浪潮集團(tuán)的解決方案
綜合能力考核表詳細(xì)內(nèi)容
浪潮集團(tuán)的解決方案
浪潮集團(tuán)的解決方案 孫大軍 劉永輝 一、項目需求和系統(tǒng)設(shè)計目標(biāo) 1.項目需求 在我們這個方案中,如何在各個公司內(nèi)部和公司之間實(shí)現(xiàn)信息安全、可靠的交互是 我們設(shè)計方案的主要出發(fā)點(diǎn),而如何在可實(shí)現(xiàn)的價格、配置范圍內(nèi)獲得最高的安全特性 ,也就是達(dá)到最高的性能價格比,應(yīng)成為本解決方案的主要目標(biāo)。 由于該公司的總公司和分公司分處三地,而且距離比較遠(yuǎn),考慮到價格因素,故通 過廉價的Internet來傳遞數(shù)據(jù)和進(jìn)行網(wǎng)上互聯(lián),通過個人認(rèn)證證書和網(wǎng)絡(luò)防火墻來實(shí)現(xiàn) 網(wǎng)上數(shù)據(jù)的安全訪問。公司總部的整個局域網(wǎng)的安全通過防火墻來保證,公司駐外人員 或者上下業(yè)務(wù)關(guān)系企業(yè)可通過撥號上Internet,通過和該公司服務(wù)器的個人證書認(rèn)證建 立安全連接來訪問該公司服務(wù)器,用SSL(安全套接字層)協(xié)議和證書控制來保證在網(wǎng)上進(jìn) 行電子商務(wù)時數(shù)據(jù)傳輸?shù)陌踩?,以達(dá)到信息安全高效的交流。 2.系統(tǒng)設(shè)計目標(biāo) 由于系統(tǒng)對安全等問題的考慮,應(yīng)達(dá)到以下的目標(biāo): 局域網(wǎng)內(nèi)部的安全性:主要體現(xiàn)在對公司內(nèi)部職工的身份的認(rèn)證和權(quán)限的設(shè)置; 防火墻內(nèi)部用戶的安全性:主要包括對通過防火墻的用戶的身份的認(rèn)證、外來的數(shù) 據(jù)包的過濾和對內(nèi)部的用戶的管理,并保證內(nèi)部的Web服務(wù)器的安全; 電子商務(wù)的安全性:包括Web服務(wù)器本身的安全性和傳輸?shù)臄?shù)據(jù)的安全性,還應(yīng)包括 對線上交易的用戶的身份的認(rèn)證,保證交易的安全性和不可抵賴性; 廣域網(wǎng)的安全性:主要是三地公司的公文流轉(zhuǎn)、內(nèi)部管理信息等需要做網(wǎng)上的傳遞 ,保證傳輸?shù)墓牟槐坏谌礁`取及駐外人員與公司總部信息的安全交流。 二、總體設(shè)計方案 基于以上的分析,總部的Web服務(wù)器采用浪潮集團(tuán)自主開發(fā)的信息安全服務(wù)器(NetS afe)來保證網(wǎng)上數(shù)據(jù)的安全(電子商務(wù)的安全),三地分公司的防火墻采用浪潮集團(tuán)的浪 潮防火墻系統(tǒng)(1.0版本)來保證其內(nèi)部網(wǎng)絡(luò)的安全(局域網(wǎng)的安全),通過信息安全服務(wù)器 (NetSafe)配套的企業(yè)級CA證書系統(tǒng)來保證各地的網(wǎng)上傳輸數(shù)據(jù)的安全性(廣域網(wǎng)的安全 )。 整個網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計如圖1所示。 [pic] 圖1 1.公司總部方案 (1)Web服務(wù)器:浪潮信息安全服務(wù)器(NetSafe)(包括相關(guān)軟硬件) (2)防火墻:浪潮防火墻1.0 (3)路由器:Cisco路由器 (4)軟件: 證書發(fā)放管理器:浪潮企業(yè)級CA- Center具有完整的證書發(fā)放功能和部分的證書管理功能,所發(fā)放的證書完全符合X.509規(guī) 范,可以應(yīng)用于Internet上的安全通訊、安全E-mail、區(qū)分內(nèi)外部人員等諸多領(lǐng)域; 瀏覽器:安裝用戶證書的IE或Netscape瀏覽器,由于美國的出口限制,我們通常使 用的瀏覽器的密鑰長度不足,對稱算法密鑰長度只有40位(在費(fèi)用為5萬美元時只需2秒即 可破譯),而安裝浪潮安全服務(wù)器提供的密鑰程序,可以將密鑰長度提高到128位(在費(fèi)用 為5000萬美元時需1016年),以保證密文的強(qiáng)壯性; 電子郵件處理:OutLook等。 