浪潮集团的解决方案样本.doc

浪潮集团处理方案 孙大军　刘永辉 　　一、项目需求和系统设计目标 　　1．项目需求 　　在我们这个方案中，怎样在各个企业内部和企业之间实现信息安全、可靠交互是我们设计方案关键出发点，而怎样在可实现价格、配置范围内取得最高安全特征，也就是达成最高性能价格比，应成为本处理方案关键目标。 　　因为该企业总企业和分企业分处三地，而且距离比较远，考虑到价格原因，故经过廉价Internet来传输数据和进行网上互联，经过个人认证证书和网络防火墙来实现网上数据安全访问。企业总部整个局域网安全经过防火墙来确保，企业驻外人员或上下业务关系企业可经过拨号上Internet，经过和该企业服务器个人证书认证建立安全连接来访问该企业服务器，用SSL(安全套接字层)协议和证书控制来确保在网上进行电子商务时数据传输安全性，以达成信息安全高效交流。 　　2．系统设计目标 　　因为系统对安全等问题考虑，应达成以下目标： 　　局域网内部安全性：关键表现在对企业内部职员身份认证和权限设置； 　　防火墙内部用户安全性：关键包含对经过防火墙用户身份认证、外来数据包过滤和对内部用户管理，并确保内部Web服务器安全； 　　电子商务安全性：包含Web服务器本身安全性和传输数据安全性，还应包含对线上交易用户身份认证，确保交易安全性和不可抵赖性； 　　广域网安全性：关键是三地企业公文流转、内部管理信息等需要做网上传输，确保传输公文不被第三方窃取及驻外人员和企业总部信息安全交流。 　　二、总体设计方案 　　基于以上分析，总部Web服务器采取浪潮集团自主开发信息安全服务器(NetSafe)来确保网上数据安全(电子商务安全)，三地分企业防火墙采取浪潮集团浪潮防火墙系统(1.0版本)来确保其内部网络安全(局域网安全)，经过信息安全服务器(NetSafe)配套企业级CA证书系统来确保各地网上传输数据安全性(广域网安全)。 　　整个网络结构设计图1所表示。 　　图1 　　1．企业总部方案 　　(1)Web服务器：浪潮信息安全服务器(NetSafe)(包含相关软硬件) 　　(2)防火墙：浪潮防火墙1.0 　　(3)路由器：Cisco路由器 　　(4)软件： 　　证书发放管理器：浪潮企业级CA-Center含有完整证书发放功效和部分证书管理功效，所发放证书完全符合X.509规范，能够应用于Internet上安全通讯、安全E-mail、区分内外部人员等很多领域； 　　浏览器：安装用户证书IE或Netscape浏览器，因为美国出口限制，我们通常使用浏览器密钥长度不足，对称算法密钥长度只有40位(在费用为5万美元时只需2秒即可破译)，而安装浪潮安全服务器提供密钥程序，能够将密钥长度提升到128位(在费用为5000万美元时需10)，以确保密文强壮性； 　　电子邮件处理：OutLook等。 　　具体结构图2所表示。 　　图2 　　浪潮信息安全服务器、证书发放管理器(CA-Center)、浏览器工作模式图3所表示。 　　图3 　　2．分企业设计方案 　　因为上海、广州两地分企业地位相同，故采取相同设计方案。 　　防火墙(可选)：浪潮防火墙1.0 　　浏览器：安装用户证书IE或Netscape浏览器(因为美国出口限制，浏览器密钥长度不足，所以需安装浪潮安全服务器提供密钥程序) 　　电子邮件处理：OutLook等 　　具体结构图4所表示。 　　图4 　　三、对总体方案说明 　　方案中对安全考虑关键表现在以下多个方面： 　　1．局域网内部安全性 　　内部用户经过用户身份认证来确保其安全。 　　2．防火墙内部用户安全性 　　防火墙关键功效是隔离内外网络，浪潮防火墙1.0关键是集身份认证、数据包过滤和安全服务器功效于一身，实现完全透明内部和外部连接，并有过滤政策设定、一次性用户口令等功效，符合设计需要。 　　3．电子商务安全性 　　电子商务安全问题关键集中在两点：一是服务器和内部网数据被入侵和窃取，另一点就是传输过程中敏感数据被她人窃取。对第一个安全问题，浪潮防火墙提供SSN功效，屏蔽内部服务器，确保内部Web服务器免受外部攻击，从而确保内部服务器、局域网包含Web服务器安全。对于第二种安全问题，浪潮信息安全服务器采取Linux操作系统、自主开发SSL模块、Apache Web服务器软件，结合中国高水平加密卡，实现了高强度信息加密功效，结合CA(可采取浪潮信息安全服务器(Netsafe)自带浪潮企业级CA-Ceneter，也能够采取第三方CA中心)后更含有双向身份认证、交易不可抵赖性等功效。其采取自主开发加密算法密钥长度最高可达168位，用于传输密钥公钥算法RSA密钥长可达1024位，而且其采取安全通讯协议(SSL)、加密算法和电子证书等方面完全符合国际标准，符合中国电子商务需要。 　　4．广域网安全性 　　广域网安全关键经过NetSafe自带浪潮CA-Center来实现。经过给内部职员发放证书来对三地之间来往公文进行加密和双方身份认证。因为传输过程中是加密处理且加密强度高、密文强壮性好，所以不用担心传输过程中泄密。企业驻外人员一样能够用其内部职员证书访问企业网站和进行安全公文传输。 　　四、系统特点及优势 　　1．系统稳定安全 　　信息安全服务器(Netsafe)和浪潮防火墙均采取Linux操作系统，系统运行稳定，克服了一些系统运行不稳，频繁死机问题。