1、信息安全解決方案華麗網絡應用信息系統本部在網絡層采用了防火墻技術.由于企 業對于數據的實時性要求較高,數據的傳輸量也較大,因此對于網絡 的性能有很高的要求.另外,企業安全性也必須得到切實保證，目前大 多數的企業均已不同程度地使用了網絡安全技術和產品來進行保護. 華麗網絡應用信息系統本部為系統提供的網絡安全層解決方案具備 易用性和易管理性和良好的擴展性等特點,不但適應網絡層安全技術 未來發展的需求,而且還能保證企業現有的投資不被浪費.應用層安全方案在網絡的應用層上,華麗網絡應用信息系統本部對行業系統安全 解決方案采用了嚴格的身份認證，不同粒度的訪問控制，數據完整性、 保密性和非否認性檢測以及安全

2、審計記錄等技術.其中身份認證可以 支持基于對稱密鑰的kerberosv5和基于公鑰的x.509證書等在內的 各種身份認證技術.而不同粒度的訪問控制則可以根據不同網絡應用 提供文件、頁面或端口級的訪問控制.而在數據完整性、保密性和非 否認性檢測中,采用了高強度加密算法,數字簽名、時間戳和會話密 鑰等技術.該網絡安全解決方案的另一個突出優點是除了能進行入侵 檢測和漏洞掃描外，還能無縫地集成到第三方應用系統的安全機制中, 做到統一管理.數據安全及容錯方案對于企業來說，最珍貴的不是計算機、硬盤、cpu和顯示器等硬 件設備,而是存儲在存儲介質中的數據信息.因此對于一個信息管理 系統來說,數據備份和容錯方

3、案是必不可少的.華麗網絡應用信息系 統本部對行業系統安全解決方案的數據備份采用軟、硬結合的全面 解決方案,包括磁帶機、備份管理軟件和存儲區域網絡在內的各種技 術,具有可靠性高、速度快、性能價格比高等特點.先進的系統體系 結構,使其可以支持包括san在內的各種網絡備份技術;支持各種主 流計算機操作系統、各種操作系統文件、各種主流數據庫系統;支持 非結構化數據(如lotusnotes)的數據備份、系統在線數據備份和完 全、增量和差分等各種備份策略,備份過程中,支持各種數據校驗技 術.另外,華麗網絡應用信息系統本部的行業系統安全解決方案的數 據備份還提供了先進的備份管理功能,實現備份、恢復智能化和操

4、作 故障的自動提示.其具有的可擴展性,可根據企業業務的擴大,平滑擴 展，保護已有投資.關于容錯,該解決方案中的容錯方案可實行實時監 控,能自動后援切換,支持雙機熱備份和雙機互備援等各種規劃方式, 具有伸縮能力強,對現有系統影響小,管理簡單方便等特點.病毒防范方案針對在internet上,病毒肆虐,企業信息系統每天 都有面臨預測的可能,華麗網絡應用信息系統本部對行業系統安全解 決方案提供了病毒防范方案,其技術特點是:企業級網絡防毒;病毒庫 網絡自動更新;管理簡單有效.第一部分基本解決方案第一道安全屏障網絡防火墻系統防火墻通過網絡地址轉換(nat) 功能來隱藏內部網絡的ip地址;通過其動態訪問過濾

5、功能動態檢查 流經的ip數據包,根據設定的規則決定數據包是否可以通過,并將不 合法的數據包過濾掉;通過其url地址限定功能限制對某些站點的訪 問，防止內部網絡對外部網絡進行不安全的訪問.第二道安全屏障網絡防毒系統網絡防毒系統可以采用c/s模式， 在網絡防毒服務器中安裝殺毒軟件服務器端程序,并通過internet 利用liveupdate功能,從免疫中心實時獲取最新的病毒碼信息.服務 器和網絡工作站都安裝客戶端軟件,利用從服務器端獲取的病毒碼信 息對本地工作站進行病毒掃描,并對發現的病毒采取相應措施進行清 除.客戶端根據需要可用三種方式進行病毒掃描:實時掃描、預置掃 描和人工掃描.由于病毒掃描可

6、能帶來服務器性能上的降低,因此可 采用預置掃描方式,將掃描時間設定在服務器訪問率最低的夜間.網 絡工作站可根據各自需要,選擇合適的方式進行病毒掃描.第三道安全屏障入侵檢測系統安全漏洞掃描入侵檢測系統是專門 針對黑客攻擊行為而研制的網絡安全產品.國際上先進的分布式入侵 檢測構架,可最大限度地、全天候地實施監控,提供企業級的安全檢測手段.在事后分析的時候,可以清楚地界定責任人和責任事件,為網 絡管理人員提供強有力的保障.入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規 則更新迅速等特點.系統具有強大的功能、方便友好的管理機制,可 廣泛應用于行業各單位.漏洞檢測和安全風險評估技術，因其可預知