具體結(jié)構(gòu)如圖2所示。 [pic] 圖2 浪潮信息安全服務(wù)器、證書發(fā)放管理器(CA- Center)、瀏覽器的工作模式如圖3所示。 [pic] 圖3 2.分公司設(shè)計方案 由于上海、廣州兩地的分公司地位相同,故采用相同的設(shè)計方案。 防火墻(可選):浪潮防火墻1.0 瀏覽器:安裝用戶證書的IE或Netscape瀏覽器(由于美國的出口限制,瀏覽器的密鑰 長度不足,所以需安裝浪潮安全服務(wù)器提供的密鑰程序) 電子郵件處理:OutLook等 具體的結(jié)構(gòu)如圖4所示。 [pic] 圖4 三、對總體方案的說明 方案中對安全的考慮主要體現(xiàn)在以下幾個方面: 1.局域網(wǎng)內(nèi)部的安全性 內(nèi)部用戶通過用戶身份的認(rèn)證來保證其安全。 2.防火墻內(nèi)部用戶的安全性 防火墻的主要功能是隔離內(nèi)外網(wǎng)絡(luò),浪潮防火墻1.0主要是集身份認(rèn)證、數(shù)據(jù)包過濾 和安全服務(wù)器功能于一身,實(shí)現(xiàn)完全透明的內(nèi)部和外部的連接,并有過濾政策設(shè)定、一 次性用戶口令等功能,符合設(shè)計的需要。 3.電子商務(wù)的安全性 電子商務(wù)的安全問題主要集中在兩點(diǎn):一是服務(wù)器和內(nèi)部網(wǎng)的數(shù)據(jù)被入侵和竊取, 另一點(diǎn)就是傳輸過程中的敏感數(shù)據(jù)被別人竊取。對第一種安全問題,浪潮防火墻提供SS N功能,屏蔽內(nèi)部服務(wù)器,保證內(nèi)部的Web服務(wù)器免受外部的攻擊,從而保證內(nèi)部的服務(wù) 器、局域網(wǎng)包括Web服務(wù)器的安全。對于第二種安全問題,浪潮信息安全服務(wù)器采用Lin ux操作系統(tǒng)、自主開發(fā)的SSL模塊、Apache Web服務(wù)器軟件,結(jié)合國內(nèi)高水平的加密卡,實(shí)現(xiàn)了高強(qiáng)度的信息加密功能,結(jié)合CA(可 采用浪潮信息安全服務(wù)器(Netsafe)自帶的浪潮企業(yè)級CA- Ceneter,也可以采用第三方的CA中心)后更具有雙向的身份認(rèn)證、交易的不可抵賴性等 功能。其采用的自主開發(fā)的加密算法密鑰長度最高可達(dá)168位,用于傳輸密鑰的公鑰算法 的RSA密鑰長可達(dá)1024位,并且其采用的安全通訊協(xié)議(SSL)、加密算法和電子證書等方 面完全符合國際標(biāo)準(zhǔn),符合國內(nèi)電子商務(wù)的需要。 4.廣域網(wǎng)的安全性 廣域網(wǎng)的安全主要通過NetSafe自帶的浪潮CA- Center來實(shí)現(xiàn)。通過給內(nèi)部職工發(fā)放證書來對三地之間來往的公文進(jìn)行加密和雙方身份 的認(rèn)證。由于傳輸過程中是加密處理的且加密強(qiáng)度高、密文強(qiáng)壯性好,所以不用擔(dān)心傳 輸過程中的泄密。公司駐外人員同樣可以用其內(nèi)部職工的證書訪問公司網(wǎng)站和進(jìn)行安全 公文傳輸。 四、系統(tǒng)特點(diǎn)及優(yōu)勢 1.系統(tǒng)穩(wěn)定安全 信息安全服務(wù)器(Netsafe)和浪潮防火墻均采用Linux操作系統(tǒng),系統(tǒng)運(yùn)行穩(wěn)定,克 服了某些系統(tǒng)運(yùn)行不穩(wěn),頻繁死機(jī)的問題。且由于操作系統(tǒng)開放源代碼,故Bug也較少。 2. 配置靈活 浪潮防火墻的配置界面采用的是Web形式,可以通過客戶端來進(jìn)行系統(tǒng)的配置,靈活 直觀,基本上操作人員不需要培訓(xùn)就可上手。 信息安全服務(wù)器(Netsafe)采用自主開發(fā)的SSL模塊及世界占有率第一的Web服務(wù)器A pache作為基礎(chǔ)的Web服務(wù)器,配置簡單靈活、功能強(qiáng)大。