且因为操作系统开放源代码，故Bug也较少。 　　2． 配置灵活 　　浪潮防火墙配置界面采取是Web形式，能够经过用户端来进行系统配置，灵活直观，基础上操作人员不需要培训就可上手。 　　信息安全服务器(Netsafe)采取自主开发SSL模块及世界拥有率第一Web服务器Apache作为基础Web服务器，配置简单灵活、功效强大。作为服务器端，系统管理人员能够依据需要设定浏览器使用者个人证书是否必需，浏览器使用者安全等级等，确保多种用户正常浏览企业网站。 　　3．使用简单 　　浪潮防火墙：过滤政策设置简单，管理轻易。 　　信息安全服务器(Netsafe)：用户使用浏览器安全访问企业网站时很方便(仅是https://和http://差异)，实现了安全性和简易性统一。 　　4．功效完整 　　浪潮防火墙：基础上实现全部防火墙功效。 　　信息安全服务器(Netsafe)：完整证书生成功效、部分证书管理功效，完整网上传输信息加密和经过证书身份认证功效。 　　5．性能价格比高 　　浪潮集团是中国大型电子厂商，产品价格要比国外同类产品和中国大多数产品低，实现最高性能价格比。 　　五、注意问题 　　安全问题是一个综合性问题，要实现真正安全，只能是软件、硬件和人三方面完美结合。因为配置失误造成系统安全性能降低、应有安全功效得不到发挥例子层出不穷，这就要求系统安全管理人员要不停提升个人素质，只有这么才能构建一个比较安全系统。 　　附：浪潮防火墙 　　浪潮防火1.0含有功效以下： 　　（1）IP地址复用：实现多个用户共享一个有效IP地址，透明访问Internet资源； 　　（2）用户身份认证：内部网用户必需经过身份认证后才能访问外部网； 　　（3）访问权限控制：系统给用户提供了对自己访问权限管理权，这种权限分为国际权、中国权和内部网权； 　　（4）过滤政策设定：包含对于正当内部IP地址范围，非法外部站点等设定，作为过滤依据； 　　（5）访问控制：依据设定过滤政策，实现对访问控制，达成严禁非法访问目标； 　　（6）基于IP地址流量统计：实现对每一个IP地址中国、国外出入四种流量统计和统计； 　　（7）流量计算和查询：依据设定流量计算，向系统管理员和用户提供查询； 　　（8）用户帐户管理：提供用户对自己口令、访问权限管理功效； 　　（9）系统管理功效：为系统管理员提供建立、撤消、用户户头、流量查询和计算等功效； 　　（10）防火墙管理：经过Web界面来实现对防火墙管理，使用更为方便； 　　（11）强大SSN功效：屏蔽内部服务器免受攻击，实现安全服务器。 　　附：浪潮信息安全服务器 　　浪潮信息安全服务器(NetSafe)含有以下性能特点： 　　(1)自主开发SSL模块 　　自主开发SSL模块和和软件系统平台相集成SSL应用软件产品，实现了SSL协议相关全部内容，包含关键技术RSA公钥算法、X509证书规范，和SSL协议和IE、Netscape标准完全兼容性。在自主开发SSL模块系统中，既做到了和国际标准相兼容，又能够集成自己加密算法和机制，实施效率高。 　　(2)国际优异水平网络加密卡 　　采取网络加密卡是一个高性能安全加密卡，该卡及其所使用密码算法和技术经过国家密码管理委员会判定，支持多个公钥算法和对称算法，加密算法强度高，可靠性高。 　　(3)Linux操作系统和Apache Web服务器 　　为了确保系统安全性，采取Linux作为我们系统平台。Linux作为一个完全公开源代码操作系统，世界各地有几十万自愿者为这个充满魅力操作系统发展贡献自己才能。因为其代码公开性，使得该系统BUG较少、更新轻易，对网络传输和加密方面提供了宽广应用前景。 　　为确保系统运行可靠性和可维护性，采取现在国际上最流行Apache Web服务器(源代码有部分改动)作为我们Web服务器。 　　附：Apache Web服务器优点 　　Apache关键有以下优点： 　　(1)支持最新HTTP/1.1协议：Apache是最先使用HTTP/1.1协议服务器之一。它和最新HTTP/1.1标准完全兼容，同时它还和HTTP/1.0向后兼容。Apache已为新协议所提供全部内容做好了必需准备。 　　(2)简单而强有力基于文件配置：Apache服务器没有为管理员提供图形用户界面。 　　(3)支持通用网关接口(CGI)：Apache用mod_cgi模块来支持CGI。它遵守CGI/1.1 标准，而且提供了扩充特征，如定制环境变量和极难在其它Web服务器中找到调试支持功效。 　　(4)支持虚拟主机：Apache是首批既支持基于IP虚拟主机又支持命名虚拟主机Web服务器之一。 　　(5)支持HTTP认证：Apache支持基于Web基础认证，它还为支持基于消息摘要认证做好了准备。 　　(6)集成Perl：Perl已成为CGI脚本编程事实标准。Apache肯定是使Perl成为这种流行CGI编程语言原因之一。 　　(7)集成代理(Proxy)服务器：你能够将Apache作为前向代理服务器。 　　(8)服务器状态和可定制日志：Apache在统计日志和监视服务器本身状态方面向你提供了很大灵活性。 　　(9)支持安全Socket层(SSL)：因为版权法和进出口方面限制，Apache本身不支持高强度算法SSL协议。但在这个版本Apache中，支持我们自主开发高强度算法SSL加密模块。