浪潮集团的解决方案

  文件类别:策划方案 方案报告

  文件格式:文件格式

  文件大小:75K

  下载次数:175

  所需积分:3点

  解压密码:qg68.cn

  下载地址:[下载地址]

清华大学卓越生产运营总监高级研修班

综合能力考核表详细内容

浪潮集团的解决方案
浪潮集团的解决方案 孙大军 刘永辉   一、项目需求和系统设计目标   1.项目需求   在我们这个方案中,如何在各个公司内部和公司之间实现信息安全、可靠的交互是 我们设计方案的主要出发点,而如何在可实现的价格、配置范围内获得最高的安全特性 ,也就是达到最高的性能价格比,应成为本解决方案的主要目标。   由于该公司的总公司和分公司分处三地,而且距离比较远,考虑到价格因素,故通 过廉价的Internet来传递数据和进行网上互联,通过个人认证证书和网络防火墙来实现 网上数据的安全访问。公司总部的整个局域网的安全通过防火墙来保证,公司驻外人员 或者上下业务关系企业可通过拨号上Internet,通过和该公司服务器的个人证书认证建 立安全连接来访问该公司服务器,用SSL(安全套接字层)协议和证书控制来保证在网上进 行电子商务时数据传输的安全性,以达到信息安全高效的交流。   2.系统设计目标   由于系统对安全等问题的考虑,应达到以下的目标:   局域网内部的安全性:主要体现在对公司内部职工的身份的认证和权限的设置;   防火墙内部用户的安全性:主要包括对通过防火墙的用户的身份的认证、外来的数 据包的过滤和对内部的用户的管理,并保证内部的Web服务器的安全;   电子商务的安全性:包括Web服务器本身的安全性和传输的数据的安全性,还应包括 对线上交易的用户的身份的认证,保证交易的安全性和不可抵赖性;   广域网的安全性:主要是三地公司的公文流转、内部管理信息等需要做网上的传递 ,保证传输的公文不被第三方窃取及驻外人员与公司总部信息的安全交流。   二、总体设计方案   基于以上的分析,总部的Web服务器采用浪潮集团自主开发的信息安全服务器(NetS afe)来保证网上数据的安全(电子商务的安全),三地分公司的防火墙采用浪潮集团的浪 潮防火墙系统(1.0版本)来保证其内部网络的安全(局域网的安全),通过信息安全服务器 (NetSafe)配套的企业级CA证书系统来保证各地的网上传输数据的安全性(广域网的安全 )。   整个网络结构设计如图1所示。 [pic]   图1   1.公司总部方案   (1)Web服务器:浪潮信息安全服务器(NetSafe)(包括相关软硬件)   (2)防火墙:浪潮防火墙1.0   (3)路由器:Cisco路由器   (4)软件:   证书发放管理器:浪潮企业级CA- Center具有完整的证书发放功能和部分的证书管理功能,所发放的证书完全符合X.509规 范,可以应用于Internet上的安全通讯、安全E-mail、区分内外部人员等诸多领域;   浏览器:安装用户证书的IE或Netscape浏览器,由于美国的出口限制,我们通常使 用的浏览器的密钥长度不足,对称算法密钥长度只有40位(在费用为5万美元时只需2秒即 可破译),而安装浪潮安全服务器提供的密钥程序,可以将密钥长度提高到128位(在费用 为5000万美元时需1016年),以保证密文的强壮性;   电子邮件处理:OutLook等。   具体结构如图2所示。 [pic]   图2   浪潮信息安全服务器、证书发放管理器(CA- Center)、浏览器的工作模式如图3所示。 [pic]   图3   2.分公司设计方案   由于上海、广州两地的分公司地位相同,故采用相同的设计方案。   防火墙(可选):浪潮防火墙1.0   浏览器:安装用户证书的IE或Netscape浏览器(由于美国的出口限制,浏览器的密钥 长度不足,所以需安装浪潮安全服务器提供的密钥程序)   电子邮件处理:OutLook等   具体的结构如图4所示。 [pic]   图4   三、对总体方案的说明   方案中对安全的考虑主要体现在以下几个方面:   1.局域网内部的安全性   内部用户通过用户身份的认证来保证其安全。   2.