背景情况
中企东方公司是一家大型规模的投资管理集团,在全国各地拥有100多家子公司和分公司,业务领域涉及非常广泛,包括对二级证券市场的投资运作、上市公司的资产评估、行业投资分析等等。由于业务需要,集团信息部门于2002年下半年申请DDN专线,希望能通过因特网把内部的信息(包括内部证券交易作业平台、上市公司的资产评估报告、行业投资分析报告,文件数据库等)以WEB方式供分公司或子公司经理访问,另外还希望对公司总部与各分部之间往来的重要邮件加以重点保护。由于公司本身信息化建设已经达到了一定水准,因此,集团领导希望能在现有网络基础上,占用最少的资源,用最短的时间实现上述要求,同时在确保安全的前提下,还要保证权限管理方便易用,网络配置简单灵活,证券交易系统运行速度不能受到影响以及较强的可扩展性和较低的成本。
业务实施过程
金融投资管理公司业务操作系统(如证券交易平台、企业资产管理项目平台)直接关系到金融投资公司、投资者、上市公司和证券公司的经济利益,它的安全性、运行效率和配置复杂程度都是金融投资管理机构关注的重点。
安全性需求
在网络建设中,网络安全体系必须保证运行业务操作系统的各主机,数据库,CRM、Email等应用服务器系统不会受到来自网络外部或内部的非法授权访问、恶意入侵和破坏,这就要求安全体系有能力确保高度的数据机密性和灵活的访问可控性。
数据的机密性包括三大部分:数据库的机密性、数据本身的机密性、数据传输的机密性。
通常情况下,金融投资管理公司的数据库会用具有一定安全级别的大型分布式数据库存储数据,除了对数据库本身安全功能进行开发外,金融投资公司还会增加相应的安全控件对数据库进行分级管理,实现数据库的访问、存取、加密控制。
在保证数据库安全的同时,数据本身的机密性同样极为重要。企业的财务报表、股民的个人资料、交易数据统计、行情分析报告、资产评估报告……都必须采取极为严密的加密措施和精确的安全等级划分,稍有疏忽就会造成毁灭性的灾难。
在数据传输交换过程中,特别是在对外的公网上,金融投资管理公司经常会与证券公司、投资人、上市公司进行数据交换,对那些参与网上证券交易的金融投资管理公司而言,数据传输的安全性就更为重要。目前,几乎所有的网上证券交易系统都采用的是TCP/IP标准协议,业务操作系统基于C/S或B/S结构。同时,由于网上交易的特殊性,交易并非当面发生,交易双方必须采用一定的授权、身份识别、信息加密等安全机制实现可信赖的电子化交易。
对于访问可控性,不同的网络信任域和访问级别拥有不同的访问权限,信息流可根据安全需要实现双向控制,出入系统访问各级应用系统、数据库、文件的实时有效记录、跟踪、扫描可辅助访问控制管理。
运行效率需求
由于会涉及到二级市场的实时交易,金融投资管理公司总部的行情监控分析系统通常是通过卫星传输加密系统从上海、深圳两个证券交易获得实时交易数据,总部再把这些数据传送给分布在各地的营业部。交易中,每一秒钟同步发生交易数量巨大,无论是买入还卖出,数据传输运行效率直接影响交易成功发生率。
配置复杂程度
除了安全性以及运行效率外,配置复杂程度也是倍受金融投资管理公司关注的一项指标。
就以上需求,彩虹天地公司为该公司量身定制了一整套方案,即IPW安全解决方案,也称iGate易门访问控制安全解决方案。IPW是Instant Private Web的英文缩写,它的中文名称叫快速专用网,是专门适用于B/S构架WEB应用的网络安全解决方案。
称它为快速专用网,有三方面原因,第一,它是基于B/S构架的WEB应用。第二,配置方便,安装快速。IPW安全解决方案可以利用现在内部网资源配置,在一天内完成全面安装、配置。第三,授权专用。在所有的通讯过程中,完全采取SSL加密方式传输数据,客户端部分则使用基于USB身份认证令牌的硬件iKey进行身份认证和授权管理。
IPW安全解决方案硬件包括两大部分:应用于客户端的USB身份认证令牌的硬件iKey和NetSwift iGate易门访问控制服务器。
第一部分:身份认证以及授权与帐户管理
身份认证
通常的访问控制解决方案会使用基于口令密码的验证机制。从安全的角度看,这种机制有很大的弊端:
容易被猜测
可以被共享
密码以明文的方式经过网络传输,容易被截获。
为了避免上述弊端,在为金融投资管理公司提供的解决方案中,彩虹天地公司在客户端采用了USB 接口的身份认证令牌ikey来完成最终用户的身份确认。如果说“口令+用户名”是验证“你是谁”的单因素认证机制,那么,使用ikey则是在验证“你是谁”的同时,还在验证“你有什么”的双因素认证机制,通俗地理解,ikey就好象你家门的钥匙,带你走进信息安全之门。
Ikey的安全性,基于这样一种强有力的身份认证机制:“挑战---响应”原理。在客户端通过内置有算法芯片的硬件(ikey)来储存唯一的验证值,同时在服务器端保留相同的验证值,从而确保整个验证实现的唯一性。
授权与帐户管理
授权,在网络环境中,意味着授予一个用户可以访问网络资源、从一个网页下载内容和使用相应的应用程序的权限。帐户管理指对和网络认证相关的用户操作的跟踪。一个最基本的帐户管理系统必须可以记录每一次对资源的访问,无论成功或失败的尝试都做相应的日志记录。
当用户被验证的时候,一个安全的网络解决方案必须知道什么内容是可以浏览操作的。网络验证系统必须能模拟出组织机构的验证策略。--系统是否可以保护不同的域?是否可以保护文件级和虚拟目录级的安全?是否具有像创建用户级一样创建组级的权限?
