【正文】 該省安全數(shù)字環(huán)保網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)如下圖所示：29 / 31 圖 某省數(shù)字環(huán)保網(wǎng)絡(luò)系統(tǒng)安全解決方案交換機(jī)省環(huán)保局路由器IP 密碼機(jī)安全管理中心A 市環(huán)?？蛻?hù)端+安全包+USB 加密棒環(huán)保 WWW服務(wù)器Inter代理服務(wù)器+安全包+USB 加密棒防火墻B 市環(huán)?？蛻?hù)端+安全包+USB 加密棒某市環(huán)保局局網(wǎng)USB 加密棒PPPoE 協(xié)議。對(duì)于來(lái)自Inter 網(wǎng)上的所有網(wǎng)絡(luò)訪問(wèn)請(qǐng)求進(jìn)行身份認(rèn)證，拒絕所有非法訪問(wèn)，只有身份認(rèn)證為合法的用戶(hù)才能建立安全通信隧道，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)密碼通信；在各地市環(huán)保局和省屬環(huán)保各機(jī)構(gòu)安裝 SJW10 IP 安全包（密碼設(shè)備為 USB加密棒） ，與省信息中心的保密機(jī)經(jīng)身份驗(yàn)證后，建立安全通信隧道，與省環(huán)保信息中心進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)密碼通信。Inter 是一個(gè)開(kāi)放的網(wǎng)絡(luò)，環(huán)保部門(mén)的工作性質(zhì)決定了在 Inter 網(wǎng)上傳輸?shù)墓ぷ鲀?nèi)容和環(huán)境數(shù)據(jù)必須加密，必須對(duì)經(jīng) Inter到達(dá)的網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，該省環(huán)保局采用 SJW10 IP 保密機(jī)和安全包成功地解決了全省環(huán)保系統(tǒng)利用 Inter 組建虛擬私有環(huán)保專(zhuān)網(wǎng)的安全保密問(wèn)題。該省的數(shù)字環(huán)保系統(tǒng)以省環(huán)保局信息中心為網(wǎng)絡(luò)中心，各地市環(huán)保局和省屬環(huán)保各機(jī)構(gòu)（監(jiān)測(cè)中心、環(huán)科院等）為網(wǎng)絡(luò)分支構(gòu)成一個(gè)“星型”的網(wǎng)絡(luò)架構(gòu)。該市銀行應(yīng)用 IP 保密機(jī)與證券商構(gòu)建安全銀證聯(lián)網(wǎng)結(jié)構(gòu)示意如圖 所示。該市銀行通過(guò)電信部門(mén)的 DDN 網(wǎng)絡(luò)連接了當(dāng)?shù)氐膸资胰踢M(jìn)行銀證轉(zhuǎn)賬業(yè)務(wù)，銀行接入 DDN 網(wǎng)絡(luò)有兩個(gè)路由器，為了保證銀證轉(zhuǎn)賬業(yè)務(wù)的暢通，另有一條 PSTN 的電話(huà)撥號(hào)線路作為 DDN 線路的備份，當(dāng) DDN 線路出現(xiàn)故障時(shí)，業(yè)務(wù)數(shù)據(jù)可以實(shí)時(shí)動(dòng)態(tài)地切換至 PSTN 線路上。25 / 31 某市銀行應(yīng)用 SJW10 構(gòu)建安全銀證聯(lián)網(wǎng)系統(tǒng)銀行與證券商聯(lián)網(wǎng)是典型的 Extra，由于銀行和券商所傳輸?shù)臄?shù)據(jù)涉及中心交換機(jī)寬帶網(wǎng) DDN DDN / PSTN省行地市行代表處4 網(wǎng)口 IP 保密機(jī) IP 保密機(jī)安全管理中心地市行 1柜臺(tái)業(yè)務(wù)點(diǎn)+安全包地市行 2柜臺(tái)業(yè)務(wù)點(diǎn)+安全包前臺(tái)網(wǎng)點(diǎn)證書(shū)托管中心圖 某省行全省數(shù)據(jù)集中網(wǎng)絡(luò)安全結(jié)構(gòu)示意圖26 / 31各自的商業(yè)機(jī)密，不僅要求數(shù)據(jù)傳送時(shí)信息保密，而且還要求相互只能在一定的允許權(quán)限內(nèi)進(jìn)行網(wǎng)絡(luò)操作，所以雙方在網(wǎng)絡(luò)互連時(shí)都迫切要求對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行密碼保護(hù)。該省銀行采用 VPN 技術(shù)，應(yīng)用 SJW10 IP 保密機(jī)和安全包，在公共數(shù)據(jù)網(wǎng)上建立了一個(gè)的省金融業(yè)務(wù)網(wǎng)絡(luò)安全平臺(tái)。