神州数码易安文件保密系统技术白皮书

文档安全管理系统TDSM-DSM白皮书目录第一章产品背景 (4)第二章产品简介 (5)第三章产品特点 (7)2.1国密算法支持 (7)2.2自身安全性 (7)2.3权限动态控制 (7)2.4灵活的策略配置 (7)2.5系统简单易用 (8)2.6具备容灾能力 (8)2.7良好的兼容性 (8)2.8适用范围广 (8)2.9维护性好 (8)2.10易部署 (8)2.11丰富的文档支持格式 (8)第四章产品功能 (10)3.1智能透明加密 (10)3.2细粒度权限管理 (10)3.3密级控制 (10)3.4终端离线办公 (10)3.5数据外发控制 (10)3.6详细的日志审计 (10)3.7故障容错 (11)3.8自动扫描 (11)第五章产品运行环境 (12)第六章解决方案 (13)第七章典型案例 ....................................................................... 错误！未定义书签。

随着计算机和网络技术的飞速发展，越来越多的信息以电子形式存储在个人和商用电脑中，并且通过网络进行广泛地传递，在大量的信息存储和交换中，文档的安全问题越来越引起人们的重视。

文档绝大部分都以明文方式存储在计算机硬盘中，并且对分发出去的文档无法控制，这部分的信息极易造成泄密。

按照对电子信息的使用密级程度和传播方式的不同，我们将信息泄密的途径简单归纳为如下几方面：1）由电磁波辐射泄漏泄密(传导辐射、设备辐射等)这类泄密风险主要是针对国家机要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等，由于这类机构具备有非常严密的硬保密措施，只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。

2）网络化造成的泄密(网络拦截、黑客攻击、病毒木马等)网络化造成的泄密成为了目前企业重点关注的问题，常用的防护手段为严格的管理制度加访问控制技术，特殊的环境中采用网络信息加密技术来实现对信息的保护。

提供安全保密的邮件解决方案——时代亿信安全保密邮件系统技术白皮书V ersion 1.0北京时代亿信科技有限公司在线代理|网页代理|代理网页|目录1前言 (1)1.1产品应用背景 (1)1.2需求分析 (1)2术语和缩略语 (2)2.1术语 (2)2.2缩略语 (2)3产品概述 (3)3.1产品简介 (3)3.2产品技术原理 (4)4产品功能特点 (7)4.1基于PKI的强身份认证 (7)4.2邮件全程加密 (7)4.3邮件信息跟踪 (8)4.4邮件及附件权限控制 (8)4.5地址簿浏览权限控制 (8)4.6邮件转发控制 (9)4.7邮件密级控制 (9)4.8邮件分区存储 (9)4.9邮件有效期设置 (10)5安全保密邮件收发流程 (11)5.1邮件发送流程 (11)5.2邮件接收流程 (12)6系统管理 (13)6.1日志审计 (13)6.2分级管理 (13)7系统部署 (14)7.1网络部署环境 (14)7.2推荐配置和性能指标 (14)在线代理|网页代理|代理网页|减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|1前言1.1产品应用背景随着Internet技术的高速发展，电子邮件系统已经成为一个普遍的通信工具，应用非常广泛，可以说电子邮件系统是Internet众多应用创造的最辉煌的奇迹之一。

跟传统的信息传输模式相比，电子邮件具有很强的时效性、便捷性。

但随着电子邮件被广泛应用，随之而来的安全问题日渐突出，机密泄漏、信息欺骗、假冒地址等令人烦恼不堪，相应的安全保密防护需求越来越迫切。

电子邮件一般是以明文的方式来发送和存储的，很容易被盗取、篡改和冒名，同时，现有邮件系统对脱离邮件系统后的附件缺乏有效的权限控制，存在着泄露国家秘密、商业秘密及个人隐私等安全威胁。

因此，如何建立一套安全保密邮件系统，成为政府部门及企事业单位信息化建设的一大难题。

1.2需求分析根据时代亿信在信息安全领域长期的研究成果和用户的实际应用情况，我们认为大致需要通过如下几条途径来确保电子邮件及附件的安全、可控： 能够对用户进行强身份验证，确保邮件来源的合法性以及邮件内容的完整性；能够对邮件内容及附件的传输和存储进行加密，防止邮件内容及附件被窃取、监听或篡改；能对邮件及附件进行细粒度的授权管理，并能对下载到本地的附件控制阅读、编辑、复制、打印、转发等权限；能够根据需求对用户、邮件以及终端进行密级划分，并结合用户属性设置通讯规则，严格控制邮件的知悉范围；能够对邮件及附件的流转记录操作日志，及时掌握邮件的流向及用户的操作。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

