浪潮集團的解決方案
浪潮集團的解決方案 孫大軍　劉永輝 　　一、項目需求和系統(tǒng)設計目標 　　1．項目需求 　　在我們這個方案中，如何在各個公司內部和公司之間實現(xiàn)信息安全、可靠的交互是 我們設計方案的主要出發(fā)點，而如何在可實現(xiàn)的價格、配置范圍內獲得最高的安全特性 ，也就是達到最高的性能價格比，應成為本解決方案的主要目標。 　　由于該公司的總公司和分公司分處三地，而且距離比較遠，考慮到價格因素，故通 過廉價的Internet來傳遞數(shù)據(jù)和進行網上互聯(lián)，通過個人認證證書和網絡防火墻來實現(xiàn) 網上數(shù)據(jù)的安全訪問。公司總部的整個局域網的安全通過防火墻來保證，公司駐外人員 或者上下業(yè)務關系企業(yè)可通過撥號上Internet，通過和該公司服務器的個人證書認證建 立安全連接來訪問該公司服務器，用SSL(安全套接字層)協(xié)議和證書控制來保證在網上進 行電子商務時數(shù)據(jù)傳輸?shù)陌踩?，以達到信息安全高效的交流。 　　2．系統(tǒng)設計目標 　　由于系統(tǒng)對安全等問題的考慮，應達到以下的目標： 　　局域網內部的安全性：主要體現(xiàn)在對公司內部職工的身份的認證和權限的設置； 　　防火墻內部用戶的安全性：主要包括對通過防火墻的用戶的身份的認證、外來的數(shù) 據(jù)包的過濾和對內部的用戶的管理，并保證內部的Web服務器的安全； 　　電子商務的安全性：包括Web服務器本身的安全性和傳輸?shù)臄?shù)據(jù)的安全性，還應包括 對線上交易的用戶的身份的認證，保證交易的安全性和不可抵賴性； 　　廣域網的安全性：主要是三地公司的公文流轉、內部管理信息等需要做網上的傳遞 ，保證傳輸?shù)墓牟槐坏谌礁`取及駐外人員與公司總部信息的安全交流。 　　二、總體設計方案 　　基于以上的分析，總部的Web服務器采用浪潮集團自主開發(fā)的信息安全服務器(NetS afe)來保證網上數(shù)據(jù)的安全(電子商務的安全)，三地分公司的防火墻采用浪潮集團的浪 潮防火墻系統(tǒng)(1.0版本)來保證其內部網絡的安全(局域網的安全)，通過信息安全服務器 (NetSafe)配套的企業(yè)級CA證書系統(tǒng)來保證各地的網上傳輸數(shù)據(jù)的安全性(廣域網的安全 )。 　　整個網絡結構設計如圖1所示。 [pic] 　　圖1 　　1．公司總部方案 　　(1)Web服務器：浪潮信息安全服務器(NetSafe)(包括相關軟硬件) 　　(2)防火墻：浪潮防火墻1.0 　　(3)路由器：Cisco路由器 　　(4)軟件： 　　證書發(fā)放管理器：浪潮企業(yè)級CA- Center具有完整的證書發(fā)放功能和部分的證書管理功能，所發(fā)放的證書完全符合X.509規(guī) 范，可以應用于Internet上的安全通訊、安全E-mail、區(qū)分內外部人員等諸多領域； 　　瀏覽器：安裝用戶證書的IE或Netscape瀏覽器，由于美國的出口限制，我們通常使 用的瀏覽器的密鑰長度不足，對稱算法密鑰長度只有40位(在費用為5萬美元時只需2秒即 可破譯)，而安裝浪潮安全服務器提供的密鑰程序，可以將密鑰長度提高到128位(在費用 為5000萬美元時需1016年)，以保證密文的強壯性； 　　電子郵件處理：OutLook等。 　　具體結構如圖2所示。 [pic] 　　圖2 　　浪潮信息安全服務器、證書發(fā)放管理器(CA- Center)、瀏覽器的工作模式如圖3所示。 [pic] 　　圖3 　　2．分公司設計方案 　　由于上海、廣州兩地的分公司地位相同，故采用相同的設計方案。 　　防火墻(可選)：浪潮防火墻1.0 　　瀏覽器：安裝用戶證書的IE或Netscape瀏覽器(由于美國的出口限制，瀏覽器的密鑰 長度不足，所以需安裝浪潮安全服務器提供的密鑰程序) 　　電子郵件處理：OutLook等 　　具體的結構如圖4所示。 [pic] 　　圖4 　　三、對總體方案的說明 　　方案中對安全的考慮主要體現(xiàn)在以下幾個方面： 　　1．局域網內部的安全性 　　內部用戶通過用戶身份的認證來保證其安全。 　　