集团信息系统解决策划方案.docx

1、集团信息系统解决策划方案浪潮集团的解决方案孙大军刘永辉一、项目需求和系统设计目标1项目需求在我们那个方案中，如何在各个公司内部和公司之间实现信息安全、可靠的交互是我们设计方案的要紧动身点，而如何在可实现的价格、配置范围内获得最高的安全特性，也确实是达到最高的性能价格比，应成为本解决方案的要紧目标。由于该公司的总公司和分公司分处三地，而且距离比较远，考虑到价格因素，故通过廉价的Internet来传递数据和进行网上互联，通过个人认证证书和网络防火墙来实现网上数据的安全访问。公司总部的整个局域网的安全通过防火墙来保证，公司驻外人员或者上下业务关系企业可通过拨号上Internet，通过和该公司服务器的

2、个人证书认证建立安全连接来访问该公司服务器，用SSL(安全套接字层)协议和证书操纵来保证在网上进行电子商务时数据传输的安全性，以达到信息安全高效的交流。2系统设计目标由于系统对安全等问题的考虑，应达到以下的目标：局域网内部的安全性：要紧体现在对公司内部职工的身份的认证和权限的设置；防火墙内部用户的安全性：要紧包括对通过防火墙的用户的身份的认证、外来的数据包的过滤和对内部的用户的治理，并保证内部的Web服务器的安全；电子商务的安全性：包括Web服务器本身的安全性和传输的数据的安全性，还应包括对线上交易的用户的身份的认证，保证交易的安全性和不可抵赖性；广域网的安全性：要紧是三地公司的公文流转、内部

3、治理信息等需要做网上的传递，保证传输的公文不被第三方窃取及驻外人员与公司总部信息的安全交流。二、总体设计方案基于以上的分析，总部的Web服务器采纳浪潮集团自主开发的信息安全服务器(NetSafe)来保证网上数据的安全(电子商务的安全)，三地分公司的防火墙采纳浪潮集团的浪潮防火墙系统(1.0版本)来保证其内部网络的安全(局域网的安全)，通过信息安全服务器(NetSafe)配套的企业级CA证书系统来保证各地的网上传输数据的安全性(广域网的安全)。整个网络结构设计如图1所示。图11公司总部方案(1)Web服务器：浪潮信息安全服务器(NetSafe)(包括相关软硬件)(2)防火墙：浪潮防火墙1.0(3

4、)路由器：Cisco路由器(4)软件：证书发放治理器：浪潮企业级CA-Center具有完整的证书发放功能和部分的证书治理功能，所发放的证书完全符合X.509规范，能够应用于Internet上的安全通讯、安全E-mail、区分内外部人员等诸多领域；扫瞄器：安装用户证书的IE或Netscape扫瞄器，由于美国的出口限制，我们通常使用的扫瞄器的密钥长度不足，对称算法密钥长度只有40位(在费用为5万美元时只需2秒即可破译)，而安装浪潮安全服务器提供的密钥程序，能够将密钥长度提高到128位(在费用为5000万美元时需1016年)，以保证密文的强壮性；电子邮件处理：OutLook等。具体结构如图2所示。图

5、2浪潮信息安全服务器、证书发放治理器(CA-Center)、扫瞄器的工作模式如图3所示。图32分公司设计方案由于上海、广州两地的分公司地位相同，故采纳相同的设计方案。防火墙(可选)：浪潮防火墙1.0扫瞄器：安装用户证书的IE或Netscape扫瞄器(由于美国的出口限制，扫瞄器的密钥长度不足，因此需安装浪潮安全服务器提供的密钥程序)电子邮件处理：OutLook等具体的结构如图4所示。图4三、对总体方案的讲明方案中对安全的考虑要紧体现在以下几个方面：1局域网内部的安全性内部用户通过用户身份的认证来保证其安全。2防火墙内部用户的安全性防火墙的要紧功能是隔离内外网络，浪潮防火墙1.0要紧是集身份认证、

6、数据包过滤和安全服务器功能于一身，实现完全透明的内部和外部的连接，并有过滤政策设定、一次性用户口令等功能，符合设计的需要。3电子商务的安全性电子商务的安全问题要紧集中在两点：一是服务器和内部网的数据被入侵和窃取，另一点确实是传输过程中的敏感数据被不人窃取。对第一种安全问题，浪潮防火墙提供SSN功能，屏蔽内部服务器，保证内部的Web服务器免受外部的攻击，从而保证内部的服务器、局域网包括Web服务器的安全。关于第二种安全问题，浪潮信息安全服务器采纳Linux操作系统、自主开发的SSL模块、Apache Web服务器软件，结合国内高水平的加密卡，实现了高强度的信息加密功能，结合CA(可采纳浪潮信息安

7、全服务器(Netsafe)自带的浪潮企业级CA-Ceneter，也能够采纳第三方的CA中心)后更具有双向的身份认证、交易的不可抵赖性等功能。其采纳的自主开发的加密算法密钥长度最高可达168位，用于传输密钥的公钥算法的RSA密钥长可达1024位，同时其采纳的安全通讯协议(SSL)、加密算法和电子证书等方面完全符合国际标准，符合国内电子商务的需要。4广域网的安全性广域网的安全要紧通过NetSafe自带的浪潮CA-Center来实现。通过给内部职工发放证书来对三地之间来往的公文进行加密和双方身份的认证。由于传输过程中是加密处理的且加密强度高、密文强壮性好，因此不用担心传输过程中的泄密。公司驻外人员同

