网站首页|集团首页

分公司 : 江南信安|汇金科技|立思辰电子|从兴科技

首页 > 数据安全 > 核心产品

安全智能手环

产品简介

智能蓝牙手环是一款利用蓝牙4.0无线传输技术、集智能卡、USB通讯以及PKI技术于一体的新一代手环加密机产品,具备智能运动方式识别、智能监控睡眠识别、振动提醒、轨迹分享、设备查找等功能。蓝牙手环支持蓝牙4.0,能够为苹果、安卓全系列终端提供基于PKI技术的身份认证、数字签名/认证、数据加密/解密和证书存储等功能。蓝牙手环是现代信息安全技术和健康智能结合的新一代信息安全产品,可广泛应用于移动办公、移动政务、智慧医疗、金融支付等领域,跨平台的解决移动智能终端基于国产商用密码算法的强身份认证和密码安全服务问题,可为用户提供移动安全的完美解决方案同时,让用户在工作之余尊享完美健康服务和个性化生活。

产品参数

◆ 8位国产高性能智能卡芯片

64KB用户存储空间

128KB应用程序空间可选

支持国产SM1/2/3/4算法

硬件生成密钥对,实现数字签名,私钥永远不可导出KEY

产品硬件唯一序列号及产品编号

腕带材质,亲肤防过敏材质

防水等级,IP56(生活防水、防水溅)

蓝牙版本,蓝牙4.0

适配机型,IOS7.0及以上/Android4.3及以上


功能描述


◆移动办公

◆移动支付

◆电子政务

◆电子商务

◆网上银行

◆手机银行

◆版权保护

◆安全电子邮件


功能特点

◆ 创新性的将国产密码算法芯片与可穿戴智能产品结合,基于国产商用密码算法在移动智能终端的跨平台应用和高性能密码运算引擎实现了真正意义的穿戴式移动密码机。

◆ 内置标准USB接口,可在满足移动终端基于国产商用密码算法的密码安全服务的同时,直接连接PC类设备实现USB密码机的相关功能,真正一机实现多用。

◆ 支持相应移动密码机安全功能的同时,更整合了智能运动方式识别、智能监控睡眠识别、振动提醒、轨迹分享、设备查找等功能,并采用模块化架构,可根据用户需求进行安全和日常功能的拓展

◆ 符合人体工程学原理,可根据用户性质、使用场景和功能需求灵活定制炫彩外壳和整体外观。





神威安全认证网关

产品概述

神威安全认证网关产品由立思辰自主设计,集国产申威CPU、申威IO套片、神威睿思操作系统于一身,自身安全性高,性能表现良好,是国内首款获得公安部、国家保密局、国家信息安全认证中心等权威机构认证的自主可控安全认证网关。

神威安全认证网关的硬件核心基于国产申威CPU,软件核心采用基于Linux系统定制开发并经过安全加固的神威睿思操作系统,搭载立思辰成熟的安全认证应用软件,使认证网关产品自身稳定性得到了充分的保障;专门为申威CPU定制的申威IO套片,具有PCI-E交换、桥片、I/O等功能,支持多种通用的高、低速接口和片上智能维护系统,加之国产硬盘控制器等核心部件,使得整机国产化率达到91%以上。

产品功能

◆ 身份认证

基于已广泛使用的SSL协议,配合证书、用户名+口令、短信、机器码等认证因子的组合实现神威安全认证网关和客户端的双向身份认证。

◆ 数据代理

神威安全认证网关支持SOCKS代理、HTTP代理、反向代理、IP隧道等多种方式传输应用数据。

◆ 单点登录

网关支持应用系统的单点登录。可利用口令代理方式实现应用系统“零改造”的单点登录,也提供基于OpenID协议和自定义协议的二次开发接口供应用系统调用实现统一认证和单点登录。

◆ 传输保护

神威安全认证网关基于SSL协议对数据进行机密性和完整性保护。

◆ 支持算法

神威安全认证网关支持国际上通用的一些算法如RSA、AES128、SHA1、MD5等,也支持国家密码管理局批复的SM1、SM2、SM3、SM4。

◆ 证书验证

网关可以使用标准的X509V3格式的数字证书进行身份认证。可选择使用我公司的数字证书认证系统签发证书,也可以选择第三方机构等签发数字证书。

◆ 用户管理

神威安全认证网关支持手动注册用户信息,也支持从LDAP、统一用户管理系统同步用户信息。

◆ 权限控制

神威安全认证网关支持基于角色的访问控制(RBAC)。对应用系统采用粗粒度的访问控制,可控制每一个用户要访问的IP、端口。同时神威安全认证网关也支持搭配我公司统一用户管理系统进行细粒度的访问控制。

◆ 负载均衡

神威安全认证网关支持多台认证网关进行负载均衡,避免网关成为系统瓶颈。

◆ 多终端支持

神威安全认证网关客户端软件支持多种终端设备,包含台式机、笔记本、手机、平板电脑。网关也可利用浏览器支持HTTPS的特性,无需安装客户端软件接入系统。

功能描述

◆ 性能更高:神威安全认证网关采用了全新的技术体系结构,并在研发过程中注重优化,相对于上代产品性能有了大幅提升,在国内同类同档产品中,也具有一定的领先优势。

◆ 功能更强:神威安全认证网关不但保留了原有网关系统的功能特色,更进一步结合用户多年来用户的实际使用情况和反馈的需求,增加了不少更贴近用户的功能。

◆ 适应性更好:面对不断复杂的网络应用,神威安全认证网关增加了多种VPN通道和代理模式,可以适应更多的网络协议。同时网关也关注移动互联网、物联网的概念,新增对手机、平板、工业设备的支持,可适应更多的应用场景。

◆ 系统更安全:神威安全认证网关在安全性上也有了更进一步的提升,其通过多种认证因子的组合,增加了用户身份被假冒的难度。认证协议新增了对SSL协议的支持,符合目前主流的安全规范。

网络密码机

产品概述

基于立思辰江南信安公司自主知识产权的安全操作系统平台JNSecOS进行开发的VPN产品。VPN网络密码机既可以作为独立的VPN网关产品形态提供给用户,也可以作为一个安全引擎(SE),与其他安全引擎(如防火墙、IDS等)协同工作,为用户提供综合的集成化的安全网关产品。

功能特点

◆ 支持国密局《IPSec VPN技术规范》

全面支持IPSec协议标准

集成强大的病毒扫描功能

完善的PKI体系提高用户网络安全等级

支持全动态IP地址间建VPN隧道

NAT自动穿越

隧道路由技术实现VPN灵活自动部署

完善的VPN网络集中管理功能

支持组播穿越隧道

多机多线路负载均衡与备份

丰富多样的认证与授权

简单易用的无驱客户端

集成强大的防火墙功能

集成强大的网络附加功能

产品功能


类别

功能

详细描述

网络

适应性

工作模式

²  支持透明、路由、混合模式

路由

²  支持静态路由、动态路由

²  支持基于源/目的地址、端口、协议及接口的策略路由

²  支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能

²  支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能

²  支持RIPOSPF等路由协议

²  支持多线路捆绑和负载均衡

组播

²  支持IGMPPIM组播协议

²  可有效地实现视频会议等多媒体应用

VLAN

²  支持VlanVlan Trunk

²  支持802.1Q,能进行封装和解封

²  支持ISL,能进行ISL的封装和解封

²  支持QinQ技术(vlan-vpn),对报文进行二次基于802.1Q封装

生成树

²  支持802.1DPVST生成树协议

端口聚合

²  支持对物理接口的端口聚合,提高接口带宽

²  每个聚合组的端口数不做限制,提高了聚合组的配置灵活性

ARP

²  支持ARP代理、ARP学习,可设置静态ARP

²  可设置防ARP欺骗

DHCP

²  支持DHCP ClientDHCP RelayDHCP Server

接入

²  支持以太网、光纤、ADSLDHCP等多种接入方式

²  支持最多4ADSL拨号接入,多路ADSL支持链路负载均衡或备份

其它

²  支持网络时钟协议SNTP,可自动根据NTP服务器的时钟调整本机时间

²  支持IPXNetBEUI等非IP 协议

PKI

证书格式

²  支持X.509 V3数字证书

²  支持DER/PEM/PKCS12等多种证书编码

本地CA

²  支持内置CA,为其他设备或移动用户签发证书

²  支持证书废弃,支持生成标准CRL列表

²  支持证书请求的生成,由第三方CA进行签名

²  内置支持SM2算法的CA

第三方CA

²  支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用户进行身份认证,支持通过HTTP协议定时下载CRL列表

