1、技术白皮书 2012 山丽网安 密级:定向公开使用- I -I防水墙系统(网络版)V5.0.2.x技术白皮书上海山丽信息安全有限公司Sanlen Information Security Co., LTD. 版权所有 20082012技术白皮书 2012 山丽网安 密级:定向公开使用- -版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海山丽信息安全有限公司所有,受到有关产权及版权法保护。任何个人、机构未经上海山丽信息安全有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。 山丽、Sanlen、防水墙、数据门卫、Datagate
2、、安铁诺、 Antiunknown、环境指纹均是山丽信息安全有限公司的注册商标。本方案提供商山丽信息安全有限公司(简称“山丽网安”)是信息安全防泄漏产品国家标准的起草者之一;本方案中提到的数据生命周期管理(DLM:Data Life Management)原创提出者是山丽网安;本方案提供商山丽网安持有数据防泄密产品国内第一个专利,也是一个奠基性的发明专利。 (专利号:ZL 2004 1 0017241.3)专利名称:具有指纹限制的机密文件访问授权系统。 (2009 年 9 月 19 日得到授权)本方案提供商山丽网安持有数据防泄密产品国际专利,也是一个奠基性的发明专利。(专利号:US 7,890
3、,993 B2)专利名称:Secret file access authorization system with fingerprint limitation。 (2011 年 1 月 15 日得到授权)2011 年 8 月 1 日本产品获得计算机软件著作权一项,软件名称:山丽防水墙数据防泄漏软件(简称:山丽防水墙)V5.0,登记号:2011SR053635。2008 年 8 月 28 日“防水墙”获为中华人民共和国境内之注册商标,注册号:第3875196 号。山丽防水墙系统(网络版)技术白皮书I目 录版权声明 I目 录 .II1 概述 .12 设计理念 .22.1 系统目标 22.2 系统
4、特点 32.3 系统模块 42.4 系统流程 63 系统设计 .73.1 防水墙系统服务器 73.2 防水墙系统控制台 83.3 防水墙系统安全管理员端 83.4 防水墙系统客户端 93.6 网络结构 104 系统功能 .114.1 产品功能对透明加密管理的满足 114.2 产品功能对加密模式本地策略管理的满足 124.3 产品功能对文件解密申请管理的满足 134.4 产品功能对 OA 服务器融合管理的满足 145 系统策略 .175.1 应用环境的无缝融合 175.2 全方位的文档保护控制 175.3 细粒度审计 186 安装要求 .196.1 硬件要求 196.2 软件要求 197 技术指
5、标 .208 技术支持 .219 典型案例 .2210 产品资质 .25山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 0 -01 概述2012 年 1 月 16 日,中国互联网络信息中心(CNNIC)发布 第 29 次中国互联网络发展状况统计报告(下称报告 )。报告显示,截至 2011 年 12 月底,中国网民规模突破 5 亿,达到 5.13 亿。网民的生活、信息交流、办公已经无法离开互联网;基于网络的工作、创新、仿真、制造、管理已经是当代企业生存的必要条件。随着云计算、云存储的发展,互联网已经成长为了人类从事先进生产活动无法替代的生产工具。同时,国际、国内企业
6、之间竞争的进一步加剧、各个国家保护产权创新的力度和范围大有不同,基于个人或者企业的信息泄密事件时时在发生中产品配方、程序源码、客户资料、销售计划、财务报表、设计图纸等文档,往往是公司或组织机构中的机密信息、重要资产。这些包含敏感信息的文档资料如果泄漏出去,轻者在谈判中处于被动局面,造成较大的经济损失;重者使企业失去竞争中的市场先机,被竞争对手赶超或者击败;更有甚者给企业的信誉造成重大损失,直至无法在市场上立足。超过 80%是由内部员工故意或无意地泄漏和破坏引起的信息安全的核心是内部信息安全的问题,是对内部电脑资源设备的管控和电脑资源设备上的数据文档的管控。山丽防水墙信息安全管理系统(数据防泄漏
