企业管理浪潮集团的解决
方案
浪潮集团的解决方案
孙大军刘永辉
壹、项目需求和系统设计目标
1.项目需求
在我们这个方案中,如何在各个 X公司内部和 X公司之间实现信息安全、可靠的交互是我们设计
方案的主要出发点,而如何在可实现的价格、配置范围内获得最高的安全特性,也就是达到最高
的性能价格比,应成为本解决方案的主要目标。
由于该 X公司的总 X公司和分 X公司分处三地,而且距离比较远,考虑到价格因素,故通过廉价
的 Internet来传递数据和进行网上互联,通过个人认证证书和网络防火墙来实现网上数据的安
全访问。X公司总部的整个局域网的安全通过防火墙来保证,X公司驻外人员或者上下业务关系
企业可通过拨号上 Internet,通过和该 X公司服务器的个人证书认证建立安全连接来访问该 X公
司服务器,用 SSL(安全套接字层)协议和证书控制来保证在网上进行电子商务时数据传输的安全
性,以达到信息安全高效的交流。
2.系统设计目标
由于系统对安全等问题的考虑,应达到以下的目标:
局域网内部的安全性:主要体当下对 X公司内部职工的身份的认证和权限的设置;
防火墙内部用户的安全性:主要包括对通过防火墙的用户的身份的认证、外来的数据包的过滤和
对内部的用户的管理,且保证内部的 Web服务器的安全;
电子商务的安全性:包括 Web服务器本身的安全性和传输的数据的安全性,仍应包括对线上交易
的用户的身份的认证,保证交易的安全性和不可抵赖性;
广域网的安全性:主要是三地 X公司的公文流转、内部管理信息等需要做网上的传递,保证传输
的公文不被第三方窃取及驻外人员和 X公司总部信息的安全交流。
二、总体设计方案
基于之上的分析,总部的 Web服务器采用浪潮集团自主开发的信息安全服务器(NetSafe)来保证
网上数据的安全(电子商务的安全),三地分 X公司的防火墙采用浪潮集团的浪潮防火墙系统(
版本)来保证其内部网络的安全(局域网的安全),通过信息安全服务器(NetSafe)配套的企业级 CA
证书系统来保证各地的网上传输数据的安全性(广域网的安全)。
整个网络结构设计如图 1所示。
图 1
1.X公司总部方案
(1)Web服务器:浪潮信息安全服务器(NetSafe)(包括相关软硬件)
(2)防火墙:浪潮防火墙
(3)路由器:Cisco路由器
(4)软件:
证书发放管理器:浪潮企业级 CA-Center具有完整的证书发放功能和部分的证书管理功能,所发
放的证书完全符合 规范,能够应用于 Internet上的安全通讯、安全 E-mail、区分内外部
人员等诸多领域;
浏览器:安装用户证书的 IE或 Netscape浏览器,由于美国的出口限制,我们通常使用的浏览器
的密钥长度不足,对称算法密钥长度只有 40位(在费用为 5万美元时只需 2秒即可破译),而安
装浪潮安全服务器提供的密钥程序,能够将密钥长度提高到 128位(在费用为 5000万美元时需
1016年),以保证密文的强壮性;
电子邮件处理:OutLook等。
具体结构如图 2所示。
图 2
浪潮信息安全服务器、证书发放管理器(CA-Center)、浏览器的工作模式如图 3所示。
图 3
2.分 X公司设计方案
由于上海、广州俩地的分 X公司地位相同,故采用相同的设计方案。
防火墙(可选):浪潮防火墙
浏览器:安装用户证书的 IE或 Netscape浏览器(由于美国的出口限制,浏览器的密钥长度不足,
所以需安装浪潮安全服务器提供的密钥程序)
电子邮件处理:OutLook等
具体的结构如图 4所示。
图 4
三、对总体方案的说明
方案中对安全的考虑主要体当下以下几个方面:
1.局域网内部的安全性
