当前位置：文档库 › SJJ1309加密机使用手册

SJJ1309加密机使用手册

支持国密算法的金融数据密码机（高端）

用户手册

无锡江南信息安全工程技术中心

2013年04月

第1章金融数据密码机（高端）简介 (1)

1.1密码机的功能 (1)

1.2密码机的技术特点 (1)

1.3密码机的技术指标 (1)

1.4密码机的外形结构 (2)

第2章金融数据密码机（高端）的使用 (4)

2.1密码机的配套清单 (4)

2.2密码机的安装 (4)

2.2.1安装步骤 (4)

2.2.2密码机的初始化 (4)

2.2.3注入密钥 (4)

2.3密码机各部分的说明 (5)

2.3.1IC卡插座 (5)

2.3.2密钥销毁锁 (5)

2.3.3机仓后部的锁 (5)

2.3.4蜂鸣器 (5)

2.4密码机的接口 (5)

2.5注意事项 (5)

第3章IC卡的管理和使用 (7)

3.1IC卡的功能 (7)

3.2IC卡的管理 (8)

第4章密钥管理哑终端使用说明 (9)

4.1使用说明 (9)

4.1.1终端配置 (9)

4.1.2操作特点 (9)

4.1.3操作状态 (9)

4.2常用哑终端命令 (10)

4.2.1哑终端命令列表 (10)

4.2.2哑终端命令详解 (11)

第1章金融数据密码机（高端）简介

金融数据密码机（高端）是用于银行卡网络系统的支持多进程的主机节点数据密码机，直接与主机相连接，以规定的协议通讯。此密码机设计可靠，结构合理，使用方便，外型美观。

1.1密码机的功能

金融数据密码机（高端）是金融网络安全系统的重要组成部分之一，主要的功能是实现对网络上传输的信息进行保护或鉴别，以保证金融信息的正确性，能够有效防止对通信数据的非法窃取或篡改。

1.2密码机的技术特点

?用于TCP/IP协议。

?所有密钥库的自动维护功能，包括密钥的产生、分发、注入

和销毁。支持哑终端密钥管理方式。

?密码机具有完善的密钥保护功能，即使掉电，也能保护好密

钥不被丢失；另外还有非法操作时的密钥销毁功能。

?具有完善的系统监测功能，可监测密码机硬件及软件的运行

状态，并可对故障进行自动恢复。

?可以通过软件、硬件来设置、检测各部分的功能，设定系统

的运行参数，具有完善的人机交互界面。

1.3密码机的技术指标

接口方式： RJ45、并口

传输速率： 10M/100M/1G自适应

工作电压：~220V±25％、50HZ±3

最大功耗： 60W

可靠性： MTBF > 20,000h

第1页

1.4密码机的外形结构

图1.密码机前视图

(1)I C卡插座

此处是管理密码机的IC卡的插入口。

(2)U SB1接口（备用）

此处USB接口用于连接外围USB接口设备。

(3)密钥销毁锁

紧急时可销毁密钥。

(4)复位开关

用于密码机的正常的复位请求。

(5)电源开关

用于打开/关闭密码机电源。

(6)电源灯

当密码机接通电源时，电源灯亮。

(7)工作灯

当密码机正进行加、解密等安全处理时，工作灯亮。

(8)报警灯

当密码机处于非正常状态时，报警灯亮，并伴有报警声。第2页

图2.密码机后视图

(1)交流电源插座孔

密码机采用的是双电源供电，有两个插座孔。

(2)C OM1口

采用RJ45接口，用于连接哑终端控制口。

(3)V GA接口（备用）

用于连接外围显示设备。

(4)机仓锁

技术人员由此打开机箱维护密码机（用户请勿私自打开，否则可能造成严重后果）。

(5)U SB2、USB3（备用）

用于连接USB外围设备。

(6)T CP/IP接口3（备用）

(7)T CP/IP接口2（备用）

(8)T CP/IP接口1

用于连接主机和密码机之间的通讯接口。

(9)并口

用于连接并口打印机。

第3页

第2章金融数据密码机（高端）的使用

2.1密码机的配套清单

密码机一台

使用说明书一本

220V交流电源线一根

IC卡一套

串口线一根

2.2密码机的安装

2.2.1安装步骤

第一步密码机通过TCP/IP接口与主机连接，即可进入生产环境。

第二步固定好线缆的两端，以保证其良好的接触和安全。

第三步接上220V的交流电源线，打开密码机交流电源开关。

2.2.2密码机的初始化

在哑终端上进行如下初始化（连接方法见第4章）。

为密码机分配IP地址、网关及子网掩码；为密码机分配一个通信端口；为密码机设置客户；为密码机设置消息头长度。

2.2.3注入密钥

密码机在使用之前应先注入密钥。如果没有注入密钥，密码机起动后会报警（报警灯常亮）。

在哑终端上进行如下操作（方法见第4章）：

完成密码机三张超级权限卡的制作，再从三张超级权限卡中导入主密钥各成份，在密码机中自动合成主密钥。

第4页

2.3密码机各部分的说明

2.3.1IC卡插座

将密码机专用卡的触片面向下、向前，按照IC卡上标示的方向，对准插座方向适当用力推入即可操作，密钥成功读出后，直接拔出IC卡即可。

2.3.2密钥销毁锁

用于销毁密钥。销毁密钥时，先将密码机电源关闭，然后密钥销毁锁转至销毁状态，1秒后密钥销毁。

2.3.3机仓后部的锁

用来固定机仓，防止机仓盖被随意打开。

2.3.4蜂鸣器

密码机内部还装有蜂鸣器，用于异常时报警或者在有些操作过程中给予声音提示。

2.4密码机的接口

密码机有3个以太网口，1个串口，1个并口，1个VGA接口，3个USB接口。

2.5注意事项

(1)密码机必须注入密钥才能正常工作。

(2)严禁带电打开密码机的机仓和拨/插通信线缆。

(3)严禁强电流、高电压对密码机的冲击。

(4)密码机不能正常工作时，请填好保修单，及时与供应商联

系，以便进行检查、维修。

第5页

(5)若IC卡损坏，严禁随便丢弃，必须交还给配发单位，由配

发单位统一处理。

第6页

第3章IC卡的管理和使用

3.1IC卡的功能

密码机配发的IC卡共有6张，用于存放主密钥分量和进行授权管理。

IC卡投入使用前，应先用CONSOLE 命令format进行格式化，格式化过程中要求设置用户信息和PIN密码。IC卡的PIN密码允许重试次数为6次，如果PIN连续6次出错IC卡会被锁住。IC卡被锁住后保存在卡上的数据将不可恢复，只能将卡片重新格式化，所以必须牢记IC卡的PIN密码。

