iGate 易门访问控制安全解决方案

2004-6-14　发布方：Microsoft　网友评论 0 条　点击进入论坛

    一、开发背景

    iGate 易门访问控制安全解决方案的应用领域非常广泛，凡是需要在计算机上运行口令密码的地方，都可以用这个解决方案。例如：金融投资管理行业，这是一个复杂、特殊的高风险行业，其业务会涉及到投资人的直接资产投资，企业资产及项目评估，不良资产的收购、置换、转让，债务重组，证券二级市场运作，上市推荐，债券股票承销等等。在金融投资管理公司的运作过程中，网络及应用信息系统是维系其业务良性发展的关键资源之一，随着证券投资业务的蓬勃发展，网络规模在不断扩大，投资管理公司自身的网络也越来越面向开放化，相当数量的敏感资金数据资料在投资管理公司内部网以及公网上传输交换，如何确保这些重要数据资料的访问安全性，在最大限度内保证网络的访问控制安全性已成为金融投资管理公司在信息化建设中极为重要的一环。

    二、方案详细介绍

    Rainbow''s iGate 易门访问控制安全解决方案采用我公司业内领先的SSL加速卡和基于iKey的访问控制技术，构成了这一基于设备的嵌入式Instant Private Web (瞬时专用网络)解决方案。客户所需要的是网络应用的安全性，比如外部网、内部网、CRM (客户关系管理)和具有强大的加密功能和基于硬件的身份验证功能的门户网站。我们则可以提供：
    · 瞬时的(Instant)：你可以在一天之内对全部网络资源配备好SSL和中央访问控制；
    · 专用的(Private)：通过SSL加密传输和对网络资源的强有力的访问控制，确保整个网络的安全。
    · 网络(Web)：我们的市场目标是网络应用，因此我们提供了针对网络应用的"纯网络"解决方案，它可以支持所有基于HTTP的网络访问。

    优点：
    · 密钥访问：基于ikey的硬件访问控制，具有移动、便捷的特点
    · 永远开启的SSL：能够一次性为您的所有应用开启SSL功能
    · 与体系结构无关：对您的客户机、后端网络服务器、和吞吐量性能均不产生任何影响
    · 集中式管理：可对用户提供高安全性的帐户管理和集中的访问控制
    · 无论是否配备第七层负载均衡器，均可实现轻松安装
    · 10/100/1000 mbps 以太网接口
    · 可通过网络、图形用户界面、串行电缆、和SNMP实现管理控制

    轻松安装
    iGate可以方便地与现有的网络基础设施集成起来，无论是否已经装备了第七层交换机和负载均衡器。

    业内速度最快、可靠性最高的SSL加速功能
    iGate可以将整个SSL协议的处理工作从网络服务器中分离出来，因此可使这些通用服务器能够把全部时间用在作为其最初设计目的的应用程序的运行工作之中。利用Rainbow Technologies的CryptoSwift SSL加速技术， iGate可以使SSL数据完全充满一条100 mbps以太网连接线路，可以实现最高为每秒1,000次传输速度，并可同时处理10,000个并发会话过程。

