一���、產品介紹
量子VPN綜合安全網關是evo真人(中国)信息獨立自主研發的高性能量子密碼專用設備��,遵循國家密碼管理局最新頒佈的����《GM/T0023-2023 IPSec VPN網關產品規範》���《GM/T0025-2023 SSL VPN網關產品規範》��《GM/T0026-2023 安全認證網關產品規範》最新標準。
產品內置高速量子密碼模塊���,全面支持SM1����、SM2����、SM3����、SM4密碼算法����,所有密碼運算均由內置量子密碼模塊實現��,為用戶给予安全��、高效的密碼應用服務。
產品依託高性能基礎軟硬件平台��,運用量子技術對國密標準的 IPSec與SSL安全傳輸協議進行創新性量子化改造����,為客戶打造前所未有的安全應用新體驗���,有效提升網絡安全防護水平。
二��、標準依據
產品遵循以下相關標準規範��:
GM/T 0022-2023 ����《IPSec VPN技術規範》
GM/T 0023-2023 ����《IPSec VPN網關產品規範》
GM/T 0024-2023 ����《SSL VPN技術規範》
GM/T 0025-2023 ��《SSL VPN網關產品規範》
GM/T 0026-2023 ����《安全認證網關產品規範》
三����、產品優勢
1��、全面國密算法支持
量子VPN綜合安全網關全方位採用SM1/SM2/SM3/SM4國密算法實現IPSec��、SSL協議。採用SM2國密證書實現對管理員用戶的可信身份認證���,確保設備運行安全。
2���、QKD量子密鑰深度融合
傳統加密算法與QKD量子密鑰相結合���,實現數據傳輸的加密保護。即使攻擊者擁有強大的計算資源���,也難以在不被察覺的情況下竊取密鑰���,為數據傳輸给予了極高的安全性。
3����、雙網隔離安全架構
創新性實現量子密鑰分發網絡與傳統數據通信網絡的物理級隔離機制��,顺利获得獨立的量子信道傳輸密鑰��、傳統網絡承載業務數據���,避免密鑰與業務數據的交叉風險。
4��、多維高可用保障機制
設備集成硬件級 Bypass 功能與智能冗餘策略����,當量子VPN設備因故障���、過載或維護導致性能下降時���,Bypass 模塊可在毫秒級時間內自動切換至物理直通模式���,確保網絡鏈路不中斷;結合雙機熱備與負載均衡技術���,形成“故障切換 - 流量分擔 - 鏈路直通”的立體保障體系���,最大限度提升業務陆续在性。
四����、產品功能
1��、安全管控鑑別機制
1.1����、認證安全
產品採用“SM2國密數字證書+口令”的“雙因子”認證方式實現管理員的可信身份認證。網關之間顺利获得SM2國密數字證書實現雙方設備互認和IPSec密鑰協商。
產品支持自建CA中心����,為用戶给予輕量級CA證書制發和驗證服務。同時支持第三方CA證書鏈導入功能。支持多證書鏈���、多CRL列表導入。
用戶數字證書安全存儲在專用智能密碼鑰匙中����,VPN網關自身數字證書安全存儲在內置密碼卡中��,最大限度確保接入用戶和網關設備的合法性。
1.2���、傳輸安全
產品全面採用SM1/SM2/SM3/SM4國密算法���,保障用戶數據傳輸安全。基於IPSec協議和QKD的量子保密通信系統��,在網關到網關���、終端到網關等安全接入場景中��,使用量子加密服務密鑰����,與IPSec密鑰交換協議相結合����,给予安全性更強的加密傳輸通道��,抵禦量子威脅。
1.3���、管理權限安全
產品採用分級����、分權管理策略����,具備獨立的安全管理員����、系統管理員��、審計管理員角色����,不同管理員之間權限分離。
產品支持密鑰安全備份����、恢復����,採用三/五門限機制確保密鑰安全。
1.4����、審計安全
獨立的syslog日誌中心��,為管理員给予詳盡的設備運行報告��,给予網絡優化的依據。獨立的審計員權限����,確保日誌審計安全。
2��、可靠運行監管機制
2.1����、高可靠性硬件平台
產品採用高可靠性���、工業級硬件平台��,確保7×24小時不間斷運行。
2.2斷線重連���,自動恢復
產品支持IPSec隧道自愈功能。當網絡物理連接恢復正常後���,IPSec隧道將在60秒內自動建立��,迅速恢復系統可用性。
3��、高速的接入訪問體驗
3.1��、安全高效的密碼運算服務
產品內置高性能量子密碼模塊����,獨立為量子VPN綜合安全網關给予快速��、高效的密碼運算和密鑰管理服務���,滿足高吞吐量的數據加解密需求。
3.2��、更高的用戶並發量與更快的連接建立速度
產品採用高性能量子密碼模塊给予密碼運算服務��,徹底釋放主機CPU資源��,為訪問用戶给予更高的數據並發和更快的連接建立體驗。
