环太平洋 彩蛋
中企东方公司是一家大型规模的投资管理集团,在全国各地拥有100多家子公司和分公司,业务领域涉及非常广泛,包括对二级证券市场的投资运作、上市公司的资产评估、行业投资分析等等。由于业务需要,集团信息部门于2002年下半年申请DDN专线,希望能通过因特网把内部的信息(包括内部证券交易作业平台、上市公司的资产评估报告、行业投资分析报告,文件数据库等)以WEB方式供分公司或子公司经理访问,另外还希望对公司总部与各分部之间往来的重要邮件加以重点。由于公司本身信息化建设已经达到了一定水准,因此,集团领导希望能在现有网络基础上,占用最少的资源,用最短的时间实现上述要求,同时在确保安全的前提下,还要权限管理方便易用,网络配置简单灵活,证券交易系统运行速度不能受到影响以及较强的可扩展性和较低的成本。
金融投资管理公司业务操作系统(如证券交易平台、企业资产管理项目平台)直接关系到金融投资公司、投资者、上市公司和证券公司的经济利益,它的安全性、运行效率和配置复杂程度都是金融投资管理机构关注的重点。
在网络建设中,网络安全体系必须运行业务操作系统的各主机,数据库,CRM、Email等应用服务器系统不会受到来自网络外部或内部的非法授权访问、恶意入侵和,这就要求安全体系有能力确保高度的数据机密性和灵活的访问可控性。
通常情况下,金融投资管理公司的数据库会用具有一定安全级别的大型分布式数据库存储数据,除了对数据库本身安全功能进行开发外,金融投资公司还会增加相应的安全控件对数据库进行分级管理,实现数据库的访问、存取、加密控制。
在数据库安全的同时,数据本身的机密性同样极为重要。企业的财务报表、股民的个人资料、交易数据统计、行情分析报告、资产评估报告……都必须采取极为严密的加密措施和精确的安全等级划分,稍有疏忽就会造成性的灾难。
在数据传输交换过程中,特别是在对外的公网上,金融投资管理公司经常会与证券公司、投资人、上市公司进行数据交换,对那些参与网上证券交易的金融投资管理公司而言,数据传输的安全性就更为重要。目前,几乎所有的网上证券交易系统都采用的是TCP/IP标准协议,业务操作系统基于C/S或B/S结构。同时,由于网易的特殊性,交易并非当面发生,交易双方必须采用一定的授权、身份识别、信息加密等安全机制实现可信赖的电子化交易。
对于访问可控性,不同的网络信任域和访问级别拥有不同的访问权限,信息流可根据安全需要实现双向控制,出入系统访问各级应用系统、数据库、文件的实时有效记录、、扫描可辅助访问控制管理。
由于会涉及到二级市场的实时交易,金融投资管理公司总部的行情分析系统通常是通过卫星传输加密系统从上海、深圳两个证券交易获得实时交易数据,总部再把这些数据传送给分布在各地的营业部。交易中,每一秒钟同步发生交易数量巨大,无论是买入还卖出,数据传输运行效率直接影响交易成功发生率。
就以上需求,彩虹天地公司为该公司量身定制了一整套方案,即IPW安全解决方案,也称iGate易门访问控制安全解决方案。IPW是Instant Private Web的英文缩写,它的中文名称叫快速专用网,是专门适用于B/S构架WEB应用的网络安全解决方案。
称它为快速专用网,有三方面原因,第一,它是基于B/S构架的WEB应用。第二,配置方便,安装快速。IPW安全解决方案可以利用现在内部网资源配置,在一天内完成全面安装、配置。第三,授权专用。在所有的通讯过程中,完全采取SSL加密方式传输数据,客户端部分则使用基于USB身份认证令牌的硬件iKey进行身份认证和授权管理。
IPW安全解决方案硬件包括两大部分:应用于客户端的USB身份认证令牌的硬件iKey和NetSwift iGate易门访问控务器。
为了避免上述弊端,在为金融投资管理公司提供的解决方案中,彩虹天地公司在客户端采用了USB 接口的身份认证令牌ikey来完成最终用户的身份确认。如果说“口令+用户名”是验证“你是谁”的单因素认证机制,那么,使用ikey则是在验证“你是谁”的同时,还在验证“你有什么”的双因素认证机制,通俗地理解,ikey就好象你的钥匙,带你走进信息安全之门。
Ikey的安全性,基于这样一种强有力的身份认证机制:“挑战---响应”原理。在客户端通过内置有算法芯片的硬件(ikey)来储存唯一的验证值,同时在服务器端保留相同的验证值,从而确保整个验现的唯一性。
授权,在网络中,意味着授予一个用户可以访问网络资源、从一个网页下载内容和使用相应的应用程序的权限。帐户管理指对和网络认证相关的用户操作的。一个最基本的帐户管理系统必须可以记录每一次对资源的访问,无论成功或失败的尝试都做相应的日志记录。
当用户被验证的时候,一个安全的网络解决方案必须知道什么内容是可以浏览操作的。网络验证系统必须能模拟出组织机构的验证策略。--系统是否可以不同的域?是否可以文件级和虚拟目录级的安全?是否具有像创建用户级一样创建组级的权限?
