紫光顺风公司的解决方案
在这里我们介绍一套北京清华紫光顺风信息安全有限公司的安全电子商务解决方案。
一、系统网络结构
1.广域网络
广域网络的拓扑图如图 1 所示。
图 1
2.分公司网络
分公司网络拓扑图如图 2 所示。
图 2
二、网络安全方案
1.网络存在的安全问题
计算机网络的安全应包含以下三方面的内容:(1)保密性:防止网络中信息泄漏或被非授权
实体使用,确保信息只能由授权实体知晓和使用;(2)完整性:系统的数据不被无意或蓄意删除、
修改、伪造、乱序、重放、插入或破坏,数据只能由授权实体修改;(3)可用性:数据和通信服
务在需要时允许授权个人或实体使用,网络资源在需要时即可使用。
通过以上两图,我们可以看到在公司内部的 OA 系统中,各部门所传输的数据均通过 Internet
完成。移动用户和上下游厂商也是经过 Internet 进行电子交易。网络存在的安全隐患主要体现在
以下几个方面:
(1)信息的泄漏。公用网络存在安全漏洞,无法保证网络中信息的隐秘性。例如:电信从业
人员可能利用工作之便,很容易地获取网络中传输的信息;网络攻击者也可以通过搭线等方法,
从传输信道窃取网络中传输的信息。
(2)假冒通信。公用电信网提供了灵活的数据交换机制,同时,也给进行通信假冒创造了可
乘之机。网络外的用户,只要将他的设备配置设置成与网络内的设备配置相同,就可能欺骗总部,
与其进行通信。如果网络外的用户将他的设备配置得与总部的设备相同,并采取一些措施将总部
的设备进行阻塞,则他也可以假冒总部,欺骗网络内的所有网点。
(3)信息假冒。由于攻击者可以窃取网络中传输的信息,使得攻击者采用一些并不复杂的技
术,尤其是在内部人员的配合下,就可能进行信息的假冒。例如,重复进行一些本已完成的业务
等。
2.网络安全方案应遵循的原则
根据安全网络系统的特殊性,方案将严格遵循以下原则:
(1)设计中所采用的所有安全产品、所有的操作手段和方法,均符合国家的有关法律和法规;
(2)在充分保证网络安全性的前提下,尽量减少安全产品对原系统效率、可靠性等方面的影
响;
(3)提供安全、完善和方便的安全管理手段和方法;
(4)最大程度地发挥安全产品的性能、减少安全产品的配置数量和费用;
(5)安全系统具有较好的网络兼容性和可扩展性,总体设计具有一定的预见性。
(6)安全系统本身应具有极高的运行稳定性,充分考虑系统备份问题。
3.系统应具备的功能
系统投入运行后,将具有以下功能:
(1)信息安全保密:通过密码技术,对敏感信息提供加/解密服务,保证信息的保密性;同时
提供数据的完整性和准确性服务。有效地防止信息被窃取、篡改和假冒等。
(2)高效的安全管理:安全系统是否能真正有效地发挥其安全作用,很大程度上取决于安全
管理手段是否安全、有效和完善。本安全系统将提供证书管理中心进行管理,管理员可根据用户
的实际情况完成证书分发、权限设定等安全管理功能。
4.网络安全解决方案
根据以上的分析,此处给出一种基于北京清华紫光顺风信息安全有限公司研制的系列网络安
全产品的解决方案,如图 3 所示。
在图 3 中,在总部添加 SfeCA 证书服务器、SecServer 安全服务器,以及在 Web 服务
器中安装 WebGate Server 服务器端软件,使用 SJW01 路由器加密机与 Internet 相连。
图 3
在客户端安装 安全电子邮件、PKManager 集成密钥管理系统、SecFile 文件加
密系统。分公司局域网通过 SJW01 路由器加密机与 Internet 相连。
广域网中,系统管理员可以在总部的 SJW01 上指定到上海和广州两地的数据都要进行加密
处理。同样两地分公司也需指定到总部的数据进行加密,这样在广域网上传输的公司内部数据均
是经过加密处理,避免了信息在传输过程中的泄露、篡改、重放、假冒等安全隐患。可以通过
KDMC 密钥管理中心对 SJW01 路由器加密机进行密钥管理。
局域网中,通过紫光 UF3100 防火墙实现内网与外网的隔离。每台机器均安装 安