    可降低实施与远程管理成本
    我们可以在几分钟之内快速完成iGate设备的安装和部署，既不会对网络运行产生任何影响，也不需要配备费用昂贵的工程师和咨询人员，更不需要使服务器停机。客户既可以通过浏览器界面或SNMP对iGate进行远程管理，也可以利用一条串行电缆连接对iGate进行本地管理，而无需在每一台服务器上加装任何专用管理软件。您可以在几小时之内快速完成用户权限和需要保护的网络资源的安装和部署。对于规模中等的企业而言，安装和部署的总时间一般为一天左右。
    iGate访问控制安全解决方案的适用对象为所有使用基于web 的客户关系管理(CRM)、供应链、企业资源规划(ERP)以及财务管理等应用系统的组织或企业。众所周知，越来越多的企业都在利用Internet 推动员工、客户和商业合作伙伴远程使用以上应用系统从而形成协同管理机制，大幅提高生产效率。授权用户的访问和安全的数据传输是网络安全首先要解决的问题。但是如何配置和维护这样高安全级别的商业网络是一项精深、复杂和高成本的工作，一般的方式都不能完全地实现所有的功能。
    作为一个完整的技术解决方案，Rainbow Technologies 的NetSwift iGate 网络安全解决方案不仅可以提供高安全的访问控制和数据交换，而且可以实现方便的安装和快速的配置。
    · 客户关系管理（CRM ）：确保员工和客户数据的安全访问。
    · 供应链和ERP 系统：实现从客户到卖主的安全访问。
    · 客户服务：避免非授权用户对外部网页的访问。
    · 企业内部网/外部网：确保核心资源的安全管理和访问。
    1. iKey 身份认证：基于USB 身份认证令牌的硬件认证方式，可移动，便捷、安全；
    2. 容易配置：可以在一天内完成1000 个以上用户的配置和实现运行；
    3. 所有的通讯完全加密: 所有的通讯，自动采取SSL 来加密传递，不需额外的电子证书，同时内置 Rainbow 的SSL 加速卡，可以提高SSL 的传输速度和效率；
    4. 体系结构独立性：对Internet 前端客户、后端服务器及其吞吐量性能均不产生任何影响；
    5. 用户/监测管理：高水平的用户帐户、权限管理以及对远程访问的集中式控制。
    iGate 能够通过我们"始终运行"的SSL 加速卡确保重要网络资源的安全性。通过在Web 服务器前安装iGate 设备，可以立即实现所有数据传输都通过SSL 加密。全部安装只需几个小时。通过安装访问控制管理软件和使用iKey 令牌，可以方便地实现网络用户的安全访问。在客户端，每一个用户都有一只iKey 和其相对应的PIN 码。用户身份通过iGate 设备来验证，通过后就可以被赋予相应的权限去访问被保护的资源。
    越来越多的企业将应用程序开放给防火墙之外的远程用户、商业合作伙伴及客户，确保对这些关键商业应用程序的访问的安全性已成为当务之急。
    附录：（注：CryptoSwift是iGate易门访问控制服务器中重要的组成部分）
    Rainbow公司 CryptoSwift 网络加速器通过微软网络安全加速服务器2000的技术测试
    欧文市, 加里弗尼亚 - 12/17, 2002 - 2002年12月17日，美国Rainbow公司宣布旗下的 CryptoSwift 电子商务网络加速器通过了基于微软Windows 2000平台的电子商务应用，与微软网络安全加速服务器（ISA）2000兼容。
    Rainbow公司的CryptoSwift加速器运行于ISA服务器，它可以为用户提供快速、安全的在线交易服务。ISA 服务器是微软针对企业防火墙和网络缓存推出的一款服务器，CryptoSwift 为ISA 服务器进行SSL加速。
    "我们非常高兴 Rainbow的产品可以支持 ISA 服务器，" 微软总部渠道发展总经理 Nevet Basker说, "CryptoSwift提供的 SSL安全加速大大提高了电子商务交易的性能。 CryptoSwift 与 ISA 服务器相结合，将会更加利于企业配置高性能的安全网络服务解决方案。"
    Rainbow公司全球市场副总裁David Lynch说："CryptoSwift 是业内第一个专门应用于SSL 加速的产品，在企业进行网上交易时，无疑安全的数据交换和快速的传输速度是核心问题，相信通过与ISA 服务器之间的相互兼容，CryptoSwift 将会获得更广泛的支持，同时客户也将能获得更快更安全的在线交易保障。"

    成功案例介绍
    用户单位名称：中企东方公司

    背景情况
    中企东方公司是一家大型规模的投资管理集团，在全国各地拥有100多家子公司和分公司，业务领域涉及非常广泛，包括对二级证券市场的投资运作、上市公司的资产评估、行业投资分析等等。由于业务需要，集团信息部门于2002年下半年申请DDN专线，希望能通过因特网把内部的信息（包括内部证券交易作业平台、上市公司的资产评估报告、行业投资分析报告,文件数据库等）以WEB方式供分公司或子公司经理访问，另外还希望对公司总部与各分部之间往来的重要邮件加以重点保护。由于公司本身信息化建设已经达到了一定水准，因此，集团领导希望能在现有网络基础上，占用最少的资源，用最短的时间实现上述要求，同时在确保安全的前提下，还要保证权限管理方便易用，网络配置简单灵活，证券交易系统运行速度不能受到影响以及较强的可扩展性和较低的成本。