7、系统)具备双重的管理对象:1、管理的对象首先是计算机本身。比如管理计算机的 IT 资产、管理计算机的端口和介质、管理计算机的程序使用。2、管理的对象还需要是计算机上存在的各种密级的文档。这些文档才是真正的财富来源。管理的目标之一就是不能防止泄密。在世界范围内,各国不断出具各种法律对信息审计进行管控,其中以美国的 SOX 法案、日本的暗号化为代表。中国政府通过制定企业内部控制基本规范 、 等级保护 、 分级保护等系列法规对不同类型的组织机构进行信息安全的评估管理,一场全面的信息安全普及推广正在国内有力推动。山丽网安(SanlenSecurity)是内网信息安全行业的领导企业,在上海、西安、成都设
8、立有研发机构设,在北京、上海、广州设立有营销机构,通过 CMMI3 软件能力成熟度管理模型和 PMI 项目管理模型的结合,为社会提供最先进的安全技术服务。山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 1 -2 设计理念山丽防水墙系统是一款基于“环境指纹”的信息安全软件管理系统, 用于企业内部终端管理和数据文档管理,通过终端、数据双对象的管理方法,实现机密信息资料的防泄漏、防拷贝、防未授权访问等安全维护和管理,提供为商业及其他核心机密应用环境构建强大而实用的安全防线和数据信息保护策略。终端管理上,通过管理外设、端口、程序使用、IT 资产审计等软硬件的手段,实现对终
9、端设备的实时管理,如同“档案室” 、 “保险柜”的硬件管理,达到“七分管理、三分技术”中“七分管理”的技术实现。数据管理上,通过管理数据本身,依赖 BLP 数据控制模型和 DLM 数据生命周期模型结合,真正实现对最有价值资产的管理,如同档案室和保险柜中的“档案”管理,达到了“七分管理、三分技术”中“三分技术”的技术实现。脱离了技术本质的安全管理形同虚设,虚实结合才是管理的终极解决方案。这种被控制的文件,在山丽防水墙系统模块下,和任何文件格式无关,这区别于其它任何国内国际同类软件系统。在文档控制的方法上,防水墙采用了透明加解密的方法,并采用了对称算法和非对称算法共同保护文档安全,其中对称算法分商
10、密算法和普密算法两种版本,满足国家规定的信息强制涉密和非强制涉密不同组织和单位的需求,满足国家关于等级保护 、 分级保护的规范管理。2.1 系统目标山丽防水墙数据防泄漏系统(Watervall,以下简称“防水墙” )是一款属于强控制类型的终端管理系统和文档保护系统。系统基于山丽信息安全有限公司的多个专利技术:具有指纹限制的机密文件访问授权系统剪切板信息保护装置和方法文件加密装置和方法以及文件解密装置监控键盘钩子的装置移动存储设备监控方法和装置应用程序保护装置和方法应用程序过滤方法和装置 依据基础专利中的技术“环境指纹”在物理设备和网络中授权建立安全的可信环境,在可信环境中文档被强制加密,保持文
11、档的机密性,这种可信环境在山丽防水墙系统中被称为“授权环境” 。山丽防水墙系统可以保证合法用户在该“授权环境”中可以自由使山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 2 -用有权限的文档,但不能将文档内容泄漏到“授权环境”之外。2.2 系统特点山丽防水墙在产品功能、性能、兼容性、易用性、可靠性、扩展性、产品的后续发展方面都具有鲜明的特点。山丽防水墙产品功能完善,涵盖了终端管理和数据管理双重对象,尤其是产品采用的透明加密方式和文件格式无关,对企业源代码的保护具有天然的扩展适用性;目前大多公司使用的加密方式和文件格式有关,如果这类企业不进行相关产品的开发,将会使得