作為服務(wù)器端,系統(tǒng)管理人員 可以根據(jù)需要設(shè)定瀏覽器使用者個人證書是否必需,瀏覽器使用者安全等級等,保證各 種用戶正常瀏覽公司網(wǎng)站。 3.使用簡單 浪潮防火墻:過濾政策設(shè)置簡單,管理容易。 信息安全服務(wù)器(Netsafe):用戶使用瀏覽器安全訪問公司網(wǎng)站時非常方便(僅是ht tps://和http://的差別),實(shí)現(xiàn)了安全性和簡易性的統(tǒng)一。 4.功能完整 浪潮防火墻:基本上實(shí)現(xiàn)所有防火墻的功能。 信息安全服務(wù)器(Netsafe):完整的證書生成功能、部分的證書管理功能,完整的網(wǎng) 上傳輸信息加密和通過證書的身份認(rèn)證功能。 5.性能價格比高 浪潮集團(tuán)是國內(nèi)的大型電子廠商,產(chǎn)品的價格要比國外的同類產(chǎn)品和國內(nèi)的大多數(shù) 產(chǎn)品低,實(shí)現(xiàn)最高的性能價格比。 五、注意的問題 安全問題是一個綜合性的問題,要實(shí)現(xiàn)真正的安全,只能是軟件、硬件和人三方面 的完美結(jié)合。由于配置的失誤導(dǎo)致系統(tǒng)安全性能的降低、應(yīng)有的安全功能得不到發(fā)揮的 例子層出不窮,這就要求系統(tǒng)安全管理人員要不斷提高個人素質(zhì),只有這樣才能構(gòu)建一 個比較安全的系統(tǒng)。 附:浪潮防火墻 浪潮防火1.0具有的功能如下: (1)IP地址復(fù)用:實(shí)現(xiàn)多個用戶共享一個有效的IP地址,透明訪問Internet資源; ?。?)用戶身份認(rèn)證:內(nèi)部網(wǎng)的用戶必須經(jīng)過身份認(rèn)證后才能訪問外部網(wǎng); ?。?)訪問權(quán)限的控制:系統(tǒng)給用戶提供了對自己的訪問權(quán)限的管理權(quán),這種權(quán)限分 為國際權(quán)、國內(nèi)權(quán)和內(nèi)部網(wǎng)權(quán); (4)過濾政策的設(shè)定:包括對于合法內(nèi)部IP地址范圍,非法外部站點(diǎn)等的設(shè)定,作 為過濾的根據(jù); ?。?)訪問控制:根據(jù)設(shè)定的過濾政策,實(shí)現(xiàn)對訪問的控制,達(dá)到禁止非法訪問的目 的; ?。?)基于IP地址的流量的統(tǒng)計:實(shí)現(xiàn)對每一個IP地址的國內(nèi)、國外出入四種流量的 統(tǒng)計和記錄; ?。?)流量計算和查詢:根據(jù)設(shè)定的流量計算,向系統(tǒng)管理員和用戶提供查詢; ?。?)用戶帳戶的管理:提供用戶對自己的口令、訪問權(quán)限的管理功能; ?。?)系統(tǒng)管理功能:為系統(tǒng)管理員提供建立、撤消、用戶戶頭、流量查詢和計算等 功能; ?。?0)防火墻管理:通過Web界面來實(shí)現(xiàn)對防火墻的管理,使用更為方便; (11)強(qiáng)大的SSN功能:屏蔽內(nèi)部服務(wù)器免受攻擊,實(shí)現(xiàn)安全服務(wù)器。 附:浪潮信息安全服務(wù)器 浪潮信息安全服務(wù)器(NetSafe)具有如下的性能特點(diǎn): (1)自主開發(fā)的SSL模塊 自主開發(fā)的SSL模塊和與軟件系統(tǒng)平臺相集成的SSL應(yīng)用軟件產(chǎn)品,實(shí)現(xiàn)了SSL協(xié)議相 關(guān)的全部內(nèi)容,包括關(guān)鍵技術(shù)RSA公鑰算法、X509證書規(guī)范,以及SSL協(xié)議與IE、Netsca pe標(biāo)準(zhǔn)的完全兼容性。在自主開發(fā)的SSL模塊系統(tǒng)中,既做到了與國際標(biāo)準(zhǔn)相兼容,又可 以集成自己的加密算法和機(jī)制,執(zhí)行效率高。 (2)國際先進(jìn)水平的網(wǎng)絡(luò)加密卡 采用的網(wǎng)絡(luò)加密卡是一種高性能的安全加密卡,該卡及其所使用的密碼算法和技術(shù) 通過國家密碼管理委員會的鑒定,支持多種公鑰算法和對稱算法,加密算法強(qiáng)度高,可 靠性高。 (3)Linux操作系統(tǒng)和Apache Web服務(wù)器 為了保證系統(tǒng)的安全性,采用Linux作為我們的系統(tǒng)平臺。Linux作為一種完全公開 源代碼的操作系統(tǒng),世界各地有幾十萬自愿者為這個充滿魅力的操作系統(tǒng)的發(fā)展貢獻(xiàn)自 己的才能。由于其代碼的公開性,使得該系統(tǒng)BUG較少、更新容易,對網(wǎng)絡(luò)傳輸和加密方 面提供了廣闊的應(yīng)用前景。 為保證系統(tǒng)運(yùn)行的可靠性和可維護(hù)性,采用目前國際上最流行的Apache Web服務(wù)器(源代碼有部分改動)作為我們的Web服務(wù)器。 附:Apache Web服務(wù)器的優(yōu)點(diǎn) Apache主要有以下的優(yōu)點(diǎn): (1)支持最新的HTTP/1.1協(xié)議:Apache是最先使用HTTP/1.1協(xié)議的服務(wù)器之一。它與 最新的HTTP/1.1標(biāo)準(zhǔn)完全兼容,同時它還與HTTP/1.0向后兼容。Apache已為新協(xié)議所提 供的全部內(nèi)容做好了必要的準(zhǔn)備。 (2)簡單而強(qiáng)有力的基于文件的配置:Apache服務(wù)器沒有為管理員提供圖形用戶界面 。 (3)支持通用網(wǎng)關(guān)接口(CGI):Apache用mod_cgi模塊來支持CGI。它遵守CGI/1.1 標(biāo)準(zhǔn),并且提供了擴(kuò)充的特征,如定制環(huán)境變量和很難在其他Web服務(wù)器中找到的調(diào)試支 持功能。 (4)支持虛擬主機(jī):Apache是首批既支持基于IP的虛擬主機(jī)又支持命名的虛擬主機(jī)的 Web服務(wù)器之一。 (5)支持HTTP認(rèn)證:Apache支持基于Web的基本認(rèn)證,它還為支持基于消息摘要的認(rèn) 證做好了準(zhǔn)備。 (6)集成的Perl:Perl已成為CGI腳本編程的事實(shí)標(biāo)準(zhǔn)。Apache肯定是使Perl成為這 種流行的CGI編程語言的因素之一。 (7)集成的代理(Proxy)服務(wù)器:你可以將Apache作為前向代理服務(wù)器。 (8)服務(wù)器狀態(tài)和可定制日志:Apache在記錄日志和監(jiān)視服務(wù)器本身狀態(tài)方面向你提 供了很大的靈活性。 (9)支持安全Socket層(SSL):由于版權(quán)法和進(jìn)出口方面的限制,Apache本身不支持 高強(qiáng)度算法的SSL協(xié)議。但在這個版本的Apache中,支持我們自主開發(fā)的高強(qiáng)度算法的S SL加密模塊。
浪潮集團(tuán)的解決方案
浪潮集團(tuán)的解決方案 孫大軍 劉永輝 一、項目需求和系統(tǒng)設(shè)計目標(biāo) 1.項目需求 在我們這個方案中,如何在各個公司內(nèi)部和公司之間實(shí)現(xiàn)信息安全、可靠的交互是 我們設(shè)計方案的主要出發(fā)點(diǎn),而如何在可實(shí)現(xiàn)的價格、配置范圍內(nèi)獲得最高的安全特性 ,也就是達(dá)到最高的性能價格比,應(yīng)成為本解決方案的主要目標(biāo)。 由于該公司的總公司和分公司分處三地,而且距離比較遠(yuǎn),考慮到價格因素,故通 過廉價的Internet來傳遞數(shù)據(jù)和進(jìn)行網(wǎng)上互聯(lián),通過個人認(rèn)證證書和網(wǎng)絡(luò)防火墻來實(shí)現(xiàn) 網(wǎng)上數(shù)據(jù)的安全訪問。公司總部的整個局域網(wǎng)的安全通過防火墻來保證,公司駐外人員 或者上下業(yè)務(wù)關(guān)系企業(yè)可通過撥號上Internet,通過和該公司服務(wù)器的個人證書認(rèn)證建 立安全連接來訪問該公司服務(wù)器,用SSL(安全套接字層)協(xié)議和證書控制來保證在網(wǎng)上進(jìn) 行電子商務(wù)時數(shù)據(jù)傳輸?shù)陌踩?,以達(dá)到信息安全高效的交流。 2.