骨干網(wǎng)采用網(wǎng)絡(luò)線路冗余技術(shù)，即：骨干網(wǎng)主線路由 DDN 專(zhuān)線網(wǎng)絡(luò)和一個(gè)寬帶廣域網(wǎng)絡(luò)組成，兩個(gè)網(wǎng)絡(luò)物理分離，另設(shè)有一條 PSTN 電話(huà)撥號(hào)線路作為骨干網(wǎng)主線路的備份線路。人工更換密鑰的操作非常直觀，在保密機(jī)確認(rèn)了網(wǎng)絡(luò)安全管理員的身份后（輸入正確的登錄口令） ，只需選中控制面板中的“啟動(dòng)密鑰協(xié)商過(guò)程”并點(diǎn)擊左邊“啟動(dòng)”按鈕，保密機(jī)將自動(dòng)完成通訊密鑰的更換工作。由于采用分布協(xié)商式的密鑰管理模式，使得密鑰的更換顯得尤為方便、簡(jiǎn)潔。任何一臺(tái)保密機(jī)（安全包）節(jié)點(diǎn)，只要獲得安全管理中心（SMC ）頒發(fā)的有效證書(shū)，即可加入到安全的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中，從而為系統(tǒng)中節(jié)點(diǎn)的靈活增減提供了方便的手段。SJW10 系列 VPN 產(chǎn)品的分布式密鑰管理方案以證書(shū)管理和認(rèn)證為核心，采用公開(kāi)密鑰密碼體制，在網(wǎng)絡(luò) VPN 應(yīng)用環(huán)境中設(shè)立一個(gè)安全管理中心圖 安全管理中心控制界面23 / 31（SMC） ，完成 CA 認(rèn)證中心的基本功能。由于每個(gè)IP保密機(jī)（安全包）均具有不同的一級(jí)密鑰和二級(jí)密鑰，具有良好的密鑰分割特性，因此當(dāng)一個(gè)保密機(jī)泄密時(shí)，只會(huì)影響該保密機(jī)相關(guān)的保密通信，而不會(huì)危及整個(gè)網(wǎng)絡(luò)系統(tǒng)。二級(jí)密鑰用于加密傳送會(huì)話(huà)密鑰，需要通信的每對(duì)保密機(jī)（安全包）之間具有對(duì)稱(chēng)的二級(jí)密鑰，二級(jí)密鑰受一級(jí)密鑰保護(hù)由保密機(jī)自行協(xié)商，或直接由安全管理員手工設(shè)置。SJW10密鑰管理采用一級(jí)密鑰、二級(jí)密鑰和會(huì)話(huà)密鑰三級(jí)密鑰管理方式，一級(jí)密鑰為非對(duì)稱(chēng)密鑰，用于保護(hù)二級(jí)密鑰的協(xié)商交換。這樣，當(dāng)存有證書(shū)的物理載體損壞時(shí)，不用到它上級(jí)部門(mén)的 SMC 去重新生成證書(shū)實(shí)體，只需在本地證書(shū)托管中心就可以重新生成，保證了證書(shū)可以快速、便捷地到達(dá)用戶(hù)手中。當(dāng)一個(gè)機(jī)構(gòu)網(wǎng)絡(luò)中的保密機(jī)較多或者它的分支機(jī)構(gòu)分布比較分散時(shí)，為了便于證書(shū)的管理，SMC 不將由其生成的電子證書(shū)制作成證書(shū)實(shí)體，而是將證書(shū)文本導(dǎo)出，分發(fā)到下級(jí)部門(mén)或它的分支機(jī)構(gòu)。SMC 簽發(fā)的證書(shū)具有三種介質(zhì)實(shí)體形式，分別為：IC 卡片形式、USB 棒形式和 3 吋軟盤(pán)形式。?保密機(jī)/安全包日志維護(hù)應(yīng)用域中各保密機(jī)/安全包的審計(jì)日志可以本地存放，也可以通過(guò)網(wǎng)絡(luò)匯集存放在該應(yīng)用域的 SMC 中。SMC 將起到一個(gè)內(nèi)部 CA中心的作用，接受認(rèn)證申請(qǐng)、審查申請(qǐng)人的資格、生成并發(fā)放電子數(shù)字證書(shū)，完成證書(shū)生成、發(fā)放、廢棄、重用、查詢(xún)等管理工作。在利用 SJW10 IP 保密機(jī)構(gòu)成的一個(gè) VPN 網(wǎng)絡(luò)應(yīng)用環(huán)境中，由 SJW10 安全管理中心（SMC）完成簡(jiǎn)明的 CA 認(rèn)證中心的功能。 SJW10 安全管理中心 概述SJW10 安全管理中心是青鳥(niǎo)環(huán)宇 SJW10 IP 保密機(jī)系列產(chǎn)品的重要組成部分，它和 SJW10 IP 保密機(jī)、SJW10 IP 安全包一起，構(gòu)成一個(gè)完整的 VPN 產(chǎn)品體系。它們的結(jié)構(gòu)如圖 所示： 圖 ：WINDOWS IP 安全包 功能特點(diǎn)IP 安全包可以獨(dú)立應(yīng)用，也可作為下端與上端 IP 保密機(jī)配合使用，主要功能包括：? 