12、购买的软件无法支持新的文件格式,产品的扩展性将是灾难性的;在产品性能方面,基于山丽遵循 CMMI 研发管理体系,对产品的质能指标具有完美的保障,产品对电脑 cpu、内存的占用均比较小,不会产生明显影响,目前,其客户端对cpu 的影响在 1%以内,占用内存在 1020M 左右;在产品的兼容性方面,目前支持 win7,64 位系统支持;在易用性方面,产品采用面向对象方法设计,操作简单,对客户端几乎没有影响,不会增加明显的使用成本;在部署方面,防水墙系统的实施,不改变用户网络结构,不影响用户原有的使用习惯;客户端具有低反感;大面积自动化实施的部署的技术支持。在可靠性方面,产品服务器端通过 20,00
13、0 小时的独立运行测试,运行可靠,并无障碍;在数据保护模块,山丽防水墙的透明加解密尤其具有特色:1、 山丽防水墙对文件的加解密,不受文件格式(类型)的限制;2、 和存储介质无关,在任何现有的存储介质上都以密文形式出现;3、 和应用程序无关,可以和各种 PDM/PLM 应用程序无缝融合;4、 对文件的加解密,是完全动态的,无须人工操作;5、 完全防止有权限人员把加密文件的恶意外泄;6、 可以根据实际需要对加密文件进行自动加密或自动解密的传输;7、 系统管理员可以根据用户不同的安全级别,制定不同安全级别的登陆策略、加解密策略;山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使
14、用- 3 -2.3 系统模块山丽防水墙产品系统模块包括:序号 产品结构 功能模块 模块功能说明 选配项AD 域结合单点登录模块 域控单点登录系统 选配1 服务器端 定时备份灾难恢复模块 系统容灾备份系统 必配工作站授权控制管理模块 系统管理控制系统 必配用户策略管理设置模块 加密策略设置系统 必配外设使用日志查询模块 数据门卫管理系统 选配E-key 离线控制管理模块 软 Key 离线登陆系统 选配2 控制台E-key 离线控制管理模块 硬 Key 离线登陆系统 选配操作日志查询管理模块 系统日志审计系统 必配3 安全管理员 用户组解密审批管理模块 解密审批管理系统 必配透明加密解密模块 多模
15、式透明加解密系统 必配剪贴板管理模块 剪贴板截屏管理系统 必配密文明送管理模块 文档外发控制管理系统 必配4 客户端多种登陆方式模块 用户登陆方式管理系统 选配5 电子钥匙 离线控制管理模块 用户离线登录硬件 选配遵从一般安全管理模型,系统统筹考虑到企业信息资产的购置和淘汰流程,企业机密文件的流转流通和使用方式,以全局的观点看待信息安全问题,不仅对企业的电脑终端进行管控,对内部机密文件进行保护,对企业外发文件也进行控制,不仅具有文件加密产品的功能,具有文件权限控制产品的特性,还具有终端管理的特性。系统更提出了数据的生命周期管理概念,从作者管理、同事管理、伙伴管理、客户管理、销磁管理五个层面对数
16、据进行严格的管控,实现了真正的数据安全问题。系统还纳入了成熟的了计算机终端管理模式,通过设备资产管理、端口管理、介质管理、外联管理、桌面管理、远程管理一套,在软件实施后可以达到技术手段的管理效果。山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 4 -图 产品管理模型山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 5 -2.4 系统流程图 2. 系统工作流程图山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 6 -3 系统设计L A N /W A NI n t e r n e t控制台文件加解密管理工作站状态
17、管理用户 / 用户组管理电子钥匙管理许可数管理通信模块安全管理员端文件加密管理用户管理通信模块服务器数据库操作模块同步转发模块P C 工作站端内核加解密模块通信控制模块文件上传模块文件导出模块加密件模块电子钥匙模块离线客户端内核加解密模块电子钥匙模块电子钥匙 /硬件加密件图 3. 防水墙整体设计山丽防水墙系统是一个 C/S 模型结构系统,它由“服务器端”和“工作站端/ 控制台/管理员”组成,两者必须配合使用组成山丽防水墙系统,二者构成一个完整的信息安全保护整体,缺一不可。3.1 防水墙系统服务器系统服务器在总公司的架构体系范畴下我们称作主域控制器,在子公司的架构里面我们称作域控制器。系统服务器
