BJCA 数字签名验证服务器白皮书201103
数字签名验证服务器
产品白皮书
二〇一一年三月
数字证书认证中心
市海淀区北四环西路68号双桥大厦15层
TEL:86-10-58045600 FAX:86-10-58045678
邮政编码:100080
声明
一、本白皮书是数字签名验证服务器(简称DSVS)的技术说明书。本资料归数字证书
认证中心所有。白皮书中的任何部分未经本公司许可,不得转印、影印或复印。
? 2010 数字证书认证中心
All rights reserved.
二、本资料将定期更新,如欲获取最新相关信息,请访问数字证书认证中
心 https://www.360docs.net/doc/8b14524289.html, 。
三、您的宝贵意见和建议请发送至:
数字证书认证中心
市海淀区北四环西路68号双桥大厦15层(左岸工社)
(TEL):0
传真(FAX):8
邮政编码:100080
电子信箱:https://www.360docs.net/doc/8b14524289.html,
目录
1产品概述 (1)
2产品架构 (1)
3产品功能 (2)
4产品部署与集成 (2)
5产品规格 (4)
6产品优势 (4)
7产品资质 (5)
8应用领域 (5)
1 产品概述
数字签名验证服务器(以下简称DSVS)是由数证书认证中心自主研发,为应用系统提供数字签名及验证服务的一款多安全功能、高稳定性、高性能,并且具备跨平台、可扩展和快速部署能力的软硬件集成化安全设备。该产品可以广泛应用于网上审批、网上办公、网上银行、网上证券和网上支付等电子政务和电子商务活动中,为业务系统提供安全保护。
2 产品架构
数字签名验证服务器主要包括签名验证核心服务模块和安全管理模块。签名验证核心服务通过应用端部署的API,接收应用端发送的签名服务请求,并返回签名或验证服务结果。安全管理以B/S方式提供,管理员可以通过WEB浏览器直接对各种证书服务和系统进行集中管理和配置。
图1 产品架构图
3 产品功能
数字签名验证服务器可以为应用服务器提供数据签名、签名验证、证书验证等多种安全功能,具体功能如下:
4 产品部署与集成
DSVS部署在业务系统服务端安全域中,配置相互独立的核心服务网络接口和WEB管理服务网络接口,分别用于签名验证服务和后台管理服务,可以有效避免外界攻击。下图为典型的产品部署网络拓扑图,DSVS可以同时为多个WEB应用系统提供服务,如果采用双机并行方式,签名效率可以提升将近一倍。
图2典型部署
区别于传统的证书应用中间件,数字签名验证服务器将安全组件、密码运算库统一封装在硬件平台,大幅降低了集成工作的复杂性,使产品具备了快速部署应用的能力。
DSVS实现安全应用集成主要工作如下:
(1) BJCA提供产品和集成所需要的演示环境Demo、接口说明、测试证书等;
(2)根据业务需求,应用系统开发商对相应页面进行改造,调用对应的安全组件接口,实现签名验签等功能。所涉及的改造工作主要体现在系统登录、数据加密和数据签名等常见应用环节上。BJCA为应用系统开发人员提供技术支持,协助完成系统的安全整合。
(3)应用集成完成后,需要进行应用系统测试,确保系统集成数字签名验证应用功能的可用性和有效性。
吉大正元数字签名服务器安装部署手册COM版VCTKS接口
数字签名服务器v2.1.1 安装部署手册 (VSTK接口COM版) V2.1.1 长春吉大正元信息技术股份有限公司 JilinUniversityInformationTechnologiesCo.,Ltd. 目录 2程序部署............................................................................................................................... 6.2替换旧版VCTK.............................................................................................................
