XXXXX公司 網絡安全建設建議方案(五)

2014-12-26 12:06:00
dxt001
原創
3610

接《XXXXX公司 網絡安全建設建議方案(四)》



6.4.3. 病毒過濾網關產品部署的意義

根據上節所述,在 **** 公司網絡系統中如果要建立一個完整的防病毒系統,就需要建立一個多層次的防病毒系統,它包括工作站防毒、服務器防毒、網關防毒等。在本項目我們將通過部署病毒過濾網關和桌面殺毒系統,從而實現公司網絡中的立體的防毒體系。

6.4.3.1. 病毒過濾網關產品的具體部署

病毒過濾網關產品簡述

病毒過濾網關是一個獨立的硬件產品,針對通過 SMTP POP3 HTTP FTP 等協議傳輸的內容進行過濾處理,使有害數據無法通過郵件、 Internet 訪問、文件傳輸等方式進入到被保護網絡。

病毒過濾網關除了可以有效地實現電子郵件病毒過濾、內容過濾、垃圾郵件過濾外,還可以實現蠕蟲過濾和動態入侵防御。

根據混合型威脅的不同特點,病毒過濾網關從 OSI 七層協議的網絡層、傳輸層、應用層分別進行內容過濾和入侵防御。

l   網絡層:實現了基于 IP 地址、端口號等網絡層特征的傳統防火墻過濾功能。

l   傳輸層:傳輸層恰恰是蠕蟲攻擊、黑客攻擊數據的理想識別位置,病毒過濾網關可以在傳輸層有效地攔截蠕蟲攻擊和動態入侵攻擊數據。

l   應用層:能夠對多種常用的網絡協議( HTTP SMTP POP3 FTP 等)進行深度分析并還原出的原始的傳輸數據,進行病毒檢查、內容檢查和蠕蟲檢查。


部署建議

l   在本方案中分別將一臺病毒過濾網關產品串聯在市 **** 公司網絡與外部網絡、子公司相連接線路的防火墻后面,針對從進出病毒過濾網關的 SMTP POP3 FTP HTTP 等協議的數據流進行病毒掃描,從而提供網關層次的防毒能力。

l   在接入方式上病毒過濾網關的接入非常簡單,主要使用透明方式( Bridge 模式)接入用戶網絡,同時也支持非透明方式( Router 模式,旁路連接)的接入。

l   透明方式采用串聯接入,用戶基本不需要修改其它網絡設備的配置,只須接入到需要保護的網絡邊界即可。在本方案中病毒過濾網關會自動對所有通過它的網絡流量進行識別分析,過濾普通病毒、電子郵件病毒、靜態蠕蟲、惡意網頁代碼、非法內容、垃圾郵件、敏感信息等,阻擊動態蠕蟲擴散,抵御動態入侵行為。

l   在管理上病毒過濾網關的配置管理采用 B/S 方式,通過在中心網絡的信息中心增加一臺工作站作為過濾網管理終端。用戶在此工作站上使用瀏覽器遠程查看、修改過濾網關系統配置及各項過濾策略,用戶界面友好,操作簡單。

在本方案中我們建議部署 WWW 的病毒過濾網關完整地實現了對 SMTP HTTP POP3 FTP 等協議的支持。對于 **** 公司網絡中其它特殊協議數據,病毒過濾網關不加任何處理,使其透明通過,保證通訊數據的完整性。由于是基于協議進行過濾的,和用戶使用的 Email WWW FTP 等服務器具體細節不直接相關。即使用戶更換了新的服務器系統,病毒過濾網關也無需修改或替換,這樣可以有效地保護用戶的已有投資。

6.4.3.2. WWW 病毒過濾網關的優勢

強大的過濾功能

l   網絡衛士過濾網關支持對數據內容進行檢查,可以采用關鍵字過濾, URL過濾等方式來阻止非法數據進入企業網絡,同時也支持對 Java等小程序進行過濾等,防止可能的惡意代碼進入企業網絡。

防垃圾郵件功能

l   網絡衛士過濾網關采用業界領先的黑名單技術實時檢測垃圾郵件并阻止其進入企業網絡,為企業節省寶貴的帶寬。

防蠕蟲攻擊

l   網絡衛士過濾網關可以實時檢測到日益泛濫的蠕蟲攻擊,并對其進行實時阻斷,從而有效防止企業網絡因遭受蠕蟲攻擊而陷于癱瘓。

自動在線升級

l   網絡衛士過濾網關可以按照管理員設定的更新策略自動連接到 WWW公司的升級服務器,升級最新的病毒庫,保證企業網絡得到最有效的保護。

強大的監控功能

l   網絡衛士過濾網關提供強大的監控功能,可以監控過濾網關系統資源、網絡流量、當前會話數、當前病毒掃描信息等,極大地方便管理員對過濾網關進行監控。

 