2．防火墻內部用戶的安全性 　　防火墻的主要功能是隔離內外網絡，浪潮防火墻1.0主要是集身份認證、數(shù)據(jù)包過濾 和安全服務器功能于一身，實現(xiàn)完全透明的內部和外部的連接，并有過濾政策設定、一 次性用戶口令等功能，符合設計的需要。 　　3．電子商務的安全性 　　電子商務的安全問題主要集中在兩點：一是服務器和內部網的數(shù)據(jù)被入侵和竊取， 另一點就是傳輸過程中的敏感數(shù)據(jù)被別人竊取。對第一種安全問題，浪潮防火墻提供SS N功能，屏蔽內部服務器，保證內部的Web服務器免受外部的攻擊，從而保證內部的服務 器、局域網包括Web服務器的安全。對于第二種安全問題，浪潮信息安全服務器采用Lin ux操作系統(tǒng)、自主開發(fā)的SSL模塊、Apache Web服務器軟件，結合國內高水平的加密卡，實現(xiàn)了高強度的信息加密功能，結合CA(可 采用浪潮信息安全服務器(Netsafe)自帶的浪潮企業(yè)級CA- Ceneter，也可以采用第三方的CA中心)后更具有雙向的身份認證、交易的不可抵賴性等 功能。其采用的自主開發(fā)的加密算法密鑰長度最高可達168位，用于傳輸密鑰的公鑰算法 的RSA密鑰長可達1024位，并且其采用的安全通訊協(xié)議(SSL)、加密算法和電子證書等方 面完全符合國際標準，符合國內電子商務的需要。 　　4．廣域網的安全性 　　廣域網的安全主要通過NetSafe自帶的浪潮CA- Center來實現(xiàn)。通過給內部職工發(fā)放證書來對三地之間來往的公文進行加密和雙方身份 的認證。由于傳輸過程中是加密處理的且加密強度高、密文強壯性好，所以不用擔心傳 輸過程中的泄密。公司駐外人員同樣可以用其內部職工的證書訪問公司網站和進行安全 公文傳輸。 　　四、系統(tǒng)特點及優(yōu)勢 　　1．系統(tǒng)穩(wěn)定安全 　　信息安全服務器(Netsafe)和浪潮防火墻均采用Linux操作系統(tǒng)，系統(tǒng)運行穩(wěn)定，克 服了某些系統(tǒng)運行不穩(wěn)，頻繁死機的問題。且由于操作系統(tǒng)開放源代碼，故Bug也較少。 　　2． 配置靈活 　　浪潮防火墻的配置界面采用的是Web形式，可以通過客戶端來進行系統(tǒng)的配置，靈活 直觀，基本上操作人員不需要培訓就可上手。 　　信息安全服務器(Netsafe)采用自主開發(fā)的SSL模塊及世界占有率第一的Web服務器A pache作為基礎的Web服務器，配置簡單靈活、功能強大。作為服務器端，系統(tǒng)管理人員 可以根據(jù)需要設定瀏覽器使用者個人證書是否必需，瀏覽器使用者安全等級等，保證各 種用戶正常瀏覽公司網站。 　　3．使用簡單 　　浪潮防火墻：過濾政策設置簡單，管理容易。 　　信息安全服務器(Netsafe)：用戶使用瀏覽器安全訪問公司網站時非常方便(僅是ht tps://和http://的差別)，實現(xiàn)了安全性和簡易性的統(tǒng)一。 　　4．功能完整 　　浪潮防火墻：基本上實現(xiàn)所有防火墻的功能。 　　信息安全服務器(Netsafe)：完整的證書生成功能、部分的證書管理功能，完整的網 上傳輸信息加密和通過證書的身份認證功能。 　　5．性能價格比高 　　浪潮集團是國內的大型電子廠商，產品的價格要比國外的同類產品和國內的大多數(shù) 產品低，實現(xiàn)最高的性能價格比。 　　五、注意的問題 　　安全問題是一個綜合性的問題，要實現(xiàn)真正的安全，只能是軟件、硬件和人三方面 的完美結合。由于配置的失誤導致系統(tǒng)安全性能的降低、應有的安全功能得不到發(fā)揮的 例子層出不窮，這就要求系統(tǒng)安全管理人員要不斷提高個人素質，只有這樣才能構建一 個比較安全的系統(tǒng)。 　　附：浪潮防火墻 　　浪潮防火1.0具有的功能如下： 　?。?）IP地址復用：實現(xiàn)多個用戶共享一個有效的IP地址，透明訪問Internet資源； 　?。?）用戶身份認證：內部網的用戶必須經過身份認證后才能訪問外部網； 　　（3）訪問權限的控制：系統(tǒng)給用戶提供了對自己的訪問權限的管理權，這種權限分 為國際權、國內權和內部網權； 　?。?）