格式化完成后，可以用CONSOLE 命令create制作主密钥分量卡。一套主密钥分量卡共有三张，使用时将三张卡依次插入密码机，即在密码机内合成主密钥。

IC卡的用户信息不受PIN密码保护，而主密钥分量受PIN密码保护。

密码机使用的6张IC卡中，其中3张超级用户卡，2张管理员卡，1张维护员卡。它们的作用如下：

(1)进入超级授权状态，必须依次使用三张超级用户卡，由三

个超级用户共同授权。超级用户卡上存放有本地主密钥的分量。当插入IC卡，并且IC卡口令验证通过后，还需重新计算IC 卡上分量的检查值，如果等于密码机内保存密钥的检查值，才允许授权。

(2)进入管理员授权状态，必须依次使用两张管理员卡，由两

个管理员共同授权。要设置好本地主密钥后，才能制作管理员卡。制作管理员卡时，在一号管理员卡上写入索引号为47的本地主密钥及检查值，在二号管理员卡上写入索引号为48的本地主密钥及检查值。当插入IC卡，并且IC卡口令验证通过后，还需重新计算密码机内相应本地主密钥的检查值，如果等于IC卡

第7页

上保存的密钥的检查值，才允许授权。

(3)进入维护员授权状态，必须使用维护员卡，由维护员授

权。要设置好本地主密钥后，才能制作维护员卡。制作维护员卡时，在维护员卡上写入索引号为49的本地主密钥及检查值。

当插入IC卡，并且IC卡口令验证通过后，还需重新计算密码机内索引号为49的本地主密钥的检查值，如果等于IC卡上保存的密钥的检查值，才允许授权。

3.2IC卡的管理

IC卡一旦投入运行即属密件，如果发生丢失、被盗等情况，应根据有关规定及时做出相应的处理。

IC卡应实行分级、分人的管理制度。

第8页

第4章密钥管理哑终端使用说明

4.1使用说明

严禁带电拨插密钥管理线缆，拨插密钥管理线缆时请务必先关闭密码机电源!

打开密码机前请用密钥管理线缆连接哑终端串口和密码机密钥管理端口（CONSOLE端口）。

4.1.1终端配置

密码机CONSOLE端口的缺省配置为：

终端类型――ANSI

波特率――9600 bps

数据位――8 bits

奇偶校验――no parity

停止位――1 bit

数据流控制――无

4.1.2操作特点

(1)支持历史命令，使用上、下光标键，可以显示执行过的命

令。

(2)支持命令补齐，键入命令的前面部分，然后键入Tab键，命

令会自动补齐。

(3)输入过程中，键入Ctrl＋C，会中止命令执行。

(4)输入过程中，对于不想改变的设置，直接键入Enter。

4.1.3操作状态

密码机有四种终端操作状态，从上至下依次是：

(1)超级授权状态：在超级模式下可执行包括导入根主密钥在

第9页

内的所有操作，在此状态下操作提示符为“HSM-AUTH3>”。

(2)管理授权状态：在管理模式下可执行维护模式下的所有操

作，并能执行一些经常性的密钥操作，如工作密钥的生成及分发，在此状态下操作提示符为“HSM-AUTH2>”。

(3)维护授权状态：在维护模式下可执行与输入密钥无关的一

般性操作，如密码机的参数配置，在此状态下操作提示符为“HSM-AUTH1>”。

(4)未授权状态：打开密码机后的初始状态，可查看密码机软

件版本等，在此状态下操作提示符为“HSM>”。

注意：当密码机无主密钥，或者使用的测试密钥时，哑终端默认在超级授权状态下。

4.2常用哑终端命令

4.2.1哑终端命令列表

第10页

4.2.2哑终端命令详解（命令不区分大小写）

4.2.2.1a

功能：使密码机进入主机命令授权状态。

说明：密码机向主机提供的命令中，有些敏感的主机命令需要主机命令授权才可以执行。该命令可以使密码机进入授权状态，允许执行敏感的命令。

操作演示：

HSM-AUTH3>a

Enter the Host Command Authorised state!

4.2.2.2c

第11页

功能：使密码机退出主机命令授权状态，禁止执行敏感的主机命令。

操作演示：

HSM-AUTH3>c

The Host Command Authorised state is canceled!

4.2.2.3checkkey

功能：密钥库密钥检查。可检查LMK和其他工作密钥的状态，并显示密钥检查值。

说明：命令格式：checkkey [lmk]。

例如，直接键入checkkey，则会显示键入查看的密钥索引提示信息，输入索引后会显示密钥检查值，若要查看主密钥LMK的状态，则键入checkkey lmk即可。

操作演示：

1.检查LMK

HSM-AUTH3>checkkey lmk

MK Check Value:A65012C8

2.检查工作密钥

HSM-AUTH3>checkkey

Key Index [0-7FF]:100

CheckValue:9F1F7BFF

4.2.2.4clear

功能：清屏。

4.2.2.5concfg

功能：配置CONSOLE端口。

说明：CONSOLE端口的默认配置为：“9600bps，8 bits, no parity, 1 stop”执行该命令会显示如下内容。输入1～6分别选择波第12页

特率和CONSOLE字格式。如果不需要改变当前设置可直接按Enter，或者按Ctrl + C中止命令执行。新的配置会在下次重新启动时生效。

操作演示：

HSM-AUTH3>concfg

Baud Rates Word Formats

1. 1200 1. 7 bits, no parity, 1 stop

2. 2400 2. 7 bits, odd parity, 1 stop

3. 4800 3. 7 bits, even parity, 1 stop

4. 9600 4. 8 bits, no parity, 1 stop

5. 19200 5. 8 bits, odd parity, 1 stop

6. 38400 6. 8 bits, even parity, 1 stop

Enter the number of the desired option or for no change.

Console baud rate: (current value = 4) （回车既默认）

Console word format: (current value = 4) （回车既默认）

4.2.2.6create

功能：制作一套主密钥IC卡。

说明：一套主密钥IC卡共三张，制作过程中根据提示依次插入。制作完主密钥IC卡，密码机内并无主密钥，需要使用loadmk命令将主密钥从IC卡导入密码机。

操作演示：

HSM-AUTH3>create

Insert Card 1 and press ENTER when ready...

Enter PIN: ********

Enter LMK Component 1:******************************** Retype LMK Component 1:******************************** Set the Card Protection Password:********

Re-enter the Card Protection Password:********

第13页

Insert Card 2 and press ENTER when ready...

Enter PIN: ********

Enter LMK Component 2:******************************** Retype LMK Component 2:******************************** Set the Card Protection Password:********

Re-enter the Card Protection Password:********

Insert Card 3 and press ENTER when ready...

Enter PIN: ********

Enter LMK Component 3:******************************** Retype LMK Component 3:******************************** Set the Card Protection Password:********

Re-enter the Card Protection Password:********

Create Cards Completed.

