浪潮集團(tuán)的解決方案
綜合能力考核表詳細(xì)內(nèi)容
浪潮集團(tuán)的解決方案
浪潮集團(tuán)的解決方案 孫大軍 劉永輝 一、項(xiàng)目需求和系統(tǒng)設(shè)計(jì)目標(biāo) 1.項(xiàng)目需求 在我們這個(gè)方案中,如何在各個(gè)公司內(nèi)部和公司之間實(shí)現(xiàn)信息安全、可靠的交互是 我們?cè)O(shè)計(jì)方案的主要出發(fā)點(diǎn),而如何在可實(shí)現(xiàn)的價(jià)格、配置范圍內(nèi)獲得最高的安全特性 ,也就是達(dá)到最高的性能價(jià)格比,應(yīng)成為本解決方案的主要目標(biāo)。 由于該公司的總公司和分公司分處三地,而且距離比較遠(yuǎn),考慮到價(jià)格因素,故通 過(guò)廉價(jià)的Internet來(lái)傳遞數(shù)據(jù)和進(jìn)行網(wǎng)上互聯(lián),通過(guò)個(gè)人認(rèn)證證書(shū)和網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn) 網(wǎng)上數(shù)據(jù)的安全訪問(wèn)。公司總部的整個(gè)局域網(wǎng)的安全通過(guò)防火墻來(lái)保證,公司駐外人員 或者上下業(yè)務(wù)關(guān)系企業(yè)可通過(guò)撥號(hào)上Internet,通過(guò)和該公司服務(wù)器的個(gè)人證書(shū)認(rèn)證建 立安全連接來(lái)訪問(wèn)該公司服務(wù)器,用SSL(安全套接字層)協(xié)議和證書(shū)控制來(lái)保證在網(wǎng)上進(jìn) 行電子商務(wù)時(shí)數(shù)據(jù)傳輸?shù)陌踩?,以達(dá)到信息安全高效的交流。 2.系統(tǒng)設(shè)計(jì)目標(biāo) 由于系統(tǒng)對(duì)安全等問(wèn)題的考慮,應(yīng)達(dá)到以下的目標(biāo): 局域網(wǎng)內(nèi)部的安全性:主要體現(xiàn)在對(duì)公司內(nèi)部職工的身份的認(rèn)證和權(quán)限的設(shè)置; 防火墻內(nèi)部用戶(hù)的安全性:主要包括對(duì)通過(guò)防火墻的用戶(hù)的身份的認(rèn)證、外來(lái)的數(shù) 據(jù)包的過(guò)濾和對(duì)內(nèi)部的用戶(hù)的管理,并保證內(nèi)部的Web服務(wù)器的安全; 電子商務(wù)的安全性:包括Web服務(wù)器本身的安全性和傳輸?shù)臄?shù)據(jù)的安全性,還應(yīng)包括 對(duì)線上交易的用戶(hù)的身份的認(rèn)證,保證交易的安全性和不可抵賴(lài)性; 廣域網(wǎng)的安全性:主要是三地公司的公文流轉(zhuǎn)、內(nèi)部管理信息等需要做網(wǎng)上的傳遞 ,保證傳輸?shù)墓牟槐坏谌礁`取及駐外人員與公司總部信息的安全交流。 二、總體設(shè)計(jì)方案 基于以上的分析,總部的Web服務(wù)器采用浪潮集團(tuán)自主開(kāi)發(fā)的信息安全服務(wù)器(NetS afe)來(lái)保證網(wǎng)上數(shù)據(jù)的安全(電子商務(wù)的安全),三地分公司的防火墻采用浪潮集團(tuán)的浪 潮防火墻系統(tǒng)(1.0版本)來(lái)保證其內(nèi)部網(wǎng)絡(luò)的安全(局域網(wǎng)的安全),通過(guò)信息安全服務(wù)器 (NetSafe)配套的企業(yè)級(jí)CA證書(shū)系統(tǒng)來(lái)保證各地的網(wǎng)上傳輸數(shù)據(jù)的安全性(廣域網(wǎng)的安全 )。 整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)如圖1所示。 [pic] 圖1 1.公司總部方案 (1)Web服務(wù)器:浪潮信息安全服務(wù)器(NetSafe)(包括相關(guān)軟硬件) (2)防火墻:浪潮防火墻1.0 (3)路由器:Cisco路由器 (4)軟件: 證書(shū)發(fā)放管理器:浪潮企業(yè)級(jí)CA- Center具有完整的證書(shū)發(fā)放功能和部分的證書(shū)管理功能,所發(fā)放的證書(shū)完全符合X.509規(guī) 范,可以應(yīng)用于Internet上的安全通訊、安全E-mail、區(qū)分內(nèi)外部人員等諸多領(lǐng)域; 瀏覽器:安裝用戶(hù)證書(shū)的IE或Netscape瀏覽器,由于美國(guó)的出口限制,我們通常使 用的瀏覽器的密鑰長(zhǎng)度不足,對(duì)稱(chēng)算法密鑰長(zhǎng)度只有40位(在費(fèi)用為5萬(wàn)美元時(shí)只需2秒即 可破譯),而安裝浪潮安全服務(wù)器提供的密鑰程序,可以將密鑰長(zhǎng)度提高到128位(在費(fèi)用 為5000萬(wàn)美元時(shí)需1016年),以保證密文的強(qiáng)壯性; 電子郵件處理:OutLook等。 