引言 概述 该接口是以COM组件的形式提供签名服务。主要完成以下功能接口: ?签名、验签 ?加密、解密 ?打信封、解信封 开发平台及编程语言 ?开发平台 Windows7+sp1 ?编程语言 C++ ?开发工具 VC++2010+sp1 名词解释 ●DigitalCertificate(数字证书) DigitalCertificate,是由国家认可的,具有权威性、可信性、公正性的第三 方证书认证机构进行数字签名的一个可信的数字化文件。数字证书包含公 开密钥拥有者信息以及公开密钥的文件。 ●IssuerDN 数字证书颁发者的DN ●Version 数字证书的版本号 ●SN 数字证书的序列号 ●Subjectdn 数字证书主题 ●Digestalg 摘要算法 ●数字签名 被签发数据的哈希值经过私钥加密后的结果。通过把使用公钥对数字签名解 密得到的值与原始数据的哈希值相对照,就能验证数字签名。 ●带签名的数字信封 带数字签名的加密数据 ●不带签名的数字信封 没有数字签名的加密数据 程序部署 Windows环境部署 安装 安装有2种方式:安装包和网页。 ●安装包方式 执行JITComVCTK_S.exe进行安装 安装完成后,64位系统会把文件安装到C:\ProgramFiles(x86)\JIT\Client目录下, 32位系统会把文件安装到C:\ProgramFiles\JIT\Client目录下。 ●网页方式(针对IE) 把JITComVCTK_S.cab文件放到访问网页的目录下
关于电子签名和认证的法律问题研究-谢波
关于电子签名和认证的法律问题研究/谢波 关于电子签名和认证的法律问题研究 谢波 摘要:在传统交易活动中,“签字盖章”是许多法律的基本要求。但随着络技术的日新月异,电子签名和认证已经十分普遍。电子签名和认证作为电子商务的重要组成部分,其中的法律问题阻碍了电子交易的进行,也制约了电子商务的发展。本文将对电子签名和认证中的法律问题进行深入的探讨和论述。 关键词:电子签名,认证,电子商务,电子合同,法律问题 在传统交易中,人们常常通过亲笔签名的方式来确保合同当事人身份的真实有效和意思表示的一致。同时,亲笔签名也是许多法律的要求。例如,我国《合同法》第32条规定:“当事人采用合同书形式订立合同的,自双方当事人签字或者盖章时合同成立。”我国《票据法》第4条规定:“票据出票人制作票据,应当按照法定条件在票据上签章,并按照所记载的事项承担票据责任。持票人行使票据权利,应当按照法定程序在票据上签章,并出示票据。”然而,在电子商务环境下,由于合同当事人可能相隔千里,甚至在整个交易过程中并不谋面,这就使传统的亲笔签名方式就很难运用于电子交易。但是,传统的亲笔签名方式所具有的功能,特别是它所具有的证明合同的真实性和完整性的功能,对一直为络安全问题所困扰的电子商务仍然具有重要的价值。所以,签名的要求在电子商务环境下不仅不应被放弃,反而应该得到强化和更有力的保障。当然,这里所说的签名已经不再是传统的亲笔签名,而是电子签名(Electronic Signature)。 新加坡1998年颁布的《电子交易法》(Singapore Electronic Transactions Act 1998,SETA)对电子签名和数字签名作了相关规定。它将电子签名定义为:“以数字形式所附或在逻辑上与电子记录有的任何字母,文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录”;将数字签名(Digital Signature)定义为:“通过使用非对称加密系统和哈希函数(Hushing Function)来变换电子记录的一种电子签名”。可见,数字签名是电子签名的一种。根据联合国国际贸易法委员会电子商务工作组1999年颁布的《电子签名统一规则(草案)》(Draft Uniform Rule On Electronic Signature)第1条的规定:“‘电子签名’,是指以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有的数据,并且它(可以)用于辨别数据签署人的身份,并表明签署人对数据
(整理)ESVS签名验签服务器技术白皮书V11.
ESVS签名验签服务器技术白皮书 Version 1.1
中讯亚太科技有限公司
目录 1 前言 (1) 2 产品概述 (2) 2.1 产品简介 (2) 2.2 组成框图 (2) 3 产品部署 (3) 4 产品功能 (4) 4.1 配置与管理 (4) 4.1.1 用户管理 (4) 4.1.2 配置管理 (5) 4.1.3 服务管理 (7) 4.1.4 日志管理 (7) 4.2 对外服务 (8) 4.2.1 签名验签 (8) 4.2.2 制作/拆解数字信封 (8) 4.2.3 证书校验 (8) 4.2.4 证书解析 (8) 4.2.5 安全通信 (8) 5 产品特点 (9) 6 产品型号及技术指标 (9)
1 前言 随着社会信息化的发展,大量传统业务逐渐过渡到以计算机、互联网为代表的“电子化”时代,为确保这些经过“电子化”后的商业或政务活动的有效性,电子签名应运而生。在“电子化”的业务活动中,各参与方通过对应用系统中关键业务信息进行签名,来确保这些业务活动或业务信息的完整性和不可抵赖性。PKI 技术是实现电子签名的主要手段,随着电子签名需求的增多以及PKI技术的深入发展,将分散在各应用系统中实现电子签名的模块独立出来形成公用的电子签名服务平台,逐渐成为各级管理人员、开发人员的共识,签名验签系统就是这样一个针对业务数据进行签名验签的独立的服务平台。使用签名验签系统不但可以有效地保障业务数据的完整性和不可抵赖性,同时还能大大降低应用系统中实现电子签名的复杂度,因此签名验签系统可以被广泛应用在电子政务、电子商务、电子金融等各个行业中。