²  支持通过OCSP/LDAP等协议在线认证证书

IPSEC   VPN

协议

²  支持ESP/AH/IKE/NATT等标准IPSEC协议

²  支持隧道模式、传输模式

²  支持采用国密局标准IPSec协议互通

²  支持与第三方标准IPSecVPN产品互通

²  支持隧道压缩协议

算法

²  支持HMAC-MD5HMAC-SHA1校验算法

²  支持DES3DESAES加密算法

²  支持DH Group 1/2/5RSA 1024/2048非对称算法

²  支持国家商密专用的SM1/SM2/SM3/SM4算法

IKE协商

²  第一阶段协商支持主模式、野蛮模式

²  第二阶段协商支持快速模式

²  第一阶段身份认证支持预共享密钥、数字证书方式

²  支持完全向前保密PFS

²  支持使用标准的X.509证书建立隧道

²  支持DPD协议探测隧道状态

²  支持隧道断线自动重建

²  PSK方式下支持用户自定义标识符

²  支持XAuth认证和模式配置

硬件加速

²  支持高速算法加速卡

数据压缩

²  支持高效数据流压缩算法

网络

适应性

²  支持网状、树型、星型等多种VPN网络拓扑

²  支持隧道的NAT穿越、双向NAT隧道建立

²  支持全动态IP地址间的VPN组网

²  支持隧道路由转发

²  支持组播穿越IPSec隧道

²  支持多机多隧道的负载均衡和备份

VPN

客户端

²  支持第三方标准IPSec客户端接入

²  支持苹果终端IPSEC VPN客户端接入

²  支持为移动用户定义访问权限

²  支持基于时间的移动用户访问控制策略

²  支持两网分离

²  支持多线路自动检测

²  支持移动用户接入状态的监控和审计

²  支持中/英文界面和中/英文自动切换

用户授权

用户授权

²  支持角色授权、支持独立用户授权和授权继承

²  支持基于时间的访问授权方式

²  支持本地授权、支持外部组映射授权、支持证书用户授权

²  支持基于证书中的字段属性组合授权

可信接入

可信接入

²  支持接入主机的信息检查,包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等

²  支持基于角色的可信接入

²  支持可信接入分级授权

DDNS

DDNS

²  支持DDNS动态域名注册

²  支持使用域名进行隧道定义及协商

²  支持使用域名向TP进行集中认证

技术标准

IPSecVPN

²  符合国密局制定的《IPSEC VPN技术规范》

L2TP

L2TP

²  支持远程用户通过L2TP接入,建立L2TP隧道访问内部网络

PPTP

PPTP

²  支持远程用户通过PPTP接入,建立PPTP隧道访问内部网络

网络

安全性

*内容过滤

²  采用完全内容检测(Complete Content Inspection)技术

²  支持基于流、数据包、透明代理的过滤方式

²  支持对HTTPSMTPPOP3IMAPFTP等协议的深度内容过滤

²  支持web重定向,支持URL分类过滤

²  支持挂马网站过滤

²  支持对移动代码如Java appletActive-XVBScriptJava script的过滤

²  支持对邮件的收发邮件地址、文件名、文件类型过滤

²  支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤

²  支持反垃圾邮件功能

²  支持TelnetFtpRSH命令过滤

²  可屏蔽受保护主机/服务器系统信息,如替换服务器(FTPSMTPPOP3TelnetHTTP)的BANNER信息

访问控制

²  基于状态检测的动态包过滤

²  基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制

²  支持隧道内的访问控制

²  动态端口支持协议:H.323SIPFTPRTSPSQL*NETMMSRPCTFTPPPTP

²  支持大数量级的策略匹配加速算法

²  支持对象的每秒新建连接数限制

²  基于域名对象的访问控制

²  可实现IP/MAC绑定,可防共享上网

NAT

²  支持双向NAT

²  支持动态地址转换和静态地址转换

²  支持多对一、一对多和一对一等多种方式的地址转换

²  支持虚拟服务器功能

*应用识别

²  支持近百种应用程序库的过滤,包括P2PIM、炒股、网游等

²  支持MSNQQSkypeInstant Messenger通信,并可以对于这些应用进行登陆限制和帐号过滤

²  可限制BTeMuleeDonkey、迅雷等P2P应用

²  支持基于应用的流量统计、排名

²  支持基于应用的历史流量趋势图

²  支持基于主机的应用流量统计

²  支持流量异常检测

²  深度流量过滤(DFI),针对P2P行为的识别控制

*防病毒

²  支持HTTPFTPPOP3SMTPIMAP协议的病毒查杀

²  支持200万余种病毒的查杀,病毒库定期与及时更新

²  支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀

*防御攻击

²  非法报文攻击:land SmurfPingofdeathwinnuke tcp_sscanip_optionteardroptarga3ipspoof

²  统计型报文攻击:SynfloodIcmpfloodUdpfloodPortscanipsweep

²  支持地址对象源目的最大连接数限制

²  端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置

²  SYN代理:对来自定义区域的Syn Flood攻击行为进行阻断过滤

²  CC攻击:可通过设置端口和阀值阻断CC攻击

²  可记录攻击日志和报警

²  支持手动设置和根据IDS规则自动生成黑名单

安全管理

用户认证

²  支持使用一次性口令认证(OTP)、本地认证、数字证书(CA)认证等常用的安全认证方式

²  支持口令复杂度设置,支持密码找回、首次登录修改口令功能

²  支持多点登录地点数设置,支持登录时间、登录地址范围控制

²  支持使用第三方认证,如RADIUSTACACS/TACACS+LDAP、域认证等安全认证方式

²  支持短信、动态令牌、硬件特征码认证

²  支持Session认证、HTTP会话认证

²  支持WEB认证和指纹认证

分级管理

²  可为用户管理员分配不同的权限,管理不同的用户信息

²  支持多达16级的分级管理

²  支持管理员的三权分立

日志

²  支持WelfSyslog等多种日志格式的输出,支持日志分级

²  支持安全审计系统(TA-L),获得更详尽的日志分析和审计功能

²  TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析

²  可对日志进行加密传输

监控

²  支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测

²  可根据配置文件进行错误恢复

报警

²  内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类

²  支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式

流量统计

²  支持基于IPsession数的统计,并有阀值报警功能

²  支持基于IP对流量的统计

²  支持基于传输层端口进行流量、session数的统计

²  支持NETFLOW协议版本5,支持设置过滤条件

带宽管理

QoS

流量整形

²  根据IP、协议、网络接口、时间定义带宽分配策略

²  支持最小保证带宽和最大限制带宽

²  支持DSCPCOS的设置

²  支持对p2p的带宽限制

优先级

²  支持8级优先级控制

高可用性

双机热备

²  支持双机热备(Active-Standby)模式

²  支持负载均衡(Active-Active)模式

²  支持连接保护(Session Protect)模式

其它功能

²  支持基于IP探测的链路备份功能

²  支持服务器的负载均衡,提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式

²  支持双系统引导,支持Watchdog功能

配置管理

配置方式

²  支持WEB图形配置、命令行配置

²  支持基于SSHHTTPS的安全配置

²  支持通过TP进行配置管理

命令行

²  支持配置命令分级保护,支持中英文

²  支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能

WEBUI

²  支持配置向导,支持中文联机帮助

²  支持HTTPS客户端证书认证方式

²  支持CPU、内存、连接数、接口流量的即时监控图和历史趋势图

²  支持应用识别、病毒、入侵防御统计数据的图形化显示

SNMP

²  支持SNMP v1 v2 v2c v3 版本

²  支持SNMP MIB扩展

²  与当前通用的网络管理平台兼容,如HP Openview

系统升级

²  支持双系统升级

²  支持TFTPWebuiFtp升级

报文调试

²  提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题

²  支持发送虚拟报文

²  支持端口镜像功能,能够通过设置过滤条件选择性镜像报文

配置恢复

²  可以进行配置文件的备份、下载、删除、恢复和上载

²  可进行部分配置本地和异地的批量导出和导入

 

 




移动安全接入网关

产品概述

江南信安研制的移动安全接入网关是作为移动互联网与企事业单位移动应用的桥梁与纽带的网关设备,通过自主创新的跨系统内核代理技术、密码设备调度技术、SPT高性能任务引擎、二次代理访问、自由定制应用门户以及虚拟化发布技术,为企业、政府机关的移动应用建立高安全性、高可靠性的加密通道,实现了在现有业务系统无需改造的前提下,在任意智能终端操作系统(Windows、iOS、Android)终端,使用任意接口(USB、Dock和安全TF,蓝牙手环)的密码设备,通过任意运营商网络(WCDMA、EVDO、TD-SCDMA、LTE)高效、快捷的进行安全访问。

