卫士网络安全评估系统 项目处于开发中，目前已推出测试版供用户测试和使用。 (6)SJY17 PCI 网络密码卡 项目开发工作已基本完成，目前已通过国家密码管理委员会办公室安全性审查，并正在提交技术鉴定。 3.产品商标与专利注册情况 （1）商标注册情况 已申请注册的商标： 1999年12月申请五个商标： Info Watch、NetGuard、InfoCatch、Talent、NGFW; 申请号：9900144819~9900144823 2000年6月申请六个商标：图形、天融信（四种类别）、TIT等； 申请号：2000084758~2000084763 （2）专利申请情况 天融信公司共申请专利两项，分别为： 1996年10月，防火墙系统，专利申请号96109573.3 1997年11月，分组过滤防火墙，专利申请号97115121.0 （据公司业务人员介绍，商标的申请至批准基本会例时一年半，所以企业申请的商标至目前为止，尚未获批。专利的申请至批准基本会例时五年，公司预计96年申请的防火墙系统可于春节前获得授权证书。）

天融信防火墙NGFW4000快速配置手册

天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1．串口管理 第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。 2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。 3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。 4）设置 com1 口的属性，按照以下参数进行设置。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。 6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火 墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2．TELNET管理 TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置： 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图： 3．SSH管理

加密机选购大全

加密机选购大全 加密技术2010-06-17 11:56:57 阅读573 评论1 字号：大中小订阅 什么是加密机？ 机加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。 加密机主要有四个功能模块 硬件加密部件 硬件加密部件主要的功能是实现各种密码算法，安全保存密钥，例如CA的根密钥等。 密钥管理菜单 通过密钥管理菜单来管理主机加密机的密钥，管理密钥管理员和操作员的口令卡。 加密机后台进程 加密机后台进程接收来自前台API的信息，为应用系统提供加密、数字签名等安全服务。加密机后台进程采用后台启动模式，开机后自动启动。 加密机监控程序和后台监控进程 加密机监控程序负责控制机密机后台进程并监控硬件加密部件，如果加密部件出错则立即报警。 加密机前台API 加密机前台API是给应用系统提供的加密开发接口，应用系统通过把加密机前台API使用加密的加密服务，加密机前台API是以标准C库的形式提供。目前加密机前台API支持的标准接口有：PKCS#11、Bsafe、CDSA等。 加密机支持目前国际上常用的多种密码算法 支持的公钥算法有 RSA DSA 椭圆曲线密码算法Diffe Hellman 支持的对称算法有 SDBI DES IDEA RC2 RC4 RC5 支持的对称算法有 SDHI MD2 MD5 SHA1 大家知道，加密技术以往曾一直为政府机构专用，随着电子商务的普遍深入以及Internet向全球每一个角落的渗透，加密技术已经赢得了广泛的关注。加密技术能确保信息保密、确定信息没有被篡改、以及确认是谁提供的信息。今天，加密技术已被公认为是确保信息在全球网络传送安全的最经济、最强有力工具。与日俱增的各种服务应用的需求对计算机速度的进一步提高和通信应用程序的功能提出了更高的要求。 例如虚拟个人网络（VPN）、电子银行、WWW、多媒体电子邮件、可视会议及高保真电视等。在高速网络上进行的应用服务的保护长期以来一直受到高度关注。加密机是一个基于安全的操作系统平台、具有高级通信保密性、完整性保护功能的控制系统。它是专用软、硬件设备，可具有多个网络接口，可安装于内联网各局域网出口处，或安装于内联网与公共网络接口处，或集成于网络防火墙中，提供网络边界之间的加密、认证功能。加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。 从逻辑上来看，加密机主要有四个功能模块组成： 硬件加密部件

密码机相关的配置说明

密码机相关安装说明 1.使用密码机racal管理软件增加客户端ip 前提：本机有连接密码机的权限，如没有可在密码机上直接增加 1>.双击PC.exe，然弹出的身份认证的对话框中输入密码机的IP、端口及密码（初始密码为FFFFFFFF） 2>登陆成功后，首先选择菜单授权管理→获取授权以获取授权，获取授权后选择菜单网络管理→网络管理，在弹出的如下对话框中添加客户端IP