4.2.2.7cs

功能：改变密码机登录时是用卡验证还是用密码验证。

说明：选择C即为登录时用IC卡验证，选择P即为登录时用密码机口令验证。密码机口令共6个，PASSWORD1~PASSWORD6，初始密码为“66666666”。其中口令1、2、3可以在初次导入主密钥时分别设置，口令4、5在制作管理员卡的时候可以设置，口令6是在制作维护员卡的时候设置。这6个口令值都可以使用命令更改。

操作演示：

HSM-AUTH3>cs

Card/Password Authorisation [C/P]:C

Card Authorisation!

4.2.2.8destroy

功能：清除密码机内的所有密钥，并将管理员口令恢复成出厂值“66666666”。

第14页

说明：清除密钥前会提示：“Are you really to destroy the keys storage area? (Y/N): ”，键入Y，清除所有密钥，键入N，中止执行。

操作演示：

HSM-AUTH3>destroy

Are you really to destroy the keys storage area? (Y/N): Y

All the keys storage area was destroyed!

The password is original value now!

4.2.2.9exit

功能：退出哑终端的授权状态，提示符显示为“HSM>”。

说明：无。

4.2.2.10format

功能：格式化IC卡。

说明：此命令会无条件格式化IC卡，并删除IC卡上的所有内容，同时要求重新设置IC卡的PIN密码。要检看IC卡状态，请使用verify命令。

操作演示：

HSM-AUTH3>format

Are you really to format the smart card? (Y/N): Y

Insert Card and press ENTER when ready...

Enter new PIN for Smart Card: ********

Re-enter new PIN: ********

Enter date: 11

Enter time: 11

Enter User ID: 11

Format Complete.

第15页

4.2.2.11header

功能：设置主机通信格式中的消息头长度。

说明：消息头长度有效值为0～256，默认值为0。

操作演示：

HSM-AUTH3>header

Current value:0

Message header length (0 - 256): 0

4.2.2.12help

功能：查看CONSOLE命令的帮助信息。

说明：help [命令]，如执行help a，会显示：

Enter the authorised state

Usage: a

操作演示：

HSM-AUTH3>help a

Enter the authorised state.

Usage: a

4.2.2.13history

功能：显示前面执行过的CONSOLE命令。

说明：密码机不记录复位前执行过的命令

操作演示：

HSM-AUTH3>history

buildkey

checkkey

history

4.2.2.14ip

第16页

天融信TA系统数据库维护手册

TA系统数据库维护手册利用TA系统做数据库的备份和恢复 1、本地数据库备份: 1、具体方法：使用GUI连接到TA Server上，在服务器配置里面选择任务调度策略，新建一个备份数据库任务， ri L J 肆霜驚繰畿瞿箴蠶蠶令黠F向导’您只扁要）^择和输入-锁 ?:上一歩⑤fr一步凰〉|飓消1 注意：完全备份的间隔时间根据日志产生量来确定, 的计算公式是：完全备份的间隔天数<= （磁盘大小12）1每天产生的日志量，推荐至少每周做一次完全备份

设 S 任务执行时闾翳鹭驛矗餐離舉熬期靡?下跻调度时间?翻沁择 O 立即执昏 ?计立嗣— 每天执行 ?毎周执行厂 1 L 債 D 垢月执匸r o 自定义时问 pi ZJ 31^~3 3 14" 上’ ：'4 取消 I 注意：备份参数选择完全备份，可以根据需要选择是否清除数据库里面的数据; 如果选择了 “备份完成后清除旧日志” 定要选“紧缩数据库空间”才能保证数据库空间有效释放。厂 1 L 債 1、融髓巒执行时，■^统将日志目鳩份在愆指走的歸桎下.關徨为远程服务备份类型；? 融韻邺? O 増量备份（増呈备愉之前必颔进行过完全备份） H ■ ■ ■ ■ ■ ■ ■ X 0不删除I 日日志 O 渚除所有旧日志 O 活隍氏于厂数嶠库选项: □紧霜数据库空间验证完全备份是否成功: 棗曲日志° <上 1步迢〕I T -步?〉| 取消 ]

在开始菜单，选择程序， TOP SEC 安全审计综合分析系统，审计服务器，配置服务器，在数据库设置里面找到备份文件路径，验证路径里面是否存在定制时间的文件，并且以 DBK 为扩展名基本设置数据库设置厂 1 L - I II 詹麗驚繰畿霭霧離卸翳号鯛'您只需要选擇和输1硕数据库类型 |HS 5eL SIKVEE2000 3 服薯器诵口 |1433 用尸名恋码备阱文件诧径 [eTVbak = 取消 I 2、建立增量备份: 任务荃本信息

SJL05金融大数据加密机_用户手册簿_2.0

SJL05金融数据加密机 1.00 成都卫士通信息产业股份有限公司

SJL05金融数据加密机用户手册目录 1产品概述 (3) 2设备清单 (3) 3产品介绍 (4) 3.1主要功能 (4) 3.2技术指标 (6) 3.3密码体制 (6) 3.4工作方式 (6) 3.5兼容标准 (6) 3.6环境要求 (6) 3.7物理特性 (7) 4设备安装 (7) 4.1安装条件 (7) 4.2密码机示意图 (7) 4.3密码机硬件安装方法 (8) 4.4控制台终端管理程序安装方法 (9) 5控制台终端操作 (10) 5.1基本信息 (10) 5.1.1版本查看 (10) 5.2参数设置 (11) 5.2.1打印端口配置 (11) 5.2.2交易端口配置 (12) 5.2.3特殊授权控制 (13) 5.2.4设置通信格式 (14) 5.3网络配置 (15) 5.3.1安全访问设置 (15) 5.3.2设置密码机IP地址 (19) 5.3.3设置密码机路由 (22) 5.4密钥管理 (25) 5.4.1密钥注入 (25) 5.4.2本地主密钥校验值 (41) 5.4.3密钥备份恢复 (41) 5.5密钥产生 (43) 5.5.1RSA密钥 (43) 5.5.2随钥 (44) 成都卫士通信息股份有限公司- I -

SJL05金融数据加密机用户手册 5.5.1变种密钥 (45) 5.5.2非变种密钥 (47) 5.6口令和令牌管理 (48) 5.6.1key操作 (48) 5.7恢复出厂设置 (50) 5.7.1销毁密钥 (50) 附录A 密码机提示音 (51) 成都卫士通信息股份有限公司- 51 -

