某公司信息网络与电子商务的项目解决方案

1、紫光顺风公司的解决方案在这里我们介绍一套北京清华紫光顺风信息安全有限公司的安全电子商务解决方案。一、系统网络结构1 广域网络广域网络的拓扑图如图1 所示。图 12 分公司网络分公司网络拓扑图如图2 所示。图 2二、网络安全方案1 网络存在的安全问题计算机网络的安全应包含以下三方面的内容：(1) 保密性：防止网络中信息泄漏或被非授权实体使用，确保信息只能由授权实体知晓和使用；(2) 完整性：系统的数据不被无意或蓄意删除、修改、伪造、乱序、重放、插入或破坏，数据只能由授权实体修改；(3) 可用性：数据和通信服务在需要时允许授权个人或实体使用，网络资源在需要时即可使用。通过以上两图，我们可以看到在公

2、司内部的Internet完成。移动用户和上下游厂商也是经过OA 系统中，各部门所传输的数据均通过Internet进行电子交易。网络存在的安全隐患主要体现在以下几个方面：(1) 信息的泄漏。公用网络存在安全漏洞，无法保证网络中信息的隐秘性。例如：电信从业人员可能利用工作之便，很容易地获取网络中传输的信息；网络攻击者也可以通过搭线等方法，从传输信道窃取网络中传输的信息。(2) 假冒通信。公用电信网提供了灵活的数据交换机制，同时，也给进行通信假冒创造了可乘之机。 网络外的用户， 只要将他的设备配置设置成与网络内的设备配置相同， 就可能欺骗总部，与其进行通信。 如果网络外的用户将他的设备配置得与总部的

3、设备相同， 并采取一些措施将总部的设备进行阻塞，则他也可以假冒总部，欺骗网络内的所有网点。(3) 信息假冒。由于攻击者可以窃取网络中传输的信息，使得攻击者采用一些并不复杂的技术，尤其是在内部人员的配合下，就可能进行信息的假冒。例如，重复进行一些本已完成的业务等。2 网络安全方案应遵循的原则根据安全网络系统的特殊性，方案将严格遵循以下原则：(1) 设计中所采用的所有安全产品、所有的操作手段和方法，均符合国家的有关法律和法规；(2) 在充分保证网络安全性的前提下，尽量减少安全产品对原系统效率、可靠性等方面的影响；(3) 提供安全、完善和方便的安全管理手段和方法；(4) 最大程度地发挥安全产品的性能

4、、减少安全产品的配置数量和费用；(5) 安全系统具有较好的网络兼容性和可扩展性，总体设计具有一定的预见性。(6) 安全系统本身应具有极高的运行稳定性，充分考虑系统备份问题。3 系统应具备的功能系统投入运行后，将具有以下功能：(1) 信息安全保密：通过密码技术，对敏感信息提供加/ 解密服务，保证信息的保密性；同时提供数据的完整性和准确性服务。有效地防止信息被窃取、篡改和假冒等。(2) 高效的安全管理：安全系统是否能真正有效地发挥其安全作用，很大程度上取决于安全管理手段是否安全、 有效和完善。 本安全系统将提供证书管理中心进行管理，的实际情况完成证书分发、权限设定等安全管理功能。管理员可根据用户4

5、 网络安全解决方案根据以上的分析，此处给出一种基于北京清华紫光顺风信息安全有限公司研制的系列网络安全产品的解决方案，如图3 所示。在图 3 中，在总部添加SfeCA 2.0证书服务器、SecServer 1.0服务器中安装WebGate Server 1.0服务器端软件，使用SJW01连。安全服务器，以及在路由器加密机与InternetWeb相图 3在客户端安装SecMail1.5安全电子邮件、PKManager集成密钥管理系统、SecFile 1.0文件加密系统。分公司局域网通过SJW01路由器加密机与Internet相连。广域网中， 系统管理员可以在总部的SJW01上指定到上海和广州两地的