    业务实施过程
    金融投资管理公司业务操作系统（如证券交易平台、企业资产管理项目平台）直接关系到金融投资公司、投资者、上市公司和证券公司的经济利益，它的安全性、运行效率和配置复杂程度都是金融投资管理机构关注的重点。

    安全性需求
    在网络建设中，网络安全体系必须保证运行业务操作系统的各主机，数据库，CRM、Email等应用服务器系统不会受到来自网络外部或内部的非法授权访问、恶意入侵和破坏，这就要求安全体系有能力确保高度的数据机密性和灵活的访问可控性。
    数据的机密性包括三大部分：数据库的机密性、数据本身的机密性、数据传输的机密性。
    通常情况下，金融投资管理公司的数据库会用具有一定安全级别的大型分布式数据库存储数据，除了对数据库本身安全功能进行开发外，金融投资公司还会增加相应的安全控件对数据库进行分级管理，实现数据库的访问、存取、加密控制。
    在保证数据库安全的同时，数据本身的机密性同样极为重要。企业的财务报表、股民的个人资料、交易数据统计、行情分析报告、资产评估报告。。。。。。都必须采取极为严密的加密措施和精确的安全等级划分，稍有疏忽就会造成毁灭性的灾难。
    在数据传输交换过程中，特别是在对外的公网上，金融投资管理公司经常会与证券公司、投资人、上市公司进行数据交换，对那些参与网上证券交易的金融投资管理公司而言，数据传输的安全性就更为重要。目前，几乎所有的网上证券交易系统都采用的是TCP/IP标准协议，业务操作系统基于C/S或B/S结构。同时，由于网上交易的特殊性，交易并非当面发生，交易双方必须采用一定的授权、身份识别、信息加密等安全机制实现可信赖的电子化交易。
    对于访问可控性，不同的网络信任域和访问级别拥有不同的访问权限，信息流可根据安全需要实现双向控制，出入系统访问各级应用系统、数据库、文件的实时有效记录、跟踪、扫描可辅助访问控制管理。

    运行效率需求
    由于会涉及到二级市场的实时交易，金融投资管理公司总部的行情监控分析系统通常是通过卫星传输加密系统从上海、深圳两个证券交易获得实时交易数据，总部再把这些数据传送给分布在各地的营业部。交易中，每一秒钟同步发生交易数量巨大，无论是买入还卖出，数据传输运行效率直接影响交易成功发生率。

    配置复杂程度
    除了安全性以及运行效率外，配置复杂程度也是倍受金融投资管理公司关注的一项指标。
    就以上需求，彩虹天地公司为该公司量身定制了一整套方案，即IPW安全解决方案,也称iGate易门访问控制安全解决方案。IPW是Instant Private Web的英文缩写，它的中文名称叫快速专用网，是专门适用于B/S构架WEB应用的网络安全解决方案。
    称它为快速专用网，有三方面原因，第一，它是基于B/S构架的WEB应用。第二，配置方便，安装快速。IPW安全解决方案可以利用现在内部网资源配置，在一天内完成全面安装、配置。第三，授权专用。在所有的通讯过程中，完全采取SSL加密方式传输数据，客户端部分则使用基于USB身份认证令牌的硬件iKey进行身份认证和授权管理。
    IPW安全解决方案硬件包括两大部分：应用于客户端的USB身份认证令牌的硬件iKey和NetSwift iGate易门访问控制服务器。

    第一部分：身份认证以及授权与帐户管理

    身份认证
    通常的访问控制解决方案会使用基于口令密码的验证机制。从安全的角度看，这种机制有很大的弊端：
    · 容易被猜测
    · 可以被共享
    · 密码以明文的方式经过网络传输，容易被截获。
    为了避免上述弊端，在为金融投资管理公司提供的解决方案中，彩虹天地公司在客户端采用了USB 接口的身份认证令牌ikey来完成最终用户的身份确认。如果说"口令+用户名"是验证"你是谁"的单因素认证机制，那么，使用ikey则是在验证"你是谁"的同时，还在验证"你有什么"的双因素认证机制，通俗地理解，ikey就好象你家门的钥匙，带你走进信息安全之门。
    Ikey的安全性，基于这样一种强有力的身份认证机制："挑战---响应"原理。在客户端通过内置有算法芯片的硬件（ikey）来储存唯一的验证值，同时在服务器端保留相同的验证值，从而确保整个验证实现的唯一性。