2 产品概述 2.1 产品简介 ESVS签名验签服务器是一款支持多种算法的商用密码应用设备,该设备主要应用在采用PKI安全体系的电子商务、电子政务系统和企业信息化中,为各类系统提供数据签名和验签、基于数字证书的身份认证、基于数字证书的加密和解密等安全保护。 2.2 组成框图 签名验签服务器及应用系统组成框图如下: 各部分详细描述如下: 一、ESVS服务器(签名验签服务器) ESVS服务器为一台为不同的应用系统同时提供签名验签服务的硬件服务器设备。它提供Web管理界面实现对自身的管理和审计。ESVS服务器通过请求OCSP服务器实时验证证书状态,或者自动下载CRL文件进行证书状态验证。ESVS服务器可以与TSA服务器结合实现带时间戳的数字签名。 从服务功能上划分,ESVS服务器可分为四个大模块: 1) 配置与管理模块 由ESVS管理员使用,配置ESVS服务器参数和数据同步,并对相关帐
服务器安全管理制度
服务器安全管理制度 1. 执行服务器管理制度目的 为安全有效地管理机房及服务器,促进网络系统安全的应用.高效运行,特制定本规章制度,请遵照执行。 2. 服务器管理 2.1 服务器监控 2.1.1 服务器日志监控 每天检查服务器系统日志,安全日志进行检查对错误、异常、警告等日志进行分析判断 并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 2.1.2 服务器面板信息监控 每天检查负责机房内所有服务器、存储、UPS及其他机房设备面板信息,对异常的指示信息及时作出分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 2.1.3 服务器操作系统信息监控 每天检查所有服务器系统信息,包括磁盘空间使用率、系统资源使用率、杀毒软件、服务器进程、必须启动的服务、用户访问记录、服务器时间。若有异常进行分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。2.1.4 服务器数据库信息监控 每天检查服务器所有数据库运行状态。包括数据库定时代理运行、数据库备份计划、数据库日志及归档、数据库表空间使用率。若有异常进行分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 若监控数据库时发现数据库文件或日志增长过快等情况及时与负责系统的程序员检查是否为程序异常导致。 2.1.5 服务器数据备份监控 每天检查服务器数据备份情况,定期维护备份空间,若有异常及时处理。 2.2 服务器日常维护及故障处理 2.2.1 服务器定期维护 根据《服务器管理方案表》定期对服务器进行维护,维护内容如下: 2.2.1.1 在停止所有用户会话的情况下进行重启服务器释放资源使用。 2.2.1.2 检查数据库使用状态、裸设备,清理僵死进程、临时表空间等。 2.2.1.3 清理过期的数据库归档日志释放数据库归档日志空间,并收缩数据库。 2.2.1.4 根据数据库每天监控得到的数据适当调整表空间大小、临时表空间大小、内存使用调整、归档日 志库大小等。 2.2.1.5 清除数据库中无效的索引、存储过程、定时代理等。 2.2.1.6 每月备份一次服务器及数据库系统文件、并清理一次系统及安全日志(先备份再清除)。 2.2.1.7 每月对服务器进行一次硬件检测维护,主要包括安全隐患、性能等方面、如机器温度、使用率等。 2.2.1.8 每周每台服务器杀毒软件至少升级一次、全盘杀毒一次。 2.2.1.9 服务器必须启动服务必须设置为自动启动,人为重启服务器后必须检查各项系统运行必须服务是 否启动正常。
10.工程量清单数据文件标准校验及数字签名工具校验规则说明
工程量清单数据文件标准校验及数字签名工具 校验规则说明 为配合《上海市建设工程工程量清单数据文件标准》实施工作,特开发“上海市建设工程工程量清单数据文件标准校验工具”(以下简称校验工具)提供给计价软件的企业、招标工程量清单编制单位、投标单位使用。 校验工具主要功能: 一、校验计价软件生成的招标清单文件、投标清单文件、最高投标限价清单文件是否满足《上海市建设工程工程量清单数据文件标准》中XSD标准。特别是对GUID唯一性校验(除材料暂估价-对应清单项子目序号)。 二、校验计价软件生成的招标清单文件、投标清单文件、最高投标限价清单文件的必要技术及业务规则: (一)招标文件校验 1、项目编码唯一性校验; 2、招标暂估价材料检验,检验招标清单文件中分部分项清单子目项(或单价措施项目清单子目)的“主要人材机明细”与其他项目下的“材料暂估价明细”是否一致。 (二)投标报价清单文件(最高投标限价清单文件)校验 1、相同标段投标报价清单(或最高投标限价清单)与招标清单 符合性校验。主要检验投标报价清单中是否存在投标人随意变更招标清单内容的情况,包括缺漏项,改变暂估价、暂列金额或者工程量等。