同时通过全方位的终端安全管理以及完善的密码安全服务真正解决了移动应用在访问过程中所面临的终端安全、通信安全、应用安全、管理安全等一系列阻碍移动应用发展的问题,并能将传统的、松散的移动应用整合成统一管理、统一维护、统一安全、统一策略的“四统一”移动云平台。

1.jpg

功能特点

◆ 接入终端多样性

凭借跨平台内核的二次代理技术,移动安全客户端组件除支持Windows平台外,还完全支持iOS和Android两大主流的移动智能终端操作系统,通过UI兼容性优化,可兼容已知的各种分辨率的终端。

可以使用iTunes、91助手、360助手、豌豆荚、Web加载和存储加载等多种模式部署和使用于合法的iOS、Android终端平台,保障部署环境的安全。

云存储数据安全网关

产品概述

云计算近年来发展迅猛,为各行各业提供了全新的数据处理模式和服务体验感受。云存储作为云计算的基础组成部分,是每一个云计算方案不可缺少的重要部分。在重要单位或者大型企业中,云存储中涉及大量的敏感信息。比如行政涉密文件,领导批示、公文、视频和图片,或者企业的商业机密、设计图纸等。为了保障这些敏感电子文件的安全,各单位广泛的实施了安全防护措施,包括:机房安全、物理隔离、防火墙、入侵检测、加密传输等等。但是云存储的数据安全问题却一直让管理员束手无策。由于云存储保存在磁盘阵列上的信息均为明文,对于用户的隐私和数据安全保护极为不足。窃取用户隐私数据,以及对云存储数据的反向注入,都造成对云存储数据的安全威胁。近些年来云存储数据泄漏事件频发,例如苹果的iCloud安全漏洞,引发的好莱坞艳照事件。CSDN、小米论坛、天涯等大型网站数据库被窃取(俗称“拖库”),造成数百万用户信息被泄漏。亚马逊等电商的用户账号数据库被盗,造成数千用户直接经济损失。这一系列的用户隐私泄密事件导致解决云存储数据的安全问题迫在眉睫。

传统的磁盘阵列加密仅采取源数据加密的方式,即数据先加密再保存到数据库中,导致数据库的搜索功能失效,不具备广泛的可用性。云存储数据安全网关针对以上云存储所面临的现状提供了完美的解决方案。对写入云存储磁盘阵列的数据进行自动加密,而对读出的数据自动解密,保证存储在磁盘阵列中的数据始终为密文,不会因为数据文件被窃而造成数据泄露。整个加解密过程对上层软件和用户应用透明,不影响加密后的数据搜索,不影响云存储拓扑结构, 不影响应用软件功能和用户的使用习惯。

功能特点

◆ 安全性:

云存储安全网关实现FC网络协议,根据对云存储介质的访问操作,对不同数据块进行加解密,保证了磁盘上的数据始终是密文。不同的磁盘分区使用不同的密钥,密钥可由密钥管理员分发或者由平台自动生成,。非授权用户所窃取的数据均为密文,无法还原为明文。可根据用户需求更换不同的密码算法,支持经国家批准使用的专用密码算法,支持用户自定义加密算法以适应不同的应用级别。

◆ 灵活性:

云存储安全网关在云存储加解密的过程中对上层软件和用户应用透明,不影响加密后的数据搜索,不影响云存储拓扑结构, 不影响应用软件功能和用户的使用习惯。用户在操作上对云存储安全网关不存在任何的感知。

◆ 高性能:

云存储安全网关可使用目前主流的2/4/8G等不同速率的FC存储网络,平台内部采取硬件协议栈和硬件加解密板,提供8Gbps的FC转发能力,以及双向超过700MBytes的加解密接口性能。

◆ 适应性:

云存储安全网关可部署在服务器端和磁盘阵列端,适用于各种拓扑形式。全透明的处理模式,用户在应用上没有任何感知。兼容目前主流磁盘阵列,例如:IBM 、EMC、 HP等。兼容目前主流数据库,例如:ORACLE,SQLServer等。

产品参数


外部接口

2对FC接口 支持2/4/8G模式

1路千兆SFP或RJ45(二选一支持HA和设备管理

1路USB接口

性能

SM4加解密读写>700Mbps

电源

AC 220V(+10%~-15%) 50Hz 功率<100W

尺寸

宽深高(mm):445*450*88 标准19英寸2U上架机箱

环境

工作温度:0-45℃ 存储温度:-20-70℃

可靠性

MTBF>3万小时

适用领域

云存储数据安全网关可配接多种磁盘阵列。广泛应用于对数据安全有较高要求的云计算中心,包括党政军、金融、电信、电力、医疗、石油等行业领域。


便携式漏洞评估系统

产品概述

立思辰便携式漏洞评估系统是立思辰自主研发的业界首款便携式综合漏洞发现与评估系统。产品采用军工级定制的便携式一体机硬件架构,并配备专用保密机箱,符合国际保密性要求;便携式漏洞评估系统方便部署即插即用,适用于有线及无线等各种网络环境,同时满足特殊机构单位的移动办公和垂直监查需求。

便携式漏洞评估系统以综合的漏洞规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)为基础,采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及无线弱点发现等方式相结合的技术,实现了业界首款将Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线安全检查与无线安全扫描于一体的综合漏洞评估系统。

1.jpg

功能特点

◆ 丰富的场景适应性

便携式漏洞评估系统采用军工级定制的便携式一体机硬件架构,标配物理接口和工业级无线网卡,既可以和传统设备一样采用物理网线进行部署,也可以通过无线热点接入用户网络,同时工业级的信号发现芯片可以保证便携式漏洞评估系统的覆盖范围、频率稳定性以及自身连接安全性。产品形态便携,并配备专用保密机箱,不同于传统机架式设备的,无需部署机房;又异于常见桌面式小型设备,更加轻巧便携。既可以满足移动办公的需要,又符合国际保密性要求,因此除了满足传统运用场景之外,还能够满足特殊机构单位的移动办公和垂直监查需求。

◆ 系统漏洞检测

  ● 全方位的网络对象支持

  ✔ 网络主机:服务器、客户机、网络打印机等;

  ✔ 操作系统:Microsoft Windows 9X/NT/2000/XP/2003、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等;

  ✔ 网络设备:Cisco、3Com、Checkpoint等主流厂商网络设备;

  ✔ 应用系统:数据库、Web、FTP、电子邮件等。

  ● 全面的系统漏洞知识库储备

  本产品以国内最权威、最全面的中文漏洞知识库(CNCVE)为支撑,蕴含着丰富的研究经验和深厚的知识积累,能够为客户提持续的、高品质的产品应用价值。

Web漏洞检测

  ● 网站安全漏洞全面检测

  与目前市面上的其它网站安全类产品单一地考虑系统安全、网页编程安全、SQL注入、跨站漏洞等方面的安全问题不同,本产品从设计网站安全的各个方面来对网站安全状况做出最全面的评估,包括:系统补丁、危险插件、代码审计、恶意网站、网页木马、SQL注入、跨站注入、管理入口以及敏感信息等等。

  ● 网站代码本地安全检查

  目前的远程SQL注入扫描、跨站漏洞扫描等是针对网站代码进行外部的黑盒测试,而针对网站代码的安全检查是针对网站代码进行全面直接的检查,找到SQL注入、跨站漏洞、网马等一系列安全问题。本产品可以针对网站代码进行本地的安全检查。

  ● 积累丰富的网马特征库

  本产品采用了研究团队多年积累的丰富的网马特征库,不仅包括网马代码特征、而且包括挂马网站的列表,双重检测手段保障网马检测的较低地漏报率和误报率,同时我们保持每周至少一次的特征库的升级。

  ● 高效的网页爬虫技术

  本产品的网页抓取模块采用广度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术的不会产生爬虫陷入的问题,网站目录还原技术则去除了无关结果,提高抓取效率。

  ● 基于状态的SQL注入扫描技术

  本产品不同于传统的针对错误反馈判断是否存在注入漏洞的方式,而采用自主创新的状态检测来判断。所谓状态检测,即:针对某一链接输入不同的参数,通过对网站反馈的结果使用向量比较算法进行比对判断,从而确定该链接是否为注入点,此方法不依赖于特定的数据库类型、设置以及CGI语言的种类,对于 注入点检测全面,不会产生漏报现象。而常见的SQL注入扫描产品均不具备此项技术。

  ● 基于状态比较的注入验证技术

  本产品采用状态检测来对数据库的数据进行猜解,无论网站采用什么CGI语言,无论网站是否反馈错误信息,都能进行正常的猜解,而常见的SQL注入扫描产品均不具备此项技术。

