[紫光顺风公司的解决方案].docVIP

紫光顺风公司的解决方案 　 　　在这里我们介绍一套北京清华紫光顺风信息安全有限公司的安全电子商务解决方案。　　一、系统网络结构　　1．广域网络　　广域网络的拓扑图如图1所示。　　图1　　2．分公司网络　　分公司网络拓扑图如图2所示。　　图2　　二、网络安全方案　　1．网络存在的安全问题　　计算机网络的安全应包含以下三方面的内容：(1)必威体育官网网址性：防止网络中信息泄漏或被非授权实体使用，确保信息只能由授权实体知晓和使用；(2)完整性：系统的数据不被无意或蓄意删除、修改、伪造、乱序、重放、插入或破坏，数据只能由授权实体修改；(3)可用性：数据和通信服务在需要时允许授权个人或实体使用，网络资源在需要时即可使用。　　通过以上两图，我们可以看到在公司内部的OA系统中，各部门所传输的数据均通过Internet完成。移动用户和上下游厂商也是经过Internet进行电子交易。网络存在的安全隐患主要体现在以下几个方面：　　(1)信息的泄漏。公用网络存在安全漏洞，无法保证网络中信息的隐秘性。例如：电信从业人员可能利用工作之便，很容易地获取网络中传输的信息；网络攻击者也可以通过搭线等方法，从传输信道窃取网络中传输的信息。　　(2)假冒通信。公用电信网提供了灵活的数据交换机制，同时，也给进行通信假冒创造了可乘之机。网络外的用户，只要将他的设备配置设置成与网络内的设备配置相同，就可能欺骗总部，与其进行通信。如果网络外的用户将他的设备配置得与总部的设备相同，并采取一些措施将总部的设备进行阻塞，则他也可以假冒总部，欺骗网络内的所有网点。　　(3)信息假冒。由于攻击者可以窃取网络中传输的信息，使得攻击者采用一些并不复杂的技术，尤其是在内部人员的配合下，就可能进行信息的假冒。例如，重复进行一些本已完成的业务等。　　2．网络安全方案应遵循的原则　　根据安全网络系统的特殊性，方案将严格遵循以下原则：　　(1)设计中所采用的所有安全产品、所有的操作手段和方法，均符合国家的有关法律和法规；　　(2)在充分保证网络安全性的前提下，尽量减少安全产品对原系统效率、可靠性等方面的影响；　　(3)提供安全、完善和方便的安全管理手段和方法；　　(4)最大程度地发挥安全产品的性能、减少安全产品的配置数量和费用；　　(5)安全系统具有较好的网络兼容性和可扩展性，总体设计具有一定的预见性。　　(6)安全系统本身应具有极高的运行稳定性，充分考虑系统备份问题。　　3．系统应具备的功能　　系统投入运行后，将具有以下功能：　　(1)信息安全必威体育官网网址：通过密码技术，对敏感信息提供加/解密服务，保证信息的必威体育官网网址性；同时提供数据的完整性和准确性服务。有效地防止信息被窃取、篡改和假冒等。　　(2)高效的安全管理：安全系统是否能真正有效地发挥其安全作用，很大程度上取决于安全管理手段是否安全、有效和完善。本安全系统将提供证书管理中心进行管理，管理员可根据用户的实际情况完成证书分发、权限设定等安全管理功能。　　4．网络安全解决方案　　根据以上的分析，此处给出一种基于北京清华紫光顺风信息安全有限公司研制的系列网络安全产品的解决方案，如图3所示。　　在图3中，在总部添加SfeCA 2.0证书服务器、SecServer 1.0安全服务器，以及在Web服务器中安装WebGate Server 1.0 服务器端软件，使用SJW01路由器加密机与Internet相连。　　图3　　在客户端安装SecMail1.5安全电子邮件、PKManager集成密钥管理系统、SecFile 1.0文件加密系统。分公司局域网通过SJW01路由器加密机与Internet相连。　　广域网中，系统管理员可以在总部的SJW01上指定到上海和广州两地的数据都要进行加密处理。同样两地分公司也需指定到总部的数据进行加密，这样在广域网上传输的公司内部数据均是经过加密处理，避免了信息在传输过程中的泄露、篡改、重放、假冒等安全隐患。可以通过KDMC密钥管理中心对SJW01路由器加密机进行密钥管理。　　局域网中，通过紫光UF3100防火墙实现内网与外网的隔离。每台机器均安装SecMail1.5安全电子邮件、PKManager 集成密钥管理系统、SecFile 1.0文件加密系统。其中SecFile可以保护单机的数据不被非法访问、篡改。用户可以使用SecMail进行安全的电子邮件通信，SecMail可以防止邮件伪冒、发送方抵赖和邮件被篡改等。PKManager用来管理SecFile与SecMail使用者的私钥与证书。　　对于移动用户和上下游厂商，需安装PKManager集成密钥管理系统，用户可通过PKManager到SfeC