系統(tǒng)設(shè)計目標(biāo) 由于系統(tǒng)對安全等問題的考慮,應(yīng)達(dá)到以下的目標(biāo): 局域網(wǎng)內(nèi)部的安全性:主要體現(xiàn)在對公司內(nèi)部職工的身份的認(rèn)證和權(quán)限的設(shè)置; 防火墻內(nèi)部用戶的安全性:主要包括對通過防火墻的用戶的身份的認(rèn)證、外來的數(shù) 據(jù)包的過濾和對內(nèi)部的用戶的管理,并保證內(nèi)部的Web服務(wù)器的安全; 電子商務(wù)的安全性:包括Web服務(wù)器本身的安全性和傳輸?shù)臄?shù)據(jù)的安全性,還應(yīng)包括 對線上交易的用戶的身份的認(rèn)證,保證交易的安全性和不可抵賴性; 廣域網(wǎng)的安全性:主要是三地公司的公文流轉(zhuǎn)、內(nèi)部管理信息等需要做網(wǎng)上的傳遞 ,保證傳輸?shù)墓牟槐坏谌礁`取及駐外人員與公司總部信息的安全交流。 二、總體設(shè)計方案 基于以上的分析,總部的Web服務(wù)器采用浪潮集團(tuán)自主開發(fā)的信息安全服務(wù)器(NetS afe)來保證網(wǎng)上數(shù)據(jù)的安全(電子商務(wù)的安全),三地分公司的防火墻采用浪潮集團(tuán)的浪 潮防火墻系統(tǒng)(1.0版本)來保證其內(nèi)部網(wǎng)絡(luò)的安全(局域網(wǎng)的安全),通過信息安全服務(wù)器 (NetSafe)配套的企業(yè)級CA證書系統(tǒng)來保證各地的網(wǎng)上傳輸數(shù)據(jù)的安全性(廣域網(wǎng)的安全 )。 整個網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計如圖1所示。 [pic] 圖1 1.公司總部方案 (1)Web服務(wù)器:浪潮信息安全服務(wù)器(NetSafe)(包括相關(guān)軟硬件) (2)防火墻:浪潮防火墻1.0 (3)路由器:Cisco路由器 (4)軟件: 證書發(fā)放管理器:浪潮企業(yè)級CA- Center具有完整的證書發(fā)放功能和部分的證書管理功能,所發(fā)放的證書完全符合X.509規(guī) 范,可以應(yīng)用于Internet上的安全通訊、安全E-mail、區(qū)分內(nèi)外部人員等諸多領(lǐng)域; 瀏覽器:安裝用戶證書的IE或Netscape瀏覽器,由于美國的出口限制,我們通常使 用的瀏覽器的密鑰長度不足,對稱算法密鑰長度只有40位(在費(fèi)用為5萬美元時只需2秒即 可破譯),而安裝浪潮安全服務(wù)器提供的密鑰程序,可以將密鑰長度提高到128位(在費(fèi)用 為5000萬美元時需1016年),以保證密文的強(qiáng)壯性; 電子郵件處理:OutLook等。 具體結(jié)構(gòu)如圖2所示。 [pic] 圖2 浪潮信息安全服務(wù)器、證書發(fā)放管理器(CA- Center)、瀏覽器的工作模式如圖3所示。 [pic] 圖3 2.分公司設(shè)計方案 由于上海、廣州兩地的分公司地位相同,故采用相同的設(shè)計方案。 防火墻(可選):浪潮防火墻1.0 瀏覽器:安裝用戶證書的IE或Netscape瀏覽器(由于美國的出口限制,瀏覽器的密鑰 長度不足,所以需安裝浪潮安全服務(wù)器提供的密鑰程序) 電子郵件處理:OutLook等 具體的結(jié)構(gòu)如圖4所示。 [pic] 圖4 三、對總體方案的說明 方案中對安全的考慮主要體現(xiàn)在以下幾個方面: 1.局域網(wǎng)內(nèi)部的安全性 內(nèi)部用戶通過用戶身份的認(rèn)證來保證其安全。 2.防火墻內(nèi)部用戶的安全性 防火墻的主要功能是隔離內(nèi)外網(wǎng)絡(luò),浪潮防火墻1.0主要是集身份認(rèn)證、數(shù)據(jù)包過濾 和安全服務(wù)器功能于一身,實(shí)現(xiàn)完全透明的內(nèi)部和外部的連接,并有過濾政策設(shè)定、一 次性用戶口令等功能,符合設(shè)計的需要。 3.電子商務(wù)的安全性 電子商務(wù)的安全問題主要集中在兩點(diǎn):一是服務(wù)器和內(nèi)部網(wǎng)的數(shù)據(jù)被入侵和竊取, 另一點(diǎn)就是傳輸過程中的敏感數(shù)據(jù)被別人竊取。