紫光順風公司的解決方案

  文件類別:策劃方案 方案報告

  文件格式:文件格式

  文件大小:55K

  下載次數:78

  所需積分:2點

  解壓密碼:qg68.cn

  下載地址:[下載地址]

清華大學卓越生產運營總監(jiān)高級研修班

綜合能力考核表詳細內容

紫光順風公司的解決方案
紫光順風公司的解決方案     在這里我們介紹一套北京清華紫光順風信息安全有限公司的安全電子商務解決方案 。   一、系統(tǒng)網絡結構   1.廣域網絡   廣域網絡的拓撲圖如圖1所示。 [pic]   圖1   2.分公司網絡   分公司網絡拓撲圖如圖2所示。 [pic]   圖2   二、網絡安全方案   1.網絡存在的安全問題   計算機網絡的安全應包含以下三方面的內容:(1)保密性:防止網絡中信息泄漏或被 非授權實體使用,確保信息只能由授權實體知曉和使用;(2)完整性:系統(tǒng)的數據不被無 意或蓄意刪除、修改、偽造、亂序、重放、插入或破壞,數據只能由授權實體修改;(3 )可用性:數據和通信服務在需要時允許授權個人或實體使用,網絡資源在需要時即可使 用。   通過以上兩圖,我們可以看到在公司內部的OA系統(tǒng)中,各部門所傳輸的數據均通過 Internet完成。移動用戶和上下游廠商也是經過Internet進行電子交易。網絡存在的安 全隱患主要體現在以下幾個方面:   (1)信息的泄漏。公用網絡存在安全漏洞,無法保證網絡中信息的隱秘性。例如:電 信從業(yè)人員可能利用工作之便,很容易地獲取網絡中傳輸的信息;網絡攻擊者也可以通 過搭線等方法,從傳輸信道竊取網絡中傳輸的信息。   (2)假冒通信。公用電信網提供了靈活的數據交換機制,同時,也給進行通信假冒創(chuàng) 造了可乘之機。網絡外的用戶,只要將他的設備配置設置成與網絡內的設備配置相同, 就可能欺騙總部,與其進行通信。如果網絡外的用戶將他的設備配置得與總部的設備相 同,并采取一些措施將總部的設備進行阻塞,則他也可以假冒總部,欺騙網絡內的所有 網點。   (3)信息假冒。由于攻擊者可以竊取網絡中傳輸的信息,使得攻擊者采用一些并不復 雜的技術,尤其是在內部人員的配合下,就可能進行信息的假冒。例如,重復進行一些 本已完成的業(yè)務等。   2.網絡安全方案應遵循的原則   根據安全網絡系統(tǒng)的特殊性,方案將嚴格遵循以下原則:   (1)設計中所采用的所有安全產品、所有的操作手段和方法,均符合國家的有關法律 和法規(guī);   (2)在充分保證網絡安全性的前提下,盡量減少安全產品對原系統(tǒng)效率、可靠性等方 面的影響;   (3)提供安全、完善和方便的安全管理手段和方法;   (4)最大程度地發(fā)揮安全產品的性能、減少安全產品的配置數量和費用;   (5)安全系統(tǒng)具有較好的網絡兼容性和可擴展性,總體設計具有一定的預見性。   (6)安全系統(tǒng)本身應具有極高的運行穩(wěn)定性,充分考慮系統(tǒng)備份問題。   3.系統(tǒng)應具備的功能   系統(tǒng)投入運行后,將具有以下功能:   (1)信息安全保密:通過密碼技術,對敏感信息提供加/解密服務,保證信息的保密 性;同時提供數據的完整性和準確性服務。有效地防止信息被竊取、篡改和假冒等。   (2)高效的安全管理:安全系統(tǒng)是否能真正有效地發(fā)揮其安全作用,很大程度上取決 于安全管理手段是否安全、有效和完善。本安全系統(tǒng)將提供證書管理中心進行管理,管 理員可根據用戶的實際情況完成證書分發(fā)、權限設定等安全管理功能。   4.網絡安全解決方案   根據以上的分析,此處給出一種基于北京清華紫光順風信息安全有限公司研制的系 列網絡安全產品的解決方案,如圖3所示。   在圖3中,在總部添加SfeCA 2.0證書服務器、SecServer 1.0安全服務器,以及在Web服務器中安裝WebGate Server 1.0 服務器端軟件,使用SJW01路由器加密機與Internet相連。 [pic]   圖3   在客戶端安裝SecMail1.5安全電子郵件、PKManager集成密鑰管理系統(tǒng)、SecFile 1.0文件加密系統(tǒng)。分公司局域網通過SJW01路由器加密機與Internet相連。   廣域網中,系統(tǒng)管理員可以在總部的SJW01上指定到上海和廣州兩地的數據都要進行 加密處理。同樣兩地分公司也需指定到總部的數據進行加密,這樣在廣域網上傳輸的公 司內部數據均是經過加密處理,避免了信息在傳輸過程中的泄露、篡改、重放、假冒等 安全隱患??梢酝ㄟ^KDMC密鑰管理中心對SJW01路由器加密機進行密鑰管理。   局域網中,通過紫光UF3100防火墻實現內網與外網的隔離。每臺機器均安裝SecMai l1.5安全電子郵件、PKManager 集成密鑰管理系統(tǒng)、SecFile 1.0文件加密系統(tǒng)。