安利净水器操作方法及管理规定

安利净水器操作方法及管理规定为了办公室员工的饮水健康，公司特别配备了一台安利益之源净水器，供员工使用。为避免不当操作而导致的损坏，将正确的操作方法作以下简单说明。一、净水器水流由分流器上的旋钮位置来控制。旋钮上三个不同符号代表不同出水。有三个位置供选择： 1、净水——直流。旋钮如图1所示：（图1）此时，分流器的左边龙头流出的水是净化后的水，可以直接饮用。同时，净水器的显示屏上会显示蓝色水杯图，并有“水滴”在滚动。如图2所示：（图2） 2、自来水——直流。旋钮如图3所示：（图3）

此时，分流器中间流出的水是自来水，请勿直接饮用。 3、自来水——花洒。旋钮如图4所示：（图4）此时，分流器中间流出的水是花洒式自来水，请勿直接饮用。二、员工可根据需求来调节旋钮开关。如需要饮用净水，可将旋钮调节在净水位置（图 1）。使用完后必须将旋钮调节至自来水位置，并关闭水龙头。如是平时清洗，将旋钮直接调节在自来水位置（图3或图4）三、由于净水器的滤芯相对昂贵，滤芯额定使用寿命为一年或已过滤5000升净水量为等额使用寿命，到达以上两种情况之一都必须更换。如在平时清洗使用净水，是极大的浪费。所以员工在使用过程中要注意，正常情况下，净水器分流器的旋钮要保持在自来水位置（图3或图4）。如员工在使用前发现，分流器的旋钮在净水位置（图1），请在及时通知总经办，我们将追究在之前使用过人员的责任。必要时，我们会调取监控查看。四、其他注意事项： 1、为防止触电，请勿将电源线、电源适配器、净水器底座或电子模组放在水中或其他液体中。 2、当儿童使用净水器或在儿童附件使用净水器时必须对儿童进行监管。 3、断开净水器电源前，请将电源适配器从电源插座中拔出。 4、进行清洁或日常保养前，请将电源适配器从电源插座中拔出。 5、如净水器的电源线或电源适配器出现损坏、净水器故障或任何形式的损坏时，切勿使用净水器。如员工在使用过程中发现有异常情况，请及时告知总经办，统一由总经办负责检查。其他人员请勿轻易拆开净水器，以免造成不必要的意外。五、为了更好地使用净水器，希望员工能严格遵守规定。咬不得总经办 2013-6-7

天融信防火墙配置指南

一、对象与规则现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：用户-->访问者城市-->主机地点-->端口为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。二、路由功能与地址转换现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNAT）。比如A学校有100台计算机，但是只有一个互联网IP，上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问，比如计算机A访问计算机B，那么，计算机B 相当于服务器，计算机A相当于客户机。如果是访问网页，一般就是客户机访问服务器的80端口。在访问的过程中，浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的，就是你进行下载的同时也同时提供了被下载的服务，你的客户端端口也是一个服务端口。在防火墙中应用较多的是源转换（SNAT）和目标转换（DNAT）。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面，如下面的图例。

中国网络安全供应商50强

前言自2015年10月，《中国网络安全企业50强》（以下简称“50强”）首次发布以来，安全牛就一直在筹划《50强》的第二次发布，并于今年3月初正式启动调查工作。经过三个多月的调研、审核及评定工作之后，于今日凌晨正式发布。本次调查从近500家安全企业中筛选出150家候选企业，通过公开资料收集、调查表填写、电话会议及当面沟通等形式获得基础资料。再由专业调查人员结合技术专家及行业资深人员组成的调查委员会，根据本次的调查指标和方法论进行审核、打分和评比，最终评选出50家网络安全公司，调查数据基于2015年全年度的数据和信息。本次《50强》调查，取消了传统、新兴企业和大型企业网安部门之分，统一进行排名。并且，在榜单的最后，还特别推荐了在各个安全新兴领域，最具有发展潜力的20家初创企业。入选这个名单的初创企业，还将优先进入到今年中国互联网安全大会的“创新沙盒”中做候选。值得关注的是，经统计，本次榜单中的50强企业，在2015年企业安全业务的销售总收入约为180亿元，较为客观真实地反映了中国网络安全自由市场的真实规模。本榜单全文于2016年6月21日由安全牛微信和网站平台首发，并将面向全球发布英文版，为国内外相关行业和机构了解中国网络安全企业的基本状况提供借鉴与参考。中国网络安全企业50强一、50强榜单 50强矩阵图（注：本图为矩阵图，与传统的数轴、象限图不同，本矩阵图的横轴的走向为从右往左，即左上角为最重要的位置，更为符合国内的阅读习惯。左上角出现的企业，意味着在规模和影响力两大指标体系中均处于高端。） 50强综合排名： 01.华为主要业务领域：防火墙、入侵检测/入侵防御、统一威胁管理、抗DDoS、VPN、云WAF。 02.启明星辰

天融信网络信息安全解决总结方案.doc

计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。以该思想为出发点，北京天融信公司提出了"网络信息安全解决方案"。一、网络信息安全系统设计原则 ? 1.1满足Internet分级管理需求 ? 1.2需求、风险、代价平衡的原则 ? 1.3综合性、整体性原则 ? 1.4可用性原则 ? 1.5分步实施原则目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，考虑技术难度及经费等因素，设计时应遵循如下思想：（1）大幅度地提高系统的安全性和保密性；（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；（4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；（5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；（6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。基于上述思想，网络信息安全系统应遵循如下设计原则： 1．1 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。精品文档

DPC使用手册资料

打印日期：10/21/2018 数据准备客户端系统 DPC使用手册广州江南科友科技股份有限公司 2013-09-09

文档修改记录

目录 1 文档说明 (4) 1.1文档范围 (4) 1.2系统简介 (4) 2 设备清单 (5) 2.1设备清单 (5) 3 系统网络架构 (6) 4 系统配置 (7) 4.1数据准备DPC系统配置 (7) 4.2加密机配置 (13) 4.3DPC客户端配置 (13) 5 制卡管理员使用手册 (15) 5.1用DPC客户端登陆DPC系统 (15) 5.2密码机管理 (16) 5.3密码机正常状态 (17) 5.4如何删除加密机组....................................................................................... 错误！未定义书签。 5.5如何在密码机组里增加加密机 (18) 5.6如何删除加密机组里的加密机 (19) 5.7如何查询并修改加密机信息 (19) 5.8密钥状态监测 (20) 5.8.1 密钥导入异常问题 (21) 5.8.2 数据准备密钥明细 (22) 5.8.3 数据准备失败密钥明细 (23) 5.8.4 批次数据准备任务完成状态 (23) 6 常见异常问题处理 (24) 6.1密钥导入异常问题 (24)

6.2加密机异常 (25) 6.3制卡脚本获取不到DPC制卡密钥 .............................................................. 错误！未定义书签。

纯水机安全操作规程示范文本

纯水机安全操作规程示范文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月

纯水机安全操作规程示范文本使用指引：此操作规程资料应用在实际工作生产管理中为了保障过程顺利推进，同时考虑各个环节之间的关系，每个环节实现的具体要求而进行的风险控制与规划，并将危害降低到最小，文档经过下载可进行自定义修改，请根据实际需求进行调整与使用。 1．交换 1.1 先开启阳床出水阀,再开启进水阀,使清水从交换器地底部发一定流量进入树脂层,经管道至阴床. 1.2 开启阴床进水阀,再开阴床出水阀,使阳床出水从交换器底部以一定流量进入阴床树脂层,经管道送至混床. 1.3 开启混床,使一级纯水从交换器顶部以一定流量通过树脂层,经管道输至纯水箱. 2. 落床 2.1 阳床:树脂失效后,关闭出水阀和进水阀开启排气阀, 使树脂层稳定降落. 2.2 阴床:关闭阴床的进水阀,开启排气阀使树脂层稳定降落.