具體結(jié)構(gòu)如圖2所示。 [pic] 圖2 浪潮信息安全服務(wù)器、證書(shū)發(fā)放管理器(CA- Center)、瀏覽器的工作模式如圖3所示。 [pic] 圖3 2.分公司設(shè)計(jì)方案 由于上海、廣州兩地的分公司地位相同,故采用相同的設(shè)計(jì)方案。 防火墻(可選):浪潮防火墻1.0 瀏覽器:安裝用戶(hù)證書(shū)的IE或Netscape瀏覽器(由于美國(guó)的出口限制,瀏覽器的密鑰 長(zhǎng)度不足,所以需安裝浪潮安全服務(wù)器提供的密鑰程序) 電子郵件處理:OutLook等 具體的結(jié)構(gòu)如圖4所示。 [pic] 圖4 三、對(duì)總體方案的說(shuō)明 方案中對(duì)安全的考慮主要體現(xiàn)在以下幾個(gè)方面: 1.局域網(wǎng)內(nèi)部的安全性 內(nèi)部用戶(hù)通過(guò)用戶(hù)身份的認(rèn)證來(lái)保證其安全。 2.防火墻內(nèi)部用戶(hù)的安全性 防火墻的主要功能是隔離內(nèi)外網(wǎng)絡(luò),浪潮防火墻1.0主要是集身份認(rèn)證、數(shù)據(jù)包過(guò)濾 和安全服務(wù)器功能于一身,實(shí)現(xiàn)完全透明的內(nèi)部和外部的連接,并有過(guò)濾政策設(shè)定、一 次性用戶(hù)口令等功能,符合設(shè)計(jì)的需要。 3.電子商務(wù)的安全性 電子商務(wù)的安全問(wèn)題主要集中在兩點(diǎn):一是服務(wù)器和內(nèi)部網(wǎng)的數(shù)據(jù)被入侵和竊取, 另一點(diǎn)就是傳輸過(guò)程中的敏感數(shù)據(jù)被別人竊取。對(duì)第一種安全問(wèn)題,浪潮防火墻提供SS N功能,屏蔽內(nèi)部服務(wù)器,保證內(nèi)部的Web服務(wù)器免受外部的攻擊,從而保證內(nèi)部的服務(wù) 器、局域網(wǎng)包括Web服務(wù)器的安全。對(duì)于第二種安全問(wèn)題,浪潮信息安全服務(wù)器采用Lin ux操作系統(tǒng)、自主開(kāi)發(fā)的SSL模塊、Apache Web服務(wù)器軟件,結(jié)合國(guó)內(nèi)高水平的加密卡,實(shí)現(xiàn)了高強(qiáng)度的信息加密功能,結(jié)合CA(可 采用浪潮信息安全服務(wù)器(Netsafe)自帶的浪潮企業(yè)級(jí)CA- Ceneter,也可以采用第三方的CA中心)后更具有雙向的身份認(rèn)證、交易的不可抵賴(lài)性等 功能。其采用的自主開(kāi)發(fā)的加密算法密鑰長(zhǎng)度最高可達(dá)168位,用于傳輸密鑰的公鑰算法 的RSA密鑰長(zhǎng)可達(dá)1024位,并且其采用的安全通訊協(xié)議(SSL)、加密算法和電子證書(shū)等方 面完全符合國(guó)際標(biāo)準(zhǔn),符合國(guó)內(nèi)電子商務(wù)的需要。 4.廣域網(wǎng)的安全性 廣域網(wǎng)的安全主要通過(guò)NetSafe自帶的浪潮CA- Center來(lái)實(shí)現(xiàn)。通過(guò)給內(nèi)部職工發(fā)放證書(shū)來(lái)對(duì)三地之間來(lái)往的公文進(jìn)行加密和雙方身份 的認(rèn)證。由于傳輸過(guò)程中是加密處理的且加密強(qiáng)度高、密文強(qiáng)壯性好,所以不用擔(dān)心傳 輸過(guò)程中的泄密。公司駐外人員同樣可以用其內(nèi)部職工的證書(shū)訪問(wèn)公司網(wǎng)站和進(jìn)行安全 公文傳輸。 四、系統(tǒng)特點(diǎn)及優(yōu)勢(shì) 1.系統(tǒng)穩(wěn)定安全 信息安全服務(wù)器(Netsafe)和浪潮防火墻均采用Linux操作系統(tǒng),系統(tǒng)運(yùn)行穩(wěn)定,克 服了某些系統(tǒng)運(yùn)行不穩(wěn),頻繁死機(jī)的問(wèn)題。且由于操作系統(tǒng)開(kāi)放源代碼,故Bug也較少。 2. 配置靈活 浪潮防火墻的配置界面采用的是Web形式,可以通過(guò)客戶(hù)端來(lái)進(jìn)行系統(tǒng)的配置,靈活 直觀,基本上操作人員不需要培訓(xùn)就可上手。 信息安全服務(wù)器(Netsafe)采用自主開(kāi)發(fā)的SSL模塊及世界占有率第一的Web服務(wù)器A pache作為基礎(chǔ)的Web服務(wù)器,配置簡(jiǎn)單靈活、功能強(qiáng)大。