军队、金融、通讯、电力数据中心目标识别与涉密资产安全管理系统技术白皮书浩海易通科技（北京）有限公司一、引言随着我军信息化建设的飞速发展，部队的信息化程度越来越高，各种纸质文件、涉密载体，涉密介质（移动硬盘、U盘、笔记本电脑等）被广大官兵大量使用，这些纸质文件、涉密载体及介质存在着种类杂乱，可靠性差，效率低下，借阅审批均为纸上办公，携带进出无法记录、查询等问题，经常出现泄密现象，给部队涉密载体安全造成了重大的威胁。

主要体现在两个方面：一是使用和管理的矛盾突出。

由于纸质文件、涉密载体在部队中使用的范围广，数量大，管理的难度很大。

目前部队为提高纸质文件、涉密载体的安全管理，采取了一些保密措施，研制了一些保密软件及管理系统，但这些保密软件及系统只是对这些纸质文件、涉密载体的借阅以表格、文档等形式进行了简单的统计记录，并且过程、细节、详细时间都难以达到准确、安全，管理和技术维护都比较繁琐，造成即不保证安全，管理使用又很不方便，不利于在部队基层推广使用。

二是管理模式落后，高科技管控手段欠缺。

各部门的纸质文件、涉密载体，来源复杂、形式多样，管理、存放、下发时非常的繁琐和棘手，管理过程中，没有有效的监控、监管手段，容易造成涉密人员非法带出，极有可能造成丢失、泄密事件的发生，具有重大的安全隐患。

因此，部队需要一种适合军队平时和站时使用、能提供较强涉密载体安全管理措施即可靠又方便使用的涉密载体安全管理系统。

TIIS目标识别安全管理系统（以下简称TIIS）是基于RFID技术并针对单位人员、纸质文件管理和涉密载体（笔记本电脑、保密移动硬盘、保密U盘、刀片服务器等）安全需求而研制开发的一套检测控制系统。

2．1 915M超高频RFID读写器●物理特征：长：29.5cm；宽：30cm；高：8cm；●重量：3kg，安装：垂直方向，●环境：工作温度：-20℃-55℃●存放温度：-40℃-85℃●湿度：相对湿度10％-95％；●工业等级：IP-53，4个TNC双向天线端口，为每个端口分别配置一个独立的传输和接受天线；●电源：能适应110-240V AC车载电源DC伏60瓦●RFID频率范围800MHz或900MHz，●波段接口：10/100BASET以太网（RJ-45连接器），最大读取速度1000tag/S，最小标签速度：660ft/min2．2 915M超高频RFID天线●物理特征：长：30cm；宽：30cm；高：4cm重量：2.27kg●安装配置：2*2安全螺栓，水平面距离5.875英寸，垂直距离2.75英寸，●工作温度：-20℃-55℃存放温度：-40℃-85℃●前后比：20DB 最高增益：6dBiL●增益平稳度：0.5DB3．1 编目系统功能主要是针对文件，笔记本电脑，移动硬盘等目标载体信息进行录入，编辑，移交登记。

神州数码安全管理平台技术白皮书神州数码（XX）XX2009年5月第一章前言3第二章系统结构4第三章神州数码安全管理平台（SOC）功能概述43.1 基础安全管理53.1.1资产管理模块53.1.2策略管理模块73.1.3安全知识库管理123.1.4安全公告模块133.2 安全风险管理133.2.1 事件管理中心133.2.2 风险管理中心143.2.3 安全扫描管理183.3 安全评价管理183.3.1安全工作评价193.3.2安全现状评价213.3.3生产性评价223.3.4综合评价243.4 安全工单系统273.4.1派发工单273.4.2移交工单273.4.3审核工单283.4.4 接受工单283.4.5 转派工单283.4.6 催办工单283.4.7 解决工单293.4.8 结束工单293.4.9 归档工单293.4.10 查询工单29第一章前言互联网的开放性，给网络运营带来了越来越多的安全隐患，互联网网络安全管理工作目前急需加强，相应的安全管理系统及检测手段的建设也势在必行。