2、投标报价校验,主要检验投标报价中总价金额与依据单价计算出的结果是否一致。校验方法是从清单项综合单价开始逐级向上累计计算,分别检验文件中“分部分项合计”,“措施项目合计”,“措施项目中安全防护文明施工措施合计”,“其他项目合计”,“规费项目合计”,“税金项目合计”,“总合计”是否一致。计算精度为两位小数。 三、对通过校验的招标清单文件(ZBQD)、投标清单文件(TBQD)、最高投标限价清单文件(ZGXJQD)进行数字签名并进行压缩保存,文件压缩采用标准ZIP压缩。招标清单文件签名压缩后文件后缀名为ZBF4;投标清单文件签名压缩后文件后缀名为BS4;最高投标限价清单文件签名压缩后文件后缀名为XJ4。
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
如何使用acrobat reader的数字签名功能
Adobe Acrobat 5.0的数字签名功能 Acrobat 5.0是Adobe公司的电子交换文档 PDF的制作器。pdf文档在国外应用的非常广泛,经常用于网络上的文档交换,一些书籍的电子版文档就是用他制作的,例如宝典系列等等。 Acorbat的功能非常强大,今天我们主要讨论的是它的数字签名功能。Acrobat5现在支持数字签名。数字签名就像传统的手写签名,表示个人或实体已签署文档。数字签名可以是手写签名、标志或其它图形,或简单解释签名目的的文本等几种格式之一。根据签名处理程序,签名甚至可能是不可见的。单击签名工具就可以在文档中的指定位置进行数字签名。通过数字签名,可以验证你的文档是否被修改过。并且是否已经签署通过。当别人拿来被签名的文档的时候,只要对方把用户证书email来,就可以验证他们的数字签名了。 目录 一、Adobe Acrobat 5.0的安装 二、如何实现数字签名 (一)、制作签名档 (二)、转换待签文档 (三)、如何签名 (四)、验证签名有效性 三、文档的安全属性 一、Adobe Acrobat 5.0的安装 安装过程非常简单,您只需要请选中并运行安装目录下的 SETUP.EXE 程序,Acrobat就开始进行安装。安装时您会遇到如下窗口,请在窗口中填写个人相关信息,注意,?序号?可以在安装目录下名为?SN?的文本文件中找到,如图1-1;
图1-1 后面出现的窗口无需进一步设置,只要连续点击?下一步?或?是?之类的按钮即可完成安装。 返回 二、如何实现数字签名 初次运行Acrobat,将会弹出注册窗口,请选择?请不要再显示此对话框?后点击?继续?按钮,如下图; Acrobat安装完成后会自动在Microsoft Word、Microsoft Excel等应用窗口的左上角添加将指定文档或表格转换成PDF格式文件的控件,如下图;
签名服务器介绍
签名验签服务器iTrusSVS iTrusSVS介绍 天威诚信签名验签服务器iTrusSVS(Signature & Verification System)是提供数字签名服务并对数据签名结果进行真实性、有效性验证的系统。系统可对网上证券、网上保险、网上银行以及电子商务和电子政务活动中的关键敏感数据进行签名并验证,保证数据的真实性、完整性、合法性。 产品组成 ◇电子签名应用服务器软件系统iTrusESA(计算机软件著作权登记号:071877) ◇2U硬件服务器 ◇客户端接口软件 部署方式 产品功能 ◇数据签名功能:提供普通格式/P7 attach/P7 detach等多种格式的数字签名功能; ◇签名验证功能:提供普通格式/P7 attach/P7 detach等多种格式的数字签名验证功能; ◇文件签名功能:对文件提供数字签名功能; ◇文件签名验证功能:对文件提供数字签名验证功能; ◇证书有效性验证功能:提供黑名单/OCSP等多种方式的证书有效性验证; ◇动态黑名单功能:系统可以自动更新黑名单、动态更新、不需要重新启动服务;
◇多证书链功能:可同时配置多条证书链; ◇获取证书信息功能:提供证书解析功能,获取证书中任意主题信息以及扩展项信息; ◇系统备份恢复功能:系统可以备份当前所有配置,保证系统瘫痪时的快速恢复; ◇日志审计功能:系统记录完整的操作日志,提供日志审计功能; ◇开发接口:提供C、Java、com开发API; ◇支持负载均衡和双机热备; 产品优势 ◇高签名效率:签名≥10000次/秒,验签≥40000次/秒; ◇安全性:系统设置管理系统专用网络接口,关闭所有不需要的服务和端口,避免外界的攻击;◇易用性:系统所有管理操作均采用Web方式,操作简单方便; ◇多证书验证:支持黑名单验证方式以及OCSP验证方式; ◇多种开发接口支持:客户端提供C开发API,Java开发API,方便应用的调用; ◇法律符合性:结合天威诚信数字认证中心的电子认证服务,签名验签结果具有法律效力;
数据安全方案
数据安全方案 1、双机热备 2、磁带(库)、虚拟带库备份 3、数据双活 4、异地备份 5、两地三中心
一、双机热备方案 双机热备针对的是服务器的临时故障所做的一种备份技术,通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。 1.集群技术 在了解双机热备之前,我们先了解什么是集群技术。 集群(Cluster)技术是指一组相互独立的计算机,利用高速通信网络组成一个计算机系统,每个群集节点(即集群中的每台计算机)都是运行其自己进程的一个独立服务器。这些进程可以彼此通信,对网络客户机来说就像是形成了一个单一系统,协同起来向用户提供应用程序、系统资源和数据,并以单一系统的模式加以管理。一个客户端(Client)与集群相互作用时,集群像是一个独立的服务器。计算机集群技术的出发点是为了提供更高的可用性、可管理性、可伸缩性的计算机系统。一个集群包含多台拥有共享数据存储空间的服务器,各服务器通过内部局域网相互通信。当一个节点发生故障时,它所运行的应用程序将由其他节点自动接管。其中,只有两个节点的高可用集群又称为双机热备,即使用两台服务器互相备份。当一台服务器出现故障时,可由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续对外提供服务。可见,双机热备是集群技术中最简单的一种。 2.双机热备适用对象 一般邮件服务器(不间断提供应用类的都适用)是要长年累月工作的,且为了工作上需要,其邮件备份工作就绝对少不了。有些企业为了避免服务器故障产生数据丢失等现象,都会采用RAID技术和数据备份技术。但是数据备份只能解决系统出现问题后的恢复;而RAID技术,又只能解决硬盘的问