2.3 混床分层:树脂失效后,开启混床的反洗进水阀,上部排水阀充分反洗至树脂全部抛起,然后关闭进水阀,依靠阳、阴脂的湿润密度差达到分层 3．再生 3.1 阳床:落床后,开启再生液阀及交换器底阀,启动再生酸液泵调整流量,使酸至上而下经树脂层进行再生反应排出.(时间不少于30分钟) 3.2 阴床:落床后,先开启再生液阀及交换器底阀,启动再生碱液泵,调整流量,使碱至上而下经树脂层后进行再生反应排出. 3.3 混床:先再生阴树脂,开启进碱阀及下部排水阀,启动再生碱液泵,调整好流量进行再生.进完碱后,关闭碱液泵及阀,启动一级纯水,以再生时流速进行置换至出水口的PH值在8-9.再生阳树脂,开启再生酸液阀及下部排水阀,用一级纯水以再生时的流量置换出水PH 在5-6.

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

启明星辰研究报告121807

日期：2015.09.17 一、投资建议代码股票名称所属行业板块研究员投资评级 002439 启明星辰网络信息安全、大数据、计算机刘林买入二、内外部研究人员具体看法研究员正面理由网络信息安全行业景气度上行，有望迎来黄金发展期；收购众多信息安全领域的企业，成为“大安全”的龙头企业；公司并表，半年度企业扭亏为盈。研究员反面理由行业毛利整体下降；政府预算不达预期企业整合不达预期三、公司基本情况及跟踪 1、政策预期及变化政策方面预期会有完善网络信息安全的法律法规。 2、公司在行业产业链的地位在行业中属于上中游，上游为基本的硬件设备制造原料供应商，下游多为政府、军队IT等企业。 3、公司在所处行业中的地位是网络信息安全领域的龙头企业； 4、公司融资计划及进度暂无融资计划四、财务架构

财务数据： A股合计8.30 亿股流通A股 5.51 亿股A股市值214.8 亿元流通市值142.59 亿元市盈率(PE) 117.98 市净率(PB) 14.40 2014年报2015年中报2015年盈预每股收益(基本）0.52 元0.1 元0.34 每股未分配利润0.5 元0.6 元 ROE(平均) 12.50 % 3.41 % 资产负债率17.22 % 14.35 % 销售毛利率48.35 % 47.26 % 销售净利率21.92 % 18.64 % 营业总收入61527 万元29493 万元营收同比增长率31.42 % 35.51 % 净利润13485 万元5498 万元 2.82 净利润同比增长率49.97 % 52.80 % 首发上市日期2010-06-25 行业简述： 1.公司简介启明星辰是一家专注于信息安全领域的企业，是国内具有较强实力，拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。公司目前拥有完善的专业的安全产品线，横跨防火墙/UTM、入侵检查管理、网络审计、终端管理、加密认证等技术领域，共有百余款产品型号。 2.企业主要产品目前，企业已经形成了安全产品和安全服务两条业务主线，可以较为完备的覆盖客户的网络安全需求。（1）安全产品启明星辰提供入侵检测系统（IDS）、入侵防御系统（IPS）、防火墙/UTM、

净化水系统管理制度

净化水系统管理制度 1总则 1.1净化水处理系统（包括血液净化中心和各净化水产生单位）由各科室净化水处理机房负责管理。 1.2医学工程中心和总务处负责设备的选型、改造、维修任务。 1.3水污染监测由医院感染管理科负责。执行医院制定的标准，遇重大事情请示院领导。2安全管理及操作 2.1保证净化水机房和取水房的清洁，每日清扫1次，每周大扫除1次。 2.2保证原水箱的清洁和净水箱的净化水不受污染。 2.3反渗透膜及原水箱每年清洗消毒1次。 2.4净水箱及管路常规每季度消毒1次，但应根据不同污染程度及时进行清洗、消毒并记录。 2.5轻、中度污染在发现问题的本周末进行消毒；重度、极重度污染应立即消毒。 2.6根据不同用途，定期更换过滤器的滤芯，其中原水过滤器滤芯每月更换1次，其余每6个月更换1次。反渗透膜3—5年更换1次。 2.7根据压差大于0.07Pma ，随时反洗砂滤、离子、活性炭检。 2.8定期更换砂滤离子、活性炭类的物质。 2.9压力表每年检查1次或更换，并做记录。 2.10每天常规巡视2次，并记录。 2.11每月送水样检验1次。 3使用部门注意事项 3.1净化水细菌监测超标或发现水质混浊、有异味，停止用水，通知科室管理人员，报告总务处、医学工程中心和医院感染管理科，经处理后监测合格方可使用。 3.2节约用水，严格掌握净化水使用范围。 3.3若发生停水、漏水，开关、接头有故障时，通知管理人员进行维修。 4紧急情况应急措施 4.1出现停水、停电情况，通知总值班及主要使用部门。 4.2计划性停水、停电。由医院有关部门通知林床科室，临床科室应及时储满净化水，停用生活用水，保障血透机及化验室半天的用水。 4.3突发性停电或设备、电器故障。总务处应关闭所有用水，保证血透机工作用水。 4.4部分电器应装有双套装置，如限位开关。 4.5备用泵应接入线路内。 4.6检查备用水箱，定期更换桶内净化水。 5净化水污染分级 5.1细菌菌落数在201-2000CFU/ml为轻度污染； 5.2 2001-10000CFU/ml中度污染； 5.3 10001CFU/ml以上为重度污染。