7、主體受攻擊的可能性 和具體的指證將要發生的行為和產生的后果,而受到網絡安全業界的 重視.這一技術的應用可幫助識別檢測對象的系統資源,分析這一資 源被攻擊的可能指數,了解支撐系統本身的脆弱性,評估所有存在的 安全風險.漏洞掃描系統就是這一技術的實現,她包括了網絡模擬攻擊,漏洞 檢測,報告服務進程,提取對象信息，以及評測風險,提供安全建議和 改進措施等功能,幫助用戶控制可能發生的安全事件,最大可能的消 除安全隱患.第二部分增強解決方案以上看到,該網絡綜合采用了各種網絡安全技術,包括防火墻、入 侵檢測、安全漏洞掃描、網絡防病毒等.在系統的一些網絡中還采用 vpn等技術.這些安全技術在一定程度上保護了

8、網絡、主機和系統服 務免受來自外部的攻擊和破壞，對病毒的危害也能夠起到一定的防范 效果.但是,這些安全措施在防范來自內部的攻擊，保護應用系統和信 息安全方面卻無能為力.“后續的工作將是在逐步完善安全體系的基 礎上，把建設重點由以網絡安全為主應用安全為輔轉入以應用安全為 主網絡安全為輔的階段.”一、信息安全隱患分析我們可以從信息在 網絡系統中的存儲、處理、傳輸和用戶對這些信息的訪問活動等方 面來分析這些信息潛在的安全威脅.數據庫數據和文件的明文存儲:系統計算機網絡中的信息一般存 儲在由數據庫管理系統維護的數據庫中或操作系統文件中.這些以明 文形式存儲的信息存在泄漏的可能,因為拿到存儲介質的人可以

9、讀出 這些信息;黑客可以繞過操作系統、數據庫管理系統的控制獲取這些 信息;系統后門使軟硬件系統制造商很容易得到這些信息信息的明文傳輸:現代應用系統一般采用c/s （客戶/服務器）或 b/s （瀏覽器/服務器）結構,都在網絡上運行,所處理的信息也必須在 網絡主機間頻繁傳輸.在行業的計算機網絡系統中，信息傳輸基本上 是明文方式.偶有采用ssl（安全套接字層）等加密傳輸的，但由于外 國安全系統出口的限制,所能夠用到的ssl是低安全級別的.這些明 文或只受到低安全保護的信息在網絡上傳輸,不具有信息安全所要求 的保密、完整和發送方的不可抵賴性要求.弱身份認證:行業應用系統基本上基于商用軟硬件系統設計和開

10、 發,用戶身份認證基本上采用基于口令的鑒別模式,而這種模式很容 易被攻破.有的應用系統還使用自己的用戶鑒別方法,將用戶名、口 令以及一些安全控制信息以明文的形式記錄在數據庫或文件中,這種 脆弱的安全控制措施在操作人員計算機應用水平不斷提高，信息敏感 性不斷增強的今天不能再用了.二、信息安全增強解決方案信息安全解決方案應該全面考慮信息存儲、傳輸、處理和訪問等 各環節的安全要求,使信息安全方案沒有攻擊者可以利用的安全薄弱 環節.按照信息安全全面性要求原則，信息安全方案必須包括如下組成 部分：安全的身份認證:安全的身份認證是安全的第一步,不安全的身份 認證可能造成用戶假冒,使其它安全措施失去作用.通

11、信安全:采用數據加密、信息摘要和數字簽名等安全措施對通 信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵 賴性安全要求.文件安全:通過文件加密、信息摘要和訪問控制等安全措施,來實 現文件存儲和傳輸的保密和完整性要求,并實現對文件訪問的控制.數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證 數據庫數據的機密和完整性,并實現數據庫數據的訪問安全.安全審計:通過記錄審計信息來為信息安全問題的分析和處理提 供線索.公司針對信息安全的要求,結合自身技術特點開發出了有關身份 認證、通信安全、文件安全、數據庫安全等的信息安全產品,并在這 些產品中集成了審計功能.1、kdckdc(keyd

12、istributioncenter)是 kerberos 第 5 版的實現和增強， 可以為企業提供集中的用戶管理、服務管理和通信安全服務.其功能 包括：用戶管理票據授權服務應用服務管理服務器票據管理用戶鑒別安 全審計kdc不但可以和其他安全產品集成使用,也可以和支持 kerberos的其他產品集成,如oracle8i等.kdc提供了調用接口口。，用戶可以在應用中調用kdc的安全功 能.kdc使“一次登錄”成為可能,即用戶在使用所有可以訪問的數 據和系統時只需要登錄一次.2、安全通信代理除在自己的信息安全產品中包含了通信安全功能外,還為不具備 通信安全的系統提供了一個可配置的通信安全解決方案,即