数字摘要技术与数字签名
数字摘要技术与数字签名 数字摘要技术 数字摘要技术(Digital Digest)也称作为安全HASH编码法(SHA:Secure Hash Algorithm)。数字摘要技术用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但却能产生信息的数字"指纹",它的目的是为了确保数据没有被修改或变化,保证信息的完整性不被破坏。 数字摘要技术有如下主要特点: ·它能处理任意大小的信息,并对其生成固定大小的数据摘要,数据摘要的内容不可预见 ·对于相同的数据信息进行HASH后,总是能得到同样的摘要;如果数据信息被修改,进行Hash后,其摘要必定与先前不同 ·HASH函数是不可逆的,无法通过生成的数据摘要恢复出源数据 数字签名 数字签名(Digital Signature)用来保证信息传输过程中完整性、提供信息发送者的身份认证和不可抵赖性。使用公开密钥算法是实现数字签名的主要技术。 使用公开密钥算法,当你用自己的私钥加密了一个信息,并将其发送给一个朋友时,如果你的朋友能够使用你的公钥来解密出信息,他就能确定信息必定是从你那里发来的,而不是一些冒名顶替的。这实际上就是数字签名的原理。 由于公开密钥算法的运算速度比较慢,因此可使用HASH函数对要签名的信息进行摘要处理,减小使用公开密钥算法的运算量。因此,数字签名一般是结合了数字摘要技术和公开密钥算法共同使用。实现数学签名的过程如下: 签名信息 1.对信息M进行HASH函数处理,生成摘要H 2.用你的(发送者的)私钥加密H来获取数字签名S 3.发送{M, S} 验证签名信息 1. 接受{M, S} 并区分开它们 2. 对接收到的信息M进行HASH函数处理,生成摘要H* 3.取得发送者的公钥 4.用公钥解密S,来获取H 5.比较H和H*,如果H和H*是一样的,即说明信息在发送过程中没有被篡改,反之即反 由于对信息进行数字签名后,明文信息也通过网络进行传递,因此,在做完数字签名后,还要对整个信息(包括明文信息M和数字签名的密文信息S)进行加密,以保证信息的保密性。实际过程如下图所示:发送方:
服务器安全的管理
网络安全界有句名言:最少的服务加最小的权限等于最大的安全。 公司服务器配置情况如下: 67、68、69、70的服务器安装的系统是WIN2000 Advance Server版本,采用了IIS5.0作为虚拟主机系统,为保证系统的安全和数据的可靠,特将硬盘划分为系统盘与数据盘,WIN2000安装于系统盘上,数据库系统安装在数据盘上. 服务器上采取的安全防护措施如下: 1. 所有的分区都格式化成NTFS格式,保证对用户权限的控制.给予administrators 和system完全控制的权限,将系统默认的everyone的完全控制权限删除,根据不同用户再分别授予相应的权限。 2. 将硬盘空间分成系统分区(安装操作系统),网站分区(运行虚拟主机和客户网站,后台数据库的分区),备份分区(做数据与程序的备份存储用)。 3. 开启了事件审核功能,对用户登录,策略改动以及程序运行情况进行实时监控,保证在系统被破坏的情况下也能有案可查。 4. 对于后台数据库中的用户数据,在SQLSERVER中进行了设置,每天晚上会自动执行一次所有后台数据库数据的备份工作,即使当天客户的数据库被误删除了,也能找到前天晚上备份的所有数据,保证客户数据的安全可靠。 5. 对于前台网站,我们采用系统自带的备份功能,设置了每周的备份计划,将客户的网站在每周日进行一次完全备份.保证了客户网站的数据完整。 6. 在IIS安装时只安装了WEB服务,其余的FTP、SMTP、NNTP均未安装。 7. FTP服务器采用了Ser-U服务器程序,运行稳定且可靠,并升级到了最新的版本,禁止匿名用户的登陆,给每个用户分配了一个强健的密码,并设定了只能访问其自身的目录。 8. 操作系统安装好以后,及时打好了SP4和系统安全补丁,防止了病毒感染和黑客攻击的可能性,保证了系统的正常安全运行.在微软的漏洞被发现以后,及时升级系统,打好系统补丁。 9. 同时安装了微软自带的终端服务和SYMANTEC公司的pcanywhere远程控制软件,即使一个远程控制服务没能开启,也可以保证采用另一个远程登陆方式能连接上服务器。 10. 防病毒软件采用了SYMANTEC公司的norton防病毒软件,并每周按时升级后杀毒,保证了系统的无毒和安全。 11. 禁用了来宾用户帐号,对系统管理员帐号进行了重命名,最大限度地减少了系统被攻击的可能性。 12. 对系统的用户的密码进行了控制,管理员的密码采用了字母与数字以及特殊字符相结合的办法,防范暴力破解密码的可能性,保证服务器的安全。 13. 对于测试法破解密码的方法,采取了五次密码输错即锁定用户30分钟的做法,防止测试法试探密码。 14. 采用了网络漏洞扫描工具定期对服务器进行网络安全的检查和测试,发现安全漏洞后及时修补,防止安全问题的产生。 15. SQL Server 2000数据库安装以后即升级到SP3的版本,减少数据库漏洞的产生,防止了蠕虫病毒的感染和黑客的破坏。 16. 数据库中的SA超级用户采用了个强健的密码,并对每个用户使用的数据库制定了一个用户名和密码,并设定了相应的权限。每个用户只能对本数据库进行操作,有效地防止了跨库