2019年加密机选购大全.doc

加密机选购大全加密机选购大全2010-12-05 17：19什么是加密机? 机加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。加密机主要有四个功能模块硬件加密部件硬件加密部件主要的功能是实现各种密码算法，安全保存密钥，例如CA的根密钥等。密钥管理菜单通过密钥管理菜单来管理主机加密机的密钥，管理密钥管理员和操作员的口令卡。加密机后台进程加密机后台进程接收来自前台API的信息，为应用系统提供加密、数字签名等安全服务。加密机后台进程采用后台启动模式，开机后自动启动。加密机监控程序和后台监控进程加密机监控程序负责控制机密机后台进程并监控硬件加密部件，如果加密部件出错则立即报警。加密机前台API 加密机前台API是给应用系统提供的加密开发接口，应用系统通过把加密机前台API使用加密的加密服务，加密机前台API是以标准C库的形式提供。目前加密机前台API支持的标准接口有：PKCS#11、Bsafe、CDSA等。

加密机支持目前国际上常用的多种密码算法支持的公钥算法有 RSA DSA椭圆曲线密码算法Diffe Hellman 支持的对称算法有 SDBI DES IDEA RC2 RC4 RC5 支持的对称算法有 SDHI MD2 MD5 SHA1 大家知道，加密技术以往曾一直为政府机构专用，随着电子商务的普遍深入以及Internet向全球每一个角落的渗透，加密技术已经赢得了广泛的关注。加密技术能确保信息保密、确定信息没有被篡改、以及确认是谁提供的信息。今天，加密技术已被公认为是确保信息在全球网络传送安全的最经济、最强有力工具。与日俱增的各种服务应用的需求对计算机速度的进一步提高和通信应用程序的功能提出了更高的要求。例如虚拟个人网络(VPN)、电子银行、WWW、多媒体电子邮件、可视会议及高保真电视等。在高速网络上进行的应用服务的保护长期以来一直受到高度关注。加密机是一个基于安全的操作系统平台、具有高级通信保密性、完整性保护功能的控制系统。它是专用软、硬件设备，可具有多个网络接口，可安装于内联网各局域网出口处，或安装于内联网与公共网络接口处，或集成于网络防火墙中，提供网络边界之间的加密、认证功能。加密机和主机之间使用TCP/IP 协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。从逻辑上来看，加密机主要有四个功能模块组成：硬件加密部件硬件加密部件主要的功能是实现各种密码算法，安全保存密钥，主机加密机的硬件加密部件采取了多种安全措施，能够安全的保存一些重要的密钥，所以主机加密机特别适合于对密钥安全性要求特别高的应用。

净化水用水管理制度

纯净水设备及饮水机管理办法为做好纯净水生产、发放、领取等的管理工作，确保饮用水达到安全饮用标准，维护公司员工身体健康，特制定本办法。本办法从公布之日起执行。一、动力维修车间组织对员工进行培训，让公司员工掌握正确使用纯净水设备及饮水机的方法，车间严格按操作规程进行纯净水装置的生产及维护。保证净化水设备出水各项指标达标。净化水站由动力车间负责日常生产及管理工作。净化水设备的操作规程、岗位责任制度、应急安全措施由动力维修车间起草，经审查后执行，并上墙公示。（一）正确使用纯净水设备及饮水机的方法： 1.净化水站设备必须由专人操作，非特殊情况任何人不得随意操作。 2.不得使用公司配发的饮水桶以外的任何容器。 3.饮水机接水时轻压轻放，在没有水的情况下，必须断电,严禁无水干烧。 4.各部门、车间要切实做好饮水设备卫生及周边卫生保洁。（二）净化水设备及饮水机的清洁工作

1.净化水设备由车间操作人员按规定要求进行科学清洁，做定期维护检查。 2.各部门车间饮水机要定期清洗。 3.各部门车间保证饮水机的日常清洁。 4.饮水机出现故障时，应及时联系综合办公室说明原因，综合办公室根据情况更换或联系维修，如属人为原因，照价赔偿。（三）水质检查工作 1.车间按要求对水质进行检验，公司将不定期对净化水站及部门车间饮水机内的水质进行抽样检查。 2.检查项目以国家饮用水标准GB 5749—2006为参照标准。二、厉行节约，严禁浪费，净化水只供饮用，不得用于清洁洗涤。每月按各部门人数免费提供每人1桶水，超出每桶需付费取水。（一）各部门车间超出额定用水需指定专人到综合办公室办理购买水票事宜。 1.综合办公室负责用水登记表、水票印制、水票销售。水票面额为5元/桶。销售时做好登记，销售收入当日全部交计划财务部。 2.净化水站见票发水，切实做好用水记录，收到的水票每月25日交计划财务部进行核销。

加密机使用手册

SHJ0902加密机使用手册广州江南科友科技股份有限公司 2010-01

目录第一章支付服务密码机简介 (4) 1.1密码机的功能 (4) 1.2密码机的技术特点 (4) 1.3密码机的技术指标 (5) 1.4密码机的外形结构 (5) 第二章支付服务密码机的使用 (6) 2.1密码机的配套清单 (6) 2.2密码机的安装 (7) 2.2.1安装步骤 (7) 2.2.2密码机的初始化 (7) 2.2.3注入密钥 (7) 2.3密码机各部分的说明 (8) 2.3.1IC卡插座 (8) 2.3.2密钥销毁锁 (8) 2.3.3机仓后部的锁 (8) 2.3.4蜂鸣器 (8) 2.4密码机的接口 (8) 2.5注意事项 (9) 第三章密钥管理哑终端使用说明 (10) 3.1使用说明 (10) 第四章加密机配置 (11) 4.1设置加密机IP (11) 4.2查看、添加和删除客户端IP (11) 4.3设置加密常用设置 (12) 4.4查看加密机IP地址、网关和子网掩码 (12)

第五章超级管理员，管理员和维护权限 (13) 5.1加密机权限分类 (13) 5.2进入相应管理权限状态 (13) 5.3超级管理员，管理员以及维护员的权限。 (13) 5.3.1 超级管理员权限 (13) 5.3.2 管理员权限 (13) 5.3.3 维护员管理员权限 (14) 5.5制作三种权限卡 (14) 5.5.1 IC卡的格式化 (14) 5.5.2超级管理员卡的制作 (15) 4.5.3管理员权限卡的制作 (17) 5.5.4维护员权限卡的制作 (18) 第六章密钥注入 (19) 6.1加载主密钥 (19) 6.2注入功能密钥 (20) 6.2.1产生随机的功能密钥 (20) 6.2.2产生密钥命令FK。 (21) 6.2.3明文分量类索引密钥注入 (22) 附录 (24) 附录1所有终端命令功能表 (24) 附录2LMK表 (25) 附录3密钥类型表 (27)

净水器使用说明书

※※※※※※※※※※※※※※※※※※※※※※※※※ ※※※※ FA-70型高效全自动净水器※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 设备操作使用说明

