1、19/20浪潮集團的解決方案孫大軍劉永輝一、項目需求和系統設計目標1項目需求在我們那個方案中，如何在各個公司內部和公司之間實現信息安全、可靠的交互是我們設計方案的要緊動身點，而如何在可實現的價格、配置范圍內獲得最高的安全特性，也確實是達到最高的性能價格比，應成為本解決方案的要緊目標。由于該公司的總公司和分公司分處三地，而且距離比較遠，考慮到價格因素，故通過廉價的Internet來傳遞數據和進行網上互聯，通過個人認證證書和網絡防火墻來實現網上數據的安全訪問。公司總部的整個局域網的安全通過防火墻來保證，公司駐外人員或者上下業務關系企業可通過撥號上Internet，通過和該公司服務器的個人證書認證建

2、立安全連接來訪問該公司服務器，用SSL(安全套接字層)協議和證書操縱來保證在網上進行電子商務時數據傳輸的安全性，以達到信息安全高效的交流。2系統設計目標由于系統對安全等問題的考慮，應達到以下的目標：局域網內部的安全性：要緊體現在對公司內部職工的身份的認證和權限的設置；防火墻內部用戶的安全性：要緊包括對通過防火墻的用戶的身份的認證、外來的數據包的過濾和對內部的用戶的治理，并保證內部的Web服務器的安全；電子商務的安全性：包括Web服務器本身的安全性和傳輸的數據的安全性，還應包括對線上交易的用戶的身份的認證，保證交易的安全性和不可抵賴性；廣域網的安全性：要緊是三地公司的公文流轉、內部治理信息等需要

3、做網上的傳遞，保證傳輸的公文不被第三方竊取及駐外人員與公司總部信息的安全交流。二、總體設計方案基于以上的分析，總部的Web服務器采納浪潮集團自主開發的信息安全服務器(NetSafe)來保證網上數據的安全(電子商務的安全)，三地分公司的防火墻采納浪潮集團的浪潮防火墻系統(1.0版本)來保證其內部網絡的安全(局域網的安全)，通過信息安全服務器(NetSafe)配套的企業級CA證書系統來保證各地的網上傳輸數據的安全性(廣域網的安全)。整個網絡結構設計如圖1所示。圖11公司總部方案(1)Web服務器：浪潮信息安全服務器(NetSafe)(包括相關軟硬件)(2)防火墻：浪潮防火墻1.0(3)路由器：Ci

4、sco路由器(4)軟件：證書發放治理器：浪潮企業級CA-Center具有完整的證書發放功能和部分的證書治理功能，所發放的證書完全符合X.509規范，能夠應用于Internet上的安全通訊、安全E-mail、區分內外部人員等諸多領域；掃瞄器：安裝用戶證書的IE或Netscape掃瞄器，由于美國的出口限制，我們通常使用的掃瞄器的密鑰長度不足，對稱算法密鑰長度只有40位(在費用為5萬美元時只需2秒即可破譯)，而安裝浪潮安全服務器提供的密鑰程序，能夠將密鑰長度提高到128位(在費用為5000萬美元時需1016年)，以保證密文的強壯性；電子郵件處理：OutLook等。具體結構如圖2所示。圖2浪潮信息安全

5、服務器、證書發放治理器(CA-Center)、掃瞄器的工作模式如圖3所示。圖32分公司設計方案由于上海、廣州兩地的分公司地位相同，故采納相同的設計方案。防火墻(可選)：浪潮防火墻1.0掃瞄器：安裝用戶證書的IE或Netscape掃瞄器(由于美國的出口限制，掃瞄器的密鑰長度不足，因此需安裝浪潮安全服務器提供的密鑰程序)電子郵件處理：OutLook等具體的結構如圖4所示。圖4三、對總體方案的講明方案中對安全的考慮要緊體現在以下幾個方面：1局域網內部的安全性內部用戶通過用戶身份的認證來保證其安全。2防火墻內部用戶的安全性防火墻的要緊功能是隔離內外網絡，浪潮防火墻1.0要緊是集身份認證、數據包過濾和安

6、全服務器功能于一身，實現完全透明的內部和外部的連接，并有過濾政策設定、一次性用戶口令等功能，符合設計的需要。3電子商務的安全性電子商務的安全問題要緊集中在兩點：一是服務器和內部網的數據被入侵和竊取，另一點確實是傳輸過程中的敏感數據被不人竊取。對第一種安全問題，浪潮防火墻提供SSN功能，屏蔽內部服務器，保證內部的Web服務器免受外部的攻擊，從而保證內部的服務器、局域網包括Web服務器的安全。關于第二種安全問題，浪潮信息安全服務器采納Linux操作系統、自主開發的SSL模塊、Apache Web服務器軟件，結合國內高水平的加密卡，實現了高強度的信息加密功能，結合CA(可采納浪潮信息安全服務器(Ne

7、tsafe)自帶的浪潮企業級CA-Ceneter，也能夠采納第三方的CA中心)后更具有雙向的身份認證、交易的不可抵賴性等功能。其采納的自主開發的加密算法密鑰長度最高可達168位，用于傳輸密鑰的公鑰算法的RSA密鑰長可達1024位，同時其采納的安全通訊協議(SSL)、加密算法和電子證書等方面完全符合國際標準，符合國內電子商務的需要。4廣域網的安全性廣域網的安全要緊通過NetSafe自帶的浪潮CA-Center來實現。通過給內部職工發放證書來對三地之間來往的公文進行加密和雙方身份的認證。由于傳輸過程中是加密處理的且加密強度高、密文強壯性好，因此不用擔心傳輸過程中的泄密。公司駐外人員同樣能夠用其內部