  ● 基于模糊匹配的管理入口检测技术

  本产品管理入口检测模块不仅采用常规管理入口检测技术,即:使用常用的管理入口库进行逐一匹配检查,而且还采用了模糊匹配的方式来检测管理入口,所谓的模糊匹配即软件使用模糊匹配的方式来对网站所有链接进行匹配,从而最大可能找出所有管理入口。

◆ 数据库漏洞检测

本产品采用先进的数据库发现技术和实例发现技术等,可以针对当下主流的数据库,如Oracle、MySQL、DB2、PostgreSQL、sybase、SQL Server等进行漏洞检测,包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估,并给出提高数据库安全性的修复建议。

◆ 基线安全核查

针对安全基线规范基准,以及对传统漏洞扫描产品的强力补充,又推出了专业检查功能,它使安全检查过程达到自动化、标准化、持续化、可视化。可以有效提高检查结果的准确性和合规性,用以在设备的上线安全检查、第三方入网安全检查、合规安全检查、日常安全检查和安全服务任务工作中,协助查找设备在安全配置中存在的差距,并与安全整改与安全建设相结合,提升各类业务系统的安全防护能力和达到整体合规要求。

◆ 无线安全检查

本产品采用增强的热点发现和分析技术,可以对无线连接的安全性进行检查评估,包括热点可靠性、密钥完整性及口令安全性等,找出无线中存在的安全隐患并提供有效的加固方案。

◆ 覆盖面广的漏洞库

本产品包含CNNVD认证的系统漏洞库20多类,10000多种;Web漏洞库共覆盖OWASP定义的10大类超过10000多种漏洞规则;其他漏洞库10000多种;总共30000多种,覆盖了当前网络环境中重要的,主流的系统和数据库等漏洞,并且能够根据网络环境的变化及时调整更新,确保漏洞识别的全面性和时效性。

◆ 可自定义的规则库

本产品中,用户除了可以使用软件默认提供的检测库外,也可以添加自定义的规则库,我们提供了规则库的转换和合并等功能。

◆ 强有力的扫描效率

本产品综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描,从而保证了扫描任务可以迅速完成。

◆ 准确的漏洞识别率

本产品采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等。

◆ 便捷的漏洞验证工具集

本产品提供一键式漏洞验证工具集,包含SQL注入漏洞验证及通用漏洞验证等。运维人员可以直接在系统界面中选择相应的协议并填充测试字段对目标进行漏洞验证,并且针对系统已发现的漏洞可以实现一键填充式自动验证功能,降低人工操作难度的同时提升结果验证的准确性。

◆ 多样化的结果报表呈现

本产品能够生成面向多个用户角色的客户化报表,并以图、表、文字说明等多种形式进行展现,同时支持以PDF、XML、HTML、EXCEL、WORD等多种格式导出结果报表。





USBKEY

产品概述

信息安全建设离不开密码设备,立思辰出品的USBKey,采用自主设计、经国密局批准的SM1、SM2、SM3、SSF33等的128位对称密码算法和1024位/2048位RSA密码算法,利用口令校验、文件访问权限控制等安全机制,提供封装紧密的密码功能调用,实现用户身份鉴别、信息和数据加密保护、信息完整性保护等功能,具有较强的信息和密钥保护能力,用于信息系统的客户端,可以有效地增强系统的安全性和保密性,具有密码功能完善、密码运算速度快、文件存储容量大、安全性好、体积小、重量轻、价格低、便于携带和使用以及性价比较高等特点。

主要功能

1) 采用经国密局批准使用的对称密码算。采用1024bit/2048bit RSA密码算法,支持多种标准的消息摘要算法。

2) 采用密码芯片实现对称密码算法和RSA密码算法。

3) 能够安全存储密钥、证书,支持基于PKI的应用。

4) 采用USB2.0兼容的总线接口作为主机通讯接口,支持即插即用,实现全速的数据吞吐能力。

5) 可提供U盘功能,存储USBKey驱动软件和安全应用软件,实现硬件和软件真正的即插即用。

产品特点

◆ 真正的无驱设计

使用USBKEY,用户无需再象以往那样,在使用时要安装硬件驱动和管理软件,不需要考虑操作系统的版本等繁复的问题。只需插入USBKEY,轻点鼠标。便可轻松完成证书的下载和安装。

◆ 多功能于一身

1) 自动消除使用痕迹

每次使用后不会留下任何交易或者认证的痕迹,让用户在任何的地方,通过任何终端机都能够进行安全的认证和交易等活动。

2) 单点登陆设计

使用者可以将应用系统的URL保存在USBKEY中,无论何时何地只用有计算机连接网络,通过简单点击鼠标就可以直接登陆到应用系统,并自动填写用户名口令;防止钓鱼、键盘记录软件以及木马的威胁。

3) 防暴力攻击的设计(芯片控制)

USBKEY只允许对密码作不超过特定次数的尝试(实际次数可由管理人员设定);若输入指定次数的口令都不正确,USBKEY会自动删除内部所有数据。此功能可防止USBKEY内的所有数据被盗用。(USB Key无论是有意或者无意的攻击,都不会对内存数据造成影响)

4) PKI

USBKEY内置有Crypto Service Provider来支持PKI相关的操作(如:数字证书、加密/解密、认证等),它支持X.509证书。同时它还内置有1024/2048-bit RSA密钥发生器。内置的CSP完全支持MS CAPI 及PKCS#11国际标准。(由于内置CSP支持流行的国际标准,所以不用安装证书管理工具;全部操作方便安全。)

产品参数

1) 密钥生成和管理功能:生成、存储1024bit/2048bit RSA密钥对和128bit对称秘钥,管理密钥的设置、使用和销毁。

2) 证书存储和管理功能:申请并存储用户身份,下载和存储CA证书,管理证书的读取、修改、删除等。

3) 访问控制功能:对存储在USBKey内的密钥、证书的使用进行控制、保护证书等文件和数据的写入和读取,保护密钥的设置、生成和使用,保护密码运算模块的使用。

4) 随机数生成功能:可生成最大长度为512bit的随机数,用于产生密钥和流水号等。

5) 数字签名和验证功能:采用1024bit~2048bit RSA密码算法和消息摘要算法,实现数字签名和验证;

6) 数据加解密功能:采用经国密局批准使用的对称密码算法实现快速的数据加解密,支持数字信封;

7) 软件和文件存储功能:设计有大容量U盘2~32G,能够存储USBKey驱动、安全应用软件及用户文件;

8) 支持序号管理:USBKey设置有唯一的序列号,支持系统对USBKey的统一管理。

支持的操作系统:

Windows98SE/Me/2000/XP/2003 Server/Vista/Win7Linux

证书和标准:

PKCS#11,CSP,X.509v3,SSLv3,IPSec

USB2.0接口:

高速

1024位RSA公私钥对生成:

平均 700ms/对

1024位RSA解密/签名:

平均  14ms/次

1024位RSA加密/验签:

平均 2.6ms/次

SM1加密/解密:

平均 17.3M

SSF33加密/解密:

平均 14.8M

功率:

<150mW

工作温度:

0~70℃

存放温度:

-40~85℃

数据存储年限:

至少10年

写次数:

至少30万次


Web应用防护系统

产品概述

为了弥补目前安全设备对Web应用攻击防护能力的不足,需要一种新的工具用于保护重要信息系统不受Web应用攻击的影响。这种工具不仅仅能够检测目前复杂的Web应用攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品,必须具备更细粒度的攻击检测和分析机制。

JNSecWAF Web应用防护系统,以下简称JNSecWAF,是立思辰开发的新一代安全产品,作为网关设备,防护对象为Web、Webmail服务器,针对安全事件发生时序进行安全建模,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web应用安全解决方案。


1.jpg

◆ 事前,JNSecWAF提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。

◆ 事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDOS攻击进行有效检测、阻断及防护。

◆ 事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。

JNSecWAF提供了业界领先的Web应用攻击防护能力,通过多种机制的分析检测,JNSecWAF的技术能够有效的阻断攻击,保证Web应用合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义。同时,针对当前的热点问题,如SQL注入攻击、网页篡改、网页挂马等,JNSecWAF按照安全事件发生的时序考虑问题,优化最佳安全-成本平衡点,有效降低安全风险。

产品功能

◆ Web安全扫描

JNSecWAF从网站安全的根源考虑,集成了JNSecWAF自主研发的Web漏洞扫描系统。可帮助用户周期性检测应用服务安全性,并提供详尽的报表,使得用户在漏洞或安全隐患被利用前就及时发现并采取相应的补救措施,防患于未然。