全电子邮件、PKManager 集成密钥管理系统、SecFile 文件加密系统。其中 SecFile 可以保护
单机的数据不被非法访问、篡改。用户可以使用 SecMail 进行安全的电子邮件通信,SecMail 可
以防止邮件伪冒、发送方抵赖和邮件被篡改等。PKManager 用来管理 SecFile 与 SecMail 使用者
的私钥与证书。
对于移动用户和上下游厂商,需安装 PKManager 集成密钥管理系统,用户可通过 PKManager
到 SfeCA 申请数字证书,在 SfeCA 验证用户的合法性后,签发证书文件。以后当用户在基于 Web
的电子交易中,访问交易页面时,安装了 WebGate SRV 服务器软件的 Web 会要求用户提交 ID、
Password,当用户提交正确的 ID 与 Password 后,Web 服务器会根据 ID 号所对应的证书与 SfeCA
进行沟通以获得用户的数字证书,然后通过用户用私钥加密随机数来验证用户的真实身份,
WebGate 根据该用户 ID 所对应的权限来开放相应页面。这些页面在下载到用户的浏览器前,由
WebSRV 送往 SecSRV,经 SecSRV 加密处理后再下传,只有拥有与证书相对应的私钥的用户才
能浏览这些页面,进行相应的商务操作。通过以上安全措施,能够保证在交易前系统对用户身份
识别,交易中数据在 Internet 上传输的完整性、正确性,交易完成后,防止用户抵赖。
三、产品简介
以上安全方案中所涉及的安全产品均系北京清华紫光信息安全有限公司研制开发。
附:SJW01 系列路由器加密机
用于实现网络安全和网络路由功能,可在链路层、IP 层和 TCP 层提供数据信息的安全保密。
SJW01 系列加密机支持多种网络协议,如 TCP/IP、、FR、HDLC、、
等,可在内部完成协议转换,实现不同网络的连接,可根据需要提供链路层、网络层和传输层数
据信息的安全保密,并具有地址过滤功能。
* 密码算法:分组密码算法,密钥长度 128 位。
* 路由协议:静态路由、RIP;对其他路由协议透明。
* 端口协议:、FR(NNI/UNI)、TCP/IP-PPP、TCP/IP-SLIP、HDLC、ISDN、IBM3270
仿真等。
* 电气接口:()、、、、RS422、。
* 网管协议:SNMP 协议,支持 Open View、Net View 等网管平台的应用。
附:SfeCA 数字证书管理系统
SFeCA 数字证书管理系统是基于 PKI 的企业网(Intranet)及电子商务(E-business)安全解
决方案框架的核心组成部分。SFeCA 可用于组成完整的数字证书管理中心(CA)。SFeCA 集成了
公钥引擎、证书引擎、LDAP 证书及作废证书列表发布等功能,可为用户提供完整的信息安全服
务。它同紫光顺风的其他产品,如 SecFile、SecMail 和 WebGate 等配合使用,可构成网络和信
息系统的全面安全解决方案。
* 支持 V2/V3、PKCS 系列、PKIx、S/MIME、SSL/TLS、PEM 等协议标准。
* 除支持国家批准的专有加密算法以外,还支持 DES/3DES、IDEA、RC2/RC4/RC6 等对称
加密算法和 MD4、MD5、SHA、SHA-1 等信息摘要算法。
* 支持可变长度(可以高达 5000 位或以上)RSA/DSA 公钥体制算法。
* 适用于 Windows NT、Linux 等系统平台。
附:WebGate 安全访问控制系统
WebGate 安全控制访问软件系统是基于 PKI 的企业网(Intranet)及电子商务(E-business)安全
解决方案的一部分。它为用户提供对 Web 访问的强身份认证、访问控制和审计跟踪功能。对于
公共信息,WebGate 允许一般用户访问。对于敏感信息,WebGate 在允许用户访问之前进行基
于数字证书和数字签名的身份认证和访问授权检查。对所有的访问,WebGate 可进行完整的审计
跟踪。