    授权与帐户管理
    授权，在网络环境中，意味着授予一个用户可以访问网络资源、从一个网页下载内容和使用相应的应用程序的权限。帐户管理指对和网络认证相关的用户操作的跟踪。一个最基本的帐户管理系统必须可以记录每一次对资源的访问，无论成功或失败的尝试都做相应的日志记录。
    当用户被验证的时候，一个安全的网络解决方案必须知道什么内容是可以浏览操作的。网络验证系统必须能模拟出组织机构的验证策略。--系统是否可以保护不同的域？是否可以保护文件级和虚拟目录级的安全？是否具有像创建用户级一样创建组级的权限？
    很多人都有这样的经历：当你使用公司内部不同的应用系统时，需要输入不同的"用户名+口令"，财务管理系统一个口令、outlook 一个口令、销售系统又一个口令，很麻烦。管理员也倍感头疼，因为需要在不同的web server上进行不同的授权管理。因此，对最终用户而言，希望有一种权限登录方案即可，对网络管理员而言，也想拥有一种集中式的权限管理验证系统。相对于依赖各自不同的验证机制的应用程序而言，集中式的验证管理更有优势。
    在IPW安全解决方案中，授权和帐户管理均采用集中式管理方式。用户登录不同应用软件系统的不同权限通过管理员的集中设置，均已存入对应你个人身份的ikey 中，再也不用费劲地去记忆不同的口令了。
    对管理员而言，对用户的授权管理可以轻松通过iGATE易门访问控制服务器的Administrator来导入不同应用程序的用户管理数据库并完成对ikey的权限设定，另外，iGATE易门访问控制服务器还提供完整的登录记录，有效跟踪每个用户的操作记录，而且这种记录是和用于身份认证的硬件令牌ikey相关联的。

    第二部分 SSL 全程加密

    当客户端进行验证的时候，大部分网络应用程序会把标识用户身份的唯一值或"会话标识符"储存在浏览器端的某些应用程序中。在这些应用程序中有31％由于这种安全漏洞而容易受到黑客攻击。黑客可以通过盗取会话标识符来假冒最终用户的身份。如果有25％的密码以明文的方式传播，那么会有三分之一的会话标识符会受到黑客的攻击。同时，在网络传输中有许多数据没有通过加密的方式传输。因此，一个完善的安全应用程序应该使用标准的加密协议例如SSL来确保网络传输的完整性，SSL会在远端用户浏览器和Web服务器之间建立安全的通信。
    配置SSL并不是一个简单的任务，SSL安全协议要求服务器端密钥长度至少为1024位。在北美，有15%的网络服务器使用512位的密钥。在加拿大这个比例为13.5％。在欧洲，这种情况就比较糟糕了，在法国有41.1％的安全站点使用512位密钥，西班牙为31.9％, 英国为26.5%。在日本，从2000年开始，已经不对出口的加密强度做相应限制了。但是，这种SSL的配置问题依然存在。
    为了支持高强度的加密算法和其内容，服务器端需要升级软件和对相应的代码作修改。另外，由于密码运算在服务器端进行，有时我们会为了提高性能而对硬件进行升级。一个理想的应用解决方案应该是和后台服务器和应用程序的软硬件无关的。现在，每一个服务器端都需要一个服务器证书，如果没有一个集中的SSL管理机制，那么对这些数字证书的管理就变得很困难。

    NetSwift iGATE易门访问控制服务器 :
    · 使用SSL协议确保传输的数据没有被修改和解密。SSL协议使用标准的、强有力的被反复测试过的加密算法，从而可以保证数据传输的完整性。
    · 配置1024位的服务器密钥
    · 嵌入式解决方案
    · 不需要对服务器作任何修改
    · 不需要对服务器软件作相应升级
    · 不需要对服务器硬件作相应升级案
    · 集中的服务器证书管理机制

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表