一、项目需求和系统设计目标1.项目需求在我们这个方案中,如何在各个公司内部和公司之间实现安全、可靠的交互是我们设计方案的主要出发点,而如何在可实现的价格、配置范围内获得最高的安全特性,也就是达到最高的性能价格比,应成为本解决方案的主要目标。由于该公司的总公司和分公司分处三地,而且距离比较远,考虑到价格因素,故通过廉价的Internet来传递数据和进行网上互联,通过个人认证证书和网络防火墙来实现网上数据的安全访问。公司总部的整个局域网的安全通过防火墙来保证,公司驻外人员或者上下业务关系企业可通过拨号上Internet,通过和该公司服务器的个人证书认证建立安全连接来访问该公司服务器,用SSL(安全套接字层)协议和证书控制来保证在网上进行电子商务时数据传输的安全性,以达到安全高效的交流。2.系统设计目标由于系统对安全等问题的考虑,应达到以下的目标:局域网内部的安全性:主要体现在对公司内部职工的身份的认证和权限的设置;防火墙内部用户的安全性:主要包括对通过防火墙的用户的身份的认证、外来的数据包的过滤和对内部的用户的管理,并保证内部的Web服务器的安全;电子商务的安全性:包括Web服务器本身的安全性和传输的数据的安全性,还应包括对线上交易的用户的身份的认证,保证交易的安全性和不可抵赖性;广域网的安全性:主要是三地公司的公文流转、内部管理等需要做网上的传递,保证传输的公文不被第三方窃取及驻外人员与公司总部的安全交流。二、总体设计方案基于以上的分析,总部的Web服务器采用浪潮集团自主开发的安全服务器(NetSafe)来保证网上数据的安全(电子商务的安全),三地分公司的防火墙采用浪潮集团的浪潮防火墙系统(1.0版本)来保证其内部网络的安全(局域网的安全),通过安全服务器(NetSafe)配套的企业级CA证书系统来保证各地的网上传输数据的安全性(广域网的安全)。整个网络结构设计如图1所示。图11.公司总部方案(1)Web服务器:浪潮安全服务器(NetSafe)(包括相关软硬件)(2)防火墙:浪潮防火墙1.0(3)路由器:Cisco路由器(4)软件:证书发放管理器:浪潮企业级CA-Center具有完整的证书发放功能和部分的证书管理功能,所发放的证书完全符合X.509规范,可以应用于Internet上的安全通讯、安全E-mail、区分内外部人员等诸多领域;浏览器:安装用户证书的IE或Netscape浏览器,由于美国的出口限制,我们通常使用的浏览器的密钥长度不足,对称算法密钥长度只有40位(在费用为5万美元时只需2秒即可破译),而安装浪潮安全服务器提供的密钥程序,可以将密钥长度提高到128位(在费用为5000万美元时需1016年),以保证密文的强壮性;电子邮件处理:OutLook等。具体结构如图2所示。图2浪潮安全服务器、证书发放管理器(CA-Center)、浏览器的工作模式如图3所示。图3