18、是系统管理功能的实现端。系统管理员通过控制台进行的操作,由服务器端接收并实现。此外,系统服务器端还向工作站和控制台提供登录、帐号查询等服务。系统服务器的主要功能如下: 用户/用户组数据的管理功能; 工作站/工作站组数据的管理功能;山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 7 - 用户权限数据的管理功能; 电子钥匙数据的管理功能; 系统各种参数数据的管理功能; 工作站配置的数据管理及分发功能; 文档的加密、解密功能; 密钥库功能; 用户登录验证服务; 用户使用权限验证服务; 3.2 防水墙系统控制台系统控制台是提供系统管理员进行系统管理的操作平台,提供系统中的
19、工作站、用户、外设、端口、离线钥匙及机密文档等的管理。系统控制台的主要功能如下: 用户/用户组管理; 工作站/工作站组管理; 用户权限管理; 设定工作站配置; 工作站外设、端口、外联配置 离线钥匙管理; 提供机密文档添加、脱密及明文导出服务; 设置系统各种参数。 通过控制台就可以对用户和机器两个对象进行管理,两个对象之间还可以根据需要甚至优先级。3.3 防水墙系统安全管理员端安全管理的主要功能是实现日志管理和文档导出的审批。日志管理服务是实现日志数据的接收和存储,并向控制台提供日志数据和日志管理功能的实现。其主要功能如下: 接收上传的日志; 存储日志数据; 提供日志数据查询; 实现控制台的日志
20、管理功能。山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 8 - 文档转成明文的审批 密文内容审计 提供日志记录查询操作,支持单条件和多条件的查询; 进行日志备份; 制定备份计划; 日志报表的生成; 设定日志系统参数。3.4 防水墙系统客户端工作站端是用户使用机密文档的终端,主要功能如下: 工作站外设控制 工作站外联控制 工作站桌面管理控制 文档透明加解密; 用户文档操作控制; 网络通信控制; 日志记录及上传; 山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 9 -3.6 网络结构图 6. 网络结构图山丽防水墙系统(网络版)技术白皮书
21、 2012 山丽网安 密级:定向公开使用- 10 -4 系统功能序号 产品结构 功能模块 模块功能说明AD 域结合单点登录模块 域控单点登录系统1 服务器端 定时备份灾难恢复模块 系统容灾备份系统工作站授权控制管理模块 系统管理控制系统用户策略管理设置模块 加密策略设置系统外设使用日志查询模块 数据门卫管理系统E-key 离线控制管理模块 软 Key 离线登陆系统2 控制台E-key 离线控制管理模块 硬 Key 离线登陆系统操作日志查询管理模块 系统日志审计系统3 安全管理员 用户组解密审批管理模块 解密审批管理系统透明加密解密模块 多模式透明加解密系统剪贴板管理模块 剪贴板截屏管理系统4
22、客户端密文明送管理模块 文档外发控制管理系统5 电子钥匙 离线控制管理模块 用户离线登录硬件注:更详细的功能模块欢迎向营销人员咨询。4.1 产品功能对透明加密管理的满足山丽防水墙采用基于操作系统内核的处理技术,并不使用 Hook 技术,满足对不同的软山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 11 -件加密的需求。目前可以设置成支持所有格式的加密(全盘加密,包括绿色软件的加密,随意压缩格式文件的加密,所有数据库格式文件的加密) ,可以设置成支持特定格式的加密,可以设置成支持具体目录的加密等等。一般公司的加密软件无法支持所有格式的加密,无法支持绿色软件的加密,甚