8、样能够用其内部职工的证书访问公司网站和进行安全公文传输。四、系统特点及优势1系统稳定安全信息安全服务器(Netsafe)和浪潮防火墙均采纳Linux操作系统，系统运行稳定，克服了某些系统运行不稳，频繁死机的问题。且由于操作系统开放源代码，故Bug也较少。2 配置灵活浪潮防火墙的配置界面采纳的是Web形式，能够通过客户端来进行系统的配置，灵活直观，差不多上操作人员不需要培训就可上手。信息安全服务器(Netsafe)采纳自主开发的SSL模块及世界占有率第一的Web服务器Apache作为基础的Web服务器，配置简单灵活、功能强大。作为服务器端，系统治理人员能够依照需要设定扫瞄器使用者个人证书是否必需

9、，扫瞄器使用者安全等级等，保证各种用户正常扫瞄公司网站。3使用简单浪潮防火墙：过滤政策设置简单，治理容易。信息安全服务器(Netsafe)：用户使用扫瞄器安全访问公司网站时特不方便(仅是https:/和http:/的差不)，实现了安全性和简易性的统一。4功能完整浪潮防火墙：差不多上实现所有防火墙的功能。信息安全服务器(Netsafe)：完整的证书生成功能、部分的证书治理功能，完整的网上传输信息加密和通过证书的身份认证功能。5性能价格比高浪潮集团是国内的大型电子厂商，产品的价格要比国外的同类产品和国内的大多数产品低，实现最高的性能价格比。五、注意的问题安全问题是一个综合性的问题，要实现真正的安全

10、，只能是软件、硬件和人三方面的完美结合。由于配置的失误导致系统安全性能的降低、应有的安全功能得不到发挥的例子层出不穷，这就要求系统安全治理人员要不断提高个人素养，只有如此才能构建一个比较安全的系统。附：浪潮防火墙浪潮防火1.0具有的功能如下：（1）IP地址复用：实现多个用户共享一个有效的IP地址，透明访问Internet资源；（2）用户身份认证：内部网的用户必须通过身份认证后才能访问外部网；（3）访问权限的操纵：系统给用户提供了对自己的访问权限的治理权，这种权限分为国际权、国内权和内部网权；（4）过滤政策的设定：包括关于合法内部IP地址范围，非法外部站点等的设定，作为过滤的依照；（5）访问操纵

11、：依照设定的过滤政策，实现对访问的操纵，达到禁止非法访问的目的；（6）基于IP地址的流量的统计：实现对每一个IP地址的国内、国外出入四种流量的统计和记录；（7）流量计算和查询：依照设定的流量计算，向系统治理员和用户提供查询；（8）用户帐户的治理：提供用户对自己的口令、访问权限的治理功能；（9）系统治理功能：为系统治理员提供建立、撤消、用户户头、流量查询和计算等功能；（10）防火墙治理：通过Web界面来实现对防火墙的治理，使用更为方便；（11）强大的SSN功能：屏蔽内部服务器免受攻击，实现安全服务器。附：浪潮信息安全服务器浪潮信息安全服务器(NetSafe)具有如下的性能特点：(1)自主开发的S

12、SL模块自主开发的SSL模块和与软件系统平台相集成的SSL应用软件产品，实现了SSL协议相关的全部内容，包括关键技术RSA公钥算法、X509证书规范，以及SSL协议与IE、Netscape标准的完全兼容性。在自主开发的SSL模块系统中，既做到了与国际标准相兼容，又能够集成自己的加密算法和机制，执行效率高。(2)国际先进水平的网络加密卡采纳的网络加密卡是一种高性能的安全加密卡，该卡及其所使用的密码算法和技术通过国家密码治理委员会的鉴定，支持多种公钥算法和对称算法，加密算法强度高，可靠性高。(3)Linux操作系统和Apache Web服务器为了保证系统的安全性，采纳Linux作为我们的系统平台。

13、Linux作为一种完全公开源代码的操作系统，世界各地有几十万自愿者为那个充满魅力的操作系统的进展贡献自己的才能。由于其代码的公开性，使得该系统BUG较少、更新容易，对网络传输和加密方面提供了宽敞的应用前景。为保证系统运行的可靠性和可维护性，采纳目前国际上最流行的Apache Web服务器(源代码有部分改动)作为我们的Web服务器。附：Apache Web服务器的优点Apache要紧有以下的优点：(1)支持最新的HTTP/1.1协议：Apache是最先使用HTTP/1.1协议的服务器之一。它与最新的HTTP/1.1标准完全兼容，同时它还与HTTP/1.0向后兼容。Apache已为新协议所提供的全

14、部内容做好了必要的预备。(2)简单而强有力的基于文件的配置：Apache服务器没有为治理员提供图形用户界面。(3)支持通用网关接口(CGI)：Apache用mod_cgi模块来支持CGI。它遵守CGI/1.1 标准，同时提供了扩充的特征，如定制环境变量和专门难在其他Web服务器中找到的调试支持功能。(4)支持虚拟主机：Apache是首批既支持基于IP的虚拟主机又支持命名的虚拟主机的Web服务器之一。(5)支持HTTP认证：Apache支持基于Web的差不多认证，它还为支持基于消息摘要的认证做好了预备。(6)集成的Perl：Perl已成为CGI脚本编程的事实标准。Apache确信是使Perl成为这种流行的CGI编程语言的因素之一。(7)集成的代理(Proxy)服务器：你能够将Apache作为前向代理服务器。(8)服务器状态和可定制日志：Apache在记录日志和监视服务器本身状态方面向你提供了专门大的灵活性。(9)支持安全Socket层(SSL)：由于版权法和进出口方面的限制，Apache本身不支持高强度算法的SSL协议。但在那个版本的Apache中，支持我们自主开发的高强度算法的SSL加密模块。