防火墙内部用户的安全性   防火墙的主要功能是隔离内外网络,浪潮防火墙1.0主要是集身份认证、数据包过滤 和安全服务器功能于一身,实现完全透明的内部和外部的连接,并有过滤政策设定、一 次性用户口令等功能,符合设计的需要。   3.电子商务的安全性   电子商务的安全问题主要集中在两点:一是服务器和内部网的数据被入侵和窃取, 另一点就是传输过程中的敏感数据被别人窃取。对第一种安全问题,浪潮防火墙提供SS N功能,屏蔽内部服务器,保证内部的Web服务器免受外部的攻击,从而保证内部的服务 器、局域网包括Web服务器的安全。对于第二种安全问题,浪潮信息安全服务器采用Lin ux操作系统、自主开发的SSL模块、Apache Web服务器软件,结合国内高水平的加密卡,实现了高强度的信息加密功能,结合CA(可 采用浪潮信息安全服务器(Netsafe)自带的浪潮企业级CA- Ceneter,也可以采用第三方的CA中心)后更具有双向的身份认证、交易的不可抵赖性等 功能。其采用的自主开发的加密算法密钥长度最高可达168位,用于传输密钥的公钥算法 的RSA密钥长可达1024位,并且其采用的安全通讯协议(SSL)、加密算法和电子证书等方 面完全符合国际标准,符合国内电子商务的需要。   4.广域网的安全性   广域网的安全主要通过NetSafe自带的浪潮CA- Center来实现。通过给内部职工发放证书来对三地之间来往的公文进行加密和双方身份 的认证。由于传输过程中是加密处理的且加密强度高、密文强壮性好,所以不用担心传 输过程中的泄密。公司驻外人员同样可以用其内部职工的证书访问公司网站和进行安全 公文传输。   四、系统特点及优势   1.系统稳定安全   信息安全服务器(Netsafe)和浪潮防火墙均采用Linux操作系统,系统运行稳定,克 服了某些系统运行不稳,频繁死机的问题。且由于操作系统开放源代码,故Bug也较少。   2. 配置灵活   浪潮防火墙的配置界面采用的是Web形式,可以通过客户端来进行系统的配置,灵活 直观,基本上操作人员不需要培训就可上手。   信息安全服务器(Netsafe)采用自主开发的SSL模块及世界占有率第一的Web服务器A pache作为基础的Web服务器,配置简单灵活、功能强大。作为服务器端,系统管理人员 可以根据需要设定浏览器使用者个人证书是否必需,浏览器使用者安全等级等,保证各 种用户正常浏览公司网站。   3.使用简单   浪潮防火墙:过滤政策设置简单,管理容易。   信息安全服务器(Netsafe):用户使用浏览器安全访问公司网站时非常方便(仅是ht tps://和http://的差别),实现了安全性和简易性的统一。   4.功能完整   浪潮防火墙:基本上实现所有防火墙的功能。   信息安全服务器(Netsafe):完整的证书生成功能、部分的证书管理功能,完整的网 上传输信息加密和通过证书的身份认证功能。   5.性能价格比高   浪潮集团是国内的大型电子厂商,产品的价格要比国外的同类产品和国内的大多数 产品低,实现最高的性能价格比。   五、注意的问题   安全问题是一个综合性的问题,要实现真正的安全,只能是软件、硬件和人三方面 的完美结合。由于配置的失误导致系统安全性能的降低、应有的安全功能得不到发挥的 例子层出不穷,这就要求系统安全管理人员要不断提高个人素质,只有这样才能构建一 个比较安全的系统。   附:浪潮防火墙   浪潮防火1.0具有的功能如下:   (1)IP地址复用:实现多个用户共享一个有效的IP地址,透明访问Internet资源;   (2)用户身份认证:内部网的用户必须经过身份认证后才能访问外部网;   (3)访问权限的控制:系统给用户提供了对自己的访问权限的管理权,这种权限分 为国际权、国内权和内部网权;   (4)过滤政策的设定:包括对于合法内部IP地址范围,非法外部站点等的设定,作 为过滤的根据;   (5)访问控制:根据设定的过滤政策,实现对访问的控制,达到禁止非法访问的目 的;   (6)基于IP地址的流量的统计:实现对每一个IP地址的国内、国外出入四种流量的 统计和记录;   (7)流量计算和查询:根据设定的流量计算,向系统管理员和用户提供查询;   (8)用户帐户的管理:提供用户对自己的口令、访问权限的管理功能;   (9)系统管理功能:为系统管理员提供建立、撤消、用户户头、流量查询和计算等 功能;   (10)防火墙管理:通过Web界面来实现对防火墙的管理,使用更为方便;   (11)强大的SSN功能:屏蔽内部服务器免受攻击,实现安全服务器。   