作為服務(wù)器端,系統(tǒng)管理人員 可以根據(jù)需要設(shè)定瀏覽器使用者個(gè)人證書(shū)是否必需,瀏覽器使用者安全等級(jí)等,保證各 種用戶(hù)正常瀏覽公司網(wǎng)站。 3.使用簡(jiǎn)單 浪潮防火墻:過(guò)濾政策設(shè)置簡(jiǎn)單,管理容易。 信息安全服務(wù)器(Netsafe):用戶(hù)使用瀏覽器安全訪問(wèn)公司網(wǎng)站時(shí)非常方便(僅是ht tps://和http://的差別),實(shí)現(xiàn)了安全性和簡(jiǎn)易性的統(tǒng)一。 4.功能完整 浪潮防火墻:基本上實(shí)現(xiàn)所有防火墻的功能。 信息安全服務(wù)器(Netsafe):完整的證書(shū)生成功能、部分的證書(shū)管理功能,完整的網(wǎng) 上傳輸信息加密和通過(guò)證書(shū)的身份認(rèn)證功能。 5.性能價(jià)格比高 浪潮集團(tuán)是國(guó)內(nèi)的大型電子廠商,產(chǎn)品的價(jià)格要比國(guó)外的同類(lèi)產(chǎn)品和國(guó)內(nèi)的大多數(shù) 產(chǎn)品低,實(shí)現(xiàn)最高的性能價(jià)格比。 五、注意的問(wèn)題 安全問(wèn)題是一個(gè)綜合性的問(wèn)題,要實(shí)現(xiàn)真正的安全,只能是軟件、硬件和人三方面 的完美結(jié)合。由于配置的失誤導(dǎo)致系統(tǒng)安全性能的降低、應(yīng)有的安全功能得不到發(fā)揮的 例子層出不窮,這就要求系統(tǒng)安全管理人員要不斷提高個(gè)人素質(zhì),只有這樣才能構(gòu)建一 個(gè)比較安全的系統(tǒng)。 附:浪潮防火墻 浪潮防火1.0具有的功能如下: (1)IP地址復(fù)用:實(shí)現(xiàn)多個(gè)用戶(hù)共享一個(gè)有效的IP地址,透明訪問(wèn)Internet資源; (2)用戶(hù)身份認(rèn)證:內(nèi)部網(wǎng)的用戶(hù)必須經(jīng)過(guò)身份認(rèn)證后才能訪問(wèn)外部網(wǎng); ?。?)訪問(wèn)權(quán)限的控制:系統(tǒng)給用戶(hù)提供了對(duì)自己的訪問(wèn)權(quán)限的管理權(quán),這種權(quán)限分 為國(guó)際權(quán)、國(guó)內(nèi)權(quán)和內(nèi)部網(wǎng)權(quán); ?。?)過(guò)濾政策的設(shè)定:包括對(duì)于合法內(nèi)部IP地址范圍,非法外部站點(diǎn)等的設(shè)定,作 為過(guò)濾的根據(jù); ?。?)訪問(wèn)控制:根據(jù)設(shè)定的過(guò)濾政策,實(shí)現(xiàn)對(duì)訪問(wèn)的控制,達(dá)到禁止非法訪問(wèn)的目 的; (6)基于IP地址的流量的統(tǒng)計(jì):實(shí)現(xiàn)對(duì)每一個(gè)IP地址的國(guó)內(nèi)、國(guó)外出入四種流量的 統(tǒng)計(jì)和記錄; (7)流量計(jì)算和查詢(xún):根據(jù)設(shè)定的流量計(jì)算,向系統(tǒng)管理員和用戶(hù)提供查詢(xún); ?。?)用戶(hù)帳戶(hù)的管理:提供用戶(hù)對(duì)自己的口令、訪問(wèn)權(quán)限的管理功能; ?。?)系統(tǒng)管理功能:為系統(tǒng)管理員提供建立、撤消、用戶(hù)戶(hù)頭、流量查詢(xún)和計(jì)算等 功能; ?。?0)防火墻管理:通過(guò)Web界面來(lái)實(shí)現(xiàn)對(duì)防火墻的管理,使用更為方便; ?。?1)強(qiáng)大的SSN功能:屏蔽內(nèi)部服務(wù)器免受攻擊,實(shí)現(xiàn)安全服務(wù)器。 附:浪潮信息安全服務(wù)器 浪潮信息安全服務(wù)器(NetSafe)具有如下的性能特點(diǎn): (1)自主開(kāi)發(fā)的SSL模塊 自主開(kāi)發(fā)的SSL模塊和與軟件系統(tǒng)平臺(tái)相集成的SSL應(yīng)用軟件產(chǎn)品,實(shí)現(xiàn)了SSL協(xié)議相 關(guān)的全部?jī)?nèi)容,包括關(guān)鍵技術(shù)RSA公鑰算法、X509證書(shū)規(guī)范,以及SSL協(xié)議與IE、Netsca pe標(biāo)準(zhǔn)的完全兼容性。在自主開(kāi)發(fā)的SSL模塊系統(tǒng)中,既做到了與國(guó)際標(biāo)準(zhǔn)相兼容,又可 以集成自己的加密算法和機(jī)制,執(zhí)行效率高。 (2)國(guó)際先進(jìn)水平的網(wǎng)絡(luò)加密卡 采用的網(wǎng)絡(luò)加密卡是一種高性能的安全加密卡,該卡及其所使用的密碼算法和技術(shù) 通過(guò)國(guó)家密碼管理委員會(huì)的鑒定,支持多種公鑰算法和對(duì)稱(chēng)算法,加密算法強(qiáng)度高,可 靠性高。 (3)Linux操作系統(tǒng)和Apache Web服務(wù)器 為了保證系統(tǒng)的安全性,采用Linux作為我們的系統(tǒng)平臺(tái)。Linux作為一種完全公開(kāi) 源代碼的操作系統(tǒng),世界各地有幾十萬(wàn)自愿者為這個(gè)充滿魅力的操作系統(tǒng)的發(fā)展貢獻(xiàn)自 己的才能。由于其代碼的公開(kāi)性,使得該系統(tǒng)BUG較少、更新容易,對(duì)網(wǎng)絡(luò)傳輸和加密方 面提供了廣闊的應(yīng)用前景。 為保證系統(tǒng)運(yùn)行的可靠性和可維護(hù)性,采用目前國(guó)際上最流行的Apache Web服務(wù)器(源代碼有部分改動(dòng))作為我們的Web服務(wù)器。 附:Apache Web服務(wù)器的優(yōu)點(diǎn) Apache主要有以下的優(yōu)點(diǎn): (1)支持最新的HTTP/1.1協(xié)議:Apache是最先使用HTTP/1.1協(xié)議的服務(wù)器之一。它與 最新的HTTP/1.1標(biāo)準(zhǔn)完全兼容,同時(shí)它還與HTTP/1.0向后兼容。Apache已為新協(xié)議所提 供的全部?jī)?nèi)容做好了必要的準(zhǔn)備。 (2)簡(jiǎn)單而強(qiáng)有力的基于文件的配置:Apache服務(wù)器沒(méi)有為管理員提供圖形用戶(hù)界面 。 (3)支持通用網(wǎng)關(guān)接口(CGI):Apache用mod_cgi模塊來(lái)支持CGI。它遵守CGI/1.1 標(biāo)準(zhǔn),并且提供了擴(kuò)充的特征,如定制環(huán)境變量和很難在其他Web服務(wù)器中找到的調(diào)試支 持功能。 (4)支持虛擬主機(jī):Apache是首批既支持基于IP的虛擬主機(jī)又支持命名的虛擬主機(jī)的 Web服務(wù)器之一。 (5)支持HTTP認(rèn)證:Apache支持基于Web的基本認(rèn)證,它還為支持基于消息摘要的認(rèn) 證做好了準(zhǔn)備。 (6)集成的Perl:Perl已成為CGI腳本編程的事實(shí)標(biāo)準(zhǔn)。Apache肯定是使Perl成為這 種流行的CGI編程語(yǔ)言的因素之一。 (7)集成的代理(Proxy)服務(wù)器:你可以將Apache作為前向代理服務(wù)器。 (8)服務(wù)器狀態(tài)和可定制日志:Apache在記錄日志和監(jiān)視服務(wù)器本身狀態(tài)方面向你提 供了很大的靈活性。 (9)支持安全Socket層(SSL):由于版權(quán)法和進(jìn)出口方面的限制,Apache本身不支持 高強(qiáng)度算法的SSL協(xié)議。但在這個(gè)版本的Apache中,支持我們自主開(kāi)發(fā)的高強(qiáng)度算法的S SL加密模塊。
浪潮集團(tuán)的解決方案
浪潮集團(tuán)的解決方案 孫大軍 劉永輝 一、項(xiàng)目需求和系統(tǒng)設(shè)計(jì)目標(biāo) 1.項(xiàng)目需求 在我們這個(gè)方案中,如何在各個(gè)公司內(nèi)部和公司之間實(shí)現(xiàn)信息安全、可靠的交互是 我們?cè)O(shè)計(jì)方案的主要出發(fā)點(diǎn),而如何在可實(shí)現(xiàn)的價(jià)格、配置范圍內(nèi)獲得最高的安全特性 ,也就是達(dá)到最高的性能價(jià)格比,應(yīng)成為本解決方案的主要目標(biāo)。 由于該公司的總公司和分公司分處三地,而且距離比較遠(yuǎn),考慮到價(jià)格因素,故通 過(guò)廉價(jià)的Internet來(lái)傳遞數(shù)據(jù)和進(jìn)行網(wǎng)上互聯(lián),通過(guò)個(gè)人認(rèn)證證書(shū)和網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn) 網(wǎng)上數(shù)據(jù)的安全訪問(wèn)。公司總部的整個(gè)局域網(wǎng)的安全通過(guò)防火墻來(lái)保證,公司駐外人員 或者上下業(yè)務(wù)關(guān)系企業(yè)可通過(guò)撥號(hào)上Internet,通過(guò)和該公司服務(wù)器的個(gè)人證書(shū)認(rèn)證建 立安全連接來(lái)訪問(wèn)該公司服務(wù)器,用SSL(安全套接字層)協(xié)議和證書(shū)控制來(lái)保證在網(wǎng)上進(jìn) 行電子商務(wù)時(shí)數(shù)據(jù)傳輸?shù)陌踩?,以達(dá)到信息安全高效的交流。 2.