网络服务器安全保密制度标准版本
文件编号:RHD-QB-K7255 (管理制度范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 网络服务器安全保密制 度标准版本
网络服务器安全保密制度标准版本操作指导:该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 为确保公司ERP软件稳定安全的运行,现根据公司的网络运行环境及硬件设施特制定出如下安全保密措施及制度: 一、服务器安全防护措施 1、在两台ERP服务器上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对服务器系统的干扰和破坏。 2、做好生产日志的留存。服务器具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况等。 3、ERP系统软件建立双机热备份机制,一旦主
服务器系统遇到故障或受到攻击导致不能正常运行,保证备用服务器系统能及时替换主系统提供服务。 4、关闭服务器系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,设置定期病毒查杀。 5、服务器平时处于锁定状态,并保管好登录密码;远程桌面连接设置超级用户名及密码,并绑定IP及MAC地址,以防他人登入。 6、服务器提供集中式权限管理,针对不同的应用系统、终端、操作人员,由服务器系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由服务器系统管理员定期检查操作人员权限。
服务器维护数据安全保密协议样本
服务器维护数据安全保密协议 甲方: 乙方: 双方经平等协商同意,自愿签订本协议,共同遵守本协议所列条款。 1.保密的内容和范围 (1) 涉及乙方为甲方维护的所有的系统信息,包括甲方服务器和终端计算机上的数据。 (2) 凡以直接、间接、口头或书面等形式提供涉及保密内容的行为均属泄密。 2. 双方的权利与义务、责任 (1)乙方应自觉维护甲方的利益,严格遵守本委托方的保密规定。 (2)乙方不得向任何单位和个人泄露甲方的任何资料信息; (3)乙方不得利用所掌握的商业秘密牟取私利; (4)乙方了解并承认,甲方会将有具有商业价值的保密信息保存在由乙方维护的服务器上或终端计算机上,并且由于系统维护服务、数据备份服务等原因,乙方有可能在某些情况下访问这些服务器和终端计算机。乙方同意并承诺,如果这些数据未经甲方许可披露给他人,所造成对甲方的直接损失,并经证实,甲方有权通过法律途径向乙方索赔。 (5)乙方同意并承诺,对所有保密信息予以严格保密,在未得到甲方事先许可的情况下不披露给任何其他人士或机构。 (6)乙方同意并承诺,未经甲方书面许可,乙方不得将相关保密信息,通过存储介质、网络等途径,传播至甲方不可控制区域。 3. 本《协议》项下的保密义务不适用于如下信息: 非由于乙方的原因已经为公众所知的; 由于乙方以外其他渠道被他人获知的信息,这些渠道并不受保密义务的限制; 由于法律的适用、法院或其他国家有权机关的要求而披露的信息。此协议签字、传真、双方电子邮件确认均有同等法律效力。 甲方法定代表人或 甲方代表人(签名): 单位盖章 年月日乙方法定代表人或 乙方代表人(签名): 单位盖章 年月日
数字签名
规划Office 2010 的数字签名设置 更新:2010 年7 月8 日 您可以使用Microsoft Excel 2010、Microsoft PowerPoint 2010 和Microsoft Word 2010 对文档进行数字签名。还可以使用Excel 2010、Microsoft InfoPath 2010 和Word 2010 添加签名行和签名戳。Microsoft Office 2010 包括XAdES(XML 高级电子签名)支持,这是XML-DSig 标准的一组扩展。最早在2007 Microsoft Office system 中支持此功能。 本文内容: ?什么是数字签名? ?数字证书:自签名或者由 CA 颁发 ?使用数字签名 什么是数字签名? 对纸质文档进行手写签名的情况,同样也适用于对文档进行数字签名。通过使用加密算法,数字签名用于帮助对数字信息(如文档、电子邮件和宏)的创建者的身份进行身份验证。 数字签名基于数字证书。数字证书是受信任第三方颁发的身份验证程序,受信任第三方也就是证书颁发机构(CA)。它的作用类似于使用纸质身份证件。例如,受信任第三方,如政府实体或雇主,颁发身份证书—如驾驶证、护照和员工ID 卡—其他人要依靠这些身份证书来验证一个人是否确实是他/她所声明的身份。 数字签名有什么作用 数字签名可帮助确立下列身份验证措施: ?真实性数字签名及其基础数字证书可帮助确保签名者符合其真实的身份。这样有助于阻止其他人假冒某个证书的原始所有者(相当于伪造纸质证书)。 ?完整性数字签名有助于确保内容在进行数字签名以后未经更改或篡改。这样有助于防止文档在原始所有者不知情的情况下被拦截和更改。 ?不可否认性数字签名有助于向所有各方证明签名内容的来源。―否认‖指签名者否认与签名内容有任何关联的行为。这样可以证明文档的原始所有者就是真正的所有者,而不是任何其他人,无论签名者声称自己的身份是什么。如果签名者不否认其数字密钥,就不能否认对文档的签名,因此,也不能否认用该密钥签名的其他文档。 数字签名的要求 若要建立这些条件,内容创建者必须通过创建满足以下条件的签名来对内容进行数字签名:
数字签名工具专业版使用指南
更新日期:2011-03-10 上海域联软件技术有限公司 全国统一免费服务热线:800-820-8109 https://www.360docs.net/doc/8b14524289.html,
数字签名工具专业版使用指南 亚洲诚信数字签名工具专业版简介: 亚洲诚信数字签名工具是由上海域联软件技术有限公司的研发团队经过多年时间自主开发的带有自主知识产权的图形化数字签名专业工具,区别于以往的数字签名工具(代码签名工具)复杂的命令行和逐个文件签名繁琐的操作方式。亚洲诚信数字签名工具是集成了图形化操作界面,测试证书签名,文件拖曳签名/验证,灵活的命令行签名/验证等专业且更加人性化的功能,使您可以更加高效率的为您的应用软件、驱动程序进行代码签名,支持应用程序数字签名、ActiveX控件数字签名、64位驱动程序数字签名。 软件类别:国产软件/系统安全 软件授权:免费版 运行环境:Win7/2008/Vista/WinXP/2003/2000 出品人:TrustAsia(亚洲诚信) 软件大小:1028KB 软件语言:简体中文 联系人:support@https://www.360docs.net/doc/8b14524289.html, 亚洲诚信数字证书签名工具专业版下载安装: 亚洲诚信数字证书签名工具下载: 华军下载:https://www.360docs.net/doc/8b14524289.html,/soft/113034.htm 亚洲诚信数字证书签名工具安装方便快捷、界面干净大方: 双击安装程序setup.msi 启动数字证书签名工具安装向导后,点击“下一步”:
选择安装路径,工具将默认安装于C:\Program Files\Dsign Tool\目录下,点击下一步:
点击“安装”,数字证书签名工具安装程序开始执行安装过程:
CA数字签名认证系统技术方案
CA数字签名认证系统技术方案 1. 系统需求 1.1 背景概述 随着计算机网络技术的迅速发展和信息化建设的大力推广,越来越多的传统办公和业务处理模式开始走向电子化和网络化,从而极大地提高了效率、节约了成本。与传统的面对面的手工处理方式相比,基于网络的电子化业务处理系统必须解决以下问题: (1)如何在网络上识别用户的真实身份; (2)如何保证网络上传送的业务数据不被篡改; (3)如何保证网络上传送的业务数据的机密性; (4)如何使网络上的用户行为不可否认; 基于公开密钥算法的数字签名技术和加密技术,为解决上述问题提供了理论依据和技术可行性;同时,《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据,使得数字签名与传统的手工签字和盖章具有了同等的法律效力。 PKI(Public Key Infrastructure)是使用公开密钥密码技术来提供和实施安全服务的基础设施,其中CA(Certificate Authority)系统是PKI体系的核心,主要实现数字证书的发放和密钥管理等功能。 数字证书由权威公正的CA中心签发,是网络用户的身份证明。使用数字证书,结合数字签名、数字信封等密码技术,可以实现对网上用户的身份认证,保障网上信息传送的真实性、完整性、保密性和不可否认性。 数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。 1.2 现状与需求概述 现状描述。。。。。。 基于上述现状,******系统需要解决数据的签名问题和法律效力问题,从而提高*****的便捷性和管理效率。鉴于数字证书、数字签名的广泛应用和相关法律的保障,****单位规划建设CA及数字签名认证系统,主要需求如下: (1)建设CA系统或采用第三方CA,为****用户申请数字证书; (2)在现有*****系统中加入对数据的签名功能,存储数据签名并提供对签名的认证功能; 1.3 需求分析 为了解决网上用户的身份证明问题,需要为用户颁发数字证书。数字证书由CA中心签发,目前在实际应用中主要存在两种类型的CA: (1)独立的第三方CA 跨区域的CA,如:中国电信的CTCA、中国人民银行的CFCA; 地域性的CA,如:广东电子商务认证中心CNCA、上海电子商务认证中心SHECA,以及其他各省电子商务认证中心; (2)各类应用系统自己建设的CA 如:招商银行、建设银行等建设的用于服务各自网上银行的CA;海关、税务等建设的服务各自网上报税系统的CA; 这两种类型的CA在实际使用过程中各有优劣,以下将进行分析和比较: 1.3.1 CA建设与使用的分析 采用独立权威的第三方CA与自建CA的比较
服务器安全管理办法