6、数据都要进行加密处理。同样两地分公司也需指定到总部的数据进行加密， 这样在广域网上传输的公司内部数据均是经过加密处理，避免了信息在传输过程中的泄露、篡改、重放、假冒等安全隐患。可以通过 KDMC 密钥管理中心对 SJW01 路由器加密机进行密钥管理。局域网中， 通过紫光 UF3100 防火墙实现内网与外网的隔离。每台机器均安装 SecMail1.5安全电子邮件、 PKManager集成密钥管理系统、 SecFile 1.0文件加密系统。其中SecFile可以保护单机的数据不被非法访问、篡改。用户可以使用SecMail进行安全的电子邮件通信，SecMail可以防止邮件伪冒、发送方抵赖和邮件被篡改

7、等。PKManager用来管理 SecFile与SecMail使用者的私钥与证书。对于移动用户和上下游厂商，需安装PKManager集成密钥管理系统，用户可通过PKManager到 SfeCA申请数字证书，在SfeCA 验证用户的合法性后，签发证书文件。以后当用户在基于Web 的电子交易中，访问交易页面时，安装了WebGate SRV服务器软件的 Web会要求用户提交 ID 、 Password ，当用户提交正确的ID 与 Password 后， Web 服务器会根据ID 号所对应的证书与SfeCA进行沟通以获得用户的数字证书，然后通过用户用私钥加密随机数来验证用户的真实身份，WebGate

8、根据该用户 ID 所对应的权限来开放相应页面。这些页面在下载到用户的浏览器前，由 WebSRV 送往 SecSRV ，经 SecSRV 加密处理后再下传，只有拥有与证书相对应的私钥的用户才能浏览这些页面，进行相应的商务操作。通过以上安全措施，能够保证在交易前系统对用户身份识别，交易中数据在Internet上传输的完整性、正确性，交易完成后，防止用户抵赖。三、产品简介以上安全方案中所涉及的安全产品均系北京清华紫光信息安全有限公司研制开发。附： SJW01系列路由器加密机用于实现网络安全和网络路由功能，可在链路层、 IP 层和 TCP 层提供数据信息的安全保密。SJW01系列加密机支持多种网络协议

9、，如 TCP/IP、X.25 、FR 、HDLC 、IEEE802.3、IEEE802.5等，可在内部完成协议转换，实现不同网络的连接，可根据需要提供链路层、网络层和传输层数据信息的安全保密，并具有地址过滤功能。* 密码算法：分组密码算法，密钥长度128 位。* 路由协议：静态路由、 RIP ；对其他路由协议透明。* 端口协议： X.25 、 FR （ NNI/UNI ）、 TCP/IP-PPP 、 TCP/IP-SLIP 、 HDLC 、 ISDN 、 IBM3270 仿真等。* 电气接口：X.21(V.11)、 V.24 、 V.35 、 V.36 、 RS422 、 G.703 。* 网

10、管协议：SNMP 协议，支持Open View、 Net View等网管平台的应用。附： SfeCA 数字证书管理系统SFeCA数字证书管理系统是基于PKI 的企业网（Intranet）及电子商务（E-business）安全解决方案框架的核心组成部分。SFeCA 可用于组成完整的数字证书管理中心(CA) 。SFeCA集成了公钥引擎、证书引擎、 LDAP证书及作废证书列表发布等功能，可为用户提供完整的信息安全服务。它同紫光顺风的其他产品，如SecFile 、 SecMail和 WebGate等配合使用，可构成网络和信息系统的全面安全解决方案。* 支持 X.509 V2/V3、 PKCS 系列、

11、PKIx 、 S/MIME、 SSL/TLS、 PEM 等协议标准。* 除支持国家批准的专有加密算法以外，还支持DES/3DES、 IDEA 、 RC2/RC4/RC6等对称加密算法和MD4 、 MD5 、 SHA 、 SHA-1等信息摘要算法。*支持可变长度(可以高达5000位或以上 )RSA/DSA公钥体制算法。* 适用于Windows NT、Linux等系统平台。附： WebGate安全访问控制系统WebGate安全控制访问软件系统是基于PKI的企业网(Intranet)及电子商务(E-business)安全解决方案的一部分。它为用户提供对 Web 访问的强身份认证、访问控制和审计跟踪功