大型企业的网络规模庞大、系统复杂，其中包含各种网络设备、服务器、工作站、业务系统等。

同时安全领域也逐步发展成复杂和多样的子领域，例如访问控制、入侵检测、身份认证等等。

这些安全子领域通常在各个业务系统中独立建立，随着大规模安全设施的部署，安全管理成本不断飞速上升，同时对这些安全基础设施产品和它们产生的信息的管理成为日益突出的问题。

具体体现在:●海量事件企业中存在的各种IT设备提供大量的安全信息，特别是安全系统，例如安全事件管理系统和漏洞扫描系统等。

这些数量庞大的信息使得管理员疲于应付，容易忽略一些重要但是数量较少的告警。

海量事件是现代企业安全管理和审计面临的主要挑战之一。

●孤立的安全信息相对独立的IT设备产生了相对孤立的安全信息。

企业缺乏智能的关联分析方法，分析多个安全信息之间的联系，揭示安全信息的本质。

例如什么样的安全事件是真正的安全事件，它是否真正影响到业务系统的运行等。

技术白皮书Symantec Storage Solution™ V4STORAGE SOLUTION存储及高可用解决方案(VERSION: GA 2.0)概述：VERITAS虚拟化产品优化存储架构 (4)1. Qoss (5)1.1 当今的在线存储 (5)1.1.1 技术选择 (5)1.1.2 新一类磁盘阵列 (5)1.1.3 问题综述 (5)1.2传统的文件管理策略 (6)1.2.1 文件系统和存储设备 (6)1.2.2 多个文件系统的局限性 (6)1.2.3 更微妙的影响：在文件系统中不同的数据类型 (7)1.3 VERITAS Storage Foundation多卷文件系统 (7)1.3.1 VERITAS卷管理器 (7)1.3.2 VxVM卷组 (8)1.4 在多卷文件系统中的文件位置 (9)1.4.1 定义数据分配策略并使之与卷相结合 (9)1.4.2 采取策略将元数据从用户数据中分离 (10)1.4.3 多用户数据卷 (11)1.4.4 为文件系统日志分配卷 (11)1.4.5 在多卷文件系统中管理存储空间 (12)1.5 在多卷文件系统中控制存储分配 (12)1.5.1 控制文件位置 (13)1.5.2 控制文件组的定位 (13)1.6 文件重定位 (14)1.6.1 文件重定位标准 (15)1.6.2 定义文件重定位策略 (15)1.6.3 对重定位文件造成影响的分析 (18)1.6.4 自动文件重定位 (19)1.7 分配策略和存储检查点 (20)1.8 封装卷 (21)1.9 QoSS带来的好处 (21)1.10 应用——特殊的文件重定位 (22)1.11 结论 (23)2 Storage Checkpoint：为用户和管理员准备的“回滚”键 (24)2.1 概述 (24)2.2 存储检查点 (24)2.2.1 业务优势 (24)2.2.2 技术优势 (24)2.3 存储检查点最佳运用实例一览 (25)2.3.1 可用性 (25)2.3.2 安装 (25)2.3.3 命名 (25)2.3.4 空间管理 (25)2.3.5 加载 (25)2.3.6集群 (25)2.4 结论 (25)2.5 附录 (25)2.5.1 使用检查点 (25)2.5.2用于检查点管理的Perl Script程序（与cron同时使用） (26)3 Portable Data Container：在异构平台之间共享数据 (33)3.1 VERITAS 可迁移数据容器 (33)3.2 Oracle可迁移表空间 (34)3.3 利用VERITAS PDC操纵Oracle可迁移表空间 (34)3.3.1 自包含数据集合 (34)3.4 生成Oracle可传送数据集合 (34)3.4.1 转换字节顺序 (34)3.4.2 传送数据 (34)3.4.3 提取目标数据库系统 (35)3.5 总结 (35)4 Storage Foundation For Database：数据库存储性能解决方案 (36)4.1 灵活的存储基础架构 (36)4.1.1 VERITAS 企业管理员控制台 (36)4.1.2 自动优化数据库读写Direct I/O (36)4.1.3 动态多路径 (36)4.2 数据库加速 (36)4.3 数据库文件迁移 (36)4.3.1 存储服务的质量 (37)4.3.2 在线存储迁移 (37)4.4（Extent-Based）的存储空间分配 (37)4.5 脱机处理 (37)4.6存储映射 (37)4.7 解决真实世界的性能问题 (39)4.8总结 (44)5 FlashSnap：基于“卷”的跨平台快照技术 (45)6 Intelligent Storage Provisioning（ISP）：自动化的存储管理 (46)7 成功案例 (47)概述：VERITAS虚拟化产品优化存储架构IT技术的不断创新和提高可以推动业务的发展。