系統(tǒng)設(shè)計(jì)目標(biāo) 由于系統(tǒng)對(duì)安全等問(wèn)題的考慮,應(yīng)達(dá)到以下的目標(biāo): 局域網(wǎng)內(nèi)部的安全性:主要體現(xiàn)在對(duì)公司內(nèi)部職工的身份的認(rèn)證和權(quán)限的設(shè)置; 防火墻內(nèi)部用戶(hù)的安全性:主要包括對(duì)通過(guò)防火墻的用戶(hù)的身份的認(rèn)證、外來(lái)的數(shù) 據(jù)包的過(guò)濾和對(duì)內(nèi)部的用戶(hù)的管理,并保證內(nèi)部的Web服務(wù)器的安全; 電子商務(wù)的安全性:包括Web服務(wù)器本身的安全性和傳輸?shù)臄?shù)據(jù)的安全性,還應(yīng)包括 對(duì)線上交易的用戶(hù)的身份的認(rèn)證,保證交易的安全性和不可抵賴(lài)性; 廣域網(wǎng)的安全性:主要是三地公司的公文流轉(zhuǎn)、內(nèi)部管理信息等需要做網(wǎng)上的傳遞 ,保證傳輸?shù)墓牟槐坏谌礁`取及駐外人員與公司總部信息的安全交流。 二、總體設(shè)計(jì)方案 基于以上的分析,總部的Web服務(wù)器采用浪潮集團(tuán)自主開(kāi)發(fā)的信息安全服務(wù)器(NetS afe)來(lái)保證網(wǎng)上數(shù)據(jù)的安全(電子商務(wù)的安全),三地分公司的防火墻采用浪潮集團(tuán)的浪 潮防火墻系統(tǒng)(1.0版本)來(lái)保證其內(nèi)部網(wǎng)絡(luò)的安全(局域網(wǎng)的安全),通過(guò)信息安全服務(wù)器 (NetSafe)配套的企業(yè)級(jí)CA證書(shū)系統(tǒng)來(lái)保證各地的網(wǎng)上傳輸數(shù)據(jù)的安全性(廣域網(wǎng)的安全 )。 整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)如圖1所示。 [pic] 圖1 1.公司總部方案 (1)Web服務(wù)器:浪潮信息安全服務(wù)器(NetSafe)(包括相關(guān)軟硬件) (2)防火墻:浪潮防火墻1.0 (3)路由器:Cisco路由器 (4)軟件: 證書(shū)發(fā)放管理器:浪潮企業(yè)級(jí)CA- Center具有完整的證書(shū)發(fā)放功能和部分的證書(shū)管理功能,所發(fā)放的證書(shū)完全符合X.509規(guī) 范,可以應(yīng)用于Internet上的安全通訊、安全E-mail、區(qū)分內(nèi)外部人員等諸多領(lǐng)域; 瀏覽器:安裝用戶(hù)證書(shū)的IE或Netscape瀏覽器,由于美國(guó)的出口限制,我們通常使 用的瀏覽器的密鑰長(zhǎng)度不足,對(duì)稱(chēng)算法密鑰長(zhǎng)度只有40位(在費(fèi)用為5萬(wàn)美元時(shí)只需2秒即 可破譯),而安裝浪潮安全服務(wù)器提供的密鑰程序,可以將密鑰長(zhǎng)度提高到128位(在費(fèi)用 為5000萬(wàn)美元時(shí)需1016年),以保證密文的強(qiáng)壯性; 電子郵件處理:OutLook等。 具體結(jié)構(gòu)如圖2所示。 [pic] 圖2 浪潮信息安全服務(wù)器、證書(shū)發(fā)放管理器(CA- Center)、瀏覽器的工作模式如圖3所示。 [pic] 圖3 2.分公司設(shè)計(jì)方案 由于上海、廣州兩地的分公司地位相同,故采用相同的設(shè)計(jì)方案。 防火墻(可選):浪潮防火墻1.0 瀏覽器:安裝用戶(hù)證書(shū)的IE或Netscape瀏覽器(由于美國(guó)的出口限制,瀏覽器的密鑰 長(zhǎng)度不足,所以需安裝浪潮安全服務(wù)器提供的密鑰程序) 電子郵件處理:OutLook等 具體的結(jié)構(gòu)如圖4所示。 [pic] 圖4 三、對(duì)總體方案的說(shuō)明 方案中對(duì)安全的考慮主要體現(xiàn)在以下幾個(gè)方面: 1.局域網(wǎng)內(nèi)部的安全性 內(nèi)部用戶(hù)通過(guò)用戶(hù)身份的認(rèn)證來(lái)保證其安全。 2.防火墻內(nèi)部用戶(hù)的安全性 防火墻的主要功能是隔離內(nèi)外網(wǎng)絡(luò),浪潮防火墻1.0主要是集身份認(rèn)證、數(shù)據(jù)包過(guò)濾 和安全服務(wù)器功能于一身,實(shí)現(xiàn)完全透明的內(nèi)部和外部的連接,并有過(guò)濾政策設(shè)定、一 次性用戶(hù)口令等功能,符合設(shè)計(jì)的需要。 3.電子商務(wù)的安全性 電子商務(wù)的安全問(wèn)題主要集中在兩點(diǎn):一是服務(wù)器和內(nèi)部網(wǎng)的數(shù)據(jù)被入侵和竊取, 另一點(diǎn)就是傳輸過(guò)程中的敏感數(shù)據(jù)被別人竊取。