12、能。对于公共信息， WebGate 允许一般用户访问。对于敏感信息， WebGate 在允许用户访问之前进行基于数字证书和数字签名的身份认证和访问授权检查。对所有的访问， WebGate 可进行完整的审计跟踪。* 严格遵循X.509、PKCS、PKIx、SSL/TLS和HTTP/1.1等标准， 可以接收任何基于上述标准的数字证书和数字签名。* 支持的RSA签名算法密钥长度可达2048位。* 适用于Windows NT+IIS 3.0以上、 IE 4.0以上的网络环境。附： SecMail安全电子邮件系统SecMail 安全电子邮件系统是基于 PKI 的企业网 (Intranet) 及电子商务

13、(E-business) 安全解决方案的一部分。 它作为一个独立完整的邮件客户端软件， 除可执行常规收发电子邮件功能之外，还可实现邮件加密、邮件数字签名及邮件自动回执等安全功能。* 操作系统：中、英文Window 95/NT 4.0或以上版本。* 支持POP3、 SMTP、PEM和S/MIME等通用Internet电子邮件协议。* 支持 HTML 格式的邮件。* 支持通用 POP3 、 SMTP 邮件服务器。* 可与 Outlook 、 Netscape 等通用邮件客户端软件互通。* 支持 3DES 、 IDEA 等标准加密算法和国家审批的专用密码算法。附： SecSRV安全服务器SecSRV

14、安全服务器集成了PCI总线的SEM安全保密模块，主要用于高速环境下的加密认证，典型对称分组加密算法速率为 100Mb/s 次 / 秒。集对称分组加密算法、公钥体制签名/， 1024位私钥签名为40验证算法、信息摘要(Hash)次 / 秒，验证为 650 算法等于一体，可充分保证加密和数字签名等运算的安全性和高性能。* 除支持由国家审批的高强度专有对称分组密码算法之外，还支持三重DES 、IDEA 、RC5等标准对称算法和RSA 、 DSA 等公开密码体制算法，* 信息摘要则支持 MD2 、 MD5 、 SHA-1 、 RIPEMD160 等多种标准算法，用户可灵活的选择。* 适用于Window

15、s 95/98/NT、 Unix 、 Linux等平台。附： SecFile文件加密系统SecFile 文件加密系统通过对数据文件的加密，保证信息不被泄漏。在提供文件加、解密功能的同时， SecFile 文件加密系统也提供灵活的密钥管理和访问控制功能。* 独立运行的集成化环境，提供标准类Windows资源管理器程序界面供用户操作。* OLE的方式与Windows 95/98/NT系统 shell集成，已加密的文件扩展名为.mmw，且图标统一；对扩展名为.mmw的文件，用鼠标双击可执行解密操作（由密钥控制）。* 自动配置加密：对指定需加密的路径和目录，SecFile会在文件存取时自动进行加密或解

16、密。* 高效的文件压缩/ 解压功能 :文件压缩比率指标与Winzip相当。* 高强度的文件加密/ 解密功能 : 软件提供128位高强度加密算法。* 适用 Windows 95/98/NT以上系统平台。附： PKManager集成密钥管理系统KManager集成密钥管理系统负责紫光顺风系列安全产品的密钥及证书管理，只需在PKManager中一次配置RSA 密钥对，就可非常容易地通过文件加密系统SecFile实现文件本地加密及数字签名、通过安全电子邮件系统SecMail发送安全电子邮件、通过WWW 服务认证系统 WebGate实现 Web 的用户安全认证。* 私钥存放支持硬盘、软盘和IC 卡三种存储介质。* 适用与Windows 95