◆ Web安全防护

JNSecWAF基于原透明代理引擎进行产品功能升级,替代了原代理引擎,在网桥上不用添加IP地址,实现在配置上透明,在服务器端能看见客户端的真实IP,实现WAF对服务器的真正的透明防护。同时具有旁路阻断模式,在原有的IPS镜像检测基础上,实现了回注阻断攻击的请求。真正的规避开了单点故障问题,完美的保证了Web系统的正常运行。

◆ 网络层防护

JNSecWAF集成了传统防火墙的主要功能,提供包过滤、黑白名单、URL访问控制等基础网络层防护功能,可对Web服务器提供1-7层全面防护。同时具有防DDoS攻击模块采用主动监测加被动跟踪相互结合的防护技术,可辨识多种DDoS攻击,并启用特有的阻断,能够高效地完成对DDoS攻击的过滤和防护。

◆ 网页防篡改

JNSecWAF集成了网页防篡改功能,可集中管理控制各个网页防篡改端点,并提供监控、同步、发布功能。

◆ 应用交付

JNSecWAF集成了服务器负载均衡功能,适用于大型网站多用户、高流量的应用场景。负载均衡在现有网络结构之上,提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。JNSecWAF采用了五种负载均衡算法支持,分层架构设计模型,将网络拓扑与应用安全分离,减轻运维负担,大幅降低用户投资。

1.jpg

图2 HTTPS卸载和加速

◆ 系统管理

JNSecWAF强大的设备监控功能,管理员可以实时监控设备的工作状态、攻击威胁等系统信息。目前监控信息分为3大类(JNSecWAF系统软件、硬件状态信息,Web安全攻击信息,网页防篡改系统信息),共计26种状态信息,从而使管理员可以随时对网络和防火墙的状态有详尽了解,及时发现并排除网络问题,保障应用的稳定运行。

1.jpg

可视化管理

◆ 日志留存和分析

JNSecWAF提供日志留存系统,系统会记录包括管理日志、网站访问日志、攻击日志、网页防篡改日志、DDoS日志、审计日志等,在日志量大或有长时间留存要求的场景中,JNSecWAF还提供了外置日志服务器。JNSecWAF还提供了先进的日志分析系统,以图形化展示各类日志,亦可以多种格式导出;方便用户统计网站安全状况。

◆ 网络环境支持

JNSecWAF可适应各种网络环境,支持链路聚合、VLan、ARP配置等功能,可无缝部署到客户的网络中。JNSecWAF支持Trunk链路防护。支持IPV6的防护,可以适应各种网络环境。

◆ 高可用性

JNSecWAF采用独有的双操作系统驱动模型,保证系统平滑的进行规则库、版本库、核心引擎的在线升级,避免可能的中断客户网络应用的情况发生。

产品规格

WEB应用防护系统

JN-WAF-200

1U机架;
1个CONSOLE口,2个USB口;
4个100/1000M电口;
500G 硬盘,单电源;

HTTP吞吐:200M;
HTTP新建(CPS):3000/s;
HTTP新建事物能力(TPS):4000/s;
最大并发数:500,000;
HTTP最大并发数:65,000;
DDOS防护能力:0.1MPPS(64字节)

JN-WAF-1000

1U机架;
1个CONSOLE口,2个USB口;
4个100/1000M电口;
1TB 硬盘,单电源;

HTTP吞吐:1000M;
HTTP新建(CPS):12000/s;
HTTP新建事物能力(TPS):16000/s;
最大并发数:1000,000;
HTTP最大并发数:150,000;
DDOS防护能力:1.48MPPS(64字节)

JN-WAF-1400

2U机架;
1个CONSOLE口,2个USB口;
6个100/1000M电口,2组Bypass;
500GB硬盘,单电源;
1个扩展槽,最大可支持2个光口;

http吞吐:1400M;
http新建(CPS):16000/s;
HTTP新建事物能力(TPS):20000/s;
最大并发数:1000,000;
HTTP最大并发数:400,000;
DDOS防护能力:1.48MPPS(64字节)

JN-WAF-4000

2U机架;
1个CONSOLE口,2个USB口,1个管理口;
500GB硬盘,单电源;
1个扩展槽,最大可支持4个光口;

HTTP吞吐:4000M;
HTTP新建(CPS):36000/s;
HTTP新建事物能力(TPS):36000/s;
最大并发数:1000,000;
HTTP最大并发数:800,000;
DDOS防护能力:2.96MPPS(64字节)

JN-WAF-8000

2U机架;
1个CONSOLE口,2个USB口,2个管理口;
1TB硬盘,单电源;
1个扩展槽,最大可支持4个光口;可扩展万兆接口;

HTTP吞吐:8000M;
HTTP新建(CPS):90000/s;
HTTP新建事物能力(TPS):90000/s;
最大并发数:2000,000;
HTTP最大并发数:800,000;
DDOS防护能力:5.92MPPS(64字节)

安全TF卡

产品概述

江南信安安全TF卡JNSEC-SKEY-T是一款由江南信安完全自主研发、拥有全部知识产权的安全产品,采用通过国密局鉴定的国产高性能安全芯片实现。

江南信安安全TF卡是基于SD技术、智能卡技术和海量存储技术的安全移动设备。它具有身份认证、数字签名/认证、数据加密/解密和证书存储等功能,适用于电子政务、电子商务、信息保密、网上银行、税控、社保、CA等应用领域。江南信安安全TF卡是现代计算机网络中很好的客户端信息安全产品,可为建立系统的安全平台提供快捷、安全的客户端解决方案。

1.jpg

图1 产品外观

硬件接口

◆ Micro SD接口

智能卡

◆ 32位国产高性能智能卡芯片;

◆ 32/64/128KB用户存储空间可选;

◆ 128KB应用程序空间;

◆ 支持DES/3DES/AES等分组算法;

◆ 支持SM1/SM4/祖冲之等分组算法;

◆ 支持RSA1024/RSA2048公钥算法;

◆ 支持SM2公钥算法

◆ 硬件生成密钥对,实现数字签名,私钥永远不可导出KEY;

◆ 产品硬件唯一序列号及产品编号。

通信协议

◆ SD协议

软件特征

◆ PC平台提供标准安全中间件接口PKCS11、CSP、SKF等;

◆ 手机平台提供PKCS11、SKF以及定制API接口等;

◆ 证书与标准:X.509 V3证书存储;

◆ PC平台支持同时对多个设备并发访问;

◆ 支持多线程访问;

◆ 支持多应用。

电气特性

◆ 睡眠:90uA

◆ 上电:8.3mA

◆ 工作:33mA-42mA

◆ 工作温度:0°C ~ +70°C

◆ 存储温度:-20°C ~ +85°C

◆ 存储器重写次数:≥100,000次

◆ 数据保存期限:≥10年

◆ 湿度:0 ~ 100%不结露

算法性能

◆ 大包数据模式 1MB/s(SM1算法)

◆ 小包数据模式 32Byte/7ms(SM4算法)

存储及封装

◆ 4G、8G、16G存储支持

◆ 支持无存储模式

◆ MicroSD封装

◆ 适配SD Adapter

应用领域

◆ 移动支付

◆ 电子政务

◆ 电子商务

◆ 网上银行

◆ 手机银行

◆ 版权保护

◆ 安全电子邮件

◆ 操作系统安全登录

动态令牌

产品概述

立思辰的动态令牌是一种真正无需驱动,并同时带有存储能力的令牌。用户可通过令牌在各种终端机或应用程序上作身份认证,同时无需用户预装软件或安装任何驱动程序。让用户享受真正使用上的自由和全面的移动性。该令牌是以硬件形式向用户提供的。令牌内置了加密运算芯片和可以显示6-8位数字的LCD窗口,并且每隔一分钟都会结合内置的唯一128位种子与当前时间,使用安全算法生成一组随机动态数字(动态令牌密码),显示在令牌的LCD窗口上。与立思辰的动态令牌认证服务器系统结合,无需改造现有网络,即可快速实现应用系统的安全身份认证和通讯保密性、完整性保护。