内部用户通过用户身份的认证来保证其安全。
2.防火墙内部用户的安全性
防火墙的主要功能是隔离内外网络,浪潮防火墙 主要是集身份认证、数据包过滤和安全服务
器功能于壹身,实现完全透明的内部和外部的连接,且有过滤政策设定、壹次性用户口令等功能,
符合设计的需要。
3.电子商务的安全性
电子商务的安全问题主要集中在俩点:壹是服务器和内部网的数据被入侵和窃取,另壹点就是传
输过程中的敏感数据被别人窃取。对第壹种安全问题,浪潮防火墙提供 SSN功能,屏蔽内部服务
器,保证内部的 Web服务器免受外部的攻击,从而保证内部的服务器、局域网包括 Web服务器的
安全。对于第二种安全问题,浪潮信息安全服务器采用 Linux操作系统、自主开发的 SSL模块、
ApacheWeb服务器软件,结合国内高水平的加密卡,实现了高强度的信息加密功能,结合 CA(可
采用浪潮信息安全服务器(Netsafe)自带的浪潮企业级 CA-Ceneter,也能够采用第三方的 CA中心)
后更具有双向的身份认证、交易的不可抵赖性等功能。其采用的自主开发的加密算法密钥长度最
高可达 168位,用于传输密钥的公钥算法的 RSA密钥长可达 1024位,且且其采用的安全通讯协
议(SSL)、加密算法和电子证书等方面完全符合国际标准,符合国内电子商务的需要。
4.广域网的安全性
广域网的安全主要通过 NetSafe自带的浪潮 CA-Center来实现。通过给内部职工发放证书来对三
地之间来往的公文进行加密和双方身份的认证。由于传输过程中是加密处理的且加密强度高、密
文强壮性好,所以不用担心传输过程中的泄密。X公司驻外人员同样能够用其内部职工的证书访
问 X公司网站和进行安全公文传输。
四、系统特点及优势
1.系统稳定安全
信息安全服务器(Netsafe)和浪潮防火墙均采用 Linux操作系统,系统运行稳定,克服了某些系
统运行不稳,频繁死机的问题。且由于操作系统开放源代码,故 Bug也较少。
2.配置灵活
浪潮防火墙的配置界面采用的是 Web形式,能够通过客户端来进行系统的配置,灵活直观,基本
上操作人员不需要培训就可上手。
信息安全服务器(Netsafe)采用自主开发的 SSL模块及世界占有率第壹的 Web服务器 Apache作为
基础的 Web服务器,配置简单灵活、功能强大。作为服务器端,系统管理人员能够根据需要设定
浏览器使用者个人证书是否必需,浏览器使用者安全等级等,保证各种用户正常浏览 X公司网站。
3.使用简单
浪潮防火墙:过滤政策设置简单,管理容易。
信息安全服务器(Netsafe):用户使用浏览器安全访问 X公司网站时非常方便(仅是 https://和
http://的差别),实现了安全性和简易性的统壹。
4.功能完整
浪潮防火墙:基本上实现所有防火墙的功能。
信息安全服务器(Netsafe):完整的证书生成功能、部分的证书管理功能,完整的网上传输信息
加密和通过证书的身份认证功能。
5.性能价格比高
浪潮集团是国内的大型电子厂商,产品的价格要比国外的同类产品和国内的大多数产品低,实现
最高的性能价格比。
五、注意的问题
安全问题是壹个综合性的问题,要实现真正的安全,只能是软件、硬件和人三方面的完美结合。
由于配置的失误导致系统安全性能的降低、应有的安全功能得不到发挥的例子层出不穷,这就要
求系统安全管理人员要不断提高个人素质,只有这样才能构建壹个比较安全的系统。
附:浪潮防火墙
浪潮防火 具有的功能如下:
(1)IP地址复用:实现多个用户共享壹个有效的 IP地址,透明访问 Internet资源;
(2)用户身份认证:内部网的用户必须经过身份认证后才能访问外部网;
