浪潮集团的网络安全解决方案
2008-02-23 05:31:44来源:互联网 阅读 ()
一、项目需求和系统设计目标1.项目需求
在我们这个方案中,如何在各个公司内部和公司之间实现信息安全、可靠的交互是我们设计方案的主要出发点,而如何在可实现的价格、配置范围内获得最高的安全特性,也就是达到最高的性能价格比,应成为本解决方案的主要目标。
由于该公司的总公司和分公司分处三地,而且距离比较远,考虑到价格因素,故通过廉价的Internet来传递数据和进行网上互联,通过个人认证证书和网络防火墙来实现网上数据的安全访问。公司总部的整个局域网的安全通过防火墙来确保,公司驻外人员或上下业务关系企业可通过拨号上Internet,通过和该公司服务器的个人证书认证建立安全连接来访问该公司服务器,用SSL(安全套接字层)协议和证书控制来确保在网上进行电子商务时数据传输的安全性,以达到信息安全高效的交流。
2.系统设计目标
由于系统对安全等问题的考虑,应达到以下的目标:
局域网内部的安全性:主要体现在对公司内部职工的身份的认证和权限的配置;
防火墙内部用户的安全性:主要包括对通过防火墙的用户的身份的认证、外来的数据包的过滤和对内部的用户的管理,并确保内部的Web服务器的安全;
电子商务的安全性:包括Web服务器本身的安全性和传输的数据的安全性,还应包括对线上交易的用户的身份的认证,确保交易的安全性和不可抵赖性;
广域网的安全性:主要是三地公司的公文流转、内部管理信息等需要做网上的传递,确保传输的公文不被第三方窃取及驻外人员和公司总部信息的安全交流。
二、总体设计方案
基于以上的分析,总部的Web服务器采用浪潮集团自主研发的信息安全服务器(NetSafe)来确保网上数据的安全(电子商务的安全),三地分公司的防火墙采用浪潮集团的浪潮防火墙系统(1.0版本)来确保其内部网络的安全(局域网的安全),通过信息安全服务器(NetSafe)配套的企业级CA证书系统来确保各地的网上传输数据的安全性(广域网的安全)。
整个网络结构设计如图1所示。
(图1)
1.公司总部方案
(1)Web服务器:浪潮信息安全服务器(NetSafe)(包括相关软件和硬件)
(2)防火墙:浪潮防火墙1.0
(3)路由器:Cisco路由器
(4)软件:
证书发放管理器:浪潮企业级CA-Center具备完整的证书发放功能和部分的证书管理功能,所发放的证书完全符合X.509规范,能够应用于Internet上的安全通讯、安全E-mail、区分内外部人员等诸多领域;
浏览器:安装用户证书的IE或Netscape浏览器,由于美国的出口限制,我们通常使用的浏览器的密钥长度不足,对称算法密钥长度只有40位(在费用为5万美元时只需2秒即可破译),而安装浪潮安全服务器提供的密钥程式,能够将密钥长度提高到128位(在费用为5000万美元时需1016年),以确保密文的强壮性;
电子邮件处理:OutLook等。
具体结构如图2所示。
(图2)
浪潮信息安全服务器、证书发放管理器(CA-Center)、浏览器的工作模式如图3所示。
(图3)
2.分公司设计方案
由于上海、广州两地的分公司地位相同,故采用相同的设计方案。
防火墙(可选):浪潮防火墙1.0
浏览器:安装用户证书的IE或Netscape浏览器(由于美国的出口限制,浏览器的密钥长度不足,所以需安装浪潮安全服务器提供的密钥程式)
电子邮件处理:OutLook等
具体的结构如图4所示。
(图4)
三、对总体方案的说明
方案中对安全的考虑主要体现在以下几个方面:
1.局域网内部的安全性
内部用户通过用户身份的认证来确保其安全。
2.防火墙内部用户的安全性
防火墙的主要功能是隔离内外网络,浪潮防火墙1.0主要是集身份认证、数据包过滤和安全服务器功能于一身,实现完全透明的内部和外部的连接,并有过滤政策设定、一次性用户口令等功能,符合设计的需要。
3.电子商务的安全性
电子商务的安全问题主要集中在两点:一是服务器和内部网的数据被入侵和窃取,另一点就是传输过程中的敏感数据被别人窃取。对第一种安全问题,浪潮防火墙提供SSN功能,屏蔽内部服务器,确保内部的Web服务器免受外部的攻击,从而确保内部的服务器、局域网包括Web服务器的安全。对于第二种安全问题,浪潮信息安全服务器采用Linux操作系统、自主研发的SSL模块、Apache Web服务器软件,结合国内高水平的加密卡,实现了高强度的信息加密功能,结合CA(可采用浪潮信息安全服务器(Netsafe)自带的浪潮企业级CA-Ceneter,也能够采用第三方的CA中央)后更具备双向的身份认证、交易的不可抵赖性等功能。其采用的自主研发的加密算法密钥长度最高可达168位,用于传输密钥的公钥算法的RSA密钥长可达1024位,并且其采用的安全通讯协议(SSL)、加密算法和电子证书等方面完全符合国际标准,符合国内电子商务的需要。
4.广域网的安全性
广域网的安全主要通过NetSafe自带的浪潮CA-Center来实现。通过给内部职工发放证书来对三地之间来往的公文进行加密和双方身份的认证。由于传输过程中是加密处理的且加密强度高、密文强壮性好,所以不用担心传输过程中的泄密。公司驻外人员同样能够用其内部职工的证书访问公司网站和进行安全公文传输。
四、系统特点及优势
1.系统稳定安全
信息安全服务器(Netsafe)和浪潮防火墙均采用Linux操作系统,系统运行稳定,克服了某些系统运行不稳,频繁死机的问题。且由于操作系统开放源代码,故Bug也较少。
2. 配置灵活
浪潮防火墙的配置界面采用的是Web形式,能够通过客户端来进行系统的配置,灵活直观,基本上操作人员无需培训就可上手。
信息安全服务器(Netsafe)采用自主研发的SSL模块及世界占有率第一的Web服务器Apache作为基础的Web服务器,配置简单灵活、功能强大。作为服务器端,系统管理人员能够根据需要设定浏览器使用者个人证书是否必需,浏览器使用者安全等级等,确保各种用户正常浏览公司网站。
3.使用简单
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