23、至都不能支持特定目录的加密。文件的操作者和平常一样,对文件进行正常操作。他们不会感觉到 Windows I/O 及底层发生的一切变化。文件经过 Windows I/O、透明加密技术平台和 Windows 文件系统的处理,最后存放在磁盘上的文件是经过加密的。同时,加密策略(算法、密钥和加密文件的指定)是内置在透明加密技术平台中的,由系统管理员集中管理的,文件操作者是无权获取或更改的。透明加密效果示意图4.2 产品功能对加密模式本地策略管理的满足市场上所见的加密技术,或者是采用了个钩子(Hook)技术、或者采用了驱动技术,但这些软件或者只能达到和文件格式有关,或者实际上是硬盘加密,市场上许多硬盘如
24、seagate 硬盘已经自带硬盘加密,实际上互联网上已经有了这些加密软件的破解工具!而且和文件格式有关的软件无法适应未来的文件格式,更无法解决软件格式被加壳的情况,而互联网上基本有 4000 余种加壳工具。山丽防水墙完全和文件格式无关,山丽防水墙的透明加解密模块处于系统内核里面,随系统启动而启动,随系统关闭而关闭。可以应对未来产生的文件格式,更能应对被加壳的文件。最大的区别是山丽防水墙可加密的格式和文档格式无关。管理人员可以自由定义用户(组)的加密模式或策略:全盘加密、目录加密、特定格式加密、特定格式不加密、自主山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 12
25、 -加密等。多种加密模式示意图山丽网安的多种客户端加密模式,管理人员可以自由的组合,以应用与任何组,或者组的成员;区别于一般公司的产品不同的是,山丽网安的产品的这些模式是同时提供给用户的,而不是仅仅只能提供其中一种加密模式,不会造成用户的适用性、扩展性无法满足的现状。另外,互联网上已经有公开的加密软件解密工具可以得到。这些工具可随意的对格式加密类软件进行破解。这也是山丽防水墙提供了多种加密模式的区别。4.3 产品功能对文件解密申请管理的满足密文发送给用户需要解密处理,密文解密需要通过审批流程互动;文件的加密是处于防范泄密的需要,但企业也有数据解密的需要,以用于特殊目的。山丽防水墙系统(网络版)
26、技术白皮书 2012 山丽网安 密级:定向公开使用- 13 -审批流程图4.4 产品功能对 OA 服务器融合管理 的满足为避免机密数据泄露和协同管理,加密系统必须与公司协同工作平台等兼容。山丽防水墙在设计上充分考虑了系统边界的问题,在底层执行的技术可以确保和各种应用系统完美兼容。山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 14 -系统边界原理图在应用中,山丽防水墙和 OA、FTP、PDM 、图库等系统有许多灵活应用。在应用系统融合的方案部署中,山丽防水墙可以在可信模块的支持下,发送密文或者明文数据到 OA、FTP 、SEM/Tribon 系统服务器端。当发送密
27、文到 OA、FTP 、SEM/Tribon 服务器端的时候,希望看到服务器上数据的客户端就必须在客户端进入防水墙系统(不然打开是密文) ,从而保护了OA、FTP、SEM/Tribon 系统上的数据不会产生任何泄密。当发送明文到 OA、FTP 、SEM/Tribon 服务器端的时候(在实际部署中,客户选择此种方案的数量还比较多) ,希望看到 OA、FTP、SEM/Tribon 服务器上数据的客户端必须在客户端进入防水墙系统,不然无法连接进入 OA、FTP、SEM/Tribon 服务器端,这是因为山丽防水墙依据自己服务器的 TPM 装置,天然的在自己的客户端建立了一个自动可信的环境,而没有安装防水
28、墙的客户端无法连接进来,从而保护了 OA、FTP 、SEM/Tribon 系统上的数据不会产生任何泄密。即使在 OA、FTP、SEM/Tribon 服务器上以明文形式存在的情况下,也可以通过可信设置,设置特定的用户端不安装防水墙客户端就可以连上来,以满足跨区域用户的需要。山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 15 -OA、FTP、SEM/Tribon/图库等系统兼容部署图山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 16 -5 系统策略5.1 应用环境的无缝融合防水墙系统在操作系统内核中嵌入系统过滤程序,从而可对所有设备、
