1、浪潮集团的解决方案大军永辉一、项目需求和系统设计目标1项目需求在我们这个方案中，如何在各个公司部和公司之间实现信息安全、可靠的交互是我们设计方案的主要出发点，而如何在可实现的价格、配置围获得最高的安全特性，也就是达到最高的性能价格比，应成为本解决方案的主要目标。由于该公司的总公司和分公司分处三地，而且距离比较远，考虑到价格因素，故通过廉价的Internet来传递数据和进行网上互联，通过个人认证证书和网络防火墙来实现网上数据的安全访问。公司总部的整个局域网的安全通过防火墙来保证，公司驻外人员或者上下业务关系企业可通过拨号上Internet，通过和该公司服务器的个人证书认证建立安全连接来访问该公司2、服务器，用SSL(安全套接字层)协议和证书控制来保证在网上进行电子商务时数据传输的安全性，以达到信息安全高效的交流。2系统设计目标由于系统对安全等问题的考虑，应达到以下的目标：局域网部的安全性：主要体现在对公司部职工的身份的认证和权限的设置；防火墙部用户的安全性：主要包括对通过防火墙的用户的身份的认证、外来的数据包的过滤和对部的用户的管理，并保证部的Web服务器的安全；电子商务的安全性：包括Web服务器本身的安全性和传输的数据的安全性，还应包括对线上交易的用户的身份的认证，保证交易的安全性和不可抵赖性；广域网的安全性：主要是三地公司的公文流转、部管理信息等需要做网上的传递，保证传输的公文不被第3、三方窃取与驻外人员与公司总部信息的安全交流。二、总体设计方案基于以上的分析，总部的Web服务器采用浪潮集团自主开发的信息安全服务器(NetSafe)来保证网上数据的安全(电子商务的安全)，三地分公司的防火墙采用浪潮集团的浪潮防火墙系统(1.0版本)来保证其部网络的安全(局域网的安全)，通过信息安全服务器(NetSafe)配套的企业级CA证书系统来保证各地的网上传输数据的安全性(广域网的安全)。整个网络结构设计如图1所示。图11公司总部方案(1)Web服务器：浪潮信息安全服务器(NetSafe)(包括相关软硬件)(2)防火墙：浪潮防火墙1.0(3)路由器：Cisco路由器(4)软件：证书发放管理4、器：浪潮企业级CA-Center具有完整的证书发放功能和部分的证书管理功能，所发放的证书完全符合X.509规，可以应用于Internet上的安全通讯、安全E-mail、区分外部人员等诸多领域；浏览器：安装用户证书的IE或Netscape浏览器，由于美国的出口限制，我们通常使用的浏览器的密钥长度不足，对称算法密钥长度只有40位(在费用为5万美元时只需2秒即可破译)，而安装浪潮安全服务器提供的密钥程序，可以将密钥长度提高到128位(在费用为5000万美元时需1016年)，以保证密文的强壮性；电子处理：OutLook等。具体结构如图2所示。图2浪潮信息安全服务器、证书发放管理器(CA-Center)5、浏览器的工作模式如图3所示。图32分公司设计方案由于、两地的分公司地位一样，故采用一样的设计方案。防火墙(可选)：浪潮防火墙1.0浏览器：安装用户证书的IE或Netscape浏览器(由于美国的出口限制，浏览器的密钥长度不足，所以需安装浪潮安全服务器提供的密钥程序)电子处理：OutLook等具体的结构如图4所示。图4三、对总体方案的说明方案中对安全的考虑主要体现在以下几个方面：1局域网部的安全性部用户通过用户身份的认证来保证其安全。2防火墙部用户的安全性防火墙的主要功能是隔离外网络，浪潮防火墙1.0主要是集身份认证、数据包过滤和安全服务器功能于一身，实现完全透明的部和外部的连接，并有过滤政策设6、定、一次性用户口令等功能，符合设计的需要。3电子商务的安全性电子商务的安全问题主要集中在两点：一是服务器和部网的数据被入侵和窃取，另一点就是传输过程中的敏感数据被别人窃取。对第一种安全问题，浪潮防火墙提供SSN功能，屏蔽部服务器，保证部的Web服务器免受外部的攻击，从而保证部的服务器、局域网包括Web服务器的安全。对于第二种安全问题，浪潮信息安全服务器采用Linux操作系统、自主开发的SSL模块、Apache Web服务器软件，结合国高水平的加密卡，实现了高强度的信息加密功能，结合CA(可采用浪潮信息安全服务器(Netsafe)自带的浪潮企业级CA-Ceneter，也可以采用第三方的CA中心)7、后更具有双向的身份认证、交易的不可抵赖性等功能。其采用的自主开发的加密算法密钥长度最高可达168位，用于传输密钥的公钥算法的RSA密钥长可达1024位，并且其采用的安全通讯协议(SSL)、加密算法和电子证书等方面完全符合国际标准，符合国电子商务的需要。4广域网的安全性广域网的安全主要通过NetSafe自带的浪潮CA-Center来实现。通过给部职工发放证书来对三地之间来往的公文进行加密和双方身份的认证。由于传输过程中是加密处理的且加密强度高、密文强壮性好，所以不用担心传输过程中的泄密。公司驻外人员同样可以用其部职工的证书访问公司和进行安全公文传输。四、系统特点与优势1系统稳定安全信息安全服务器8、(Netsafe)和浪潮防火墙均采用Linux操作系统，系统运行稳定，克服了某些系统运行不稳，频繁死机的问题。