其中SecFile可以保護單機的數據不被非法訪問、篡改。用戶可以使 用SecMail進行安全的電子郵件通信,SecMail可以防止郵件偽冒、發(fā)送方抵賴和郵件被 篡改等。PKManager用來管理SecFile與SecMail使用者的私鑰與證書。   對于移動用戶和上下游廠商,需安裝PKManager集成密鑰管理系統(tǒng),用戶可通過PKM anager到SfeCA申請數字證書,在SfeCA驗證用戶的合法性后,簽發(fā)證書文件。以后當用 戶在基于Web的電子交易中,訪問交易頁面時,安裝了WebGate SRV 服務器軟件的Web會要求用戶提交ID、Password,當用戶提交正確的ID與Password后,W eb服務器會根據ID號所對應的證書與SfeCA進行溝通以獲得用戶的數字證書,然后通過用 戶用私鑰加密隨機數來驗證用戶的真實身份,WebGate根據該用戶ID所對應的權限來開放 相應頁面。這些頁面在下載到用戶的瀏覽器前,由WebSRV送往SecSRV,經SecSRV加密處 理后再下傳,只有擁有與證書相對應的私鑰的用戶才能瀏覽這些頁面,進行相應的商務 操作。通過以上安全措施,能夠保證在交易前系統(tǒng)對用戶身份識別,交易中數據在Inte rnet上傳輸的完整性、正確性,交易完成后,防止用戶抵賴。   三、產品簡介   以上安全方案中所涉及的安全產品均系北京清華紫光信息安全有限公司研制開發(fā)。   附:SJW01系列路由器加密機   用于實現網絡安全和網絡路由功能,可在鏈路層、IP層和TCP層提供數據信息的安全 保密。SJW01系列加密機支持多種網絡協(xié)議,如TCP/IP、X.25、FR、HDLC、IEEE802.3、 IEEE802.5等,可在內部完成協(xié)議轉換,實現不同網絡的連接,可根據需要提供鏈路層、 網絡層和傳輸層數據信息的安全保密,并具有地址過濾功能。   * 密碼算法:分組密碼算法,密鑰長度128位。   * 路由協(xié)議:靜態(tài)路由、RIP;對其他路由協(xié)議透明。   * 端口協(xié)議:X.25、FR(NNI/UNI)、TCP/IP-PPP、TCP/IP- SLIP、HDLC、ISDN、IBM3270仿真等。   * 電氣接口:X.21(V.11)、V.24、V.35、V.36、RS422、G.703。   * 網管協(xié)議:SNMP協(xié)議,支持Open View、Net View等網管平臺的應用。   附:SfeCA數字證書管理系統(tǒng)   SFeCA數字證書管理系統(tǒng)是基于PKI的企業(yè)網(Intranet)及電子商務(E- business)安全解決方案框架的核心組成部分。SFeCA可用于組成完整的數字證書管理中 心(CA)。SFeCA集成了公鑰引擎、證書引擎、LDAP證書及作廢證書列表發(fā)布等功能,可為 用戶提供完整的信息安全服務。它同紫光順風的其他產品,如SecFile、SecMail和WebG ate等配合使用,可構成網絡和信息系統(tǒng)的全面安全解決方案。   * 支持X.509 V2/V3、PKCS系列、PKIx、S/MIME、SSL/TLS、PEM等協(xié)議標準。   * 除支持國家批準的專有加密算法以外,還支持DES/3DES、IDEA、RC2/RC4/RC6等對稱加密 算法和MD4、MD5、SHA、SHA-1等信息摘要算法。   * 支持可變長度(可以高達5000位或以上)RSA/DSA公鑰體制算法。   * 適用于Windows NT、Linux等系統(tǒng)平臺。   附:WebGate安全訪問控制系統(tǒng)   WebGate安全控制訪問軟件系統(tǒng)是基于PKI的企業(yè)網(Intranet)及電子商務(E- business)安全解決方案的一部分。它為用戶提供對Web訪問的強身份認證、訪問控制和 審計跟蹤功能。對于公共信息,WebGate允許一般用戶訪問。對于敏感信息,WebGate在 允許用戶訪問之前進行基于數字證書和數字簽名的身份認證和訪問授權檢查。對所有的 訪問,WebGate可進行完整的審計跟蹤。   * 嚴格遵循X.509、PKCS、PKIx、SSL/TLS和HTTP/1.1等標準,可以接收任何基于上述標準 的數字證書和數字簽名。   * 支持的RSA簽名算法密鑰長度可達2048位。   * 適用于Windows NT+IIS 3.0以上、IE 4.0以上的網絡環(huán)境。   附:SecMail安全電子郵件系統(tǒng)   SecMail安全電子郵件系統(tǒng)是基于PKI的企業(yè)網(Intranet)及電子商務(E- business)安全解決方案的一部分。它作為一個獨立完整的郵件客戶端軟件,除可執(zhí)行常 規(guī)收發(fā)電子郵件功能之外,還可實現郵件加密、郵件數字簽名及郵件自動回執(zhí)等安全功 能。   * 操作系統(tǒng):中、英文Window 95/NT 4.0或以上版本。   * 支持POP3、SMTP、PEM和S/MIME等通用Internet電子郵件協(xié)議。   * 支持HTML格式的郵件。   * 支持通用POP3、SMTP郵件服務器。   * 可與Outlook、Netscape等通用郵件客戶端軟件互通。   * 支持3DES、IDEA等標準加密算法和國家審批的專用密碼算法。   附:SecSRV 安全服務器   SecSRV 安全服務器集成了PCI總線的SEM安全保密模塊,主要用于高速環(huán)境下的加密認證,典型 對稱分組加密算法速率為100Mb/s,1024位私鑰簽名為40次/秒,驗證為650次/秒。集對 稱分組加密算法、公鑰體制簽名/驗證算法、信息摘要(Hash)算法等于一體,可充分保證 加密和數字簽名等運算的安全性和高性能。   * 除支持由國家審批的高強度專有對稱分組密碼算法之外,還支持三重DES、IDEA、RC5等 標準對稱算法和RSA、DSA等公開密碼體制算法,   * 信息摘要則支持MD2、MD5、SHA- 1、RIPEMD160等多種標準算法,用戶可靈活的選擇。   * 適用于Windows 95/98/NT、Unix、Linux等平臺。   附:SecFile文件加密系統(tǒng)   SecFile文件加密系統(tǒng)通過對數據文件的加密,保證信息不被泄漏。在提供文件加、 解密功能的同時,SecFile文件加密系統(tǒng)也提供靈活的密鑰管理和訪問控制功能。   * 獨立運行的集成化環(huán)境,提供標準類Windows資源管理器程序界面供用戶操作。   * OLE的方式與Windows 95/98/NT系統(tǒng)shell集成,已加密的文件擴展名為.mmw,且圖標統(tǒng)一;對擴展名為.mmw的 文件,用鼠標雙擊可執(zhí)行解密操作(由密鑰控制)。   * 自動配置加密:對指定需加密的路徑和目錄,SecFile會在文件存取時自動進行加密或解 密。   * 高效的文件壓縮/解壓功能:文件壓縮比率指標與Winzip相當。   * 高強度的文件加密/解密功能:軟件提供128位高強度加密算法。   * 適用Windows 95/98/NT以上系統(tǒng)平臺。   附:PKManager集成密鑰管理系統(tǒng)   KManager集成密鑰管理系統(tǒng)負責紫光順風系列安全產品的密鑰及證書管理,只需在 PKManager中一次配置RSA密鑰對,就可非常容易地通過文件加密系統(tǒng)SecFile實現文件本 地加密及數字簽名、通過安全電子郵件系統(tǒng)SecMail發(fā)送安全電子郵件、通過WWW服務認 證系統(tǒng)WebGate實現Web的用戶安全認證。   * 私鑰存放支持硬盤、軟盤和IC卡三種存儲介質。   * 適用與Windows 95/98/NT以上系統(tǒng)平臺。   附:KDMC密鑰管理中心   密鑰管理中心是計算機網絡中通用的安全管理設備,用于網內安全保密設備的管理 。KDMC產生和分發(fā)密鑰,并對密鑰從產生、存儲、分發(fā)、使用、更換、銷毀全過程進行 嚴密的審計跟蹤管理。使用密鑰管理中心對計算機網絡進行管理,可使網絡的安全性能 大大提高。 * KDMC支持多種密鑰分發(fā)方式,包括:在線分發(fā)、IC卡分發(fā)、密鑰磁盤文件分發(fā)和通過串 口本地分發(fā)等。   * KDMC適用于當前主流的桌面操作系統(tǒng)平臺Windows 95、Windows 98及Windows NT等。
紫光順風公司的解決方案
 

[下載聲明]
1.本站的所有資料均為資料作者提供和網友推薦收集整理而來,僅供學習和研究交流使用。如有侵犯到您版權的,請來電指出,本站將立即改正。電話:010-82593357。
2、訪問管理資源網的用戶必須明白,本站對提供下載的學習資料等不擁有任何權利,版權歸該下載資源的合法擁有者所有。
3、本站保證站內提供的所有可下載資源都是按“原樣”提供,本站未做過任何改動;但本網站不保證本站提供的下載資源的準確性、安全性和完整性;同時本網站也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的損失或傷害。
4、未經本網站的明確許可,任何人不得大量鏈接本站下載資源;不得復制或仿造本網站。本網站對其自行開發(fā)的或和他人共同開發(fā)的所有內容、技術手段和服務擁有全部知識產權,任何人不得侵害或破壞,也不得擅自使用。

 我要上傳資料,請點我!
人才招聘 免責聲明 常見問題 廣告服務 聯系方式 隱私保護 積分規(guī)則 關于我們 登陸幫助 友情鏈接
COPYRIGT @ 2001-2018 HTTP://m.musicmediasoft.com INC. ALL RIGHTS RESERVED. 管理資源網 版權所有