书宜兴市环球水处理设备有限公司

目录第一部分FA-70型高效全自动净水器第一章概述第二章规格及技术性能第三章高效全自动净水器操作步骤第四章高效全自动净水器维护及注意事项第五章滤料装填前的准备工作第六章填充滤料前注意事项第七章滤料填充的顺序第八章高效全自动净水器维修、养护工作第二部分高效全自动净水器配套加药装置第一章加药装置的主要组成部份第二章投入使用前的准备工作第三章药剂的配制附：高效全自动净水器图纸

第一部分 FA-70型高效全自动净水器

第一章概述 FA-70型高效能全自动净水器集絮凝、沉淀、反冲、集水、过滤等工艺于一体；无需专业人员操作而能达到单体全自动运行的净水装置。本净水装置由净水装置本体、加药设备、静态混合器、自动控制系统等组成。本净水装置，不仅适用范围广、处理效果好、出水水质优良，而且自耗水量少、动力消耗省、占地面积小、节水、节电、节人工、可省去辅助机泵及辅助设施，是一种新型节能新产品。第二章规格及技术参数 1、处理水量：70m3/h 2、进水浊度：≤3000mg/l 3、出水浊度：≤3mg/l 4、沉淀区设计表面负荷：7～8m3/h·m2 5、过滤区设计滤速：8～10m/h 6、滤池冲洗强度：14～161/m2·s 7、冲洗历时：4～6min（可调） 8、总停留时间：40～50min 9、进水压力：大约0.06Mpa 10、滤料粒径及厚度（双层）：800mm 11、运行负荷：120T

北京高校校园网络安全案例

北京高校校园网络安全案例北京某高校是为国家培养国家专业人才的专业院校。为了实现“科教强国”、“走内涵式发展道路”的发展之路，该院面临的挑战是如何实现教学与管理的信息化。而计算机校园网可以说是目前发展信息技术的最基础的设施。因此，建设该院的校园网工程是信息化建设方面的紧迫任务，是学校可持续发展的重要保证之一。总体建设目标按照学院的需求，本系统应在技术上具有先进性，在设备选型方面具有适当的超前性和较强的可扩充性，保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性价比。系统应充分利用现有的通讯方式，实现最有效的信息沟通，采用开放式和具有可扩展性的结构方案，保证系统的不断扩充。更为重要的是，随着安全系统的建成与开通，能够充分开发教育信息资源，开展相应的信息增值服务，为教育事业带来巨大的社会效益和经济效益；能够充分展现院校的窗口作用，提高整体工作水平和效率，树立学校新形象。学院网络概述该学院校园网络主要由计算机实验室、教学楼、学校信息资源服务器群、图书馆等网络组成。其中出口一方面连接CERNET，另一方面连接INTERNET；网络中心的核心交换由P550R 交换机完成，后通过P333T级联来连接各个网络部分。另外，核心交换机P550R上的代理服务器主要提供学生在机房实验室内连接外部网络之用。安全风险分析根据该学院校园网络整体结构，参考国际标准化组织ISO开放系统互联(OSI)模型，我们将网络系统划分成五个层次，即物理层安全、网络层安全、操作系统层安全、应用层安全以及管理层安全。 (一)物理层安全分析：在本方案中暂不做详述。 (二)网络层安全分析 1、网络边界的安全风险分析：该学院校园网络由教学区网络、计算机实验室网络和学校资源服务器群组成。由于存在外联服务的要求应在网络出口处安装防火墙对访问加以控制。但是由于已经配备的防火墙不支持TOPSEC联动体系，因此可能与需要配备IDS系统无法组成有效地联动，这一点的风险还是需要考虑的。 2、由于北京城市学院校园网络中大量的使用了网络设备，如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。 3、网络传输的安全风险分析：北京城市学院校园网络与其他院校的远程传输安全的威胁来自如下两个方面：A、内部业务数据明文传送带来的威胁；B、线路窃听。 (三)操作系统层的安全风险分析系统级的安全风险分析主要针对北京城市学院校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。北京城市学院校园网络采用的操作系统(主要为Windows 2000 server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)本身在安全方面考虑较少，服务器、数据库的安全级别较低，存在一些安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。 (四)应用层安全风险分析北京城市学院内部网络系统中主要存在以下安全风险：对业务系统的非法访问；用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；服务系统伪装，骗取用户口令。 (五)管理层的安全风险分析责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

加密机初始化说明

加密机升级初始化说明一、环境说明现场四台加密机已经升级至最新程序，初始化时需要有串口的PC机一台，串口线一条，SecureCRT软件。二、初始化过程（1）检查/home/sk目录下是否有SKFILE目录，如果有，执行rm –rf SKFILE删除。（2）使用加密机管理系统新建加密机信息，加密机编号使用机器内/etc/CCXX出厂信息文件中的编号。（3）由串口初始化加密机（略）。三、初始化成功后的操作新程序需要使用到防伪码模板，模板信息文件位于/home/sk/work/sun/cfg下的MBXX。初始化成功后，必须要手动生成这个模版信息。模版信息生成方法： 1、在SecureCRT中telnet进入加密机，执行/home/sk/work/sun/bin下的sk_Output cd /home/sk/work/sun/bin ./sk_Output 2、执行sk_Output，屏幕最后给出的这些信息就是基准防伪码信息。选中他们，右键copy。 3、将copy的信息粘贴到/home/sk/work/sun/cfg下的MBXX。 cd /home/sk/work/sun/cfg vi MBXX 编辑模版信息按delete键，删除掉原来所有内容，粘贴进去新内容，模版信息内容为每个加密芯片对应的基准防伪码，最后一条记录后必须加一个回车换行。

CTRL+S 打回车，保存。保存成功后，CTRL+C退出。执行more MBXX再查看确认一次模版信息。 4、reboot加密机后，MBXX中的信息生效，通过程序对该机生成的防伪码进行核验测试，测试通过后上架。以上工作全部四台机器都要作，完成后，将四台加密机带入机房。加密机在安装搬动过程中务必保持其平稳，无振动。四、上架安装关闭一台老机器，替换入一台新机器，换入后修改IP地址并打开心跳进程。换好一台后稍后再换另一台，按顺序换完全部3台老机器，再放入第四台新机器备用。具体操作方法：（1）修改IP地址、子网掩码、网关。 IP地址、子网掩码、网关配置文件位于/ect/config下，分别是，ipaddr、netmask、 gateway。通过vi命令修改，改完后CTRL+S 打回车，保存，保存成功后，CTRL+C 退出。（2）开启心跳进程（sk_DDrs）心跳进程负责监控加密机主进程运行状态，当加密机主进程发生异常时，心跳进程会重启加密机。修改/etc/init.d目录下的rc.local文件中最后一行 #/home/sk/work/sun/bin/sk_DDrs & 通过vi命令修改，将#去掉即表示开机自动启动sk_DDrs。改完后CTRL+S 打回车，保存，保存成功后，CTRL+C退出。reboot加密机，开机后心跳进程自动启动，屏幕上会每隔3秒输出一些“jmj work well!”的提示信息信息，表明心跳进程启动，加密机状态正常。（3）加密卡状态检测（hyapi071）执行hyapi071程序可以对加密卡工作状态进行检测。该程序位于/home/sk/work/sun/bin目录下。该程序被执行后，会给出1-7个选项，按1-7的顺序执行这些功能，屏幕会返回若干16进制数值。若执行过程中出现死机、无返回、ERR提示等，说明加密卡工作状态不正常。处理办法一般是重新插拔加密卡。 hyapi071执行后会对加密卡重新植密钥，因此，执行hyapi071程序后，必须reboot 加密机，防止植入的新密钥对生产环境带来影响，导致核验失败。