(3)访问权限的控制:系统给用户提供了对自己的访问权限的管理权,这种权限分为国际权、
国内权和内部网权;
(4)过滤政策的设定:包括对于合法内部 IP地址范围,非法外部站点等的设定,作为过滤的根
据;
(5)访问控制:根据设定的过滤政策,实现对访问的控制,达到禁止非法访问的目的;
(6)基于 IP地址的流量的统计:实现对每壹个 IP地址的国内、国外出入四种流量的统计和记
录;
(7)流量计算和查询:根据设定的流量计算,向系统管理员和用户提供查询;
(8)用户帐户的管理:提供用户对自己的口令、访问权限的管理功能;
(9)系统管理功能:为系统管理员提供建立、撤消、用户户头、流量查询和计算等功能;
(10)防火墙管理:通过 Web界面来实现对防火墙的管理,使用更为方便;
(11)强大的 SSN功能:屏蔽内部服务器免受攻击,实现安全服务器。
附:浪潮信息安全服务器
浪潮信息安全服务器(NetSafe)具有如下的性能特点:
(1)自主开发的 SSL模块
自主开发的 SSL模块和和软件系统平台相集成的 SSL应用软件产品,实现了 SSL协议相关的全部
内容,包括关键技术 RSA公钥算法、X509证书规范,以及 SSL协议和 IE、Netscape标准的完全
兼容性。在自主开发的 SSL模块系统中,既做到了和国际标准相兼容,又能够集成自己的加密算
法和机制,执行效率高。
(2)国际先进水平的网络加密卡
采用的网络加密卡是壹种高性能的安全加密卡,该卡及其所使用的密码算法和技术通过国家密码
管理委员会的鉴定,支持多种公钥算法和对称算法,加密算法强度高,可靠性高。
(3)Linux操作系统和 ApacheWeb服务器
为了保证系统的安全性,采用 Linux作为我们的系统平台。Linux作为壹种完全公开源代码的操
作系统,世界各地有几十万自愿者为这个充满魅力的操作系统的发展贡献自己的才能。由于其代
码的公开性,使得该系统 BUG较少、更新容易,对网络传输和加密方面提供了广阔的应用前景。
为保证系统运行的可靠性和可维护性,采用目前国际上最流行的 ApacheWeb服务器(源代码有部
分改动)作为我们的 Web服务器。
附:ApacheWeb服务器的优点
Apache主要有以下的优点:
(1)支持最新的 HTTP/协议:Apache是最先使用 HTTP/协议的服务器之壹。它和最新的
HTTP/标准完全兼容,同时它仍和 HTTP/向后兼容。Apache已为新协议所提供的全部内容
做好了必要的准备。
(2)简单而强有力的基于文件的配置:Apache服务器没有为管理员提供图形用户界面。
(3)支持通用网关接口(CGI):Apache用 mod_cgi模块来支持 CGI。它遵守 CGI/标准,且且提
供了扩充的特征,如定制环境变量和很难在其他 Web服务器中找到的调试支持功能。
(4)支持虚拟主机:Apache是首批既支持基于 IP的虚拟主机又支持命名的虚拟主机的 Web服务器
之壹。
(5)支持 HTTP认证:Apache支持基于 Web的基本认证,它仍为支持基于消息摘要的认证做好了准
备。
(6)集成的 Perl:Perl已成为 CGI脚本编程的事实标准。Apache肯定是使 Perl成为这种流行的 CGI
编程语言的因素之壹。
(7)集成的代理(Proxy)服务器:你能够将 Apache作为前向代理服务器。
(8)服务器状态和可定制日志:Apache在记录日志和监视服务器本身状态方面向你提供了很大的
灵活性。
(9)支持安全 Socket层(SSL):由于版权法和进出口方面的限制,Apache本身不支持高强度算法
的 SSL协议。但在这个版本的 Apache中,支持我们自主开发的高强度算法的 SSL加密模块。