6.4.4. 桌面防病毒子系統的部署

為了防止病毒通過移動介質進行傳播,比如通過移動硬盤、 U 盤、光驅、軟盤等進行傳播,我們建議在最終用戶的桌面上部署網絡版的殺毒軟件。

完善的企業網絡防毒解決方案,除了防毒軟件的強大功能之外,尚有下列幾項重要的問題,需要非常嚴謹的考慮 :

1 、防毒軟件每臺機器都要安裝,很麻煩,費力費時!

2 、防毒軟件裝完,防毒工作才真正開始,面對上千臺機器的病毒定義碼更新,防毒軟件要持續同步、實時、有效更新,這些由誰來做?需要多少專人管理。

3 、一般行政人員或不太了解計算機人員是否可以輕松使用,簡捷更新和升級。

4 、在單機上功能強大的防毒軟件,若無法在網絡上有效地管理則可能弊多于利,因為不是每個使用者都知道如何對防病毒軟件的一些功能選項進行設置。是否可以透過某種的輕松方式一次性設定,也就是說,能否使軟件的安裝、防病毒策略的定義、實施以及病毒定義碼和掃描引擎的更新和升級變得非常簡單,甚至完全自動化。

5 、標準預設的防毒選項設置不一定適用所有的工作站。

6 、很難分析統計病毒攻擊事件的次數、原因以及來源。

7: 用戶都違反 MIS Policy,如:用戶隨意更改防病毒策略和選項設置或忘記更新最新的病毒定義碼和掃描引擎,甚至卸載防病毒軟件,這樣即使裝了防毒軟件, MIS仍然要到處救火,甚至達不到防病毒的效果。

8: 移動用戶太多,無法有效、及時的掌握和把最新的病毒定義碼送到移動用戶手中。

9 :是否能夠很方便地在多種平臺下進行安裝、維護升級等工作。

10 :是否可以對網絡進行全方位、多層次地預防和過濾病毒。

針對上述問題,我們建議 ,在評估和購買防毒軟件時,應考慮以下幾個因素 :

★ 多層次、全方位的防病毒保護工作環境 --跨平臺的技術及強大功能

★ 先進的防病毒技術

★ 簡易快速的網絡防病毒軟件安裝和維護

★ 集中和方便地進行病毒定義碼和掃描引擎的更新

★ 方便、全面、友好的病毒警報和報表系統管理機制

病毒防護自動化服務機制

客戶端防病毒策略的強制定義和執行

快速、有效地處理未知病毒

★ 合理的預算規劃和低廉的總擁有成本

★ 良好的服務與強大支持

綜合用戶的實際情況,我們建議用戶在選擇殺毒軟件時,必須從優先考慮軟件的功能性和實用性。因此在本方案中,我們建議部署趨勢網絡版殺毒軟件。

6.4.4.1. 部署建議

6.4.4.2. 趨勢網絡版殺毒軟件的 優勢

趨勢網絡版殺毒軟件不僅僅下載病毒代碼、掃描引擎和程序補丁,同時還下載預防策略、垃圾郵件列表、群發郵件病毒列表、清除工具,使得用戶在面對象“沖擊波”這樣惡性病毒的時候,并不是僅僅依靠病毒代碼這根救命稻草,而是在病毒代碼到來之前通過預防策略就可以獲得保護。在后期的病毒清除中,也不再需要手工清除,而是通過工具分發,可以實現集中大清除。一句話,全新的防毒體系統將病毒爆發周期完整地保護起來,面對惡性病毒,用戶不用再象從前無奈和無助。

 

網絡控制功能

趨勢網絡版殺毒軟件在新病毒出現后,在病毒代碼到來之前就可以通過網絡控制的手段來阻絕病毒的進一步擴散。這些網絡控制的功能包括內容過濾、屏蔽病毒傳播端口、共享控制、重要文件 /文件夾寫保護等,使得外面的病毒進不來、進來的病毒沒辦法進一步擴散,大大減少病毒造成的損失,而且所有動作都由趨勢網絡版殺毒軟件自動更新執行,即使在深夜有病毒來侵也不用管理員擔心。