证书管理系统技术白皮书北京安软天地科技有限公司Beijing SCanywhere Technologies Co., Ltd2006 年6 月注意本白皮书中的内容是安软天地公司证书管理系统技术说明书。

本材料的相关权力归安软天地公司所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

© 2004 北京安软天地科技有限公司All rights reserved.目录概述............................................................................. 错误！未定义书签。

产品策略 (5)证书管理系统体系 (5)证书管理系统组成 (6)证书管理系统结构 (8)系统主要功能 (9)主要流程 (9)产品特性 (10)适用客户 (12)产品卖点 (13)典型应用 (14)第1章前言随着国内网络规模的扩大和用户群体的急剧增加，在中国开展大规模电子政务和电子商务应用和服务将会成为社会的潮流，而如何保证网上电子政务和电子商务的安全性将会成为制约其发展的关键技术问题。

Internet给人们带来方便的同时，也带来了安全问题，安全问题是应用网络技术最担心的问题，而如何保障电子证书和电子商务活动的安全，将一直是核心研究领域。

目前，保障电子商务安全比较成熟的技术方案是采用PKI认证框架体系，通过使用数字证书和加密、数字签名技术实现交易双方身份的确认和信息的加密传送。

加密技术中的公开钥加密技术最好地解决了密钥的管理和分发问题。

而证书中心机构就是解决公钥体系中公钥的合法性认证问题。

PKI/CA标准与协议的开发迄今已有15年的历史，目前的PKI/CA已完全可以向企业网络提供有效的安全保障。

PKI/CA是一个以被广泛认可的一种成熟的安全整体解决方案。

第2章产品介绍2.1 产品概述我们的CA系统是企业级的CA系统，相对公共CA而言，企业证书管理系统适合于一个机构、一个企业的内部业务系统。

三未信安服务器密码机技术白皮书SANSEC HSM SJJ0930/SJJ1012 White Paper Version 3.0北京三未信安科技发展有限公司2013年1月1.产品简介三未信安服务器密码机（SJJ0930/SJJ1012）是由北京三未信安科技发展有限公司自主研发的高性能密码设备，能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算，可以满足应用系统数据的签名/验证、加密/解密的要求，保证传输信息的机密性、完整性和有效性，同时提供安全、完善的密钥管理机制。

密码应用系统通过调用密码机提供的标准API函数来使用密码机的服务，密码机API与密码机之间的调用过程对上层应用透明，应用开发商能够快速的使用密码机所提供的安全功能。

密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范（试行）》标准接口规范，通用性好，能够平滑接入各种系统平台，满足大多数应用系统的要求，在应用系统安全方面具有广泛的应用前景。

2.功能描述⏹密钥生成与管理：可以生成1024/2048/3072/4096位RSA密钥对和256位ECC密钥对1，采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。

⏹密钥的安全存储：设备内可存储50对RSA密钥对（包括签名密钥对和加密密钥对）和50对ECC密钥对2，并且私钥部分受系统保护密钥的加密保护。

⏹数据加密和解密：支持SSF33算法3、SM1算法、SM4算法4、AES算法、3DES算法的ECB和CBC模式的数据加密和解密运算。

1仅SJJ1012型号支持ECC算法2同上3SSF33对称算法为可选算法4⏹消息鉴别码的产生和验证：支持基于SSF33算法5、SM1算法、SM4算法6、AES算法、3DES算法的MAC产生及验证。

⏹数据摘要的产生和验证：支持SM37、SHA-1、SHA224、SHA256、SHA384、SHA512等杂凑算法。

⏹数字签名的产生和验证：可以根据需要利用内部存储的RSA/ECC8私钥或外部导入RSA/ECC私钥对请求数据进行数字签名。