加密装置详细配置步骤

纵向加密配置

纵向加密配置步骤 (2)

第一步：生成证书请求 (3)

第二步：设置装置IP地址 (5)

第三步：VLAN配置（如果需要） (7)

第四步：证书配置 (10)

第五步：隧道配置 (11)

第六步：策略配置 (12)

纵向加密装置内核升级 (14)

恢复配置 (17)

纵向加密配置步骤

现在纵向加密为双路网口，内网1和外网1为第1路，内网2和外网2为第2路，如果在两路同时使用时，一般第1路连接实时业务，第2路连接非实时业务。内网连接本地接入交换机，外网连接外出路由器。除此之处，加密装置还带有一个配置口（RJ-45接口转RS-232）和一个心跳口。

在配置前，需要在本地电脑上安装专用的纵向加密装置配置终端“”，安装文件在随机光盘里面或者联系厂家获取。目前纵向加密装置的内核版本为 2.4.7，因此对应的配置终端程序的版本为3.5。

对纵向加密装置的配置可以通过两种方式，一是用串口线连接配置口进行配置，在“图1”中选择“串口通信”；二是用网线连接心跳口（或者其他已配置好IP地址的网口），在“图1”中选择“网口通信”，然后在后面输入IP地址（心跳口IP地址默认为：192.168.100.1，掩码：255.255.255.248）

图1

第一步：生成证书请求

如果是重新配置，则在登录时，需要为装置生成设备证书请求（如“图2”所示），按要求输入相关参数后，点击“生成证书请求”，等待几秒钟后，会提示“图3”所示，则点击“下一步”，在“图4”中，选择证书请求存储路径，然后点“导出”导出证书请求（如“图5”所示），生成证书请求成功，把证书请求发给CA机构签发设备证书。

图2 图3

图4

图5

第二步：设置装置IP地址

生成证书请求成功后，关闭界面，重新打开配置终端程序，进入配置管理界面如“图6”所示，如果生成证书请求后没有重启过装置，则在图中红线框处会出现工作状态等异常，重启装置后，所有状态才会变为正常。

点击“系统配置”，打开如“图7”所示界面，对装置的IP地址进行配置。在红框1处

选择第1路或第2路进行配置，勾选

“启用标志”表示当前网口启用，如果装置需要借用地址（至少有一个VLAN的掩码为30），勾选“启用虚拟IP地址”。在红框2处配置全局转发策略，如果选择“转发”，表示数据满足规则，则密通，不满足规则，则明通。选择“丢弃”，表示数据满足规则，则密通，不满足规则，刚丢弃数据。为了方便，一般“允许”通过网络访问装置。在红框3处配置IP 地址，红框4处配置路由信息。

到此，装置IP地址配置完成。

图7

第三步：VLAN配置（如果需要）

一般在网络中，会配置两个VLAN，一个业务VLAN，一个管理VLAN，在“图8”所示界面中，红框1配置“启用VLAN”，输入对应的VLAN ID，一般业务VLAN需要勾选“装置属于该VLAN”。如果是借用地址的VLAN，需要勾选（装置启用ARP）。

在红框2处配置VLAN IP地址，子网地址配置装置的IP，外出（路由器，对应的路由器的IP地址，进入（交换机）配置交换机的IP地址不用配置（如果是借用地址，则配置成加密装置的IP地址））。

如果不借用地址，不需要配置MAC地址；如果一个VLAN借用地址，另一个VLAN 不借用，则路由器MAC配置业务网关的MAC地址，交换机的MAC地址，配置装置业务VLAN的MAC地址；如果两个都借，则路由器MAC配置业务网关的MAC地址，交换机的MAC地址配置交换机业务VLAN的MAC地址。（图9）

图8

图9

第四步：证书配置

在“证书管理”中配置装置证书，如“图10”所示，在“证书类型”中选择证书种类（如根证书、对机证书、管理中心证书等，如“图11”所示），在“IP地址”中输入对应证书的IP地址（根证书不需要IP地址）；在“证书文件”选择证书存储的路径，点击“导入”，上传证书成功。