 

垃圾郵件防范能力

傳統的垃圾郵件防范方法采用數據庫比對技術,也可以稱做是被動式的垃圾郵件攔阻方式,是最傳統也是目前最常使用的方法。利用建立垃圾郵件的黑名單數據庫,根據來源的 IP地址、網域,寄件人的 email address或是內容、標頭所含的關鍵詞等做為數據庫的基礎。

好的殺毒軟件在采用傳統技術的前提下率先采用智能型判斷技術,也就是主動式的攔阻方式,根據郵件的多項特征,包括內容、標頭、格式等來判斷這封 email會不會是封垃圾郵件。 所以智能型判斷的方式可以用來辨識和監測現有與新型的垃圾郵件,提高了垃圾郵件的偵測率和處理效率。

 

清除工具可以集中自動分發

對于在安裝防毒軟件之前已經發作的病毒,如果病毒已啟進程,病毒文件則處于正被調用狀態,其它防毒廠商則需管理員一臺一臺用清除工具手動清除病毒,趨勢科技的防毒系統可以象分發病毒代碼一樣分發清除工具,通過后臺運行,全面清除已發作病毒,最大程度保證了病毒的清除效果。


傳染源捕捉功能

好的防毒軟件通過日志可以方便地找出整個網絡系統中的病毒傳染源,可以極大提高尋找病毒攻擊點的效率,確保將整個網絡的病毒風險降至最低。


掃描工具可以找出未安裝防毒軟件的節點

防毒軟件安裝一段時間后,由于用戶重新格式化硬盤或新購機器,會造成這些節點沒有及時安裝防毒軟件,好的殺毒軟件掃描工具可以幫助管理人員迅速地找出未安裝趨勢網絡版殺毒軟件的節點,生成 Excel報表,同時在未安裝的機器上彈出提示信息。

安裝、卸載、更新不需要重啟

趨勢網絡版殺毒軟件在安裝、卸載、更新時都不需要重啟服務器,大大減少了對業務系統的干擾,極大降低了安裝成本。


版本升級客戶端不需要重新安裝

趨勢網絡版殺毒軟件在以后軟件大版本升級的時候,只要在管理端升級后,客戶端就會迅速自動升級到最新軟件版本,不需要在客戶端重新運行新版本安裝程序。

 

全方位、多層次防毒體系

趨勢網絡版殺毒軟件針對病毒的傳播途徑和駐留場所進行有效防范,構建多層次防護體系,讓病毒在網絡中沒有傳播和生存的空間。

6.5. CA 認證子系統設計

6.5.1. PKI/CA 系統目標

CA CertificateAuthorities )系統是目前在企業、政府、電子商務中以及幾乎所有的使用非對稱密鑰體制的網絡安全系統中最為重要的組成部分。它的基本功能是實現系統中非對稱密鑰的管理,為 **** 公司網絡的身份認證、安全郵件應用等提供可靠的密鑰基礎。

CA 中心,又稱為證書認證中心,作為 Intranet / Internet 通信中受信任和具有權威性的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。 CA 中心為每個使用公開密鑰的客戶發放數字證書,數字證書的作用是證明證書中列出的客戶合法擁有證書中列出的公開密鑰。 CA 機構的數字簽名使得第三者不能偽造和篡改證書。它將要負責產生、分配并管理所有參與網上信息交換各方所需的數字證書。

**** 公司網絡中 CA 系統的使用主要是為“單點登陸,全網通行”中的每一個用戶提供網絡中的唯一身份標識,保證數據的源發可信。

6.5.2. PKI/CA 系統的作用

在開放的網絡上要求為信息安全提供有效的、可靠的保護機制。這些機制必須提供機密性、身份驗證特性 ( 使通信的每一方都可以確認對方的身份 ) 、不可否認性 ( 通信的各方不可否認它們的參與 ) 。這就需要依靠一個可靠的第三方機構來驗證,而認證中心( CA Certification Authority )專門提供這種服務。

證書機制是目前被廣泛采用的一種安全機制,使用證書機制的前提是建立 CA CertificationAuthority —— 認證中心)以及配套的 RA RegistrationAuthority_ 注冊審批機構)系統。

在數字證書認證的過程中,證書認證中心( CA )作為權威的、公正的、可信賴的第三方,其作用是至關重要的。認證中心就是一個負責發放和管理數字證書的權威機構。同樣 CA 允許管理員撤銷發放的數字證書 , 在證書廢止列表 (CRL) 中添加新項并周期性地發布這一數字簽名的 CRL 。具體地說, CA 4 大職能:證書發放、證書更新、證書撤銷和證書驗證。