服务器安全管理办法 第一章总则 第一条为本网站正常运行,特制定本管理办法。 第二章日常管理 第二条服务器由维护组人员进行管理并授权与建站服务相关的人员使用,明确各自服务器的用途、应用范围及使用对象,并对整个系统资源进行合理的规划。 第三条服务器管理员和服务器使用人员应遵守服务器安装工作流程,从系统划分、安全设置等方面规范管理工作。 第四条系统管理员负责各自服务器的日常管理和维护,主要有:用户帐户的管理、网络管理、数据库管理、服务器系统运行状态的监控、以及各应用系统使用资源情况统计,并合理地分配系统资源。 第五条服务器使用员负责对自己上传的网站或文件进行日常的管理和维护,主要有文件的更新,修改,网站及网站相关的文件和代码安全和漏洞的检查和管理,病 毒和木马的清除。 第六条为确保系统安全性、可靠性及文件、数据的一致性和完整性,必须对系统进行备份工作。管理员根据各自服务器的情况,制定出相应的备份及恢复策略,定期进行备份。 第七条系统管理员要深入了解系统的工作原理,不断提高系统的管理水平。在系统出现一般性的故障或错误时,能及时予以排除;而出现重大问题时,可通过系统的恢复等手段加以解决。 第八条系统管理员对负责的服务器应提供详细的文档,包括系统安装、各种软件的安装、开关机步骤及安全的设置等信息。 第九条应加强系统安全的管理和研究,提高系统的安全性。 第十条系统管理员和相关使用人员建立系统维护管理手册,对自己所做的各项工作要有详细的记录。如: 1.系统问题的发现,原因分析,解决方案,管理的改进; 2.建立“任务申请表”制度,使管理工作有案可查、有章可寻;
3.系统的备份日期、内容、类别、操作者等; 4.系统及软件的安装或版本升级,要有时间和内容的详细记录; 4.网站的新增、修改、删除,数据库的各种操作。 第十一条系统管理员必须定期更改服务器帐号,特别是超级用户的管理密码,建议每月的1-5日将各自管理的服务器帐号进行更新。 第三章工作权责 服务器上的维护内容有如下几点: 操作系统安装与配置,服务器安全设置,补丁更新,系统安全检测 WE服务(IIS )安装与配置,ASP/ASP制站配置,数据库(MSSQL安装与配置主站网站维护(网站) 网站服务器维护(所有建站服务器及正在运行VPS) 虚拟空间网站维护 服务器代码备份,数据备份 服务器软件检测(FTP、虚拟网卡、网站所需组件) 服务器用户账号管理 DNS的搭建与配置 服务器盘符目录设定及约束 第四章权责明细?权限范围: 服务器的安全检测 保证服务器上各软件的运行情况 DNS服务器的正常运行 服务器安全设置、系统补丁的更新。 服务器所需组件的安装及添加 监控服务器中各网站的运行情况 保证邮件服务器的正常运行 服务器盘符目录设定及约束 对VPS的监控及分配
数字签名实验报告
附件2: 北京理工大学珠海学院实验报告 ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY 实验题目数字签名实验实验时间 2014.4.8 一、实验目的: (1)掌握数字签名技术的原理; (2)熟悉密钥的生成及其应用。 二、实验内容以及步骤: RSA-PKCS签名算法 (一)签名及验证计算 (1)进入实验实施,默认选择即为“RSA-PKCS”标签,显示RSA-PKCS签名实验界面。 (2)选择明文格式,输入明文信息。点击“计算SHA1值”按钮,生成明文信息的散列值。 (3)选择密钥长度,此处以512bit为例,点击“生成密钥对”按钮,生成密钥对和参数。选择“标准方法”标签,在标签下查看生成的密钥对和参数。 (4)标准方法签名及验证 点击“标准方法”标签下的“获得签名值”按钮,获取明文摘要的签名值,签名结果以十六进制显示于相应的文本框内;点击“验证签名”按钮,对签名结果进行验证,并显示验证结果;上述过程如图1.1.8-3所示。 (5)选择“中国剩余定理方法”标签,在标签下查看生成的密钥对和参数。 (6)中国剩余定理方法签名及验证 点击“中国剩余定理方法”标签下的“获得签名值”按钮,获取明文摘要的签名值,签 名结果以十六进制显示于相应的文本框内;点击“验证签名”按钮,对签名结果进行验 证,并显示验证结果。
ELGAMAL签名算法 (1)在“RSA-PKCS”标签下的扩展实验中,点击“ELGAMAL扩展实验”按钮,进入 ELGAMAL签名算法扩展实验窗体。 (2)设置签名系统参数。在文本框“大素数p”内输入一个大的十进制素数(不要超过8 位);然后在文本框“本原元a”内输入一个小于p的十进制正整数,点击“测试”。 (3)注册用户,在“用户名”文本框中输入一个“注册用户列表”中未出现的用户名,如 “alice”,点击“注册”按钮。 (4)在“用户注册”窗口中的文本框“私钥x”中输入一个小于素数p的十进制非负整数, 点击“确定”按钮;然后,点击“计算公钥”按钮,系统会为该用户生成一对公私钥。 (5)点击“密钥登记”按钮,主窗口的“注册用户列表”中就会出现一个新的用户信息, 重复上述过程,产生不少于2个注册用户。 (6)①输入签名消息。在“明文M”文本框中输入一个小于p的十进制非负整数,作为 欲签名的消息;在“随机数k”文本框中输入一个小于p的十进制非负整数,作为共享密钥的初始信息;然后点击“确定”按钮。②签名。点击“签名”按钮,得到该消息的保密签名结果,③发送签名。点击“发送签名”按钮,激活验证签名窗口 (7)确定验证方。在“验证方基本信息”中的“用户名UID”文本框中输入一个已经注册 的用户名,然后点击“获取私钥”按钮,即得到验证方的一些基本信息。 (8)点击“发送确认”按钮,将验证结果通知签名方。 DSA签名算法 (一)签名及验证计算
服务器硬件配置和服务器安全配置信息(全能)
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.360docs.net/doc/8b14524289.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除