浪潮集团的网络安全解决方案

一、项目需求和系统设计目标 1．项目需求 　　在我们这个方案中，如何在各个公司内部和公司之间实现信息安全、可靠的交互是我们设计方案的主要出发点，而如何在可实现的价格、配置范围内获得最高的安全特性，也就是达到最高的性能价格比，应成为本解决方案的主要目标。 　　由于该公司的总公司和分公司分处三地，而且距离比较远，考虑到价格因素，故通过廉价的Internet来传递数据和进行网上互联，通过个人认证证书和网络防火墙来实现网上数据的安全访问。公司总部的整个局域网的安全通过防火墙来保证，公司驻外人员或者上下业务关系企业可通过拨号上Internet，通过和该公司服务器的个人证书认证建立安全连接来访问该公司服务器，用SSL(安全套接字层)协议和证书控制来保证在网上进行电子商务时数据传输的安全性，以达到信息安全高效的交流。 2．系统设计目标 由于系统对安全等问题的考虑，应达到以下的目标： 局域网内部的安全性：主要体现在对公司内部职工的身份的认证和权限的设置； 防火墙内部用户的安全性：主要包括对通过防火墙的用户的身份的认证、外来的数据包的过滤和对内部的用户的管理，并保证内部的Web服务器的安全； 电子商务的安全性：包括Web服务器本身的安全性和传输的数据的安全性，还应包括对线上交易的用户的身份的认证，保证交易的安全性和不可抵赖性； 广域网的安全性：主要是三地公司的公文流转、内部管理信息等需要做网上的传递，保证传输的公文不被第三方窃取及驻外人员与公司总部信息的安全交流。 二、总体设计方案 　　基于以上的分析，总部的Web服务器采用浪潮集团自主开发的信息安全服务器(NetSafe)来保证网上数据的安全(电子商务的安全)，三地分公司的防火墙采用浪潮集团的浪潮防火墙系统(1.0版本)来保证其内部网络的安全(局域网的安全)，通过信息安全服务器(NetSafe)配套的企业级CA证书系统来保证各地的网上传输数据的安全性(广域网的安全)。 整个网络结构设计如图1所示。 　 （图1） 1．公司总部方案 (1)Web服务器：浪潮信息安全服务器(NetSafe)(包括相关软硬件) (2)防火墙：浪潮防火墙1.0 (3)路由器：Cisco路由器 (4)软件： 证书发放管理器：浪潮企业级CA-Center具有完整的证书发放功能和部分的证书管理功能，所发放的证书完全符合X.509规范，可以应用于Internet上的安全通讯、安全E-mail、区分内外部人员等诸多领域； 浏览器：安装用户证书的IE或Netscape浏览器，由于美国的出口限制，我们通常使用的浏览器的密钥长度不足，对称算法密钥长度只有40位(在费用为5万美元时只需2秒即可破译)，而安装浪潮安全服务器提供的密钥程序，可以将密钥长度提高到128位(在费用为5000万美元时需1016年)，以保证密文的强壮性； 电子邮件处理：OutLook等。 具体结构如图2所示。 　 （图2） 浪潮信息安全服务器、证书发放管理器(CA-Center)、浏览器的工作模式如图3所示。 　 （图3） 2．分公司设计方案 由于上海、广州两地的分公司地位相同，故采用相同的设计方案。 防火墙(可选)：浪潮防火墙1.0 浏览器：安装用户证书的IE或Netscape浏览器(由于美国的出口限制，浏览器的密钥长度不足，所以需安装浪潮安全服务器提供的密钥程序) 电子邮件处理：OutLook等 具体的结构如图4所示。 （图4）　 三、对总体方案的说明 方案中对安全的考虑主要体现在以下几个方面： 1．局域网内部的安全性 内部用户通过用户身份的认证来保证其安全。 2．防火墙内部用户的安全性 防火墙的主要功能是隔离内外网络，浪潮防火墙1.0主要是集身份认证、数据包过滤和安全服务器功能于一身，实现完全透明的内部和外部的连接，并有过滤政策设定、一次性用户口令等功能，符合设计的需要。 3．电子商务的安全性 电子商务的安全问题主要集中在两点：一是服务器和内部网的数据被入侵和窃取，另一点就是传输过程中的敏感数据被别人窃取。对第一种安全问题，浪潮防火墙提供SSN功能，屏蔽内部服务器，保证内部的Web服务器免受外部的攻击，从而保证内部的服务器、局域网包括Web服务器的安全。对于第二种安全问题，浪潮信息安全服务器采用Linux操作系统、自主开发的SSL模块、Apache Web服务器软件，结合国内高水平的加密卡，实现了高强度的信息加密功能，结合CA(可采用浪潮信息安全服务器(Netsafe)自带的浪潮企业级CA-Ceneter，也可以采用第三方的CA中心)后更具有双向的身份认证、交易的不可抵赖性等功能。其采用的自主开发的加密算法密钥长度最高可达168位，用于传输密钥的公钥算法的RSA密钥长可达1024位，并且其采用的安全通讯协议(SSL)、加密算法和电子证书等方面完全符合国际标准，符合国内电子商务的需要。 4．