3>添加客户端IP成功，选择菜单密钥管理 退出，退出软件； 2.解压开发包 将开发包apiDev.tar 上传到用户的根目录下，并执行如下命令解压密码机开发包和修改目录权限; 命令： tar xvf apiDev.tar chmod -R 755 apiDev/ 3.配置环境变量： 在用户的.bash_profile或.profile文件中添加如下内容（请先确认密码机的IP和端口,并配置下面变量ipAddrOfCenterSecuSvr和portOfCenterSecuSvr）： # ****** 以下定义客户端API开发环境 DIROFESSCAPI=$HOME/apiDev export DIROFESSCAPI FUNDEFDIR=$HOME/apiDev/fundef export FUNDEFDIR APITESTDATADIR=$HOME/apiDev/testdata export APITESTDATADIR DIROFHSMAPI=$HOME/apiDev export DIROFHSMAPI cc=gcc # ****** 以下定义客户端API运行时用到的配置 #这个变量定义了日志是否打开 openDebug=1 #这个变量定义了中心安全服务器的IP地址 ipAddrOfCenterSecuSvr=? #这个变量定义了中心安全服务器的端口 portOfCenterSecuSvr=? #这个变量定义了与中心安全服务器通讯的超时 timeoutOfCenterSecuSvr=10 #这个变量定义了本应用的应用编号 idOfEsscAPI=TA

密钥制作现场操作手册

1准备与说明 说明： 1）所有输入密钥内容需要实现书写在密钥码单上，然后依据码单将信息输入到加密机中。 2）所有密钥中的合法字符为0-9的数字以及字母ABCDEF 3）在以下说明中，阴影部分信息是人工输入部分 4）以“（XXXXX）”表示的信息是对操作人员提示的操作信息或要求，不是实际操作中加密机显示的信息。 5）所有密钥输入工作完成后需要重启加密机

2加密机主密钥分册 2.1 制作超级管理员卡部分 本操作在PC机1上完成 1）加密机操作员 HSM-AUTH3>mksuper（注：输入完成后回车） 2）成分一 Rmk component 1: ************************************************（注：输入48位码单后回车） Retype Rmk component 1: ************************************************（注：再次输入48位码单后回车） 3）成分二 Rmk component 2: ************************************************（注：输入48位码单后回车） Retype Rmk component 2: ************************************************（注：再次输入48位码单后回车） 4）成分三 Rmk component 3: ************************************************（注：输入48位码单后回车） Retype Rmk component 3: ************************************************（注：再次输入48位码单后回车）

天融信防火墙 通用配置

天融信防火墙通用配置 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-

天融信防火墙通用配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的 网口相连。 出厂用户名为：superman，密码为：talent或superman，密码为：topsec0471。 在浏览器上输入防火墙的管理URL，例如：，弹出如下的登录页面。 输入用户名为：superman，密码为：topsec0471，登陆进入。 二．接口IP地址的配置： 1.点击：网络管理---接口 Eth0口接在WEB服务器端网络，eth1口接在MISS网络，根据实际情况配置IP，eth0口与web 服务器在同一网段，eth1口与miss网在同一网段。现例eth0口IPIP其余选项采用默认配置。 三．路由配置 点击：网络管理----路由， 四．地址转换： 1.配置转换对象： 点击：资源管理----地址； 点击：添加： 该例需添加两个对象：wcj-web为实际WEB的IP地址，MAC地址为空。X 2.区域设置： 点击：资源管理---区域； 将eth0口名称改为scada，权限选：允许；eth1口名称改为：miss，权限：允许。 3．地址转换： 点击：防火墙----地址转换；点击添加： 在此我们只需设置目的转换，选中：[目的转换]选项。 在：[源]选项栏中，将any从选择源：移到：已选源中。 在：[目的]选项栏中将虚拟的主机对象（即xnweb）从选择源移到：已选源中。 下面的：[目的地址转换为：]选择：wcj-web(主机)即实际的web服务器的地址对象。 其他选项采用默认配置。 点击：确定。 最后要保存配置：如下图操作： 至此，该防火墙配置完成。