RA RegistrationAuthority ),數字證書注冊審批機構。 RA 系統是 CA 的證書發放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發放等工作。同時,對發放的證書完成相應的管理功能。 RA 系統是整個 CA 中心得以正常運營不可缺少的一部分。

**** 公司網絡中,每一個獨立的單位將建立和根 CA 結合的 RA ,在每個單位中由專人來負責網絡中的每一個證書申請者的信息錄入、審核并最終將證書發放到每一個公務員,同時負責證書的管理及其延伸工作。

**** 公司網絡中 CA 系統使用為“單點登陸,全網通行”提供堅實的基礎平臺。

構建安全的密碼服務系統的核心內容是如何實現密鑰管理,公鑰體制涉及到一對密鑰,即私鑰和公鑰。私鑰只由持有者秘密掌握,無須在網上傳送,而公鑰是公開的,需要在網上傳送,故公鑰體制的密鑰管理主要是公鑰的管理問題,目前較好的解決方案就是引進公鑰證書機制。

公鑰證書是公開密鑰體制的一種密鑰管理媒介。它是一種權威性的電子文檔,形同網絡計算環境中的一種身份證,用于證明某一主體(如人、服務器等)的身份以及其公開密鑰的合法性。在使用公鑰體制的網絡環境中,必須向公鑰的使用者證明公鑰的真實合法性。因此,在公鑰體制環境中,必須有一個可信的機構來對任何一個主體的公鑰進行公證 , 證明主體的身份以及他與公鑰的匹配關系。 CA 正是這樣的機構 , 它的職責歸納起來有:

l   驗證并標識證書申請者的身份;

l   確保 CA 用于簽名證書的非對稱密鑰的質量;

l   確保整個簽證過程的安全性 , 確保簽名私鑰的安全性;

l   證書材料信息(包括公鑰證書序列號、 CA 標識等)的管理;

l   確定并檢查證書的有效期限;、

l   確保證書主體標識的唯一性 , 防止重名;

l   發布并維護作廢證書列表;

l   對整個證書簽發過程做日志記錄;

l   向申請人發通知。

下圖給出了一個簡單的 CA 的系統模型,并給出相應的 CA 系統的工作流程。簡單描述如下:



CA 系統模型


(1) 新用戶注冊

初次加入系統的用戶,應向 CA 服務器注冊,并提交相關的信息文件及其所產生的公鑰。

(2) 證書發布

CA 收到新用戶的注冊請求后, CA 服務器首先效驗其身份,若驗證合法,則根據其提交的公鑰為該用戶產生一個合法證書。

(3) 用戶間的認證

用戶之間憑借各自的公鑰證書,實現相互的身份認證。

以上,僅僅給出的是一個 CA 系統的簡化模型,在圖中,用戶可以是一個單純的系統用戶,也可以是某個應用服務器。而用戶間的通信可以包括所有的系統網絡實體之間的通信,它可以是兩個普通用戶之間的保密通信(如 E-mail 、文件傳輸等),也可以是傳統的客戶 - 服務器模式的通信(如: Web 訪問、 ftp 等等)。

在實用中, CA 系統需要更詳細的模塊劃分,并需要更復雜的協議支持,這在實施方案中給出具體的實現。

6.5.3. PKI/CA 系統的部署方案

針對 **** 公司網絡計算機系統的特點和要求, **** 公司網絡中, CA 系統的實現可有兩種參考方案,一種是自建 CA 中心系統;另外是采用委托的方式來建立 CA 系統,來減輕建設和維護的成本。考慮該網絡目前為專網情況,所以在后面提供自建 CA 中心系統的方式。

1、              構建 CA 體系時,需要遵循以下幾條原則:

n   為了和 **** 公司網絡現有機構組織方式相一致,對 CA 系統進行分級建設,各 CA 機構的服務依據業務類型進行劃分;

n   **** 公司網絡中 CA 體系的實體運營、管理維護應由信息中心統一負責。


CA 系統總體結構

根據 **** 公司網絡的實際業務需求, **** 公司網絡的 CA 中心分解為三大組成部分: CA( 認證中心 ) RA( 注冊中心 ) DS( 目錄服務器 ) 。其中 CA 認證中心又分為 Root CA 和一級 CA 兩部分: Root CA 主要是負責制定和審批總體政策( Policy )、簽發并管理第二層 CA 的證書及證書撤銷列表( CRL )、與其他根 CA 進行交叉認證制訂具體政策、管理制度和運作規范等。