时间型动态密码

1.jpg

认证服务器和时间型令牌使用同样的令牌种子密钥和时间,使用同样的安全算法各自计算动态口令,如果相同则为认证成功。

挑战应答式动态密码

1.jpg

认证服务器和挑战应答式令牌使用同样的令牌种子密钥、时间和挑战码,使用同样的安全算法各自计算动态口令,如果相同则为认证成功。

产品特点

◆ 无接触:密码的产生过程完全与网络隔绝,有效杜绝了令牌密码算法、算法因子被复制、破解,从根本上保障了动态密码令牌的安全性。

◆ 保密性:用户的密钥安全存储,不需要在信道上传输,最大限度地防止用户身份的泄露。

◆ 抗抵赖性:只有持有动态密码令牌的使用者能生成动态密码,认证方和任何第三方不能生成该用户的动态密码。

◆ 抗重放性:一个动态密码只能使用一次,一旦使用立即作废。

◆ 抗暴露性:动态密码有使用作废和超时作废的特性,即使密码泄露,不会出现安全隐患。

◆ 方便性:密码不需记忆。

产品参数

◆ 时间型动态令牌

1.jpg

时间型动态密码,内置加密芯片可使用国密授权算法、OATH标准算法,采用128位密钥。LCD大字体显示密码,小巧便携。用户可定制外观颜色和Logo标贴。60秒密码更新间隔,可提供3年使用期限。

◆ 挑战应答式动态令牌

1.jpg

挑战应答式动态令牌支持令牌开机密码,非主人不能开启令牌。内置加密芯片可使用国密授权算法、OATH标准算法,采用128位密钥。可一键切换时间型模式或挑战应答式模式。LCD大字体显示密码,超薄小巧。

产品参数

◆ OTP认证服务器

1.jpg

立思辰动态令牌认证系统是一种采用时间同步技术的认证系统。动态令牌认证系统采用安全的双因素用户身份认证替代基本的密码安全机制,帮助消除因密码欺诈而导致的损失,防止恶意入侵者或人为破坏,解决由密码泄密导致的入侵问题。动态令牌认证系统采用国家密码管理局授权安全算法,同时还支持OATH组织的OCRA、TOTP算法。动态令牌认证系统采用动态时间窗口技术解决了同类产品普遍存在的令牌与服务器时间误差问题;采用节能降耗设计,解决了同类产品应用高强度算法存在的高功耗影响使用寿命问题。

典型应用

安全接入网关是一次性密码搭配的最佳范例,主要是通过接入网关连至公司的内网。为了确保用户的密码不会被截取,因此采用一次性密码来搭配接入网关,达到安全认证登录要求。

1.jpg

服务器密码机

产品概述

服务器密码机是立思辰自主研制,可以提供多种国产密码算法(SM1、SM2、SM3、SM4),并能够保证密钥和密码算法安全性,具有很高的安全性和实用价值。符合GM/T 0018-2012,《密码设备应用接口规范》,可以安全、灵活、方便的集成到各类安全应用系统中。

服务器密码机针对安全性高,高速、高性能的应用环境而研制开发,功能完善、算法性能高、并发工作量大。作为高端商用基础密码产品,即为信息安全传输系统提供高性能的数据加解密服务,又可以作为主机数据安全存储系统、身份认证系统以及对称、非对称密钥管理系统的主要密码设备和核心构件,具有广泛的系统应用潜力。可广泛的应用与银行、保险、证券、交通、邮政、电子商务、移动通信等行业的安全业务应用系统。

功能特点

◆ 支持国产密码算法和通用密码算法的并行应用

对称算法,支持国产SM1/SM4/ZUC算法;

摘要算法,支持国产SM3和通用MD5/SHA1/SHA256/SHA384/SHA512等算法;

非对称算法,支持国产SM2和通用RSA(1024-2048)算法;

◆ 高可靠的随机数生成技术

使用4片WNG8芯片并行生成随机数,异或逻辑后输出使用。在部分随机数芯片出现问题时仍然可以保证随机数的生成质量。

◆ 保证算法和密钥的高安全性

采用国家密码管理局批准的硬件芯片实现各类密码算法,保证算法的高安全性;

◆ 支持安全的密钥管理体系

· 采用多级密钥管理体系,逐层保护;

· 密钥产生,密码机支持产生高质量的随机密钥;

· 密钥存储,密码机支持安全存储对称密钥、RSA密钥和SM2密钥,任何时候密钥不以明文形式出现在密码机外;

· 密钥的安全使用,密钥由其属性决定使用的许可范围和算法;

· 密钥备份恢复,密码机支持内部密钥的安全备份和恢复,可用于实现互备或负载的多台设备间的密钥同步;

◆ 支持设备管理和应用的安全控制机制

· 授权控制机制,密码机支持多种授权机制可选和分时分类的授权控制功能;

· 开机卡机制,一机一卡,设备初始化时制作;

· IP地址访问控制机制,可灵活配置开启或关闭,开启后则仅限可行客户端允许访问;

· IC卡管理机制,采用智能IC卡辅助完成设备管理中的身份认证或机密数据的安全存储;

· 日志审计机制,密码机支持日志级别可配置,支持日志外发功能;

◆ 提供人性化的设备管理方式

服务器密码机提供图形化的设备管理客户端软件,可运行于windows系统下。管理终端与密码机间可通过串口或网口进行连接。

通过该软件,可简单方便的完成对密码机的设备配置、密钥管理、授权管理、设备诊断等操作;

◆ 高效高可靠性

服务器密码机,采用多芯片并行运算的处理技术,为应用提供高性能高稳定的密码运算服务;

支持多机密钥同步,互为备份,提高系统应用的可靠性;

产品参数

类别

项目

密码机

通用项目

接口

SDF接口

最大连接数

512

密码算法

对称算法

SM1/SM4/ZUC

非对称算法

SM2RSA(1024-4096)

摘要算法

SM3MD5/SHA1/SHA256/SHA384

密钥存储

RSA

64

SM2

64

对称密钥

2048

密钥生成速度

RSA1024

20/

RSA2048

1.7/

SM2

7000/

随机数

7Mbps(采用4WNG8芯片并行产生)

密码运算速度

SM1加解密

102 Mbps

SM2签名

6000/

SM2验签名

3500/

SM2加密

2700/

SM2解密

3600/

SM3摘要运算

300 Mbps

SM4加解密

280 Mbps

RSA1024签名

4000/

RSA1024验签名

15000/

RSA2048签名

750/

RSA2048验签名

8000/

可靠性指标

平均无故障时间MTBF

30000小时

物理参数

网络

10/100/1000M

尺寸(**)

425x480x87 mm*mm*mm

重量

19KG

颜色

亚黑色

外壳结构

高强度金属机箱

电器特性

工作电压

220V±20

工作电流

0.8A

频率

50±3Hz

功耗

176W

环境参数

工作环境温度

0℃~60

工作环境相对湿度

5%~90%非凝结

存储环境温度

-20℃~60

存储环境相对湿度

5%~90

通信协议

服务器密码机在PKI/CA系统中的应用

1.jpg

PKI/CA系统可以有效地解决互联网上交易与信息传输中的机密性、真实性、完整性、不可否认性和存取控制等安全问题,在充分利用互联网实现资源共享的前提下,真正意义上确保交易的顺利进行。通过采用高性能的服务器密码机,保证了密码的强度和算法,以及高效地保护了根密钥安全,从而保证了整个PKI/CA系统的高度安全性。


苹果移动加密机

产品概述

江南信安苹果移动加密机是集智能卡、USB通讯、iAP以及PKI技术于一体的新一代苹果移动加密机产品。

移动加密机支持Apple Dock/Lightning接口,能够为苹果全系列平台提供基于PKI技术的身份认证、数字签名/认证、数据加密/解密和证书存储等功能。

移动加密机作为数字证书的硬件载体,可为在PKI体系下活动的合法成员提供安全的加密服务、身份认证等功能,是现代信息系统中很好的客户端信息安全产品,为建立系统的安全平台提供了快捷、安全的客户端解决方案。

1.jpg

硬件接口

◆ Apple Dock/Lightning

◆ Micro USB

产品参数

◆ 8位国产高性能智能卡芯片

◆ 64KB用户存储空间

◆ 128KB应用程序空间可选

◆ 支持DES/3DES/AES分组算法

◆ 支持国产SM1/2/3/4算法

◆ 支持RSA1024/RSA2048公钥算法

◆ 硬件生成密钥对,实现数字签名,私钥永远不可导出KEY

◆ 产品硬件唯一序列号及产品编号

通信协议

◆ USB Mass Storage

◆ USB CCID

◆ USB HID

◆ Apple iAP

软件特征

◆ PC平台提供标准安全中间件以及API接口

◆ 苹果平台提供定制API接口

◆ 证书与标准:X.509 V3证书存储

◆ PC平台支持同时对多个设备并发访问

◆ 支持多线程访问

◆ 支持多应用

电气特性

◆ USB总线供电/Apple 30Pin总线供电

◆ 功耗:<140mW

◆ 待机电流:<5mA

◆ 工作温度:0°C ~ +70°C

◆ 存储温度:-20°C ~ +85°C

◆ 存储器重写次数:≥100,000次

◆ 数据保存期限:≥10年

◆ 湿度:0 ~ 100%不结露

产品外形

◆ 轻便小巧的外形设计

◆ 颜色可选

1.jpg

应用领域

◆ 移动支付

◆ 电子政务

◆ 电子商务

◆ 网上银行

◆ 手机银行

◆ 版权保护

◆ 安全电子邮件

典型客户

◆ 中国石油天然气集团

◆ 中国国家开发银行

◆ 中国大唐集团公司

◆ 中国北方工业公司

◆ 保险监督管理委员会

◆ 中航油集团公司

◆ 中航国际

◆ 山东电建


数字证书认证系统

产品概述

数字证书认证系统(简称CA系统)是对生命周期内的数字证书进行申请、审核、签发、注销、更新、查询的综合管理系统。数字证书认证系统支持通过挂接密钥管理中心(KM)来管理用户加密密钥,提高了用户加密密钥的安全性和可恢复性;通过支持证书模板,提高了签发各类型证书的灵活性。此外 数字证书认证系统还支持在线证书状态查询,支持硬件加密设备和多种数据库平台。