* 严格遵循 、PKCS、PKIx、SSL/TLS 和 HTTP/ 等标准,可以接收任何基于上述标
准的数字证书和数字签名。
* 支持的 RSA 签名算法密钥长度可达 2048 位。
* 适用于 Windows NT+IIS 以上、IE 以上的网络环境。
附:SecMail 安全电子邮件系统
SecMail 安全电子邮件系统是基于 PKI 的企业网(Intranet)及电子商务(E-business)安全解决方
案的一部分。它作为一个独立完整的邮件客户端软件,除可执行常规收发电子邮件功能之外,还
可实现邮件加密、邮件数字签名及邮件自动回执等安全功能。
* 操作系统:中、英文 Window 95/NT 或以上版本。
* 支持 POP3、SMTP、PEM 和 S/MIME 等通用 Internet 电子邮件协议。
* 支持 HTML 格式的邮件。
* 支持通用 POP3、SMTP 邮件服务器。
* 可与 Outlook、Netscape 等通用邮件客户端软件互通。
* 支持 3DES、IDEA 等标准加密算法和国家审批的专用密码算法。
附:SecSRV 安全服务器
SecSRV 安全服务器集成了 PCI 总线的 SEM 安全保密模块,主要用于高速环境下的加密认
证,典型对称分组加密算法速率为 100Mb/s,1024 位私钥签名为 40 次/秒,验证为 650 次/秒。
集对称分组加密算法、公钥体制签名/验证算法、信息摘要(Hash)算法等于一体,可充分保证加密
和数字签名等运算的安全性和高性能。
* 除支持由国家审批的高强度专有对称分组密码算法之外,还支持三重 DES、IDEA、RC5
等标准对称算法和 RSA、DSA 等公开密码体制算法,
* 信息摘要则支持 MD2、MD5、SHA-1、RIPEMD160 等多种标准算法,用户可灵活的选择。
* 适用于 Windows 95/98/NT、Unix、Linux 等平台。
附:SecFile 文件加密系统
SecFile 文件加密系统通过对数据文件的加密,保证信息不被泄漏。在提供文件加、解密功
能的同时,SecFile 文件加密系统也提供灵活的密钥管理和访问控制功能。
* 独立运行的集成化环境,提供标准类 Windows 资源管理器程序界面供用户操作。
* OLE 的方式与 Windows 95/98/NT 系统 shell 集成,已加密的文件扩展名为.mmw,且图标
统一;对扩展名为.mmw 的文件,用鼠标双击可执行解密操作(由密钥控制)。
* 自动配置加密:对指定需加密的路径和目录,SecFile 会在文件存取时自动进行加密或解
密。
* 高效的文件压缩/解压功能:文件压缩比率指标与 Winzip 相当。
* 高强度的文件加密/解密功能:软件提供 128 位高强度加密算法。
* 适用 Windows 95/98/NT 以上系统平台。
附:PKManager 集成密钥管理系统
KManager 集成密钥管理系统负责紫光顺风系列安全产品的密钥及证书管理,只需在
PKManager 中一次配置 RSA 密钥对,就可非常容易地通过文件加密系统 SecFile 实现文件本地加
密及数字签名、通过安全电子邮件系统 SecMail 发送安全电子邮件、通过 WWW 服务认证系统
WebGate 实现 Web 的用户安全认证。
* 私钥存放支持硬盘、软盘和 IC 卡三种存储介质。
* 适用与 Windows 95/98/NT 以上系统平台。
附:KDMC 密钥管理中心
密钥管理中心是计算机网络中通用的安全管理设备,用于网内安全保密设备的管理。KDMC
产生和分发密钥,并对密钥从产生、存储、分发、使用、更换、销毁全过程进行严密的审计跟踪
管理。使用密钥管理中心对计算机网络进行管理,可使网络的安全性能大大提高。
* KDMC 支持多种密钥分发方式,包括:在线分发、IC 卡分发、密钥磁盘文件分发和通过串口
本地分发等。
* KDMC 适用于当前主流的桌面操作系统平台 Windows 95、Windows 98 及 Windows NT 等。