可以在“证书管理”中查看、删除证书。

图10

图11

第五步：隧道配置

在“隧道管理”中配置隧道，如“图12”所示，选择证书，勾选对应的VLAN，点击添加隧道即可。如果是添加明通隧道，则选择“未安装对机证书（输入对机IP）”，然后，输入相应的IP地址，工作模式选择“明通”，点击“添加隧道”，完成配置。

图12

第六步：策略配置

在“策略管理”中为隧道添加策略，如“图13”所示。选择对应隧道，在“源IP地址范围”中输入本地业务的IP地址段，“目的IP地址范围”输入对端业务IP的地址范围。选择“方向”、“协议”和“工作模式”，输入源和目的端口，点击添加策略即可。

到此，加密装置配置完成。此时，可以在管理界面看到隧道的状态，如“图14”所示。

图13

纵向加密装置内核升级

第一步：上传内核文件用网线连接加密装置的心跳口，心跳口默认的IP 地址为：192.168.100.1/24。

打开cmd 命令行窗口，进入内核存放的目录（为了方便内核文件上传，一般把内核文件单独放在一个文件夹下，如“图15”红框所示），然后，ftp 连接到加密装置（如“图16“所示），用户名：root ，密码：cnsecvpn 。登录后，通过bin 命令使用二进制方式进行传输，然后，用“mput *”命令，把当然目录下的所有文件上传到加密装置（默认保存在临时目录下），上传完成后，用“bye ”命令退出，上传完成。

图14

图15

图16

第二步，升级内核

在命令行窗口输入“telnet 192.168.100.1”，登录加密装置，用户名：root，密码：cnsecvpn。用ls可以看到上传的内核文件。用“tar zxvf 文件名”，解压文件（如“图17、18”所示），解压后，会在当前目录生成bin文件夹，进入bin目录（如“图19”所示），用“mv * /vpn/bin”命令把bin目录下的所有文件移动到/vpn/bin目录下，稍等片刻，当重新出现

“#”时，重启装置，升级完成。

图17

图18

恢复配置

恢复配置，主要是把本地保存好的配置上传到加密装置，覆盖加密装置之前的配置，因此，操作步骤基本和上传内核文件一样，只是在上传文件时，加上目标路径就可以了（mput * /vpn/conf）。

（注：文档可能无法思考全面，请浏览后下载，供参考。可复制、编制，期待你的好评与关注）

图19

操作系统的安全策略基本配置原则(新版)

When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. （安全管理）单位：___________________ 姓名：___________________ 日期：___________________ 操作系统的安全策略基本配置原则(新版)

操作系统的安全策略基本配置原则(新版)导语：生产有了安全保障，才能持续、稳定发展。生产活动中事故层出不穷，生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时，生产活动停下来整治、消除危险因素以后，生产形势会变得更好。"安全第一" 的提法，决非把安全摆到生产之上;忽视安全自然是一种错误。安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信

SJW77电力系统纵向加密认证装置(WT125_7P_AA)快捷使用的指南

SJW77电力系统纵向加密认证装置 (WT125-7P-AA) 快捷使用指南（请在使用产品前仔细阅读本指南）卫士通信息产业股份二零一四年制

目录 1 关于本指南 (3) 2 安全申明 (3) 3 设备及组件介绍 (4) 3.1. 低端产品前面板介绍 (4) 3.2. 低端产品后板介绍 (4) 4 产品配件及设备启动 (5) 5 本地管理软件安装步骤 (6) 6 设备的初始化 (9) 6.1 导出设备证书请求 (10) 6.2 导出管理员卡证书请求 (10) 6.3 导入根证书 (11) 6.4 导入设备证书 (12) 6.5 导入管理员卡证书，并完成初始化 (13) 7 使用配置指南 (15) 8 常见问题及疑难解答 (24) 8.1 常见问题 (24) 8.2 疑难解答 (26) 8.2.1 进入纵向加密认证装置命令行的方法 (26) 8.2.2 隧道状态、设备状态查询 (26) 8.2.3 网络排查（PING、SPING、TCPDUMP等） (27) 8.2.4 应急处理办法 (28) 9 产品维护和保养 (28)

