6企业网安全方案Word文件下载.docx
- 文档编号:15694866
- 上传时间:2022-11-15
- 格式:DOCX
- 页数:21
- 大小:463.84KB
6企业网安全方案Word文件下载.docx
《6企业网安全方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《6企业网安全方案Word文件下载.docx(21页珍藏版)》请在冰豆网上搜索。
3.1计算机辅助信息管理系统6
3.2CAD/CAM/CAE系统7
3.3办公自动化管理系统8
四、XX集团企业网络应用层安全需求及设计9
4.1资源分类9
4.2安全需求10
4.3应用层安全平台11
五、应用层安全方案12
5.1计算机辅助信息管理系统的应用安全方案12
5.2 CAD/CAM/CAE的应用安全方案14
5.3办公自动化管理系统的应用安全方案15
六XX企业网应用层综合安全解决方案15
6.1WebST安全服务器的容错和负载平衡16
6.2XX企业网中WebST服务器的配置方法17
6.3集中式安全管理18
6.4WebST的工作流程19
七、应用层安全方案的技术特点简述20
八、总结21
一、网络现状与应用服务需求
XX集团公司为中国著名大型国有企业,XX集团公司单位分布全国各地。
企业网建设由总公司电子计算处统筹规划,全面安排。
XX集团企业网由厂区高速光纤骨干网、Internet接入服务网络和远程广域网组成。
整个骨干网以XX集团电算处为中心节点,向外辐射。
通过十一个骨干节点,将65个专业厂、子公司与各大处室的微机和局域网连到光纤网干道上。
Internet接入服务网络通过DDN专线与ChinaNet相连;
广域网包括拨号网和Internet公众网。
XX集团企业网络提供的应用服务有计算机辅助信息管理系统、计算机辅助设计、制造、分析(CAD/CAM/CAE);
办公自动化管理系统(OA系统)。
各子网内部通讯相互独立,互不干扰;
支持数据、语音和视频的同时传输。
网管中心具有信息转发,信息存储共享,信息综合处理和查询服务能力的交换系统核心。
具有异种机互联的能力,使用信息优选与管理及推送与网播技术服务,
二、企业网络应用模式概述
为什么要讨论应用模式呢?
网络安全说到底是信息系统安全,其中最重要的是网络应用服务安全。
只有将应用模式归纳总结清楚,才能找到解决安全的有效手段和方法。
在Internet技术发展到今天的地步,过去传统的应用模式正在发生变化,演变成Intranet的模式。
在这里主要讨论如下几种Intranet模型:
●集中数据库Intranet模型
●分布数据库Intranet模型
●分布式数据处理的Intranet模型
●企业间Extranet模型
在讨论之前我们先看一下应用模式的变化。
2.1传统数据库应用模式向Intranet模型的转变
传统的网络应用模式大多是数据库的Client/Server结构,目前大多数的MIS都使用这种模式,但是,随着企业应用的深入,越来越感觉到这种应用的不足,这主要体现在:
需要专用客户端软件、需要专用通信协议、客户端投资较大、限制在局域网用户、难与其它技术集成等等。
此时Internet技术发展起来了,而又解决了上述问题。
这就引发了传统数据库应用模式向Intranet模型的转变的这场变革。
当然这个过程不是在短时间内能完成的,需要一个较长的阶段来完成这种过渡和转变,在今后若干年中会出现两种模式并存的局面。
下图说明了这两种模式的并存和转变。
基于Web技术的主要特点如下:
●
基于Web技术,使用HTTP通讯协议。
●Web服务器作为中间件连接用户端和后台数据库。
●与最先进的网络安全技术WebST有良好的结合性。
●将应用范围扩展到了远程用户。
●客户端基于统一的Web浏览器。
●客户端培训、升级简单,投资小。
●易于将多种不同技术集成在一起。
●Intranet模式,易于建立Extranet。
图一
2.2集中数据库Intranet模型
集中式数据库的Intranet适用于中小型企业的信息管理,其特点是整个企业网络应用采用集中的数据库服务器和Web服务器。
用户可以分布在局域网内部或通过公共网络连接的广域网上,通过各种网络连接形式访问企业的Web服务器,通过Web服务器访问后台数据库服务器。
要求根据用户的身份对企业信息进行授权的访问控制,对敏感信息必须进行加密传输。
2.3分布数据库Intranet模型
分布式数据库的Intranet适用于大型企业的信息管理,其特点是整个企业网络应用分布在多台数据库服务器和Web服务器上,这些服务器甚至在地理上都是分散的。
用户分布在由通过公共网络连接起来的多个局域网内部和广域网上,通过Web服务访问后台数据库服务器。
这些数据库服务器都是独立处理企业某一类型的信息,相互间并不需要进行直接的通讯。
安全方面要求同前。
2.4分布式数据处理的Intranet模型
分布式数据处理的Intranet也是适用于大型企业的信息管理和过程控制,其特点也是整个企业网络应用分布在分散的多台数据库服务器和Web服务器上,用户通过Web服务访问后台数据库服务器,不同的是这些数据库服务器都是有着某些联系,相互间需要进行直接的通讯以及数据交换和传递。
对安全的要求与上文是一致的。
2.5企业间Extranet模型
企业间的Extranet模型适用于企业间或企业与客户、供应商等合作伙伴之间提供信息共享服务。
这是在企业各自的Intranet基础上,将企业的部分相关信息向企业外提供服务。
其特点是相关信息分布在不同企业Intranet
中,不同企业的用户为了某个共同的目标需要相互共享有关数据,同时要保证这些数据的安全和企业Intranet内部的安全。
2.6WebST应用服务的安全手段
