浪潮集团的解决方案
孙大军 刘永辉
一、项目需求和系统设计目标
1.项目需求
在我们这个方案中,如何在各个公司内部和公司之间实现信息安全、可靠的交互是我们设计
方案的主要出发点,而如何在可实现的价格、配置范围内获得最高的安全特性,也就是达到最高
的性能价格比,应成为本解决方案的主要目标。
由于该公司的总公司和分公司分处三地,而且距离比较远,考虑到价格因素,故通过廉价
的 Internet 来传递数据和进行网上互联,通过个人认证证书和网络防火墙来实现网上数据的安全
访问。公司总部的整个局域网的安全通过防火墙来保证,公司驻外人员或者上下业务关系企业可
通过拨号上 Internet,通过和该公司服务器的个人证书认证建立安全连接来访问该公司服务器,
用 SSL(安全套接字层)协议和证书控制来保证在网上进行电子商务时数据传输的安全性,以达到
信息安全高效的交流。
2.系统设计目标
由于系统对安全等问题的考虑,应达到以下的目标:
局域网内部的安全性:主要体现在对公司内部职工的身份的认证和权限的设置;
防火墙内部用户的安全性:主要包括对通过防火墙的用户的身份的认证、外来的数据包的过
滤和对内部的用户的管理,并保证内部的 Web 服务器的安全;
电子商务的安全性:包括 Web 服务器本身的安全性和传输的数据的安全性,还应包括对线
上交易的用户的身份的认证,保证交易的安全性和不可抵赖性;
广域网的安全性:主要是三地公司的公文流转、内部管理信息等需要做网上的传递,保证传
输的公文不被第三方窃取及驻外人员与公司总部信息的安全交流。
二、总体设计方案
基于以上的分析,总部的 Web 服务器采用浪潮集团自主开发的信息安全服务器(NetSafe)来
保证网上数据的安全(电子商务的安全),三地分公司的防火墙采用浪潮集团的浪潮防火墙系统(
版本)来保证其内部网络的安全(局域网的安全),通过信息安全服务器(NetSafe)配套的企业级 CA
证书系统来保证各地的网上传输数据的安全性(广域网的安全)。
整个网络结构设计如图 1 所示。
图 1
1.公司总部方案
(1)Web 服务器:浪潮信息安全服务器(NetSafe)(包括相关软硬件)
(2)防火墙:浪潮防火墙
(3)路由器:Cisco 路由器
(4)软件:
证书发放管理器:浪潮企业级 CA-Center 具有完整的证书发放功能和部分的证书管理功能,
所发放的证书完全符合 规范,可以应用于 Internet 上的安全通讯、安全 E-mail、区分内外
部人员等诸多领域;
浏览器:安装用户证书的 IE 或 Netscape 浏览器,由于美国的出口限制,我们通常使用的浏
览器的密钥长度不足,对称算法密钥长度只有 40 位(在费用为 5 万美元时只需 2 秒即可破译),
而安装浪潮安全服务器提供的密钥程序,可以将密钥长度提高到 128 位(在费用为 5000 万美元时
需 1016 年),以保证密文的强壮性;
电子邮件处理:OutLook 等。
具体结构如图 2 所示。
图 2
浪潮信息安全服务器、证书发放管理器(CA-Center)、浏览器的工作模式如图 3 所示。
图 3
2.分公司设计方案
由于上海、广州两地的分公司地位相同,故采用相同的设计方案。
防火墙(可选):浪潮防火墙
浏览器:安装用户证书的 IE 或 Netscape 浏览器(由于美国的出口限制,浏览器的密钥长度不
足,所以需安装浪潮安全服务器提供的密钥程序)
电子邮件处理:OutLook 等
具体的结构如图 4 所示。
图 4
三、对总体方案的说明
方案中对安全的考虑主要体现在以下几个方面:
1.局域网内部的安全性
内部用户通过用户身份的认证来保证其安全。
2.防火墙内部用户的安全性
