1、紫光顺风企业处理方案在这里我们介绍一套北京清华紫光顺风信息安全安全电子商务处理方案。一、系统网络结构1广域网络广域网络拓扑图图1所表示。图12分企业网络分企业网络拓扑图图2所表示。图2二、网络安全方案1网络存在安全问题计算机网络安全应包含以下三方面内容:(1)保密性:预防网络中信息泄漏或被非授权实体使用,确保信息只能由授权实体知晓和使用;(2)完整性:系统数据不被无意或蓄意删除、修改、伪造、乱序、重放、插入或破坏,数据只能由授权实体修改;(3)可用性:数据和通信服务在需要时许可授权个人或实体使用,网络资源在需要时即可使用。经过以上两图,我们能够看到在企业内部OA系统中,各部门所传输数据均经过I
2、nternet完成。移动用户和上下游厂商也是经过Internet进行电子交易。网络存在安全隐患关键表现在以下多个方面:(1)信息泄漏。公用网络存在安全漏洞,无法确保网络中信息隐秘性。比如:电信从业人员可能利用工作之便,很轻易地获取网络中传输信息;网络攻击者也能够经过搭线等方法,从传输信道窃取网络中传输信息。(2)假冒通信。公用电信网提供了灵活数据交换机制,同时,也给进行通信假冒发明了可乘之机。网络外用户,只要将她设备配置设置成和网络内设备配置相同,就可能欺骗总部,和其进行通信。假如网络外用户将她设备配置得和总部设备相同,并采取部分方法将总部设备进行阻塞,则她也能够假冒总部,欺骗网络内全部网点。
3、(3)信息假冒。因为攻击者能够窃取网络中传输信息,使得攻击者采取部分并不复杂技术,尤其是在内部人员配合下,就可能进行信息假冒。比如,反复进行部分本已完成业务等。2网络安全方案应遵照标准依据安全网络系统特殊性,方案将严格遵照以下标准:(1)设计中所采取全部安全产品、全部操作手段和方法,均符合国家相关法律和法规;(2)在充足确保网络安全性前提下,尽可能降低安全产品对原系统效率、可靠性等方面影响;(3)提供安全、完善和方便安全管理手段和方法;(4)最大程度地发挥安全产品性能、降低安全产品配置数量和费用;(5)安全系统含有很好网络兼容性和可扩展性,总体设计含有一定预见性。(6)安全系统本身应含有极高运
4、行稳定性,充足考虑系统备份问题。3系统应含有功效系统投入运行后,将含有以下功效:(1)信息安全保密:经过密码技术,对敏感信息提供加/解密服务,确保信息保密性;同时提供数据完整性和正确性服务。有效地预防信息被窃取、篡改和假冒等。(2)高效安全管理:安全系统是否能真正有效地发挥其安全作用,很大程度上取决于安全管理手段是否安全、有效和完善。本安全系统将提供证书管理中心进行管理,管理员可依据用户实际情况完成证书分发、权限设定等安全管理功效。4网络安全处理方案依据以上分析,此处给出一个基于北京清华紫光顺风信息安全研制系列网络安全产品处理方案,图3所表示。在图3中,在总部添加SfeCA 2.0证书服务器、
5、SecServer 1.0安全服务器,和在Web服务器中安装WebGate Server 1.0 服务器端软件,使用SJW01路由器加密机和Internet相连。图3在用户端安装SecMail1.5安全电子邮件、PKManager集成密钥管理系统、SecFile 1.0文件加密系统。分企业局域网经过SJW01路由器加密机和Internet相连。广域网中,系统管理员能够在总部SJW01上指定到上海和广州两地数据全部要进行加密处理。一样两地分企业也需指定到总部数据进行加密,这么在广域网上传输企业内部数据均是经过加密处理,避免了信息在传输过程中泄露、篡改、重放、假冒等安全隐患。能够经过KDMC密钥管
6、理中心对SJW01路由器加密机进行密钥管理。局域网中,经过紫光UF3100防火墙实现内网和外网隔离。每台机器均安装SecMail1.5安全电子邮件、PKManager 集成密钥管理系统、SecFile 1.0文件加密系统。其中SecFile能够保护单机数据不被非法访问、篡改。用户能够使用SecMail进行安全电子邮件通信,SecMail能够预防邮件伪冒、发送方抵赖和邮件被篡改等。PKManager用来管理SecFile和SecMail使用者私钥和证书。对于移动用户和上下游厂商,需安装PKManager集成密钥管理系统,用户可经过PKManager到SfeCA申请数字证书,在SfeCA验证用户正
7、当性后,签发证书文件。以后当用户在基于Web电子交易中,访问交易页面时,安装了WebGate SRV 服务器软件Web会要求用户提交ID、Password,当用户提交正确ID和Password后,Web服务器会依据ID号所对应证书和SfeCA进行沟通以取得用户数字证书,然后经过用户用私钥加密随机数来验证用户真实身份,WebGate依据该用户ID所对应权限来开放对应页面。这些页面在下载到用户浏览器前,由WebSRV送往SecSRV,经SecSRV加密处理后再下传,只有拥有和证书相对应私钥用户才能浏览这些页面,进行对应商务操作。经过以上安全方法,能够确保在交易前系统对用户身份识别,交易中数据在In
8、ternet上传输完整性、正确性,交易完成后,预防用户抵赖。三、产品介绍以上安全方案中所包含安全产品均系北京清华紫光信息安全研制开发。附:SJW01系列路由器加密机用于实现网络安全和网络路由功效,可在链路层、IP层和TCP层提供数据信息安全保密。SJW01系列加密机支持多个网络协议,如TCP/IP、X.25、FR、HDLC、IEEE802.3、IEEE802.5等,可在内部完成协议转换,实现不一样网络连接,可依据需要提供链路层、网络层和传输层数据信息安全保密,并含有地址过滤功效。* 密码算法:分组密码算法,密钥长度128位。* 路由协议:静态路由、RIP;对其它路由协议透明。* 端口协议:X.