在Win95/98/NT/2022及 UNIX、Linux等系統(tǒng)上提供訪問(wèn)控制、身份認(rèn)證和加密通信功能；IP墊片Ndis訪問(wèn)控制 數(shù)據(jù)加解密特殊 IPamp。其中的墊片程序和加解密程序以核心態(tài)方式運(yùn)行，它們?cè)?WINDOWS 啟動(dòng)時(shí)被裝載，而啟動(dòng)程序則在 Windows 初始化完畢之后被裝載，由它來(lái)設(shè)置程序的一些初始化狀態(tài)并啟動(dòng)整個(gè)系統(tǒng)的運(yùn)行。 系統(tǒng)總體結(jié)構(gòu)適用于不同操作系統(tǒng)平臺(tái)的 IP 安全包在總體結(jié)構(gòu)上大同小異，現(xiàn)以Windows 平臺(tái)安全包為例加以說(shuō)明。圖 保密機(jī)控制界面19 / 31IP 安全包適用的操作系統(tǒng)范圍為基于 Intel 平臺(tái)各種版本的 Unix、Linux及 Windows’9x/NT/2022，基本囊括了目前流行的客戶(hù)端操作系統(tǒng)平臺(tái)。硬件配置? 網(wǎng)絡(luò)接口數(shù)量 2?5個(gè)10/100Mbps RJ45以太網(wǎng)接口? CONSOLE口數(shù)量 1個(gè)RS232串行口，速率38400bps? 電氣特性 180V~260V/50Hz/250W機(jī)箱尺寸 1U/2U/4U 標(biāo)準(zhǔn)機(jī)箱技術(shù)指標(biāo)? 適用通信環(huán)境 基于TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境? 明文通信速率 100M bps / 10M bps? 加密通信速率 20Mbps / 10Mbps / 5Mbps? 環(huán)境條件 運(yùn)行溫度 0??60?C18 / 31相對(duì)濕度 5 ?95%? 平均無(wú)故障時(shí)間 30000小時(shí)? 系統(tǒng)保密性 國(guó)家密碼管理委員會(huì)鑒定通過(guò)，國(guó)密證第0053號(hào)? 系統(tǒng)安全性 公安部測(cè)試通過(guò)，銷(xiāo)售許可證號(hào)XKC33068人機(jī)界面? 提供本地串口和網(wǎng)絡(luò)接口對(duì)保密機(jī)進(jìn)行配置管理? 提供圖形配置界面和命令行控制方式? 命令行方式符合UNIX命令風(fēng)格? 圖形界面符合Windows界面風(fēng)格，： SJW10 IP 安全包技術(shù)說(shuō)明 概述IP 安全包由操作系統(tǒng)外掛式軟件包和硬件加密設(shè)備（加密卡、USB 加密棒或智能 IC 卡加密設(shè)備）所組成。SJW10 IP保密機(jī)通過(guò)采用可靠的硬件、關(guān)鍵部件冗余備份、以FLASH芯片作為存儲(chǔ)設(shè)備等技術(shù)，使系統(tǒng)具有良好的可靠性。? 支持動(dòng)態(tài)IP接入方式在SJW10 IP客戶(hù)端沒(méi)有固定IP地址的應(yīng)用環(huán)境中，客戶(hù)端可通過(guò)撥號(hào)接入ISP/NSP獲得動(dòng)態(tài)IP地址，保密機(jī)支持動(dòng)態(tài)IP客戶(hù)端的安全隧道建立請(qǐng)求，當(dāng)身份認(rèn)證合法后，保密機(jī)將與客戶(hù)端建立安全隧道進(jìn)行密碼通信，從而極大地增強(qiáng)了保密機(jī)的實(shí)用性。17 / 31? 隨著安全意識(shí)的不斷提增強(qiáng)，在局域網(wǎng)絡(luò)內(nèi)部劃分“虛擬局域網(wǎng)絡(luò)VLAN”已成為提高局域網(wǎng)內(nèi)部安全性的常用手段。網(wǎng)絡(luò)適應(yīng)性? 密碼機(jī)采用網(wǎng)橋轉(zhuǎn)發(fā)機(jī)制，原理如同交換機(jī)一樣，能廣泛適應(yīng)各種以太網(wǎng)絡(luò)結(jié)構(gòu)，保密機(jī)的密碼處理發(fā)生在IP層，與網(wǎng)絡(luò)應(yīng)用系統(tǒng)無(wú)關(guān)，保密機(jī)的接入與原網(wǎng)絡(luò)物理和應(yīng)用系統(tǒng)完全相容。管理機(jī)制? 保密機(jī)支持集中式遠(yuǎn)程管理，網(wǎng)絡(luò)安全管理員可以在安全管理中心對(duì)整個(gè)VPN環(huán)境中的密碼設(shè)備進(jìn)行及時(shí)的統(tǒng)一管理，既方便了密碼機(jī)的管理工作，又提高了管理工作的效率。安全機(jī)制? 網(wǎng)絡(luò)節(jié)點(diǎn)認(rèn)