防火墙的主要功能是隔离内外网络,浪潮防火墙 主要是集身份认证、数据包过滤和安全
服务器功能于一身,实现完全透明的内部和外部的连接,并有过滤政策设定、一次性用户口令等
功能,符合设计的需要。
3.电子商务的安全性
电子商务的安全问题主要集中在两点:一是服务器和内部网的数据被入侵和窃取,另一点就
是传输过程中的敏感数据被别人窃取。对第一种安全问题,浪潮防火墙提供 SSN 功能,屏蔽内
部服务器,保证内部的 Web 服务器免受外部的攻击,从而保证内部的服务器、局域网包括 Web
服务器的安全。对于第二种安全问题,浪潮信息安全服务器采用 Linux 操作系统、自主开发的 SSL
模块、Apache Web 服务器软件,结合国内高水平的加密卡,实现了高强度的信息加密功能,结
合 CA(可采用浪潮信息安全服务器(Netsafe)自带的浪潮企业级 CA-Ceneter,也可以采用第三方的
CA 中心)后更具有双向的身份认证、交易的不可抵赖性等功能。其采用的自主开发的加密算法密
钥长度最高可达 168 位,用于传输密钥的公钥算法的 RSA 密钥长可达 1024 位,并且其采用的安
全通讯协议(SSL)、加密算法和电子证书等方面完全符合国际标准,符合国内电子商务的需要。
4.广域网的安全性
广域网的安全主要通过 NetSafe 自带的浪潮 CA-Center 来实现。通过给内部职工发放证书来
对三地之间来往的公文进行加密和双方身份的认证。由于传输过程中是加密处理的且加密强度高、
密文强壮性好,所以不用担心传输过程中的泄密。公司驻外人员同样可以用其内部职工的证书访
问公司网站和进行安全公文传输。
四、系统特点及优势
1.系统稳定安全
信息安全服务器(Netsafe)和浪潮防火墙均采用 Linux 操作系统,系统运行稳定,克服了某些
系统运行不稳,频繁死机的问题。且由于操作系统开放源代码,故 Bug 也较少。
2. 配置灵活
浪潮防火墙的配置界面采用的是 Web 形式,可以通过客户端来进行系统的配置,灵活直观,
基本上操作人员不需要培训就可上手。
信息安全服务器(Netsafe)采用自主开发的 SSL 模块及世界占有率第一的 Web 服务器
Apache 作为基础的 Web 服务器,配置简单灵活、功能强大。作为服务器端,系统管理人员可以
根据需要设定浏览器使用者个人证书是否必需,浏览器使用者安全等级等,保证各种用户正常浏
览公司网站。
3.使用简单
浪潮防火墙:过滤政策设置简单,管理容易。
信息安全服务器(Netsafe):用户使用浏览器安全访问公司网站时非常方便(仅是 https://和
http://的差别),实现了安全性和简易性的统一。
4.功能完整
浪潮防火墙:基本上实现所有防火墙的功能。
信息安全服务器(Netsafe):完整的证书生成功能、部分的证书管理功能,完整的网上传输信
息加密和通过证书的身份认证功能。
5.性能价格比高
浪潮集团是国内的大型电子厂商,产品的价格要比国外的同类产品和国内的大多数产品低,
实现最高的性能价格比。
五、注意的问题
安全问题是一个综合性的问题,要实现真正的安全,只能是软件、硬件和人三方面的完美结
合。由于配置的失误导致系统安全性能的降低、应有的安全功能得不到发挥的例子层出不穷,这
就要求系统安全管理人员要不断提高个人素质,只有这样才能构建一个比较安全的系统。
附:浪潮防火墙
浪潮防火 具有的功能如下:
(1)IP 地址复用:实现多个用户共享一个有效的 IP 地址,透明访问 Internet 资源;
(2)用户身份认证:内部网的用户必须经过身份认证后才能访问外部网;
(3)访问权限的控制:系统给用户提供了对自己的访问权限的管理权,这种权限分为国际
权、国内权和内部网权;