對第一種安全問題,浪潮防火墻提供SS N功能,屏蔽內(nèi)部服務(wù)器,保證內(nèi)部的Web服務(wù)器免受外部的攻擊,從而保證內(nèi)部的服務(wù) 器、局域網(wǎng)包括Web服務(wù)器的安全。對于第二種安全問題,浪潮信息安全服務(wù)器采用Lin ux操作系統(tǒng)、自主開發(fā)的SSL模塊、Apache Web服務(wù)器軟件,結(jié)合國內(nèi)高水平的加密卡,實(shí)現(xiàn)了高強(qiáng)度的信息加密功能,結(jié)合CA(可 采用浪潮信息安全服務(wù)器(Netsafe)自帶的浪潮企業(yè)級CA- Ceneter,也可以采用第三方的CA中心)后更具有雙向的身份認(rèn)證、交易的不可抵賴性等 功能。其采用的自主開發(fā)的加密算法密鑰長度最高可達(dá)168位,用于傳輸密鑰的公鑰算法 的RSA密鑰長可達(dá)1024位,并且其采用的安全通訊協(xié)議(SSL)、加密算法和電子證書等方 面完全符合國際標(biāo)準(zhǔn),符合國內(nèi)電子商務(wù)的需要。 4.廣域網(wǎng)的安全性 廣域網(wǎng)的安全主要通過NetSafe自帶的浪潮CA- Center來實(shí)現(xiàn)。通過給內(nèi)部職工發(fā)放證書來對三地之間來往的公文進(jìn)行加密和雙方身份 的認(rèn)證。由于傳輸過程中是加密處理的且加密強(qiáng)度高、密文強(qiáng)壯性好,所以不用擔(dān)心傳 輸過程中的泄密。公司駐外人員同樣可以用其內(nèi)部職工的證書訪問公司網(wǎng)站和進(jìn)行安全 公文傳輸。 四、系統(tǒng)特點(diǎn)及優(yōu)勢 1.系統(tǒng)穩(wěn)定安全 信息安全服務(wù)器(Netsafe)和浪潮防火墻均采用Linux操作系統(tǒng),系統(tǒng)運(yùn)行穩(wěn)定,克 服了某些系統(tǒng)運(yùn)行不穩(wěn),頻繁死機(jī)的問題。且由于操作系統(tǒng)開放源代碼,故Bug也較少。 2. 配置靈活 浪潮防火墻的配置界面采用的是Web形式,可以通過客戶端來進(jìn)行系統(tǒng)的配置,靈活 直觀,基本上操作人員不需要培訓(xùn)就可上手。 信息安全服務(wù)器(Netsafe)采用自主開發(fā)的SSL模塊及世界占有率第一的Web服務(wù)器A pache作為基礎(chǔ)的Web服務(wù)器,配置簡單靈活、功能強(qiáng)大。作為服務(wù)器端,系統(tǒng)管理人員 可以根據(jù)需要設(shè)定瀏覽器使用者個人證書是否必需,瀏覽器使用者安全等級等,保證各 種用戶正常瀏覽公司網(wǎng)站。 3.使用簡單 浪潮防火墻:過濾政策設(shè)置簡單,管理容易。 信息安全服務(wù)器(Netsafe):用戶使用瀏覽器安全訪問公司網(wǎng)站時非常方便(僅是ht tps://和http://的差別),實(shí)現(xiàn)了安全性和簡易性的統(tǒng)一。 4.功能完整 浪潮防火墻:基本上實(shí)現(xiàn)所有防火墻的功能。 信息安全服務(wù)器(Netsafe):完整的證書生成功能、部分的證書管理功能,完整的網(wǎng) 上傳輸信息加密和通過證書的身份認(rèn)證功能。 5.性能價格比高 浪潮集團(tuán)是國內(nèi)的大型電子廠商,產(chǎn)品的價格要比國外的同類產(chǎn)品和國內(nèi)的大多數(shù) 產(chǎn)品低,實(shí)現(xiàn)最高的性能價格比。 五、注意的問題 安全問題是一個綜合性的問題,要實(shí)現(xiàn)真正的安全,只能是軟件、硬件和人三方面 的完美結(jié)合。由于配置的失誤導(dǎo)致系統(tǒng)安全性能的降低、應(yīng)有的安全功能得不到發(fā)揮的 例子層出不窮,這就要求系統(tǒng)安全管理人員要不斷提高個人素質(zhì),只有這樣才能構(gòu)建一 個比較安全的系統(tǒng)。 附:浪潮防火墻 浪潮防火1.0具有的功能如下: (1)IP地址復(fù)用:實(shí)現(xiàn)多個用戶共享一個有效的IP地址,透明訪問Internet資源; ?。?)