對(duì)第一種安全問(wèn)題,浪潮防火墻提供SS N功能,屏蔽內(nèi)部服務(wù)器,保證內(nèi)部的Web服務(wù)器免受外部的攻擊,從而保證內(nèi)部的服務(wù) 器、局域網(wǎng)包括Web服務(wù)器的安全。對(duì)于第二種安全問(wèn)題,浪潮信息安全服務(wù)器采用Lin ux操作系統(tǒng)、自主開(kāi)發(fā)的SSL模塊、Apache Web服務(wù)器軟件,結(jié)合國(guó)內(nèi)高水平的加密卡,實(shí)現(xiàn)了高強(qiáng)度的信息加密功能,結(jié)合CA(可 采用浪潮信息安全服務(wù)器(Netsafe)自帶的浪潮企業(yè)級(jí)CA- Ceneter,也可以采用第三方的CA中心)后更具有雙向的身份認(rèn)證、交易的不可抵賴(lài)性等 功能。其采用的自主開(kāi)發(fā)的加密算法密鑰長(zhǎng)度最高可達(dá)168位,用于傳輸密鑰的公鑰算法 的RSA密鑰長(zhǎng)可達(dá)1024位,并且其采用的安全通訊協(xié)議(SSL)、加密算法和電子證書(shū)等方 面完全符合國(guó)際標(biāo)準(zhǔn),符合國(guó)內(nèi)電子商務(wù)的需要。 4.廣域網(wǎng)的安全性 廣域網(wǎng)的安全主要通過(guò)NetSafe自帶的浪潮CA- Center來(lái)實(shí)現(xiàn)。通過(guò)給內(nèi)部職工發(fā)放證書(shū)來(lái)對(duì)三地之間來(lái)往的公文進(jìn)行加密和雙方身份 的認(rèn)證。由于傳輸過(guò)程中是加密處理的且加密強(qiáng)度高、密文強(qiáng)壯性好,所以不用擔(dān)心傳 輸過(guò)程中的泄密。公司駐外人員同樣可以用其內(nèi)部職工的證書(shū)訪問(wèn)公司網(wǎng)站和進(jìn)行安全 公文傳輸。 四、系統(tǒng)特點(diǎn)及優(yōu)勢(shì) 1.系統(tǒng)穩(wěn)定安全 信息安全服務(wù)器(Netsafe)和浪潮防火墻均采用Linux操作系統(tǒng),系統(tǒng)運(yùn)行穩(wěn)定,克 服了某些系統(tǒng)運(yùn)行不穩(wěn),頻繁死機(jī)的問(wèn)題。且由于操作系統(tǒng)開(kāi)放源代碼,故Bug也較少。 2. 配置靈活 浪潮防火墻的配置界面采用的是Web形式,可以通過(guò)客戶(hù)端來(lái)進(jìn)行系統(tǒng)的配置,靈活 直觀,基本上操作人員不需要培訓(xùn)就可上手。 信息安全服務(wù)器(Netsafe)采用自主開(kāi)發(fā)的SSL模塊及世界占有率第一的Web服務(wù)器A pache作為基礎(chǔ)的Web服務(wù)器,配置簡(jiǎn)單靈活、功能強(qiáng)大。作為服務(wù)器端,系統(tǒng)管理人員 可以根據(jù)需要設(shè)定瀏覽器使用者個(gè)人證書(shū)是否必需,瀏覽器使用者安全等級(jí)等,保證各 種用戶(hù)正常瀏覽公司網(wǎng)站。 3.使用簡(jiǎn)單 浪潮防火墻:過(guò)濾政策設(shè)置簡(jiǎn)單,管理容易。 信息安全服務(wù)器(Netsafe):用戶(hù)使用瀏覽器安全訪問(wèn)公司網(wǎng)站時(shí)非常方便(僅是ht tps://和http://的差別),實(shí)現(xiàn)了安全性和簡(jiǎn)易性的統(tǒng)一。 4.功能完整 浪潮防火墻:基本上實(shí)現(xiàn)所有防火墻的功能。 信息安全服務(wù)器(Netsafe):完整的證書(shū)生成功能、部分的證書(shū)管理功能,完整的網(wǎng) 上傳輸信息加密和通過(guò)證書(shū)的身份認(rèn)證功能。 5.性能價(jià)格比高 浪潮集團(tuán)是國(guó)內(nèi)的大型電子廠商,產(chǎn)品的價(jià)格要比國(guó)外的同類(lèi)產(chǎn)品和國(guó)內(nèi)的大多數(shù) 產(chǎn)品低,實(shí)現(xiàn)最高的性能價(jià)格比。 五、注意的問(wèn)題 安全問(wèn)題是一個(gè)綜合性的問(wèn)題,要實(shí)現(xiàn)真正的安全,只能是軟件、硬件和人三方面 的完美結(jié)合。由于配置的失誤導(dǎo)致系統(tǒng)安全性能的降低、應(yīng)有的安全功能得不到發(fā)揮的 例子層出不窮,這就要求系統(tǒng)安全管理人員要不斷提高個(gè)人素質(zhì),只有這樣才能構(gòu)建一 個(gè)比較安全的系統(tǒng)。 附:浪潮防火墻 浪潮防火1.0具有的功能如下: (1)IP地址復(fù)用:實(shí)現(xiàn)多個(gè)用戶(hù)共享一個(gè)有效的IP地址,透明訪問(wèn)Internet資源; (2)用戶(hù)身份認(rèn)證:內(nèi)部網(wǎng)的用戶(hù)必須經(jīng)過(guò)身份認(rèn)證后才能訪問(wèn)外部網(wǎng); ?。?)