8、職工的證書訪問公司網站和進行安全公文傳輸。四、系統特點及優勢1系統穩定安全信息安全服務器(Netsafe)和浪潮防火墻均采納Linux操作系統，系統運行穩定，克服了某些系統運行不穩，頻繁死機的問題。且由于操作系統開放源代碼，故Bug也較少。2 配置靈活浪潮防火墻的配置界面采納的是Web形式，能夠通過客戶端來進行系統的配置，靈活直觀，差不多上操作人員不需要培訓就可上手。信息安全服務器(Netsafe)采納自主開發的SSL模塊及世界占有率第一的Web服務器Apache作為基礎的Web服務器，配置簡單靈活、功能強大。作為服務器端，系統治理人員能夠依照需要設定掃瞄器使用者個人證書是否必需，掃瞄器使用者

9、安全等級等，保證各種用戶正常掃瞄公司網站。3使用簡單浪潮防火墻：過濾政策設置簡單，治理容易。信息安全服務器(Netsafe)：用戶使用掃瞄器安全訪問公司網站時特不方便(僅是https:/和http:/的差不)，實現了安全性和簡易性的統一。4功能完整浪潮防火墻：差不多上實現所有防火墻的功能。信息安全服務器(Netsafe)：完整的證書生成功能、部分的證書治理功能，完整的網上傳輸信息加密和通過證書的身份認證功能。5性能價格比高浪潮集團是國內的大型電子廠商，產品的價格要比國外的同類產品和國內的大多數產品低，實現最高的性能價格比。五、注意的問題安全問題是一個綜合性的問題，要實現真正的安全，只能是軟件、

10、硬件和人三方面的完美結合。由于配置的失誤導致系統安全性能的降低、應有的安全功能得不到發揮的例子層出不窮，這就要求系統安全治理人員要不斷提高個人素養，只有如此才能構建一個比較安全的系統。附：浪潮防火墻浪潮防火1.0具有的功能如下：（1）IP地址復用：實現多個用戶共享一個有效的IP地址，透明訪問Internet資源；（2）用戶身份認證：內部網的用戶必須通過身份認證后才能訪問外部網；（3）訪問權限的操縱：系統給用戶提供了對自己的訪問權限的治理權，這種權限分為國際權、國內權和內部網權；（4）過濾政策的設定：包括關于合法內部IP地址范圍，非法外部站點等的設定，作為過濾的依照；（5）訪問操縱：依照設定的過

11、濾政策，實現對訪問的操縱，達到禁止非法訪問的目的；（6）基于IP地址的流量的統計：實現對每一個IP地址的國內、國外出入四種流量的統計和記錄；（7）流量計算和查詢：依照設定的流量計算，向系統治理員和用戶提供查詢；（8）用戶帳戶的治理：提供用戶對自己的口令、訪問權限的治理功能；（9）系統治理功能：為系統治理員提供建立、撤消、用戶戶頭、流量查詢和計算等功能；（10）防火墻治理：通過Web界面來實現對防火墻的治理，使用更為方便；（11）強大的SSN功能：屏蔽內部服務器免受攻擊，實現安全服務器。附：浪潮信息安全服務器浪潮信息安全服務器(NetSafe)具有如下的性能特點：(1)自主開發的SSL模塊自主開

12、發的SSL模塊和與軟件系統平臺相集成的SSL應用軟件產品，實現了SSL協議相關的全部內容，包括關鍵技術RSA公鑰算法、X509證書規范，以及SSL協議與IE、Netscape標準的完全兼容性。在自主開發的SSL模塊系統中，既做到了與國際標準相兼容，又能夠集成自己的加密算法和機制，執行效率高。(2)國際先進水平的網絡加密卡采納的網絡加密卡是一種高性能的安全加密卡，該卡及其所使用的密碼算法和技術通過國家密碼治理委員會的鑒定，支持多種公鑰算法和對稱算法，加密算法強度高，可靠性高。(3)Linux操作系統和Apache Web服務器為了保證系統的安全性，采納Linux作為我們的系統平臺。Linux作為

13、一種完全公開源代碼的操作系統，世界各地有幾十萬自愿者為那個充滿魅力的操作系統的進展貢獻自己的才能。由于其代碼的公開性，使得該系統BUG較少、更新容易，對網絡傳輸和加密方面提供了寬敞的應用前景。為保證系統運行的可靠性和可維護性，采納目前國際上最流行的Apache Web服務器(源代碼有部分改動)作為我們的Web服務器。附：Apache Web服務器的優點Apache要緊有以下的優點：(1)支持最新的HTTP/1.1協議：Apache是最先使用HTTP/1.1協議的服務器之一。它與最新的HTTP/1.1標準完全兼容，同時它還與HTTP/1.0向后兼容。Apache已為新協議所提供的全部內容做好了必要的預備。(2)簡單而強有力的基于文件的配置：Apache服務器沒有為治理員提供圖形用戶界面。(3)支持通用網關接口(CGI)：Apache用mod_cgi模塊來支持CGI。它遵守CGI/1.1 標準，同時提供了擴充的特征，如定制環境變量和專門難在其他Web服務器中找到的調試支持功能。(4)支持虛擬主機：Apache是首批既支持基于IP的虛擬主機又支持命名的虛擬主機的Web服務器之一。(5)支持HTTP認證：Apache支持基于Web的差不多認證，它還為支持基于消息摘要的認證做好了預備。(6)集成的Perl：Perl已成為CGI腳本編程的事實標準。A