WebST是基于应用的安全解决方案,具有身份认证、访问控制、安全通信和安全管理等特性。
在企业Intranet中,这些功能和特性都起着非常重要的作用,在探讨XX的应用模式前,先对与Intranet应用有关的一些安全概念和特性作简单介绍。
WebSEAL对Web对象实现细粒度访问控制
WebSEAL服务器本身包括一个Web服务器,可以接受HTTP请求,有自己的web空间,同时也可作为HTTP代理支持第三方Web服务器,使没有访问控制的第三方Web服务器具有相同的安全性。
(1)SmartJunction安全的Web服务代理
WebSEAL可以将第三方Web服务器资源空间SmartJunction(灵巧连接)到WebSEAL服务器上,两者构成一个统一的Web空间。
WebSEAL作为HTTP请求安全代理来自客户端的Web请求,无论是NetSEAT(WebST的安全客户端软件包)授权用户还是非授权用户(非NetSEAT客户,也就是普通HTTP用户,对WebSEAL服务器来说是“非授权用户”),首先由WebSEAL服务器处理。
WebSEAL服务器根据对象的ACL检查用户的访问权限,如果用户具有访问权限,WebSEAL服务器将HTTP请求递交给第三方Web服务器,由它来处理这个请求并将结果返回给WebSEAL服务器,然后WebSEAL服务器将这个结果按安全RPC(RemoteProcedureCall)方式返回给NetSEAT用户,或按HTTP方式返回给非NetSEAT用户。
(2)NetSEAL实现对应用服务的粗粒度访问控制
NetSEAL服务器可以将任何基于TCP/IP协议的网络应用服务集成到WebST安全范围之内。
NetSEAL可以允许或阻止用户运行某个服务器上的某个网络应用,NetSEAL和WebSEAL一样,提供相同级别的数据安全性和完整性。
NetSEAL起到了分布式防火墙的功能。
(3)NetSEAT建立用户到服务的安全的通信通道
NetSEAT安全客户端软件是运行在客户端的瘦型的DCE客户端软件,用来进行身份认证和建立安全通讯通道。
NetSEAT对应用的客户端软件不作任何改变,采用两种方式结合。
一是采用本地应用代理方式,如在浏览器中将代理设置成本地的某个端口,而这个端口由NetSEAT进行监听。
另一种是陷阱方式,由NetSEAL设置IP陷阱、监视和截取IP数据包,由NetSEAT进行处理,根据安全策略使用WebST安全通道,或仍使用固有协议。
如果客户端没有运行NetSEAT,则该客户只能作为非授权用户,不能进入WebST的安全域。
只能访问公开的数据。
(4)安全域是安全管理的范围和空间
对于一个严密和安全的系统,系统管理要有明确的任务和责任。
为了安全管理,必须指定WebST安全的范围。
这个安全范围或称作基本单元就称为WebST安全域。
一个企业可能需要一个独立的安全域,也可能需要几个安全域。
配置合适的安全域需要考虑以下几个因素:
单位的大小,目的、需要和特殊的需求,安全性,网络拓扑结构,以及管理和开销。
WebST的位置
WebST可以保护传统应用和基于Web的BWD模式应用的安全,使用NetSEAL和NetSEAT可以为传统基于数据库的客户和服务器提供安全保护,WebSEAL和NetSEAT可以为基于Web的应用服务提供安全保护,它们各自在数据库应用和Web应用中的位置如下图:
三、XX集团企业网络应用模式分析
在上一节的结论基础上,我们来分析一下XX集团企业网应用模式,为下一节形成安全应用方案做准备。
3.1计算机辅助信息管理系统
模式说明
集团公司建有二级中心数据库,即集团公司级中心数据库和专业厂级中心数据库。
其中集团公司级数据库有生产、财务、销售、采购供应、质量、产品开发、人事劳资等共8个。
这些数据库信息主要提供给公司总经理,各主管副总经理及各职能部门。
总经理可以查询任何一个数据库中的信息,而各职能部门则负责其职能范围内数据库信息的查询,更新和维护。
集团公司级中心数据库由集团公司的信息中心统一进行管理。
专业厂一级的中心数据库由各专业厂、处建立。
该部分信息主要来自各个专业厂的生产车间,这部分数据库信息,一方面提供给本专业厂领导和相关专业厂处查询,另一方面作为公司级中心数据库的信息源。
它的日常管理和维护由各个专业厂负责。
目前该系统有一部分为Cilent/Server结构,其它均为BWD应用,而且Cilent/Server部分也正在向BWD应用转化,所以该系统的应用模式总体上属于“分布式数据处理的Intranet模式”。
这种应用模式的特点是整个企业网络应用分布在分散的多台数据库服务器和Web服务器上,用户可以分布在局域网内部和通过公共网络连接的广域网上,通过各种网络连接形式访问企业的Web服务器,通过Web服务访问后台数据库服务器。
这些数据库服务器都是有着某些联系,相互间需要进行直接的通讯以及数据交换和传递。
要求根据用户的身份对企业的信息进行授权的访问控制,对敏感的信息必须进行加密传输。
应用结构
见图二。
3.2CAD/CAM/CAE系统。
全集团公司内部形成CAD/CAM/CAE一体化联机处理系统。
有统一的工程数据库产品数据管理系统(PDMS)。
目前主要是Client/Server访问模式,并实现了基于Web技术的工程数据交换管理系统。
该系统的应用模式属于“集中数据库的Intranet模式”。
该应用模式的特点是整个企业网络应用采用集中的数据库服务器。
用户可以分布在局域网内部和通过公共网络连接的广域网上,通过各种网络连接形式访问企业的数据库服务器。
应用结构
见图三。
3.3办公自
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 安全 方案