Root CA 下設一個一級 CA ,負責直接給最終用戶發放支持各種應用的數字證書,并管理其所發證書和證書撤銷列表( CRL )。


CA 認證中心主要完成如下功能:

l   公鑰、私鑰的生成;

l   證書的簽發;

l   證書的更新;

l   證書的驗證;

l   證書的撤銷。

RA 注冊中心具有如下功能:

l   申請者信息錄入;

l   審核申請;

l   證書的發放。

DS( 目錄服務器 ) 提供的功能如下:

l   證書的存儲;

l   證書的管理和查詢;

l   證書的審計;

l   其它功能。


CA 中心的功能組成

**** 公司網絡中, CA 中心是實現對全系統用戶統一管理的核心機構,按照不同的功能,可以將 CA 中心分為以下幾個重要組成部分:

系統密鑰生成機構

主要負責自身密鑰的產生、存儲、備份 / 恢復、歸檔和銷毀。

CA 中心具有其自身的密鑰對,它通過公布其公鑰,使得 **** 公司網絡中的每個實體都可以驗證其收到的證書的有效性。 CA 中心的密鑰對一般由硬件加密服務器在機器內直接產生,并存儲于加密硬件內,或以一定的加密形式存放于密鑰數據庫內。加密備份于 IC 卡或其他存儲介質中,并以高等級的物理安全措施保護起來。密鑰的銷毀要以安全的密鑰沖寫標準,徹底清除原有的密鑰痕跡。需要強調的是, CA 中心密鑰的安全性至關重要,它的泄露意味著整個公鑰信任體系的崩潰,所以 CA 的密鑰保護必須按照最高安全級的保護方式來進行設置和管理。

系統注冊機構

主要負責接收來自本地的、內部局域網的以及來自 Internet **** 公司網絡的單個用戶、合作伙伴、應用服務器、網關等等的證書申請,并將材料完全的用戶信息提交到審核機構,對于材料不完整的申請,提示申請用戶從新提交。

用戶身份審核機構

負責對初次申請證書的用戶的身份的審核,對于某些特殊部門的證書,其證書的審批控制,可根據要求由獨立于 CA 的中心審核機構來完成。

證書發行機構

主要負責為通過身份審核的用戶產生一個合法證書,并負責證書的發放工作。需要指出的是,出于安全性的考慮,本方案要求用戶的密鑰由 CA 統一產生,但 CA 不存儲用戶的私鑰。證書發行機構可使用硬件加密服務器,為多個客戶申請成批的生成密鑰對,然后采用安全的信道分發給客戶。也可由多個注冊機構( RA )分布生成客戶密鑰對并分發給客戶。證書發行后,通常在 CA 中心的數據庫保留一個拷貝。

用戶證書管理機構

主要確定用戶密鑰生存期,實施更新管理,負責通知證書有效期即將到期的用戶,更新其證書。另外,用戶證書管理機構的一個重要任務是為用戶提供密鑰托管和密鑰恢復服務。 CA 中心可根據用戶的要求提供密鑰托管服務,備份和管理用戶的加密密鑰對。當用戶需要時可以從密鑰庫中提出用戶的加密密鑰對,為用戶恢復其加密密鑰對,以解開先前加密的信息。這種情形下, CA 中心的密鑰管理器,采用對稱加密方式對各個用戶私鑰進行加密,密鑰加密密鑰在加密后即銷毀,保證了私鑰存儲的安全性。密鑰恢復時,采用相應的密鑰恢復模塊進行解密,以保證用戶的私鑰在恢復時沒有任何風險和不安全因素。同時, CA 中心也應有一套備份庫,避免密鑰數據庫的意外毀壞而無法恢復用戶私鑰。