29、所有应用程序、所有读写的文档执行过滤。当外设被使用,当程序被调用,当机密文档被读出时,此程序执行对它的按照预订策略的管控。反之亦然。从而保证终端设备、机密文档的安全。图 系统边界5.2 全方位的文档保护控制防水墙系统基于“授权环境”概念,实现机密文档的保护与控制。授权环境概念是基于山丽信息安全有限公司的专利技术“环境指纹” ,根据“环境指纹”识别属于同一个授权环境的工作站及服务器。从而在同一物理设备和网络环境中划分出用于处理机密数据的授权环境和处理非机密数据的非授权环境。并根据访问控制中的 Bell-LaPadula 模型对数据进行保护和控制。具体体现为以下几个方面:(1) 透明加解密Bell
30、-LaPadula 模型定义了一个 “不允许向上读、不允许向下写 ”的控制规则,具体定义为:不允许低安全级别的实体从较高安全级别的对象中读取信息;不允许较高安全级别的实体向较低安全级别的对象中写信息。山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 17 -在授权环境中,创建文件或写数据在保存到存储介质上时即被加密为密文形式;在授权环境中,非机密文件被编辑后保存到存储介质上时也即刻被加密为密文形式。实现了模型中定义的“不允许向下写” 。在授权环境外,机密数据总是保持为密文形式不能被解密,实现了模型中定义的“不允许向上读” 。(2) 访问控制防水墙中的文件访问控制结合
31、了以密级为控制规则和基于安全政策的强访问控制模式,和基于 ACL 的自主访问控制模型两种方式。在保护文档的同时也提供给用户的使用便利性。密级控制:对文件、用户及计算机赋以密级标识。只有当主体(用户、计算机)的密级标识等于或高于对象(文件)的密级时,访问才被允许。安全政策控制:对用户和计算机设置安全政策,保证该用户或计算机创建的文档按照政策被加以规定的约束。基于 ACL 控制:文档的作者用户在密级及安全政策限定的范围内,还可以自主地对文档进行用户授权,进一步指定允许访问的用户及使用方式。(3) 离线使用控制防水墙系统为满足需要离线使用的需求,提供了文档的离线使用控制机制。系统管理员一方面可对需要
32、离线使用的文档,设置离线时的使用权限,如设为只读;一方面通过钥匙控制文档的可使用周期,一旦使用期耗尽后文档不能再背使用。(4) 防泄漏控制防水墙系统通过多角度的控制,防止密文文档被未授权地从授权环境中泄漏。5.3 细粒度审计防水墙中提供了细粒度的审计,记录详细的审计信息:事件名、时间、主体、对象、对象原位置、对象目标位置等;审计的范围包括用户对机密文件的操作和管理员对系统的管理操作。此外,在记录和存储审计信息的基础上,系统还提供了根据事件、用户、对象的可视化图形审计。山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 18 -6 安装要求6.1 硬件要求部件 硬件要求
33、系统控制台 CPU: 1G HZ;内存:512M ;网卡:100M;系统服务器 CPU: 1G HZ;内存:2G;网卡:100M;日志管理控制台 CPU: 1G HZ;内存:512M ;网卡:100M;工作站端 CPU:奔腾 166 MMX 以上;内存:1G 以上;网卡:100M;6.2 软件要求部件 软件要求系统控制台 Windows2000 以上版本系统服务器 Windows2000 以上 Server 版本日志管理控制台 Windows2000 以上版本日志管理服务器 Windows2000 以上 Server 版本工作站端 Microsoft Windows 2000/XP/2003
34、/win7山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 19 -7 技术指标最大工作站节点数:62500最大域服务器节点数:250最大并发认证数:62500最大并发文件连接:10000加密位数:128 位/256 位加密算法:3DES-X/RSA/SM1 支持网络类型:局域网/ 广域网/ 互联网文件访问支持协议:NetBIOS/HTTP/FTP支持平台:Microsoft Windows 2000/XP/Server 2003/vistra/windows7 32/64内核网络协议:TCP/IP加密算法: 3DES-X/RSA/SM1每秒加密字节数: 30Mb每