用戶身份認(rèn)證:內(nèi)部網(wǎng)的用戶必須經(jīng)過身份認(rèn)證后才能訪問外部網(wǎng); ?。?)訪問權(quán)限的控制:系統(tǒng)給用戶提供了對自己的訪問權(quán)限的管理權(quán),這種權(quán)限分 為國際權(quán)、國內(nèi)權(quán)和內(nèi)部網(wǎng)權(quán); (4)過濾政策的設(shè)定:包括對于合法內(nèi)部IP地址范圍,非法外部站點(diǎn)等的設(shè)定,作 為過濾的根據(jù); ?。?)訪問控制:根據(jù)設(shè)定的過濾政策,實(shí)現(xiàn)對訪問的控制,達(dá)到禁止非法訪問的目 的; ?。?)基于IP地址的流量的統(tǒng)計:實(shí)現(xiàn)對每一個IP地址的國內(nèi)、國外出入四種流量的 統(tǒng)計和記錄; ?。?)流量計算和查詢:根據(jù)設(shè)定的流量計算,向系統(tǒng)管理員和用戶提供查詢; ?。?)用戶帳戶的管理:提供用戶對自己的口令、訪問權(quán)限的管理功能; ?。?)系統(tǒng)管理功能:為系統(tǒng)管理員提供建立、撤消、用戶戶頭、流量查詢和計算等 功能; ?。?0)防火墻管理:通過Web界面來實(shí)現(xiàn)對防火墻的管理,使用更為方便; (11)強(qiáng)大的SSN功能:屏蔽內(nèi)部服務(wù)器免受攻擊,實(shí)現(xiàn)安全服務(wù)器。 附:浪潮信息安全服務(wù)器 浪潮信息安全服務(wù)器(NetSafe)具有如下的性能特點(diǎn): (1)自主開發(fā)的SSL模塊 自主開發(fā)的SSL模塊和與軟件系統(tǒng)平臺相集成的SSL應(yīng)用軟件產(chǎn)品,實(shí)現(xiàn)了SSL協(xié)議相 關(guān)的全部內(nèi)容,包括關(guān)鍵技術(shù)RSA公鑰算法、X509證書規(guī)范,以及SSL協(xié)議與IE、Netsca pe標(biāo)準(zhǔn)的完全兼容性。在自主開發(fā)的SSL模塊系統(tǒng)中,既做到了與國際標(biāo)準(zhǔn)相兼容,又可 以集成自己的加密算法和機(jī)制,執(zhí)行效率高。 (2)國際先進(jìn)水平的網(wǎng)絡(luò)加密卡 采用的網(wǎng)絡(luò)加密卡是一種高性能的安全加密卡,該卡及其所使用的密碼算法和技術(shù) 通過國家密碼管理委員會的鑒定,支持多種公鑰算法和對稱算法,加密算法強(qiáng)度高,可 靠性高。 (3)Linux操作系統(tǒng)和Apache Web服務(wù)器 為了保證系統(tǒng)的安全性,采用Linux作為我們的系統(tǒng)平臺。Linux作為一種完全公開 源代碼的操作系統(tǒng),世界各地有幾十萬自愿者為這個充滿魅力的操作系統(tǒng)的發(fā)展貢獻(xiàn)自 己的才能。由于其代碼的公開性,使得該系統(tǒng)BUG較少、更新容易,對網(wǎng)絡(luò)傳輸和加密方 面提供了廣闊的應(yīng)用前景。 為保證系統(tǒng)運(yùn)行的可靠性和可維護(hù)性,采用目前國際上最流行的Apache Web服務(wù)器(源代碼有部分改動)作為我們的Web服務(wù)器。 附:Apache Web服務(wù)器的優(yōu)點(diǎn) Apache主要有以下的優(yōu)點(diǎn): (1)支持最新的HTTP/1.1協(xié)議:Apache是最先使用HTTP/1.1協(xié)議的服務(wù)器之一。它與 最新的HTTP/1.1標(biāo)準(zhǔn)完全兼容,同時它還與HTTP/1.0向后兼容。Apache已為新協(xié)議所提 供的全部內(nèi)容做好了必要的準(zhǔn)備。 (2)簡單而強(qiáng)有力的基于文件的配置:Apache服務(wù)器沒有為管理員提供圖形用戶界面 。 (3)支持通用網(wǎng)關(guān)接口(CGI):Apache用mod_cgi模塊來支持CGI。它遵守CGI/1.1 標(biāo)準(zhǔn),并且提供了擴(kuò)充的特征,如定制環(huán)境變量和很難在其他Web服務(wù)器中找到的調(diào)試支 持功能。 (4)支持虛擬主機(jī):Apache是首批既支持基于IP的虛擬主機(jī)又支持命名的虛擬主機(jī)的 Web服務(wù)器之一。 (5)支持HTTP認(rèn)證:Apache支持基于Web的基本認(rèn)證,它還為支持基于消息摘要的認(rèn) 證做好了準(zhǔn)備。 (6)集成的Perl:Perl已成為CGI腳本編程的事實(shí)標(biāo)準(zhǔn)。Apache肯定是使Perl成為這 種流行的CGI編程語言的因素之一。 (7)集成的代理(Proxy)服務(wù)器:你可以將Apache作為前向代理服務(wù)器。 (8)服務(wù)器狀態(tài)和可定制日志:Apache在記錄日志和監(jiān)視服務(wù)器本身狀態(tài)方面向你提 供了很大的靈活性。 (9)支持安全Socket層(SSL):由于版權(quán)法和進(jìn)出口方面的限制,Apache本身不支持 高強(qiáng)度算法的SSL協(xié)議。但在這個版本的Apache中,支持我們自主開發(fā)的高強(qiáng)度算法的S SL加密模塊。
浪潮集團(tuán)的解決方案
[下載聲明]
1.本站的所有資料均為資料作者提供和網(wǎng)友推薦收集整理而來,僅供學(xué)習(xí)和研究交流使用。如有侵犯到您版權(quán)的,請來電指出,本站將立即改正。電話:010-82593357。
2、訪問管理資源網(wǎng)的用戶必須明白,本站對提供下載的學(xué)習(xí)資料等不擁有任何權(quán)利,版權(quán)歸該下載資源的合法擁有者所有。
3、本站保證站內(nèi)提供的所有可下載資源都是按“原樣”提供,本站未做過任何改動;但本網(wǎng)站不保證本站提供的下載資源的準(zhǔn)確性、安全性和完整性;同時本網(wǎng)站也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的損失或傷害。
4、未經(jīng)本網(wǎng)站的明確許可,任何人不得大量鏈接本站下載資源;不得復(fù)制或仿造本網(wǎng)站。本網(wǎng)站對其自行開發(fā)的或和他人共同開發(fā)的所有內(nèi)容、技術(shù)手段和服務(wù)擁有全部知識產(chǎn)權(quán),任何人不得侵害或破壞,也不得擅自使用。
我要上傳資料,請點(diǎn)我!
管理工具分類
ISO認(rèn)證課程講義管理表格合同大全法規(guī)條例營銷資料方案報告說明標(biāo)準(zhǔn)管理戰(zhàn)略商業(yè)計劃書市場分析戰(zhàn)略經(jīng)營策劃方案培訓(xùn)講義企業(yè)上市采購物流電子商務(wù)質(zhì)量管理企業(yè)名錄生產(chǎn)管理金融知識電子書客戶管理企業(yè)文化報告論文項目管理財務(wù)資料固定資產(chǎn)人力資源管理制度工作分析績效考核資料面試招聘人才測評崗位管理職業(yè)規(guī)劃KPI績效指標(biāo)勞資關(guān)系薪酬激勵人力資源案例人事表格考勤管理人事制度薪資表格薪資制度招聘面試表格崗位分析員工管理薪酬管理績效管理入職指引薪酬設(shè)計績效管理績效管理培訓(xùn)績效管理方案平衡計分卡績效評估績效考核表格人力資源規(guī)劃安全管理制度經(jīng)營管理制度組織機(jī)構(gòu)管理辦公總務(wù)管理財務(wù)管理制度質(zhì)量管理制度會計管理制度代理連鎖制度銷售管理制度倉庫管理制度CI管理制度廣告策劃制度工程管理制度采購管理制度生產(chǎn)管理制度進(jìn)出口制度考勤管理制度人事管理制度員工福利制度咨詢診斷制度信息管理制度員工培訓(xùn)制度辦公室制度人力資源管理企業(yè)培訓(xùn)績效考核其它
精品推薦
下載排行
- 1社會保障基礎(chǔ)知識(ppt) 16695
- 2安全生產(chǎn)事故案例分析(ppt 16695
- 3行政專員崗位職責(zé) 16695
- 4品管部崗位職責(zé)與任職要求 16695
- 5員工守則 16695
- 6軟件驗(yàn)收報告 16695
- 7問卷調(diào)查表(范例) 16695
- 8工資發(fā)放明細(xì)表 16695
- 9文件簽收單 16695
- 10跟我學(xué)禮儀 16695