(4)过滤政策的设定:包括对于合法内部 IP 地址范围,非法外部站点等的设定,作为过滤
的根据;
(5)访问控制:根据设定的过滤政策,实现对访问的控制,达到禁止非法访问的目的;
(6)基于 IP 地址的流量的统计:实现对每一个 IP 地址的国内、国外出入四种流量的统计
和记录;
(7)流量计算和查询:根据设定的流量计算,向系统管理员和用户提供查询;
(8)用户帐户的管理:提供用户对自己的口令、访问权限的管理功能;
(9)系统管理功能:为系统管理员提供建立、撤消、用户户头、流量查询和计算等功能;
(10)防火墙管理:通过 Web 界面来实现对防火墙的管理,使用更为方便;
(11)强大的 SSN 功能:屏蔽内部服务器免受攻击,实现安全服务器。
附:浪潮信息安全服务器
浪潮信息安全服务器(NetSafe)具有如下的性能特点:
(1)自主开发的 SSL 模块
自主开发的 SSL 模块和与软件系统平台相集成的 SSL 应用软件产品,实现了 SSL 协议相关
的全部内容,包括关键技术 RSA 公钥算法、X509 证书规范,以及 SSL 协议与 IE、Netscape 标
准的完全兼容性。在自主开发的 SSL 模块系统中,既做到了与国际标准相兼容,又可以集成自
己的加密算法和机制,执行效率高。
(2)国际先进水平的网络加密卡
采用的网络加密卡是一种高性能的安全加密卡,该卡及其所使用的密码算法和技术通过国家
密码管理委员会的鉴定,支持多种公钥算法和对称算法,加密算法强度高,可靠性高。
(3)Linux 操作系统和 Apache Web 服务器
为了保证系统的安全性,采用 Linux 作为我们的系统平台。Linux 作为一种完全公开源代码
的操作系统,世界各地有几十万自愿者为这个充满魅力的操作系统的发展贡献自己的才能。由于
其代码的公开性,使得该系统 BUG 较少、更新容易,对网络传输和加密方面提供了广阔的应用
前景。
为保证系统运行的可靠性和可维护性,采用目前国际上最流行的 Apache Web 服务器(源代码
有部分改动)作为我们的 Web 服务器。
附:Apache Web 服务器的优点
Apache 主要有以下的优点:
(1)支持最新的 HTTP/ 协议:Apache 是最先使用 HTTP/ 协议的服务器之一。它与最新
的 HTTP/ 标准完全兼容,同时它还与 HTTP/ 向后兼容。Apache 已为新协议所提供的全部
内容做好了必要的准备。
(2)简单而强有力的基于文件的配置:Apache 服务器没有为管理员提供图形用户界面。
(3)支持通用网关接口(CGI):Apache 用 mod_cgi 模块来支持 CGI。它遵守 CGI/ 标准,并
且提供了扩充的特征,如定制环境变量和很难在其他 Web 服务器中找到的调试支持功能。
(4)支持虚拟主机:Apache 是首批既支持基于 IP 的虚拟主机又支持命名的虚拟主机的 Web
服务器之一。
(5)支持 HTTP 认证:Apache 支持基于 Web 的基本认证,它还为支持基于消息摘要的认证做
好了准备。
(6)集成的 Perl:Perl 已成为 CGI 脚本编程的事实标准。Apache 肯定是使 Perl 成为这种流行
的 CGI 编程语言的因素之一。
(7)集成的代理(Proxy)服务器:你可以将 Apache 作为前向代理服务器。
(8)服务器状态和可定制日志:Apache 在记录日志和监视服务器本身状态方面向你提供了很
大的灵活性。
(9)支持安全 Socket 层(SSL):由于版权法和进出口方面的限制,Apache 本身不支持高强度
算法的 SSL 协议。但在这个版本的 Apache 中,支持我们自主开发的高强度算法的 SSL 加密模块。