数字证书认证系统由以下几个核心组件组成:

✔ 认证中心(CA Server)

✔ 注册中心(RA Server)

✔ 密钥管理中心(KM Server)

✔ 在线证书状态查询服务(OCSP Server)

产品架构

图片1.jpg

数字证书认证系统遵循模块化设计原则, CA Server是整个产品的中心,同时和RA、KM建立连接。

认证中心(CA Server)

数字证书认证系统的核心,负责签发并管理证书和证书注销列表。

注册中心(RA Server)

接收并审核用户的申请信息,审核完毕后提交CA Server,接收CA Server的返回信息并通知用户。

同时RA Server可以对外部应用提供面向服务的访问接口,支持标准的SOAP请求,允许用户根据自己的需求开发定制RA Server,实现证书、用户管理服务。

密钥管理中心(KM Server)

负责密钥的生成、存储、归档、备份和恢复等管理功能,为CA Server提供签发数字证书所需密钥。

在线证书状态查询服务(OCSP Server)

数字证书认证系统向外提供在线证书状态查询服务,用户可以实时查询指定证书的状态信息。

产品特点

1. 双证书支持

CA系统签发的证书根据证书功能的不同分为以下两种类型:

(1) 加密证书:专门用来进行数字加密功能的数字证书。

(2) 签名证书:专门用来进行数字签名功能的数字证书。

根据使用对象的不同,证书的种类分为以下3种类型:

(1) 人员证书:专门为个人用户提供的数字证书,以帮助个人用户在网络上表明身份、进行安全事务处理和安全交易操作。

(2) 企业证书:签发给企业的证书,用来向机构中的工作人员或者其它机构表明身份。

(3) 设备证书:即服务器证书,是签发给服务器或硬件设备的证书,用来向使用此设备的用户表明身份。

2. 双密钥支持

CA系统支持双密钥―签名密钥和加密密钥,可以满足加密/解密、签名/验证对密钥的生命周期和备份的不同需求,更符合证书应用的发展需求。

根据《证书认证系统密码及其相关安全技术规范》,用户的签名密钥必须由用户产生,并且不能备份;加密密钥必须由密钥管理系统产生,并在密钥管理系统备份。

3. 证书版本支持

所有证书均为X.509 v3格式标准证书,既增加了通用性又保障了安全。

4. 证书完整生命周期管理

提供完整的证书生命周期的管理,用户首先向RA证书注册系统发出证书请求,使用同步过来的模版和设置的DN规则进行证书的申请;继而由RA的超级管理员对证书的请求信息进行审核;审核通过后CA签发系统进行证书的签发、发布;可根据需要对暂时不使用的证书或无法继续使用的证书进行归档和注销等操作;证书由安全通道发放到客户端后还可进行在线证书查询等。

5. 灵活的密钥管理

系统提供了备份与恢复加密密钥的机制,可以防止用户因忘记了私钥访问口令、私钥的丢失或破坏等原因,而造成的无法解密数据的情况。

CA系统可以向KM系统发送请求信息,由KM系统进行密钥的生成、备份和恢复。KM系统以安全的方式保存用户的密钥,并严格响应用户的密钥恢复请求。

6. 证书注销支持

系统提供注销证书的一系列机制,证书签发系统提供证书注销列表服务,注销的证书能够及时列入证书注销列表,并列出被注销的证书序列号和注销原因。系统提供注销证书管理的一系列机制,包括证书注销的发布、更新周期。证书签发系统还支持证书注销列表CRL方式对证书状态的查询。

7. CSP支持

CryptoAPI是为应用程序开发者提供在Win32环境下使用加密、签名验证等安全服务时的标准加密接口。CryptoAPI之上是应用程序,之下调用CSP(Cryptographic Service Provider),CSP是真正执行加密功能的模块,能够支持国内多种厂家的密码设备。

8. 国际标准支持

系统完全支持国际标准,如X.509、LDAP、PKCS#11等。

9. 硬件支持

系统提供对硬件设备的充分支持,在各模块的密码运算方面都可以通过PKCS#11、BSAFE、CDSA等国际通用标准接口来调用硬件设备。

10. 证书模板同步

◆ 支持每个用户申请多个不同模板证书。

◆ 证书标准扩展项可以自由定义。

◆ 证书私有扩展项可以自由定义,由CA定义模板时定义其私有扩展项。

◆ 支持CA向RA的模版同步功能。

11. 证书有效期定义支持

CA系统支持定义加密证书和签名证书的有效期,证书有效期可根据实际需求,灵活设置,同时系统可自动检查所设置时间是否符合标准。

12. 安全通信协议

在 CA系统中,CA证书签发系统与RA注册管理系统间、CA证书签发系统与KM密钥管理系统间的通信安全采用安全信道。系统采用SSL(Secure Sockets Layer 安全套接层)安全协议对客户端和服务器间建立安全通道,采用SSL握手协议在证书及密钥传输前进行通讯双方的身份认证、交换密钥等。证书及密钥的传输在安全通道中进行保证了证书和密钥的安全性。


网页防篡改系统

产品概述

立思辰网页防篡改系统是立思辰公司专门针对网站篡改攻击精心研发的一款防护产品,系统主要功能是通过文件底层驱动技术对Web站点目录提供全方位的保护,防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。防篡改系统保护网站安全运行,维护政府和企业形象,保障互联网业务的正常运营,彻底解决了网站被非法修改的问题,是高效、安全、易用的新一代的网页防篡改系统。

立思辰网页防篡改系统采用目前最先进的系统驱动级文件保护技术(第三代防篡改技术),基于事件触发式监测机制。相比轮询检测、内嵌技术等传统类防护技术,第三代防篡改技术具有响应速度快、判断准确、资源占用少及部署灵活等特点。而且系统集成度较高,不依赖于原有WEB系统架构、部署也不影响网站整体结构。经过广大用户实践证明,立思辰网页防篡改系统已经成为信息化建设中网站安全建设不可或缺的解决方案。

图片1.jpg

图 1- 1 防篡改技术发展路线图

立思辰网页防篡改系统适用领域:政府门户、电子商务、金融证券、企业门户、教育高校等各行各业网站。

产品功能

● 第三代内核驱动防篡改技术

  ✔ 基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;

  ✔ 内核级事件触发技术,大大减少系统额外开支;

  ✔ 完全防护技术,支持大规模连续篡改攻击防护;

  ✔ 系统后台自动运行,支持断线状态下阻止篡改;

  ✔ 内核出站校验技术完全杜绝被篡改内容被外界浏览;

  ✔ 支持单独文件、文件夹及多级文件夹目录内容篡改保护;

● Web站点安全运行保障

  ✔ 保护Web服务器的相关重要配置文件不被篡改;

  ✔ 服务器系统服务运行状态监控,可提供服务异常响应,终止、重启等联动操作;

  ✔ 服务器进程黑白名单许可控制,防止挂马攻击或后门程序运行;

  ✔ 系统内嵌防篡改模块,支持linux,windows,FreeBSD等主流操作系统;

  ✔ 采用基于文件过滤驱动保护技术、事件触发机制相结合方式;

● 部署结构灵活

  ✔ 支持多站点,统一集中管理功能;

  ✔ 支持大规模虚拟机、双机热备网站系统部署架构;

  ✔ 支持服务器冗余及负载均衡分布部署,支持web服务端、发布端一对多等各类灵活网站架构;

● 安全可靠增量发布

  ✔ 支持网页文件自动上传功能和增量发布,无需人工干涉;

