浪潮集的物流解决方案.docVIP

浪潮集团的解决方案 孙大军　刘永辉 　　一、项目需求和系统设计目标　　1．项目需求　　在我们这个方案中，如何在各个公司内部和公司之间实现信息安全、可靠的交互是我们设计方案的主要出发点，而如何在可实现的价格、配置范围内获得最高的安全特性，也就是达到最高的性能价格比，应成为本解决方案的主要目标。　　由于该公司的总公司和分公司分处三地，而且距离比较远，考虑到价格因素，故通过廉价的Internet来传递数据和进行网上互联，通过个人认证证书和网络防火墙来实现网上数据的安全访问。公司总部的整个局域网的安全通过防火墙来保证，公司驻外人员或者上下业务关系企业可通过拨号上Internet，通过和该公司服务器的个人证书认证建立安全连接来访问该公司服务器，用SSL(安全套接字层)协议和证书控制来保证在网上进行电子商务时数据传输的安全性，以达到信息安全高效的交流。　　2．系统设计目标　　由于系统对安全等问题的考虑，应达到以下的目标：　　局域网内部的安全性：主要体现在对公司内部职工的身份的认证和权限的设置；　　防火墙内部用户的安全性：主要包括对通过防火墙的用户的身份的认证、外来的数据包的过滤和对内部的用户的管理，并保证内部的Web服务器的安全；　　电子商务的安全性：包括Web服务器本身的安全性和传输的数据的安全性，还应包括对线上交易的用户的身份的认证，保证交易的安全性和不可抵赖性；　　广域网的安全性：主要是三地公司的公文流转、内部管理信息等需要做网上的传递，保证传输的公文不被第三方窃取及驻外人员与公司总部信息的安全交流。　　二、总体设计方案　　基于以上的分析，总部的Web服务器采用浪潮集团自主开发的信息安全服务器(NetSafe)来保证网上数据的安全(电子商务的安全)，三地分公司的防火墙采用浪潮集团的浪潮防火墙系统(1.0版本)来保证其内部网络的安全(局域网的安全)，通过信息安全服务器(NetSafe)配套的企业级CA证书系统来保证各地的网上传输数据的安全性(广域网的安全)。　　整个网络结构设计如图1所示。　　图1　　1．公司总部方案　　(1)Web服务器：浪潮信息安全服务器(NetSafe)(包括相关软硬件)　　(2)防火墙：浪潮防火墙1.0　　(3)路由器：Cisco路由器　　(4)软件：　　证书发放管理器：浪潮企业级CA-Center具有完整的证书发放功能和部分的证书管理功能，所发放的证书完全符合X.509规范，可以应用于Internet上的安全通讯、安全E-mail、区分内外部人员等诸多领域；　　浏览器：安装用户证书的IE或Netscape浏览器，由于美国的出口限制，我们通常使用的浏览器的密钥长度不足，对称算法密钥长度只有40位(在费用为5万美元时只需2秒即可破译)，而安装浪潮安全服务器提供的密钥程序，可以将密钥长度提高到128位(在费用为5000万美元时需1016年)，以保证密文的强壮性；　　电子邮件处理：OutLook等。　　具体结构如图2所示。　　图2　　浪潮信息安全服务器、证书发放管理器(CA-Center)、浏览器的工作模式如图3所示。　　图3　　2．分公司设计方案　　由于上海、广州两地的分公司地位相同，故采用相同的设计方案。　　防火墙(可选)：浪潮防火墙1.0　　浏览器：安装用户证书的IE或Netscape浏览器(由于美国的出口限制，浏览器的密钥长度不足，所以需安装浪潮安全服务器提供的密钥程序)　　电子邮件处理：OutLook等　　具体的结构如图4所示。　　图4　　三、对总体方案的说明　　方案中对安全的考虑主要体现在以下几个方面：　　1．局域网内部的安全性　　内部用户通过用户身份的认证来保证其安全。　　2．防火墙内部用户的安全性　　防火墙的主要功能是隔离内外网络，浪潮防火墙1.0主要是集身份认证、数据包过滤和安全服务器功能于一身，实现完全透明的内部和外部的连接，并有过滤政策设定、一次性用户口令等功能，符合设计的需要。　　3．电子商务的安全性　　电子商务的安全问题主要集中在两点：一是服务器和内部网的数据被入侵和窃取，另一点就是传输过程中的敏感数据被别人窃取。对第一种安全问题，浪潮防火墙提供SSN功能，屏蔽内部服务器，保证内部的Web服务器免受外部的攻击，从而保证内部的服务器、局域网包括Web服务器的安全。对于第二种安全问题，浪潮信息安全服务器采用Linux操作系统、自主开发的SSL模块、Apache Web服务器软件，结合国内高水平的加密卡，实现了高强度的信息加密功能，结合CA(可采用浪潮信息安全服务器(Netsafe)自带的浪潮企业级CA-Ceneter，