且由于操作系统开放源代码，故Bug也较少。2 配置灵活浪潮防火墙的配置界面采用的是Web形式，可以通过客户端来进行系统的配置，灵活直观，基本上操作人员不需要培训就可上手。信息安全服务器(Netsafe)采用自主开发的SSL模块与世界占有率第一的Web服务器Apache作为基础的Web服务器，配置简单灵活、功能强大。作为服务器端，系统管理人员可以根据需要设定浏览器使用者个人证书是否必需，浏览器使用者安全等级等，保证各种用户正常浏览公司。3使用简单浪潮防火墙：过滤政策设置简单，管理容易。信9、息安全服务器(Netsafe)：用户使用浏览器安全访问公司时非常方便(仅是 s:/和的差别)，实现了安全性和简易性的统一。4功能完整浪潮防火墙：基本上实现所有防火墙的功能。信息安全服务器(Netsafe)：完整的证书生成功能、部分的证书管理功能，完整的网上传输信息加密和通过证书的身份认证功能。5性能价格比高浪潮集团是国的大型电子厂商，产品的价格要比国外的同类产品和国的大多数产品低，实现最高的性能价格比。五、注意的问题安全问题是一个综合性的问题，要实现真正的安全，只能是软件、硬件和人三方面的完美结合。由于配置的失误导致系统安全性能的降低、应有的安全功能得不到发挥的例子层出不穷，这就要求系统安全管10、理人员要不断提高个人素质，只有这样才能构建一个比较安全的系统。附：浪潮防火墙浪潮防火1.0具有的功能如下：（1）IP地址复用：实现多个用户共享一个有效的IP地址，透明访问Internet资源；（2）用户身份认证：部网的用户必须经过身份认证后才能访问外部网；（3）访问权限的控制：系统给用户提供了对自己的访问权限的管理权，这种权限分为国际权、国权和部网权；（4）过滤政策的设定：包括对于合法部IP地址围，非法外部站点等的设定，作为过滤的根据；（5）访问控制：根据设定的过滤政策，实现对访问的控制，达到禁止非法访问的目的；（6）基于IP地址的流量的统计：实现对每一个IP地址的国、国外出入四种流量的统计和11、记录；（7）流量计算和查询：根据设定的流量计算，向系统管理员和用户提供查询；（8）用户的管理：提供用户对自己的口令、访问权限的管理功能；（9）系统管理功能：为系统管理员提供建立、撤消、用户户头、流量查询和计算等功能；（10）防火墙管理：通过Web界面来实现对防火墙的管理，使用更为方便；（11）强大的SSN功能：屏蔽部服务器免受攻击，实现安全服务器。附：浪潮信息安全服务器浪潮信息安全服务器(NetSafe)具有如下的性能特点：(1)自主开发的SSL模块自主开发的SSL模块和与软件系统平台相集成的SSL应用软件产品，实现了SSL协议相关的全部容，包括关键技术RSA公钥算法、X509证书规，以与SS12、L协议与IE、Netscape标准的完全兼容性。在自主开发的SSL模块系统中，既做到了与国际标准相兼容，又可以集成自己的加密算法和机制，执行效率高。(2)国际先进水平的网络加密卡采用的网络加密卡是一种高性能的安全加密卡，该卡与其所使用的密码算法和技术通过国家密码管理委员会的鉴定，支持多种公钥算法和对称算法，加密算法强度高，可靠性高。(3)Linux操作系统和Apache Web服务器为了保证系统的安全性，采用Linux作为我们的系统平台。Linux作为一种完全公开源代码的操作系统，世界各地有几十万自愿者为这个充满魅力的操作系统的发展贡献自己的才能。由于其代码的公开性，使得该系统BUG较少、更新13、容易，对网络传输和加密方面提供了广阔的应用前景。为保证系统运行的可靠性和可维护性，采用目前国际上最流行的Apache Web服务器(源代码有部分改动)作为我们的Web服务器。附：Apache Web服务器的优点Apache主要有以下的优点：(1)支持最新的 /1.1协议：Apache是最先使用 /1.1协议的服务器之一。它与最新的 /1.1标准完全兼容，同时它还与 /1.0向后兼容。Apache已为新协议所提供的全部容做好了必要的准备。(2)简单而强有力的基于文件的配置：Apache服务器没有为管理员提供图形用户界面。(3)支持通用网关接口(CGI)：Apache用mod_cgi模块来支持CG14、I。它遵守CGI/1.1 标准，并且提供了扩充的特征，如定制环境变量和很难在其他Web服务器中找到的调试支持功能。(4)支持虚拟主机：Apache是首批既支持基于IP的虚拟主机又支持命名的虚拟主机的Web服务器之一。(5)支持 认证：Apache支持基于Web的基本认证，它还为支持基于消息摘要的认证做好了准备。(6)集成的Perl：Perl已成为CGI脚本编程的事实标准。Apache肯定是使Perl成为这种流行的CGI编程语言的因素之一。(7)集成的代理(Proxy)服务器：你可以将Apache作为前向代理服务器。(8)服务器状态和可定制日志：Apache在记录日志和监视服务器本身状态方面向你提供了很大的灵活性。(9)支持安全Socket层(SSL)：由于法和进出口方面的限制，Apache本身不支持高强度算法的SSL协议。但在这个版本的Apache中，支持我们自主开发的高强度算法的SSL加密模块。