3.3���、快速的流壓縮技術
產品採用快速流壓縮算法����,保證網絡傳輸速度。
4���、便捷的應用管理體驗
4.1���、基於Web的訪問與管理服務
產品採用B/S管理架構��,為用戶给予Web訪問管理服務。
4.2����、安全方便的配置信息備份����、恢復和升級服務
產品採用多個加密的配置文件形式保存配置信息。系統给予了對所有配置的打包備份功能��,管理員可方便的對配置文件進行備份����、恢復���,同時管理員還可以在本地配置好遠程網絡���,利用配置恢復功能在遠程導入配置。
管理員可以顺利获得web界面使用升級文件進行系統的升級。
4.3多業務應用登錄服務
產品支持單點登錄功能����,對於支持單點登錄技術的B/S和C/S應用����,無需用戶重複輸入賬號��、密碼���,提升用戶訪問便利性。
5���、靈活的端口組合應用
5.1����、多個物理端口匯聚形成一個邏輯端口
產品支持將多個物理端口匯聚在一起��,形成一個邏輯端口��,以實現出/入流量吞吐量在各成員端口的負荷分擔����,交換機根據用戶配置的端口負荷分擔策略決定網絡封包從哪個成員端口發送到對端的交換機。當交換機檢測到其中一個成員端口的鏈路發生故障時���,就停止在此端口上發送封包���,並根據負荷分擔策略在剩下的鏈路中重新計算報文的發送端口����,故障端口恢復後再次擔任收發端口。
五���、應用場景
1��、寬帶專線場景
1.1��、用戶面臨什麼問題
如何避免敏感數據在傳輸過程中泄露和被篡改?
金融����、電力���、軌道交通等領域擁有大量重要信息和敏感數據��,顺利获得自建或外購OTN專線結合量子密碼技術可以有效的阻止在傳輸過程中敏感數據泄露及被篡改等數據安全問題。
如何利用量子技術解決“專線不專”的問題?
在傳統OTN專線上����,由於技術限制或管理疏漏��,存在線路共享��、路由重定向等風險����,導致“專線不專”。量子加密的引入���,顺利获得物理層面上的絕對安全特性����,減少了這些風險����,確保了通信的私密性和專屬性��,使得數據在傳輸過程中不被未經授權的第三方訪問或利用。
1.2����、解決方案
量子專線終端間基於量子保密通信����,形成组织間量子專線���,降低專線抗量子計算改造成本。
量子密鑰管理系統進行全網量子密鑰的統一生成��、管理��、分發。
量子密鑰分發支持顺利获得5G專網���(可選配電力專網通信模組)在線分發及離線分發的方式。
量子專線接入終端和匯聚網關將量子密鑰���、國密算法����、抗量子算法和量子加密新機制與現有專線及組網相結合��,實現數據傳輸過程中的機密性和完整性保護���,有效抵禦量子計算對ECC算法公私鑰體系的攻擊。
2��、採油採氣場景
2.1���、用戶面臨什麼問題
工控設備的存在安全風險��:工控協議設計強調通信的實時性和可用性���,協議設計缺乏安全機制存在安全風險。
量子設備的合規性問題����:和量子結合的VPN��、CPE���、工業路由器等設備��,是否具備商密要求的合規性?
無人值守設備的可監控性問題��:對於無人值守的平台��,對設備的穩定性����、可監控性的要求更高����,如何對設備進行遠程的監控?
2.2���、解決方案
量子+國密的安全防線��:顺利获得全棧量子化的國密實現體系���,從工控設備的採集終端處實現了數據的加密採集���,加密傳輸。
雙鏈路����,安全又合規��:支持接入終端及匯聚網關在經典通信協議和量子通信協議中進行一鍵切換����,合規又安全。
遠程自動化控制����:顺利获得統一的集中管控平台���,可以精確地掌握鑽井平台的各項運行參數���,並進行即時調整與控制���,提高了工作效率和安全性。
開啟量子安全時代����:響應國家號召��,使用量子化的技術���,為能源安全保駕護航��,引領行業邁向量子安全的新時代。
3��、智慧城市場景
3.1����、用戶面臨什麼問題
數據安全風險���:在數據採集��、傳輸和存儲過程中����,視頻數據容易被竊取��、篡改或泄露��,威脅到公民個人私隱��、商業機密以及國家安全層面的數據安全;
網絡安全風險����:不同區域的攝像頭均顺利获得公網連接到視頻監控平台����,暴露在公網的硬件存在調試接口���、可橫向控制等安全缺陷���,存在被破解劫持的風險;
控制設備安全風險��:賬號借用��、遠程操控����、口令薄弱帶來的公共安全被盜用的挑戰。
3.2���、解決方案
量子VPN綜合安全網關將明碼傳輸的視頻進行量子加密���,並顺利获得量子通訊傳輸��,杜絕了視頻數據容易被竊取���、篡改或泄露的風險;
顺利获得量子加密輔以國密隧道��,將前端設備與安全管理客戶端互通節點做成單向特定應用傳輸����,規避了節點被互聯網劫持的網絡安全風險。