很多人都有这样的经历:当你使用公司内部不同的应用系统时,需要输入不同的“用户名+口令”,财务管理系统一个口令、outlook 一个口令、销售系统又一个口令,很麻烦。管理员也倍感头疼,因为需要在不同的web server上进行不同的授权管理。因此,对最终用户而言,希望有一种权限登录方案即可,对网络管理员而言,也想拥有一种集中式的权限管理验证系统。相对于依赖各自不同的验证机制的应用程序而言,集中式的验证管理更有优势。
在IPW安全解决方案中,授权和帐户管理均采用集中式管理方式。用户登录不同应用软件系统的不同权限通过管理员的集中设置,均已存入对应你个人身份的ikey 中,再也不用费劲地去记忆不同的口令了。
对管理员而言,对用户的授权管理可以轻松通过iGATE易门访问控制服务器 的Administrator来导入不同应用程序的用户管理数据库并完成对ikey的权限设定,另外,iGATE易门访问控制服务器还提供完整的登录记录,有效跟踪每个用户的操作记录,而且这种记录是和用于身份认证的硬件令牌ikey相关联的。
第二部分 SSL 全程加密
当客户端进行验证的时候,大部分网络应用程序会把标识用户身份的唯一值或“会话标识符”储存在浏览器端的某些应用程序中。在这些应用程序中有31%由于这种安全漏洞而容易受到黑客攻击。黑客可以通过盗取会话标识符来假冒最终用户的身份。如果有25%的密码以明文的方式传播,那么会有三分之一的会话标识符会受到黑客的攻击。同时,在网络传输中有许多数据没有通过加密的方式传输。因此,一个完善的安全应用程序应该使用标准的加密协议例如SSL来确保网络传输的完整性,SSL会在远端用户浏览器和Web服务器之间建立安全的通信。
配置SSL并不是一个简单的任务,SSL安全协议要求服务器端密钥长度至少为1024位。在北美,有15%的网络服务器使用512位的密钥。在加拿大这个比例为13.5%。在欧洲,这种情况就比较糟糕了,在法国有41.1%的安全站点使用512位密钥,西班牙为31.9%, 英国为26.5%。在日本,从2000年开始,已经不对出口的加密强度做相应限制了。但是,这种SSL的配置问题依然存在。
为了支持高强度的加密算法和其内容,服务器端需要升级软件和对相应的代码作修改。另外,由于密码运算在服务器端进行,有时我们会为了提高性能而对硬件进行升级。一个理想的应用解决方案应该是和后台服务器和应用程序的软硬件无关的。现在,每一个服务器端都需要一个服务器证书,如果没有一个集中的SSL管理机制,那么对这些数字证书的管理就变得很困难。
NetSwift iGATE易门访问控制服务器 :
使用SSL协议确保传输的数据没有被修改和解密。SSL协议使用标准的、强有力的被反复测试过的加密算法,从而可以保证数据传输的完整性。
配置1024位的服务器密钥
嵌入式解决方案
不需要对服务器作任何修改
不需要对服务器软件作相应升级
不需要对服务器硬件作相应升级案
集中的服务器证书管理机制
效果与反馈
各分公司经理可以远程访问CRM系统。
邮件系统始终如一地处在SSL加密保护之下。
公司不同员工具有不同的访问权限,系统管理员可以登录和退出等事务。
该系统和原有的IT架构没有不兼容现象,Rainbow 是业界优秀的网络安全整体解决方案提供者,提供加密传送和身份认证的整体解决方案,局域网内所有的文件都被加密,员工必须使用密码进行访问。