訪問(wèn)權(quán)限的控制:系統(tǒng)給用戶(hù)提供了對(duì)自己的訪問(wèn)權(quán)限的管理權(quán),這種權(quán)限分 為國(guó)際權(quán)、國(guó)內(nèi)權(quán)和內(nèi)部網(wǎng)權(quán); ?。?)過(guò)濾政策的設(shè)定:包括對(duì)于合法內(nèi)部IP地址范圍,非法外部站點(diǎn)等的設(shè)定,作 為過(guò)濾的根據(jù); ?。?)訪問(wèn)控制:根據(jù)設(shè)定的過(guò)濾政策,實(shí)現(xiàn)對(duì)訪問(wèn)的控制,達(dá)到禁止非法訪問(wèn)的目 的; (6)基于IP地址的流量的統(tǒng)計(jì):實(shí)現(xiàn)對(duì)每一個(gè)IP地址的國(guó)內(nèi)、國(guó)外出入四種流量的 統(tǒng)計(jì)和記錄; (7)流量計(jì)算和查詢(xún):根據(jù)設(shè)定的流量計(jì)算,向系統(tǒng)管理員和用戶(hù)提供查詢(xún); ?。?)用戶(hù)帳戶(hù)的管理:提供用戶(hù)對(duì)自己的口令、訪問(wèn)權(quán)限的管理功能; ?。?)系統(tǒng)管理功能:為系統(tǒng)管理員提供建立、撤消、用戶(hù)戶(hù)頭、流量查詢(xún)和計(jì)算等 功能; ?。?0)防火墻管理:通過(guò)Web界面來(lái)實(shí)現(xiàn)對(duì)防火墻的管理,使用更為方便; ?。?1)強(qiáng)大的SSN功能:屏蔽內(nèi)部服務(wù)器免受攻擊,實(shí)現(xiàn)安全服務(wù)器。 附:浪潮信息安全服務(wù)器 浪潮信息安全服務(wù)器(NetSafe)具有如下的性能特點(diǎn): (1)自主開(kāi)發(fā)的SSL模塊 自主開(kāi)發(fā)的SSL模塊和與軟件系統(tǒng)平臺(tái)相集成的SSL應(yīng)用軟件產(chǎn)品,實(shí)現(xiàn)了SSL協(xié)議相 關(guān)的全部?jī)?nèi)容,包括關(guān)鍵技術(shù)RSA公鑰算法、X509證書(shū)規(guī)范,以及SSL協(xié)議與IE、Netsca pe標(biāo)準(zhǔn)的完全兼容性。在自主開(kāi)發(fā)的SSL模塊系統(tǒng)中,既做到了與國(guó)際標(biāo)準(zhǔn)相兼容,又可 以集成自己的加密算法和機(jī)制,執(zhí)行效率高。 (2)國(guó)際先進(jìn)水平的網(wǎng)絡(luò)加密卡 采用的網(wǎng)絡(luò)加密卡是一種高性能的安全加密卡,該卡及其所使用的密碼算法和技術(shù) 通過(guò)國(guó)家密碼管理委員會(huì)的鑒定,支持多種公鑰算法和對(duì)稱(chēng)算法,加密算法強(qiáng)度高,可 靠性高。 (3)Linux操作系統(tǒng)和Apache Web服務(wù)器 為了保證系統(tǒng)的安全性,采用Linux作為我們的系統(tǒng)平臺(tái)。Linux作為一種完全公開(kāi) 源代碼的操作系統(tǒng),世界各地有幾十萬(wàn)自愿者為這個(gè)充滿魅力的操作系統(tǒng)的發(fā)展貢獻(xiàn)自 己的才能。由于其代碼的公開(kāi)性,使得該系統(tǒng)BUG較少、更新容易,對(duì)網(wǎng)絡(luò)傳輸和加密方 面提供了廣闊的應(yīng)用前景。 為保證系統(tǒng)運(yùn)行的可靠性和可維護(hù)性,采用目前國(guó)際上最流行的Apache Web服務(wù)器(源代碼有部分改動(dòng))作為我們的Web服務(wù)器。 附:Apache Web服務(wù)器的優(yōu)點(diǎn) Apache主要有以下的優(yōu)點(diǎn): (1)支持最新的HTTP/1.1協(xié)議:Apache是最先使用HTTP/1.1協(xié)議的服務(wù)器之一。它與 最新的HTTP/1.1標(biāo)準(zhǔn)完全兼容,同時(shí)它還與HTTP/1.0向后兼容。Apache已為新協(xié)議所提 供的全部?jī)?nèi)容做好了必要的準(zhǔn)備。 (2)簡(jiǎn)單而強(qiáng)有力的基于文件的配置:Apache服務(wù)器沒(méi)有為管理員提供圖形用戶(hù)界面 。 (3)支持通用網(wǎng)關(guān)接口(CGI):Apache用mod_cgi模塊來(lái)支持CGI。它遵守CGI/1.1 標(biāo)準(zhǔn),并且提供了擴(kuò)充的特征,如定制環(huán)境變量和很難在其他Web服務(wù)器中找到的調(diào)試支 持功能。 (4)支持虛擬主機(jī):Apache是首批既支持基于IP的虛擬主機(jī)又支持命名的虛擬主機(jī)的 Web服務(wù)器之一。 (5)支持HTTP認(rèn)證:Apache支持基于Web的基本認(rèn)證,它還為支持基于消息摘要的認(rèn) 證做好了準(zhǔn)備。 (6)集成的Perl:Perl已成為CGI腳本編程的事實(shí)標(biāo)準(zhǔn)。Apache肯定是使Perl成為這 種流行的CGI編程語(yǔ)言的因素之一。 (7)集成的代理(Proxy)服務(wù)器:你可以將Apache作為前向代理服務(wù)器。 (8)服務(wù)器狀態(tài)和可定制日志:Apache在記錄日志和監(jiān)視服務(wù)器本身狀態(tài)方面向你提 供了很大的靈活性。 (9)支持安全Socket層(SSL):由于版權(quán)法和進(jìn)出口方面的限制,Apache本身不支持 高強(qiáng)度算法的SSL協(xié)議。但在這個(gè)版本的Apache中,支持我們自主開(kāi)發(fā)的高強(qiáng)度算法的S SL加密模塊。
浪潮集團(tuán)的解決方案
[下載聲明]
1.本站的所有資料均為資料作者提供和網(wǎng)友推薦收集整理而來(lái),僅供學(xué)習(xí)和研究交流使用。如有侵犯到您版權(quán)的,請(qǐng)來(lái)電指出,本站將立即改正。電話:010-82593357。
2、訪問(wèn)管理資源網(wǎng)的用戶(hù)必須明白,本站對(duì)提供下載的學(xué)習(xí)資料等不擁有任何權(quán)利,版權(quán)歸該下載資源的合法擁有者所有。
3、本站保證站內(nèi)提供的所有可下載資源都是按“原樣”提供,本站未做過(guò)任何改動(dòng);但本網(wǎng)站不保證本站提供的下載資源的準(zhǔn)確性、安全性和完整性;同時(shí)本網(wǎng)站也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的損失或傷害。
4、未經(jīng)本網(wǎng)站的明確許可,任何人不得大量鏈接本站下載資源;不得復(fù)制或仿造本網(wǎng)站。本網(wǎng)站對(duì)其自行開(kāi)發(fā)的或和他人共同開(kāi)發(fā)的所有內(nèi)容、技術(shù)手段和服務(wù)擁有全部知識(shí)產(chǎn)權(quán),任何人不得侵害或破壞,也不得擅自使用。
我要上傳資料,請(qǐng)點(diǎn)我!
管理工具分類(lèi)
ISO認(rèn)證課程講義管理表格合同大全法規(guī)條例營(yíng)銷(xiāo)資料方案報(bào)告說(shuō)明標(biāo)準(zhǔn)管理戰(zhàn)略商業(yè)計(jì)劃書(shū)市場(chǎng)分析戰(zhàn)略經(jīng)營(yíng)策劃方案培訓(xùn)講義企業(yè)上市采購(gòu)物流電子商務(wù)質(zhì)量管理企業(yè)名錄生產(chǎn)管理金融知識(shí)電子書(shū)客戶(hù)管理企業(yè)文化報(bào)告論文項(xiàng)目管理財(cái)務(wù)資料固定資產(chǎn)人力資源管理制度工作分析績(jī)效考核資料面試招聘人才測(cè)評(píng)崗位管理職業(yè)規(guī)劃KPI績(jī)效指標(biāo)勞資關(guān)系薪酬激勵(lì)人力資源案例人事表格考勤管理人事制度薪資表格薪資制度招聘面試表格崗位分析員工管理薪酬管理績(jī)效管理入職指引薪酬設(shè)計(jì)績(jī)效管理績(jī)效管理培訓(xùn)績(jī)效管理方案平衡計(jì)分卡績(jī)效評(píng)估績(jī)效考核表格人力資源規(guī)劃安全管理制度經(jīng)營(yíng)管理制度組織機(jī)構(gòu)管理辦公總務(wù)管理財(cái)務(wù)管理制度質(zhì)量管理制度會(huì)計(jì)管理制度代理連鎖制度銷(xiāo)售管理制度倉(cāng)庫(kù)管理制度CI管理制度廣告策劃制度工程管理制度采購(gòu)管理制度生產(chǎn)管理制度進(jìn)出口制度考勤管理制度人事管理制度員工福利制度咨詢(xún)?cè)\斷制度信息管理制度員工培訓(xùn)制度辦公室制度人力資源管理企業(yè)培訓(xùn)績(jī)效考核其它
精品推薦
下載排行
- 1社會(huì)保障基礎(chǔ)知識(shí)(ppt) 16695
- 2安全生產(chǎn)事故案例分析(ppt 16695
- 3行政專(zhuān)員崗位職責(zé) 16695
- 4品管部崗位職責(zé)與任職要求 16695
- 5員工守則 16695
- 6軟件驗(yàn)收?qǐng)?bào)告 16695
- 7問(wèn)卷調(diào)查表(范例) 16695
- 8工資發(fā)放明細(xì)表 16695
- 9文件簽收單 16695
- 10跟我學(xué)禮儀 16695