35、秒解密字节数: 50Mb加密延迟: 200ms解密延迟: 100ms系统负荷: 3%最长生存期: 不受约束最短生存期: 不受约束时间合成算法: 不可逆主要技术及性能指标:达到计算机信息系统安全保护等级划分准则 GB 17859-1999 第四级:结构化保护级,第五级:访问验证保护级,执行的质量标准是:中华人民共和国国家标准 计算机信息系统安全保护等级划分准则 GB 17859-1999。 山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 20 -8 技术支持公司通过 cmm3 级软件能力成熟度评估( iso9001 相当于软件行业的 cmm1) ,具有国际机构认证的
36、软件开发和完善的售后相应体系;企业有 24 小时服务电话 8008208681(8008209730) 、13003108681/0,可以做到7*24 小时的响应,并有企业客户专有的 bbs、qq、邮箱,支持客户的技术响应,做到极其快捷的售后保障;公司项目实施采取项目总监负责制,项目总监下设技术人员进行具体的基本技术设置,项目总监负责总体的技术保障和培训、实施方案的撰写,实施总监上设项目实施监督经理(QA) ,监督项目的正确实施,完善而周到的队伍建设是售后服务的根本保障;项目实施结束后有售后服务梯队进行实时的跟踪,每家客户具有专人负责售后服务联系,这成为售后服务的常规联系,一旦有情况发生,则立
37、即进入实施状态;满足需求;您可利用多种的方法来获得山丽网安提供的客户服务和技术支持。这些服务与技术支持可以帮助您安装、配置山丽网安的产品,或者为您进行疑难解答,解决您在使用过程中遇到的各种问题。电话支持:您可以致电到山丽网安客户服务部(086-21-5835 5533, 8008208681(8008209730) 、13003108681/0) ,工作人员会即时、详尽地为您解答疑惑。山丽网安网站联机支持:您可以连接到山丽网安的服务支持网站:http:/ ,选择您的产品类型,找到相关的热点问题,以及我们的联系信息。邮件支持:您可以发送电子邮件给山丽网安客户服务部: ,山丽网安会及时地给您回复。
38、对旧版本的技术支持:当山丽网安停止销售某个产品以后,将在宣布公布消息 60 天之后停止对该产品的电话支持。创造、提升您的安全收益 这是山丽网安对客户永远的承诺。如果您愿意将您的使用心得,或者您建设性的意见告诉我们,我们将非常感激。山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 21 -9 典型案例北京银行北京隐含采购山丽防水墙专用于科技处对外包商的管理,使用中感觉不错,后扩展用于银行内部管理。山西省地理信息中心山西省地理信息中心购买山丽防水墙用于有关测绘类数据、设计类数据的保护。中集集团烟台莱福士船舶制造莱福士船舶购买山丽防水墙主要用于设计图纸的加密保护。其他案例:山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 22 -山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 23 -山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 24 -10 产品资质 销售许可: 公安部颁发之销售许可证 保密局颁发之保密产品销售许可证山丽防水墙系统(网络版)技术白皮书 2012 山丽网安 密级:定向公开使用- 25 - 总参颁发之军队产品销售许可证 商密委员会颁发之密码产品销售许可证(商密版本) 商密委员会颁发之密码产品生产许可证(商密版本) 产品普密算法证明(普密版本)(完)