1关于本指南 SJW77电力系统专用纵向加密认证装置(商密局鉴定型号：SJW77网络密码机，以下统称为纵向加密认证装置)属于行业专用产品，主要部署在各级电力调度网络(见图一)中，是保护国家电力调度通讯信息基础而重要的数据加密设备。 SJW77电力系统纵向加密认证装置严格按照《电力专用加密认证装置技术规》进行设计和开发，该设备采用专门的加密封包格式，在IP层实现数据的性、完整性和数据源鉴别等安全功能。同时也支持与其它厂家纵向加密装置互联互通。本快速安装指南以介绍纵向加密认证装置常用功能为主，更详细的介绍与案例分析请参考《SJW77电力系统专用纵向加密认证装置用户手册》。 2安全申明 ?登陆纵向加密认证装置时，需要认证管理员IC卡，IC卡丢失或使用不匹配的IC卡均会导致登陆失败，所以请妥善保管管理员IC卡。 ?为了使纵向加密认证装置能够更稳定的工作，因此本设备配备了双电源。在设备上架后，对设备尽量使用两路供电。 ?设备上架后，将设备固定好，并连接好接地线。

软件的系统部署和升级流程和管理系统方案

软件系统部署及升级流程及管理第一章总则第一条为保障股份有限公司（简称：公司）信息软件系统安全运行在生产环境，规范软件系统部署与升级流程、控制软件系统的生产运行安全，保证业务流程的顺畅和生产系统的完整性、功能完备，特制定本办法。第二条本办法所指软件系统包括，但不仅限于公司组织实施的账户管理和受托管理核心业务系统、网上受理系统、呼叫中心系统、投资交易系统、投资估值系统、投资风险控制系统，以及OA办公系统、对外网站系统、基础技术架构系统等涉及的软件系统的部署、安全运行与升级管理。第三条本办法所指软件系统部署与升级管理主要包括以下内容：软件系统投产前准备、软件系统投产管理、软件系统生产运行管理、软件系统生产安全管理、软件系统升级管理。第四条信息技术部是本办法的制定部门和执行部门，设立系统运维岗，负责系统软件系统部署、安全运行与升级的具体技术实现，其它相关岗位和部门应按本办法所制定的流程配合完成相关工作。第二章软件系统投产前准备第五条软件系统的投产关系到整个信息系统的安全运行，应做好充分的投产前准备。投产前的准备工作包括以下几个方面：环境设备的准备、硬件设备的

准备、投产程序和数据的准备、相关投产文档和培训的准备等。第六条环境设备的准备主要包括：系统架构确认、机房机柜机架配备、电源使用配备、网络线路配备、操作系统预安装和配置、主机命名和网络配置、存储环境配置检查、备份环境、环境参数配置、数据库配置、中间件配置、环境冗余切换配置、通讯配置、部署操作员配置、环境变量、客户端环境等。第七条硬件设备的准备主要包括：主机连接方式、主机型号配置、处理器频率和数量、内存配置、内置硬盘容量、网卡类型和数量、光纤通道卡型号和数量、其他内置的I/0卡和其他外设等。第八条投产程序和数据的准备主要包括：目标程序及相关清单说明、可控版本组织、系统配置参数、数据库初始化数据等。第九条相关投产文档和培训的准备主要包括：《系统安装部署手册》、《系统IT参数配置手册》、《数据备份和恢复操作指导》、《系统故障与恢复手册》、《系统文件目录清单说明》、《系统运行日志存放说明》、《系统各类密码修改说明》、《文件清理计划及操作指导》、《管理员、项目经理、厂商负责人通讯录》以及相应的功能使用培训、安装部署培训、日常维护培训等。第十条系统投产准备工作中有关权限管理、参数配置、数据初始化管理应遵照《IT系统权限及数据管理办法》的相关规定： (一)投产系统权限申请设置应形成流程并由业务部门负责人和风险控制部门审核； (二)软件系统投产的参数配置由信息技术部牵头组织信息，各业务部们予以协同支持，最终由风险控制部进行参数定级并进行投产参数审核；