很多人都有这样的经历:当你使用公司内部不同的应用系统时,需要输入不同的“用户名+口令”,财务管理系统一个口令、outlook 一个口令、销售系统又一个口令,很麻烦。管理员也倍感头疼,因为需要在不同的web server上进行不同的授权管理。因此,对最终用户而言,希望有一种权限登录方案即可,对网络管理员而言,也想拥有一种集中式的权限管理验证系统。相对于依赖各自不同的验证机制的应用程序而言,集中式的验证管理更有优势。
在IPW安全解决方案中,授权和帐户管理均采用集中式管理方式。用户登录不同应用软件系统的不同权限通过管理员的集中设置,均已存入对应你个人身份的ikey 中,再也不用费劲地去记忆不同的口令了。
对管理员而言,对用户的授权管理可以轻松通过iGATE易门访问控务器 的Administrator来导入不同应用程序的用户管理数据库并完成对ikey的权限设定,另外,iGATE易门访问控务器还提供完整的登录记录,有效每个用户的操作记录,而且这种记录是和用于身份认证的硬件令牌ikey相关联的。
当客户端进行验证的时候,大部分网络应用程序会把标识用户身份的唯一值或“会话标识符”储存在浏览器端的某些应用程序中。在这些应用程序中有31%由于这种安全漏洞而容易受到黑客。黑客可以通过盗取会话标识符来假冒最终用户的身份。如果有25%的密码以的方式,那么会有三分之一的会话标识符会受到黑客的。同时,在网络传输中有许多数据没有通过加密的方式传输。因此,一个完善的安全应用程序应该使用标准的加密协议例如SSL来确保网络传输的完整性,SSL会在远端用户浏览器和Web服务器之间建立安全的通信。
配置SSL并不是一个简单的任务,SSL安全协议要求服务器端密钥长度至少为1024位。在,有15%的网络服务器使用512位的密钥。在这个比例为13.5%。在欧洲,这种情况就比较糟糕了,在法国有41.1%的安全站点使用512位密钥,西班牙为31.9%, 英国为26.5%。在日本,从2000年开始,已经不对出口的加密强度做相应了。但是,这种SSL的配置问题依然存在。
为了支持高强度的加密算法和其内容,服务器端需要升级软件和对相应的代码作修改。另外,由于密码运算在服务器端进行,有时我们会为了提高性能而对硬件进行升级。一个理想的应用解决方案应该是和后台服务器和应用程序的软硬件无关的。现在,每一个服务器端都需要一个服务器证书,如果没有一个集中的SSL管理机制,那么对这些数字证书的管理就变得很困难。
使用SSL协议确保传输的数据没有被修改和解密。SSL协议使用标准的、强有力的被反复测试过的加密算法,从而可以数据传输的完整性。
该系统和原有的IT架构没有不兼容现象,Rainbow 是业界优秀的网络安全整体解决方案提供者,提供加密传送和身份认证的整体解决方案,局域网内所有的文件都被加密,员工必须使用密码进行访问。
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、度的宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加,对信息安全界的动态新闻更新更快。
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的途径。
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。