過濾政策的設定：包括對于合法內部IP地址范圍，非法外部站點等的設定，作 為過濾的根據(jù)； 　?。?）訪問控制：根據(jù)設定的過濾政策，實現(xiàn)對訪問的控制，達到禁止非法訪問的目 的； 　?。?）基于IP地址的流量的統(tǒng)計：實現(xiàn)對每一個IP地址的國內、國外出入四種流量的 統(tǒng)計和記錄； 　?。?）流量計算和查詢：根據(jù)設定的流量計算，向系統(tǒng)管理員和用戶提供查詢； 　?。?）用戶帳戶的管理：提供用戶對自己的口令、訪問權限的管理功能； 　?。?）系統(tǒng)管理功能：為系統(tǒng)管理員提供建立、撤消、用戶戶頭、流量查詢和計算等 功能； 　?。?0）防火墻管理：通過Web界面來實現(xiàn)對防火墻的管理，使用更為方便； 　?。?1）強大的SSN功能：屏蔽內部服務器免受攻擊，實現(xiàn)安全服務器。 　　附：浪潮信息安全服務器 　　浪潮信息安全服務器(NetSafe)具有如下的性能特點： 　　(1)自主開發(fā)的SSL模塊 　　自主開發(fā)的SSL模塊和與軟件系統(tǒng)平臺相集成的SSL應用軟件產品，實現(xiàn)了SSL協(xié)議相 關的全部內容，包括關鍵技術RSA公鑰算法、X509證書規(guī)范，以及SSL協(xié)議與IE、Netsca pe標準的完全兼容性。在自主開發(fā)的SSL模塊系統(tǒng)中，既做到了與國際標準相兼容，又可 以集成自己的加密算法和機制，執(zhí)行效率高。 　　(2)國際先進水平的網絡加密卡 　　采用的網絡加密卡是一種高性能的安全加密卡，該卡及其所使用的密碼算法和技術 通過國家密碼管理委員會的鑒定，支持多種公鑰算法和對稱算法，加密算法強度高，可 靠性高。 　　(3)Linux操作系統(tǒng)和Apache Web服務器 　　為了保證系統(tǒng)的安全性，采用Linux作為我們的系統(tǒng)平臺。Linux作為一種完全公開 源代碼的操作系統(tǒng)，世界各地有幾十萬自愿者為這個充滿魅力的操作系統(tǒng)的發(fā)展貢獻自 己的才能。由于其代碼的公開性，使得該系統(tǒng)BUG較少、更新容易，對網絡傳輸和加密方 面提供了廣闊的應用前景。 　　為保證系統(tǒng)運行的可靠性和可維護性，采用目前國際上最流行的Apache Web服務器(源代碼有部分改動)作為我們的Web服務器。 　　附：Apache Web服務器的優(yōu)點 　　Apache主要有以下的優(yōu)點： 　　(1)支持最新的HTTP/1.1協(xié)議：Apache是最先使用HTTP/1.1協(xié)議的服務器之一。它與 最新的HTTP/1.1標準完全兼容，同時它還與HTTP/1.0向后兼容。Apache已為新協(xié)議所提 供的全部內容做好了必要的準備。 　　(2)簡單而強有力的基于文件的配置：Apache服務器沒有為管理員提供圖形用戶界面 。 　　(3)支持通用網關接口(CGI)：Apache用mod_cgi模塊來支持CGI。它遵守CGI/1.1 標準，并且提供了擴充的特征，如定制環(huán)境變量和很難在其他Web服務器中找到的調試支 持功能。 　　(4)支持虛擬主機：Apache是首批既支持基于IP的虛擬主機又支持命名的虛擬主機的 Web服務器之一。 　　(5)支持HTTP認證：Apache支持基于Web的基本認證，它還為支持基于消息摘要的認 證做好了準備。 　　(6)集成的Perl：Perl已成為CGI腳本編程的事實標準。Apache肯定是使Perl成為這 種流行的CGI編程語言的因素之一。 　　(7)集成的代理(Proxy)服務器：你可以將Apache作為前向代理服務器。 　　(8)服務器狀態(tài)和可定制日志：Apache在記錄日志和監(jiān)視服務器本身狀態(tài)方面向你提 供了很大的靈活性。 　　(9)支持安全Socket層(SSL)：由于版權法和進出口方面的限制，Apache本身不支持 高強度算法的SSL協(xié)議。但在這個版本的Apache中，支持我們自主開發(fā)的高強度算法的S SL加密模塊。
浪潮集團的解決方案