證書注銷機構

證書注銷機構也是 CA 中心的一個重要組成部分,它的主要功能是處理吊銷一些有問題的證書。公鑰證書的吊銷來自于兩個方向,一個是 CA 中心的主動吊銷,另一個是用戶主動申請證書的吊銷。當 CA 中心對 **** 公司網絡中某個用戶不能信賴時(如 CA 中心發現某個用戶的私鑰有泄露的可能),它可以主動停止該用戶公鑰證書的合法使用或當 CA 中心發現某個過期的公鑰證書還未進行更新注冊, CA 也將吊銷該證書。另一個是當用戶發現自己的私鑰泄露時,也可主動申請公鑰證書的吊銷,防止其他用戶繼續使用該公鑰來加密重要信息,而使非法用戶有盜取機密的可能或冒充丟失私鑰的用戶進行違法活動。一般而言,在 **** 公司網絡的實際應用中,可能會較少出現私鑰泄露的情況,多數情況是由于某個用戶由于組織變動而調離某部門,需要提前吊銷代表該部門身份的用戶的公鑰證書。另外,對于被吊銷的公鑰證書,注銷機構應該及時的公布 RCL RevocationCertificate List ),這主要包括,吊銷證書的序列號、證書持有者名稱等相關信息。同時,證書注銷機構應設定時間盡量短的刷新周期。

(1)         **** 公司網絡中用戶的管理與證書的分類

由于 **** 公司計算機系統包括各類不同的用戶(在這里,我們把所有的網絡實體都看作用戶,如:普通用戶、某類應用服務器、安全網關等)如果當每個用戶接入不同的業務時,都需要提供不同的密碼口令,這顯然對于用戶來說太麻煩,而對于系統各類服務器而言,管理起來也非常煩瑣,從安全角度考慮,這種方法也有很多隱患,如一旦某個服務器受到攻擊,則相關的用戶的口令信息將會全部暴露。

采用 CA 公鑰證書系統,對于 **** 公司網絡計算機系統中每個網絡實體,可以用其公鑰證書唯一標識。不論該網絡實體從事任何業務,都可使用其公鑰證書并結合其私鑰,應用相關的安全協議(即采用數字簽名,證明某個用戶知道與其公鑰證書中的公鑰相對應的私鑰,),從而唯一的標識其真實身份。顯然,采用 CA 公鑰證書的結構后, **** 公司網絡中的用戶管理可以變的十分清晰簡潔,因為用戶的任何網絡行為都將和其擁有的公鑰證書(代表其身份)聯系起來,也就是說,用戶的行為是無法冒充,同時也是無法抵賴的。

用戶管理的另一個重要的方面就是如何控制不同級別的用戶有不同權限(如:資源的訪問、接入控制、數據庫的修改等等),在 **** 公司計算機系統中,為了減輕各類服務器的接入負擔,我們可以在用戶原有的公鑰證書的基礎上( X.509 )做修改,加入用戶的級別信息。這樣,當某個用戶進行某項業務或應用時,響應服務器只需首先驗證該用戶的證書的有效性,然后,按照用戶證書中給出的級別,給該用戶相應的權限。下面,我們給出 **** 公司網絡計算機系統中可能需要的不同的證書類型:

(2)         個人數字證書

個人數字證書代表個人身份,用于發送安全電子郵件或網上信息交換的身份認證(可以根據用戶的身份設定不同等級的用戶,在其個人數字證書中體現出來)。

(3)         服務器數字證書

服務器數字證書代表服務器的身份。在 **** 公司網絡中將存在大量的服務器,如 Web Server Ftp server 等等。服務器數字證書的級別將比個人數字證書的級別高一些。

(4)         機構數字證書

機構數字證書代表機構身份,在 **** 公司網絡計算機系統中,安全網關、某些子公司都可申請機構數字證書。可用于發送安全電子郵件或網上信息交換的身份認證;

(5)          代碼簽名數字證書

代碼簽名數字證書代表軟件開發者(或提交者)身份,這樣可以防止一些冒充合法的用戶提交的惡意代碼。

通過以上我們可以看出 **** 公司 CA 系統中采用自建 CA 中心的方案在前期的建設投入相對較大,但可降低后期的建設費用。自建 CA 中心方案的優勢是 **** 公司網絡可自主利用 CA 系統進行宏觀調控。

在本次方案建設中,我們建議部署中鐵信安身份認證系統。

6.5.4. CopSap 身份認證系統的優勢

CopSap 安全認證平臺作為一個網絡環境的安全支撐平臺,提供基本的安全認證機制,在安全基礎設施的基礎上,保證了應用安全,同時提供給應用系統安全構件,為進一步的安全措施作準備(如 VPN 等)。 CopSap 安全認證平臺具有以下特點:

l CopSap 具有多因子的身份認證機制。 CopSap 進行身份認證的因子有用戶名 / 口令 / 證書、計算機硬件信息、安全 USB 小鑰匙等,多個因子共同完成認證主體身份的真實性,其中任何一個因子認證的不成功,都會造成認證主體認證的失敗,從而保證認證的可靠性。

發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富