13、安全通信 代理.安全通信代理包括客戶端和服務器兩部分.安全代理結構通信安全代理客戶端運行在應用系統客戶機上.當 客戶機要向服務器發送信息時，信息不直接發送到服務器,而是發送 到通信安全代理客戶端.客戶端將信息加密后發送到通信安全代理服 務器.通信安全代理服務器將請求脫密后發給真正的服務器并獲取返回的內容，將返回內容加密并返回給通信安全代理客戶機.通信安全 代理客戶機將通信安全代理服務器返回的內容脫密并返回給請求者.通信安全代理客戶端與服務端之間的通信過程采用一次會話一個 密鑰的動態密鑰加密方式，并通過會話標識、請求序號、完整性校驗 碼等來實現防重放、防篡改.3、文件保密柜文件保密柜可分為企業文

14、件保密柜和個人文件保密柜兩種.企業文件保密柜企業文件保密柜包括文件柜服務器和文件柜客戶 機，功能包括：文件加密存儲:文件以加密的形式存儲在文件柜中,防止文件內容 的泄漏.文件傳輸加密:文件從服務器傳輸到客戶機過程中采用加密保護 措施.訪問控制:企業文件柜允許多用戶共享文件,企業文件柜提供訪問 控制功能,防止文件的非授權訪問.安全審計:記錄用戶對文件的訪問，提供安全審計記錄查詢功能.文件查詢:可以根據查詢條件來查找相關的文件,包括全文查找.文件組織與管理：以層次形式顯示和組織文件,支持文件在層次結 構中的拖動.個人文件保密柜個人文件保密柜功能包括:加密存儲:文件以加密的形式存儲在文件柜中,防止文

15、件內容的泄 漏.文件查詢:可以根據查詢條件來查找相關的文件,包括全文查找.文件組織與管理：以層次形式顯示和組織文件,支持文件在層次結 構中的拖動.作為企業文件保密柜客戶機使用.文件保密柜的特點安全:采用182位密鑰長度加密,且不同文件采 用不同密鑰.全文查找：自主研制的加密算法支持快速全文查找功能.多平臺支持:支持 unix/linux/microsoftos.操作方便:支持右鍵和拖放操作.支持二次開發:通過編程接口支持二次開發.4、數據庫加密系統數據庫加密系統包括數據庫加密服務器、odbc驅動器、jdbc驅 動器和一個工具集.數據庫安全體系結構數據庫加密系統能夠適應c/s和b/s兩種應用形式

16、.數據庫安全c/s模式系統結構在c/s模式應用系統中,客戶端應用（包括開發工具）與odbc驅動 器交互來訪問數據庫加密系統服務器.數據庫安全b/s模式系統結構在b/s模式系統中,瀏覽器與web服務器采用http進行交互.為 解決瀏覽器與web服務器間的通信安全問題,采用代理技術來實現瀏 覽器與web服務器間的通信安全.在瀏覽器中使用代理功能,將請求 發往本機的安全代理客戶端,安全代理客戶端將請求加密后發往安全 代理服務器.安全代理服務器依次脫密請求、將請求交給web服務器、 獲取web服務器返回內容、加密返回內容、發送加密后的內容到安 全代理客戶端.安全代理客戶端脫密返回的內容并交給瀏覽器.瀏

17、覽 器則將內容顯示出來.數據庫加密服務器數據庫加密服務器主要由服務管理、sql執行引擎、數據字典管 理、dbms訪問按口、數據備份與恢復、其他系統服務等模塊組成. 從客戶端來的請求首先交給服務管理模塊,服務管理模塊將請求分派 到實際的服務模塊執行.有關密文數據訪問的請求交給sql執行引擎.sql執行引擎對到 來的sql進行詞法和語法分析.通過了詞法、語法檢查sql請求在 sql執行引擎中形成執行計劃并被執行.在sql執行過程中會調用數 據加密功能對寫入數據庫的數據進行加密，對從數據中取出的數據進 行脫密.odbc驅動器odbc驅動器符合microsoftodbc標準,并在內部實現了與服務器 間

18、的安全通信.因此,任何可以通過odbc工作的應用系統和開發工具 都可以通過這個驅動器訪問數據庫加密系統,即數據庫數據的通信和 存儲安全對應用系統是透明的.jdbc驅動器jdbc驅動器符合jdbc標準,并在內部實現了與服務器間的安全 通信.因此,任何可以通過jdbc工作的應用系統和開發工具都可以通 過這個驅動器訪問數據庫加密系統,即數據庫數據的通信和存儲安全 對應用系統是透明的.工具集企業管理器：以一種集成的方式實現系統的所有管理工作.管理器 功能包括節點管理、服務器配置、停止服務器、活動用戶管理、數 據庫中對象及其加密屬性管理、密文數據的明文備份與恢復.交互命令處理器:執行命令來完成系統管理和數據操縱功能.這些 命令包括連接命令、服務器配置與管理命令、表的安全屬性管理命 令、備份與恢復命令、sql等.命令處理器可以直接執行命令腳本文 件，以批量化和自動化一些管理工作和數據操縱工作.數據庫加密系統的特點高安全性:128位密鑰長度,數據項級數據 加密，即不同數據項采用不同密鑰加密.用戶還可選擇硬件加密卡來執行加/脫密等安全操作,保證密鑰不出現在硬件加密卡以外的任何 地方，使系統更加安全.高效率：自主研制的密文查詢算法保