附:浪潮信息安全服务器   浪潮信息安全服务器(NetSafe)具有如下的性能特点:   (1)自主开发的SSL模块   自主开发的SSL模块和与软件系统平台相集成的SSL应用软件产品,实现了SSL协议相 关的全部内容,包括关键技术RSA公钥算法、X509证书规范,以及SSL协议与IE、Netsca pe标准的完全兼容性。在自主开发的SSL模块系统中,既做到了与国际标准相兼容,又可 以集成自己的加密算法和机制,执行效率高。   (2)国际先进水平的网络加密卡   采用的网络加密卡是一种高性能的安全加密卡,该卡及其所使用的密码算法和技术 通过国家密码管理委员会的鉴定,支持多种公钥算法和对称算法,加密算法强度高,可 靠性高。   (3)Linux操作系统和Apache Web服务器   为了保证系统的安全性,采用Linux作为我们的系统平台。Linux作为一种完全公开 源代码的操作系统,世界各地有几十万自愿者为这个充满魅力的操作系统的发展贡献自 己的才能。由于其代码的公开性,使得该系统BUG较少、更新容易,对网络传输和加密方 面提供了广阔的应用前景。   为保证系统运行的可靠性和可维护性,采用目前国际上最流行的Apache Web服务器(源代码有部分改动)作为我们的Web服务器。   附:Apache Web服务器的优点   Apache主要有以下的优点:   (1)支持最新的HTTP/1.1协议:Apache是最先使用HTTP/1.1协议的服务器之一。它与 最新的HTTP/1.1标准完全兼容,同时它还与HTTP/1.0向后兼容。Apache已为新协议所提 供的全部内容做好了必要的准备。   (2)简单而强有力的基于文件的配置:Apache服务器没有为管理员提供图形用户界面 。   (3)支持通用网关接口(CGI):Apache用mod_cgi模块来支持CGI。它遵守CGI/1.1 标准,并且提供了扩充的特征,如定制环境变量和很难在其他Web服务器中找到的调试支 持功能。   (4)支持虚拟主机:Apache是首批既支持基于IP的虚拟主机又支持命名的虚拟主机的 Web服务器之一。   (5)支持HTTP认证:Apache支持基于Web的基本认证,它还为支持基于消息摘要的认 证做好了准备。   (6)集成的Perl:Perl已成为CGI脚本编程的事实标准。Apache肯定是使Perl成为这 种流行的CGI编程语言的因素之一。   (7)集成的代理(Proxy)服务器:你可以将Apache作为前向代理服务器。   (8)服务器状态和可定制日志:Apache在记录日志和监视服务器本身状态方面向你提 供了很大的灵活性。   (9)支持安全Socket层(SSL):由于版权法和进出口方面的限制,Apache本身不支持 高强度算法的SSL协议。但在这个版本的Apache中,支持我们自主开发的高强度算法的S SL加密模块。
浪潮集团的解决方案
 

[下载声明]
1.本站的所有资料均为资料作者提供和网友推荐收集整理而来,仅供学习和研究交流使用。如有侵犯到您版权的,请来电指出,本站将立即改正。电话:010-82593357。
2、访问管理资源网的用户必须明白,本站对提供下载的学习资料等不拥有任何权利,版权归该下载资源的合法拥有者所有。
3、本站保证站内提供的所有可下载资源都是按“原样”提供,本站未做过任何改动;但本网站不保证本站提供的下载资源的准确性、安全性和完整性;同时本网站也不承担用户因使用这些下载资源对自己和他人造成任何形式的损失或伤害。
4、未经本网站的明确许可,任何人不得大量链接本站下载资源;不得复制或仿造本网站。本网站对其自行开发的或和他人共同开发的所有内容、技术手段和服务拥有全部知识产权,任何人不得侵害或破坏,也不得擅自使用。

 我要上传资料,请点我!
人才招聘 免责声明 常见问题 广告服务 联系方式 隐私保护 积分规则 关于我们 登陆帮助 友情链接
COPYRIGT @ 2001-2018 HTTP://WWW.QG68.CN INC. ALL RIGHTS RESERVED. 管理资源网 版权所有