  ✔ 支持异地文件快速同步功能和断点续传功能,极大的增加网站可维护性;

  ✔ 支持网页自动同步新增、修改、删除、下载等功能;

● 日志事件报警

  ✔ 自动检测文件攻击记录,并实时记入日志,支持导出excel报表;

  ✔ 支持服务运行状态记录,并实时记入日志,支持导出excel报表;

  ✔ 支持多种告警方式,日志告警、邮件告警或定制其他告警方式;

  ✔ 自身操作审计日志记录,详细记录操作管理员的操作管理行为;

● 操作管理安全、方便

  ✔ 支持多用户分权管理功能,方便操作;

  ✔ 系统C/S结构,确保高可靠性;

  ✔ 支持多个策略管理,策略设置支持即时生效,无需重启;

  ✔ 数据传输采用加密传输,安全可靠;

  ✔ 支持网页格式类型分类,便于分类管理;

系统全中文界面,操作、配置方便,网络管理人员仅需十分钟即可熟练完成系统初始配置,大大提高工作效率;

产品特点

● 基于内核驱动保护技术

内核事件触发保护机制,确保系统资源不被浪费,不同于其他防篡改软件的Web事件触发机制,防篡改系统的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术,与操作系统紧密结合的。即使服务器遭受黑客攻击取得操作管理员权限也无法对被保护内容实施保护,这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多,断线篡改后无法恢复等一系列风险。

● 动态网页脚本保护

采用文件驱动级技术的系统,可以直接从Web 服务器上得到动态网页脚本,不受变化的内容影响,因而能够像静态网页一样保护动态网页脚本。

● 连续篡改攻击保护

对于大规模连续的篡改,防篡改系统防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为,提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用,极大的降低了应用程序的处理负担,有效的提高了应有工作效率。

● 全方位兼容的安全自动增量发布

防篡改系统集成了页面自动发布功能。该服务器采用先进的算法将可信备份路径下的网页内容快速发布到相应文件夹,减少人工干预,并且支持传统的FTP、网络共享等,本系统支持高速上传功能,同样也支持网页备份到指定文件夹的功能,方便维护人员对网站进行日常维护。

防篡改系统可以无缝的和所有内容管理系统相结合并且不需要做任何修改,大大方便与用户管理和部署。

● 服务器安全运行可靠性管理

防篡改系统可以监控服务器当前的运行状态,监视其cpu、内存、网络流量等性能。通过设置的阀值及时向用户提供报警信息,使用户能够及时响应意外事件,并通过设置进程的黑白名单来保障服务器被植入后门木马等程序。提供管理人员远程维护管理等功能。

● 部署实施操作简单

具备基本windows操作系统使用人员,仅需要10分钟时间,即可按照使用说明书部署完整套网页防篡改保护系统,部署完毕后,进行简单配置即可运行;若在系统组建之间有防火墙或其他访问控制设备,建议与网管人员配合在防火墙上配置相应规则,实现安全通信,可以自由设定相应的端口,避免在Web服务器上开启其他端口。

● 安全传输

合法网页的安全传输是系统安全的一个重要环节,防篡改系统使用了高安全强度的工业标准的128位加密技术,保证了信息传输过程中完整性和私密性,且用户登录认证且采用加密传输,防止传输过程中用户信息泄露。

● 支持多虚拟目录

防篡改系统能够自动、实时监控多个子文件夹内容,各子文件夹包含多个网站可同时进行监测,网页文件支持数以万计,且对系统性能没有任何影响。

● 支持日志导出查询

系统支持对网站维护工作的查询与审计功能。为了便于用户及时了解管理员及操作员所做的日常维护工作。防篡改系统除了对篡改记录进行记录外,还记录了操作日志,方便用户导出查询和统计。


一体化漏洞评估系统

产品概述

立思辰一体化漏洞评估系统(以下简称JNScan)是立思辰自主研发的基于最新OS操作系统的综合漏洞发现与评估系统。该系统是立思辰对系统漏洞、服务后门、网页挂马、SQL注入漏洞以及跨站脚本等攻击手段多年的研究积累,总结出了智能主机服务发现、智能化爬虫和SQL注入状态检测等技术,通过智能遍历规则库和多种扫描选项的组合手段,深入检测出系统和网站中存在的漏洞和弱点,最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助管理员修补漏洞,全面提升整体安全性。

JNScan以综合的漏洞规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)为基础,采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及无线弱点发现等方式相结合的技术,实现了业界首款将Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线安全检查与无线安全扫描于一体的综合漏洞评估系统。


图片1.jpg

产品特点

图片1.jpg

主要参数

● 系统漏洞检测

  全方位的网络对象支持

  全面的系统漏洞知识库储备

● Web漏洞检测

  网站安全漏洞全面检测

  网站代码本地安全检查

  积累丰富的网马特征库

  高效的网页爬虫技术

  基于状态的SQL注入扫描技术

  基于状态比较的注入验证技术

  基于模糊匹配的管理入口检测技术

● 数据库漏洞检测

  本产品采用先进的数据库发现技术和实例发现技术等,可以针对当下主流的数据库,如Oracle、MySQL、DB2、PostgreSQL、sybase、SQL Server等进行漏洞检测,包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估,并给出提高数据库安全性的修复建议。

● 基线安全核查

  针对安全基线规范基准,以及对传统漏洞扫描产品的强力补充,又推出了专业检查功能,它使安全检查过程达到自动化、标准化、持续化、可视化。可以有效提高检查结果的准确性和合规性,用以在设备的上线安全检查、第三方入网安全检查、合规安全检查、日常安全检查和安全服务任务工作中,协助查找设备在安全配置中存在的差距,并与安全整改与安全建设相结合,提升各类业务系统的安全防护能力和达到整体合规要求。

● 无线安全检查

  本产品采用增强的热点发现和分析技术,可以对无线连接的安全性进行检查评估,包括热点可靠性、密钥完整性及口令安全性等,找出无线中存在的安全隐患并提供有效的加固方案。

● 覆盖面广的漏洞库

  本产品包含CNNVD认证的系统漏洞库20多类,10000多种;Web漏洞库共覆盖OWASP定义的10大类超过10000多种漏洞规则;其他漏洞库10000多种;总共30000多种,覆盖了当前网络环境中重要的,主流的系统和数据库等漏洞,并且能够根据网络环境的变化及时调整更新,确保漏洞识别的全面性和时效性。

● 可自定义的规则库

  本产品中,用户除了可以使用软件默认提供的检测库外,也可以添加自定义的规则库,我们提供了规则库的转换和合并等功能。


网站监测预警平台

产品概述

网站监控预警平台是江南信安专门针对网站频发的安全事件精心研发的一款监控预警产品。该产品主要从四个方面进行全方位不间断监控。主要以各种技术手段对网站的可用性、完整性、安全性进行安全监控。它的设计思路是帮助客户主动发现问题、及时处理和响应问题、并便于对大规模网站监控、从而减低客户人工成本等方面。

网站监控预警平台简称JNSaaS,能够主动监控网站安全问题,监测网站脆弱性。并提供专业的修补意见,降低安全风险,防范于未然。并且提供网站监控平台7*24小时不间断监控,保持监控的持续性。突发攻击事件发生时,及时进项响应与处理,构建完善的网站安全体系。对于大范围的网站利用自动化的技术手段进行监控,减低人工成本。通过统一的指标进行全方位监控,为统一监管提供技术依据和关键指标。

主要参数

符合国家最新政策文件要求

满足统一的安全监管需求

基于SaaS的云监控模型

丰富全面的预警监控服务


银企通专用密码机

产品概述

银企互联是指通过互联网或专线连接的方式,使企业的内部系统(财务系统/ERP/结算中心/电子商务等)与银行业务系统实现对接。企业无需专门登录银行系统,就可以利用自身系统自主享受到银行提供的各种业务和服务。

企业系统通过HTTPS协议与工行系统进行连接并向银企互联前置发送数据,数据的接口格式使用标准的xml数据格式

应用安全交互密码机是专门为银企互联项目研发的一款服务器密码机,性能优越,界面友好,操作方面。专门为安全性、稳定性以及性能要求较高的金融业务应用系统其提供快速、高效的密码运算服务。通过使用数字证书,实现了数据传输过程中的加密和解密,数字签名和验证签名,保证了数据输出的安全性,使用完善的日志审计对所有操作进行记录。


1.jpg

部署模式

图片1.jpg

图片1.jpg

主要参数

● 国家开发银行

● 中国工商银行

● 中国人保财险

● 中石化

● 中国人寿

● 中国平安

● 新疆移动

● 上汽财务

● 阳光保险集团

● 海南航空

● 中维地产

● 通联支付