9、25、FR(NNI/UNI)、TCP/IP-PPP、TCP/IP-SLIP、HDLC、ISDN、IBM3270仿真等。* 电气接口:X.21(V.11)、V.24、V.35、V.36、RS422、G.703。* 网管协议:SNMP协议,支持Open View、Net View等网管平台应用。附:SfeCA数字证书管理系统SFeCA数字证书管理系统是基于PKI企业网(Intranet)及电子商务(E-business)安全处理方案框架关键组成部分。SFeCA可用于组成完整数字证书管理中心(CA)。SFeCA集成了公钥引擎、证书引擎、LDAP证书及作废证书列表公布等功效,可为用户提供完整信息安全服
10、务。它同紫光顺风其它产品,如SecFile、SecMail和WebGate等配合使用,可组成网络和信息系统全方面安全处理方案。* 支持X.509 V2/V3、PKCS系列、PKIx、S/MIME、SSL/TLS、PEM等协议标准。* 除支持国家同意专有加密算法以外,还支持DES/3DES、IDEA、RC2/RC4/RC6等对称加密算法和MD4、MD5、SHA、SHA-1等信息摘要算法。* 支持可变长度(能够高达5000位或以上)RSA/DSA公钥体制算法。* 适适用于Windows NT、Linux等系统平台。附:WebGate安全访问控制系统WebGate安全控制访问软件系统是基于PKI企业
11、网(Intranet)及电子商务(E-business)安全处理方案一部分。它为用户提供对Web访问强身份认证、访问控制和审计跟踪功效。对于公共信息,WebGate许可通常见户访问。对于敏感信息,WebGate在许可用户访问之前进行基于数字证书和数字署名身份认证和访问授权检验。对全部访问,WebGate可进行完整审计跟踪。* 严格遵照X.509、PKCS、PKIx、SSL/TLS和HTTP/1.1等标准,能够接收任何基于上述标准数字证书和数字署名。* 支持RSA署名算法密钥长度可达2048位。* 适适用于Windows NT+IIS 3.0以上、IE 4.0以上网络环境。附:SecMail安全
12、电子邮件系统SecMail安全电子邮件系统是基于PKI企业网(Intranet)及电子商务(E-business)安全处理方案一部分。它作为一个独立完整邮件用户端软件,除可实施常规收发电子邮件功效之外,还可实现邮件加密、邮件数字署名及邮件自动回执等安全功效。* 操作系统:中、英文Window 95/NT 4.0或以上版本。* 支持POP3、SMTP、PEM和S/MIME等通用Internet电子邮件协议。* 支持HTML格式邮件。* 支持通用POP3、SMTP邮件服务器。* 可和Outlook、Netscape等通用邮件用户端软件互通。* 支持3DES、IDEA等标准加密算法和国家审批专用密码
13、算法。附:SecSRV 安全服务器SecSRV 安全服务器集成了PCI总线SEM安全保密模块,关键用于高速环境下加密认证,经典对称分组加密算法速率为100Mb/s,1024位私钥署名为40次/秒,验证为650次/秒。集对称分组加密算法、公钥体制署名/验证算法、信息摘要(Hash)算法等于一体,可充足确保加密和数字署名等运算安全性和高性能。* 除支持由国家审批高强度专有对称分组密码算法之外,还支持三重DES、IDEA、RC5等标准对称算法和RSA、DSA等公开密码体制算法,* 信息摘要则支持MD2、MD5、SHA-1、RIPEMD160等多个标准算法,用户可灵活选择。* 适适用于Windows
14、95/98/NT、Unix、Linux等平台。附:SecFile文件加密系统SecFile文件加密系统经过对数据文件加密,确保信息不被泄漏。在提供文件加、解密功效同时,SecFile文件加密系统也提供灵活密钥管理和访问控制功效。* 独立运行集成化环境,提供标准类Windows资源管理器程序界面供用户操作。* OLE方法和Windows 95/98/NT系统shell集成,已加密文件扩展名为.mmw,且图标统一;对扩展名为.mmw文件,用鼠标双击可实施解密操作(由密钥控制)。* 自动配置加密:对指定需加密路径和目录,SecFile会在文件存取时自动进行加密或解密。* 高效文件压缩/解压功效:文件
15、压缩比率指标和Winzip相当。* 高强度文件加密/解密功效:软件提供128位高强度加密算法。* 适用Windows 95/98/NT以上系统平台。附:PKManager集成密钥管理系统KManager集成密钥管理系统负责紫光顺风系列安全产品密钥及证书管理,只需在PKManager中一次配置RSA密钥对,就可很轻易地经过文件加密系统SecFile实现文件当地加密及数字署名、经过安全电子邮件系统SecMail发送安全电子邮件、经过WWW服务认证系统WebGate实现Web用户安全认证。* 私钥存放支持硬盘、软盘和IC卡三种存放介质。* 适用和Windows 95/98/NT以上系统平台。附:KDMC密钥管理中心密钥管理中心是计算机网络中通用安全管理设备,用于网内安全保密设备管理。KDMC产生和分发密钥,并对密钥从产生、存放、分发、使用、更换、销毁全过程进行严密审计跟踪管理。使用密钥管理中心对计算机网络进行管理,可使网络安全性能大大提升。* KDMC支持多个密钥分发方法,包含:在线分发、IC卡分发、密钥磁盘文件分发和经过串口当地分发等。* KDMC适适用于目前主流桌面操作系统平台Windows 95、Windows 98及Windows NT等。
浙ICP备2021020529号-1 | 浙B2-20240490 