一体化净水器操作及注意事项

我国环保市场上供应的净水器种类越来越多，效果也是比较理想，但操作复杂，管理困难，维修不便，对用户的使用和维修都带来许多问题。为此，我公司制造的一体化净水器具有操作简单、管理维修方便的优点，比其它净水器更符合我国国情和适合操作人员的管理水平。该净水器装置整套供应，不用土建，只要接上管道就可以开始工作。经中国城建供水协会在杭州对结构和该净水装置相类似的净水器进行测试，证明各项指标均达到100%。一体化净水器将水质净经的混凝、反应、澄清、过滤等工艺流程组合成一体，技术先进，设计新颖，结构紧凑，节约面积和投资，管理简单，操作方便，处理源水浊度500-1000PPm(短时间可达1500PPM)，出水浊度小于3PPM，经加氯消毒，即可达国家饮用水标准。一体化净水器装置还可以用于澡堂、空调等等，有机物质含量不高的生活杂污水，处理后的水达到中水回用标准。为全国广大的通不到自来水的地区提供生活饮用水，为长江以北的广大缺水城市的中水回用做出积极的贡献。一体化净水器操作及注意事项

1、冰冻地区一体化净水器宜装在室内，非冰冻地区可安装在室外，但必须加顶盖罩，以免污染水质。 2、安装时将一体化净水器置于平整场地，以保证正常运转出水均匀。各种管道连结闸阀应无漏气渗水并预以排除。 3、设备运转前，必须消防池内杂物等，注意各进出水管严防堵塞现象。 4、污染严重的水源，含有机物或藻类较多时，可采用加氯方法，以降低色度，破坏水中胶体和除去臭味，防止池人系列藻类和青苔等。 5、设备启动前，半打开进水阀，之后启动水泵，应先采用较小水量常开流速，并加大混凝剂投加量(超过正常投加量的0.5-1倍)。60分钟后，再开大进水阀，增加到设计水量，降低投加混凝剂药量。 6、设备初次反冲时，应调整反冲闸门到给定强度(以不冲出滤料为准)，并控制反冲时间。 7、应定时打开污管阀门，将沉淀池内污泥排出体外。 8、水质测定项目： (1)视当地条件定期由有关单位对原水及出水水质进行全面分析检查。 (2)水厂每日进行原水，澄清池出水及滤池出水浊度测定。

天融信防火墙日常维护及常见问题

天融信防火墙日常维护及常见问题综述: 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。一、防火墙的连接方式 5 硬件一台 ?外形：19寸1U 标准机箱产品外形接COM 口管理机直通线交叉线串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式

产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条，颜色:灰色) -交叉(1条，颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机（一些高端交换机也可以通过交叉线与防火墙连接） ?软件光盘 ?上架附件 6 二、防火墙的工作状态网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，体请见下表： 2-1防火墙安装前的准备在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)

天融信尽职调查报告

天融信网络安全技术有限公司尽职调查报告一、公司概况及历史沿革成立时间：1995年11月注册资金：1700万元主营范围：技术开发、技术转让、技术咨询、技术服务；经济信息咨询，接受委托从事劳务服务，购销计算机软硬件及外部设备、机械电器设备。公司的历史沿革见附件一《天融信股权结构变化一览表》。二、主要产品及市场情况 1.产品体系 2.主要产品北京天融信公司在经过近五年的探索与研究之后，已在网络信息安全领域里取得了一定的成果，对相关的安全技术也有了一定的储备，目前已有的“网络卫士”系列安全产品，即以防火墙系统、信息审计系统、网络监控系统三大类产品为主导的系列安全产品就是针对计算机互联网的安全需要而开发的。它们的作用就是抵御网上的和卜法攻击，防止重要信息的泄密，对可能发生的攻击行为和信息泄密进行审计，以保证网络系统的运行安全和网上信息的可控使用。这三类产品既可独立使用，也可综合配置以满足不同用户的安全需要。主要进展情况如下：(1)网络卫士防火墙系列产品 NGFW2000：属国内首创，且已接近国际同类产品的技术水平，技术成熟，目前已在全国范围进行推广得到用户的广泛好评，是最为优秀的国产防火墙产品。

NGFW3000：已开发完成，正在进行产品试用。该版本的防火墙系统集中了世界上主流防火墙的基本功能，并可通过对各功能模块的分裁剪与升级，为不同类型的Internet接入网络提供全方位的网络安全服务。 (2)网络卫士VPN系统（SJW11网络密码机）已开发完成，项目通过国家密码管理委员会办公室主持的技术鉴定，达到国内领先水平，已进入产品化阶段，并已提交多家用户试用。 (3)网络卫士信息审计系统已开发完成，项目通过国家保密局和国务院信息办主持的技术鉴定，国内首创，目前产品已在中国工程物理研究院等多家单位使用。 (4)网络卫士监控系统已开发完成，正进行产品试用、完善。 (5)网络卫士网络安全评估系统项目处于开发中，目前已推出测试版供用户测试和使用。 (6)SJY17 PCI 网络密码卡项目开发工作已基本完成，目前已通过国家密码管理委员会办公室安全性审查，并正在提交技术鉴定。 3.产品商标与专利注册情况（1）商标注册情况已申请注册的商标： 1999年12月申请五个商标： Info Watch、NetGuard、InfoCatch、Talent、NGFW; 申请号：9900144819~9900144823 2000年6月申请六个商标：图形、天融信（四种类别）、TIT等；申请号：2000084758~2000084763 （2）专利申请情况天融信公司共申请专利两项，分别为： 1996年10月，防火墙系统，专利申请号96109573.3 1997年11月，分组过滤防火墙，专利申请号97115121.0 （据公司业务人员介绍，商标的申请至批准基本会例时一年半，所以企业申请的商标至目前为止，尚未获批。专利的申请至批准基本会例时五年，公司预计96年申请的防火墙系统可于春节前获得授权证书。）