广域网的安全性 广域网的安全主要通过NetSafe自带的浪潮CA-Center来实现。通过给内部职工发放证书来对三地之间来往的公文进行加密和双方身份的认证。由于传输过程中是加密处理的且加密强度高、密文强壮性好，所以不用担心传输过程中的泄密。公司驻外人员同样可以用其内部职工的证书访问公司网站和进行安全公文传输。 四、系统特点及优势 1．系统稳定安全 信息安全服务器(Netsafe)和浪潮防火墙均采用Linux操作系统，系统运行稳定，克服了某些系统运行不稳，频繁死机的问题。且由于操作系统开放源代码，故Bug也较少。 2． 配置灵活 浪潮防火墙的配置界面采用的是Web形式，可以通过客户端来进行系统的配置，灵活直观，基本上操作人员不需要培训就可上手。 信息安全服务器(Netsafe)采用自主开发的SSL模块及世界占有率第一的Web服务器Apache作为基础的Web服务器，配置简单灵活、功能强大。作为服务器端，系统管理人员可以根据需要设定浏览器使用者个人证书是否必需，浏览器使用者安全等级等，保证各种用户正常浏览公司网站。 3．使用简单 浪潮防火墙：过滤政策设置简单，管理容易。 信息安全服务器(Netsafe)：用户使用浏览器安全访问公司网站时非常方便(仅是https://和http://的差别)，实现了安全性和简易性的统一。 4．功能完整 浪潮防火墙：基本上实现所有防火墙的功能。 信息安全服务器(Netsafe)：完整的证书生成功能、部分的证书管理功能，完整的网上传输信息加密和通过证书的身份认证功能。 5．性能价格比高 浪潮集团是国内的大型电子厂商，产品的价格要比国外的同类产品和国内的大多数产品低，实现最高的性能价格比。 五、注意的问题 安全问题是一个综合性的问题，要实现真正的安全，只能是软件、硬件和人三方面的完美结合。由于配置的失误导致系统安全性能的降低、应有的安全功能得不到发挥的例子层出不穷，这就要求系统安全管理人员要不断提高个人素质，只有这样才能构建一个比较安全的系统。 附：浪潮信息安全服务器 浪潮信息安全服务器(NetSafe)具有如下的性能特点： (1)自主开发的SSL模块 自主开发的SSL模块和与软件系统平台相集成的SSL应用软件产品，实现了SSL协议相关的全部内容，包括关键技术RSA公钥算法、X509证书规范，以及SSL协议与IE、Netscape标准的完全兼容性。在自主开发的SSL模块系统中，既做到了与国际标准相兼容，又可以集成自己的加密算法和机制，执行效率高。 (2)国际先进水平的网络加密卡 采用的网络加密卡是一种高性能的安全加密卡，该卡及其所使用的密码算法和技术通过国家密码管理委员会的鉴定，支持多种公钥算法和对称算法，加密算法强度高，可靠性高。 (3)Linux操作系统和Apache Web服务器 为了保证系统的安全性，采用Linux作为我们的系统平台。Linux作为一种完全公开源代码的操作系统，世界各地有几十万自愿者为这个充满魅力的操作系统的发展贡献自己的才能。由于其代码的公开性，使得该系统BUG较少、更新容易，对网络传输和加密方面提供了广阔的应用前景。 为保证系统运行的可靠性和可维护性，采用目前国际上最流行的Apache Web服务器(源代码有部分改动)作为我们的Web服务器。 附：Apache Web服务器的优点 Apache主要有以下的优点： (1)支持最新的HTTP/1.1协议：Apache是最先使用HTTP/1.1协议的服务器之一。它与最新的HTTP/1.1标准完全兼容，同时它还与HTTP/1.0向后兼容。Apache已为新协议所提供的全部内容做好了必要的准备。 (2)简单而强有力的基于文件的配置：Apache服务器没有为管理员提供图形用户界面。 (3)支持通用网关接口(CGI)：Apache用mod_cgi模块来支持CGI。它遵守CGI/1.1 标准，并且提供了扩充的特征，如定制环境变量和很难在其他Web服务器中找到的调试支持功能。 (4)支持虚拟主机：Apache是首批既支持基于IP的虚拟主机又支持命名的虚拟主机的Web服务器之一。 (5)支持HTTP认证：Apache支持基于Web的基本认证，它还为支持基于消息摘要的认证做好了准备。 (6)集成的Perl：Perl已成为CGI脚本编程的事实标准。Apache肯定是使Perl成为这种流行的CGI编程语言的因素之一。 (7)集成的代理(Proxy)服务器：你可以将Apache作为前向代理服务器。 (8)服务器状态和可定制日志：Apache在记录日志和监视服务器本身状态方面向你提供了很大的灵活性。 (9)支持安全Socket层(SSL)：由于版权法和进出口方面的限制，Apache本身不支持高强度算法的SSL协议。但在这个版本的Apache中，支持我们自主开发的高强度算法的SSL加密模块。 　　摘自《软件世界》　浪潮集团电子研究所 孙大军、刘永辉/文