新华保险电子商务方案建议书_[全文

新华保险电子商务方案建议书_[全文内容摘要：

IP 的服务、设施和 API 族。 这包括文件和打印机共享、数据交换、远程过程调用 (RPC)以及分布式命名服务。 在 Solaris平台上还有大量的可选产品 (如 Sun Link SNA 等 )支持对大型主机系统、小型机和其它计算机环境的互联。 多平台支持 Solaris 软件环境是高度可伸缩的，从单一的工作站到企业计算环境，支持 1 到 64 个处理器；能运行在多种硬件平台上，在这些平台上 Solaris 具有相同的功能，包括对多处理平台的 SMP 支持。 当前还没有第二个操作系统能够跨越最流行的 RISC 和 CISC两种结构。 多处理 /多线程支持 Solaris支持 Sun对称多处理硬件，其操作系统核心是完全线程化的，所以操作系统可以充分利用多线程 (MT)、多处理 (MP)的特长来改善整个系统性能。 优化的数据库支持能力 Sun公司 通过与这些主要数据库厂商的紧密合作，使 Oracle、 Informix 和 Sybase 等软件在 Solaris 多处理环境下性能得以优化，可在大型的多用户和数据环境中有更快的响应。 增强的 WEB 环境 Solaris 操作系统提供基于 WEB 计算的 WebTone，支持完整的 Intra 服务，简便的管理工具，可与多种客户包括 Unix， Windows 和 Macintosh进行无缝的连接。 广泛的应用 Solaris 平台上可运行一万多个应用软件。 本地化 Solaris对汉字提供了完全的支持，它包括所 有安装和配置接口，以及最终用户的桌面环境（ CDE〕。 安全性 Solaris 作为一个成熟的 UNIX系统，其安全特性包含四种类型的保护： 登录访问控制 系统资源访问控制和用户责任 安全的 ClientServer 服务、应用和实用程序 网络访问控制 通过公用 IP网络的交易处理可能会需要高层的安全性。 对于这些网络， Sun公司提供一些可选的产品帮助客户实施复杂的安全性解决方案。 这些产品包括 Sun Screen SPF, Sun Screen EFS 等。 Solaris 的 Intra 部件 Sun Solaris Server for Intra 软件实际上为所有客户机结构提供包括文件、打印、电子邮件、 Web、以及服务器网络管理的完整 Intra 操作环境。 用户可以在运行所有喜爱的桌面应用程序的同时，可访问网络中的业务应用程序和数据。 除此之外，软件强劲的 Inter出版和邮件特性，支持从传统工作组网络操作系统向 Intra 计算的转换。 新华电子商务系统发展规划建议 建立灾难恢复系统 电子商务系统运行应具有高可靠性 .当发生自然 灾害 ,如火灾 ,地震 ,水灾等情况时 ,可以利用远程灾难备份系统 ,在短时间内恢复系统的正常运行 .由于灾难备份系统的投资大 ,建议分阶段逐步建设 .在一期工程中 ,为实现系统的高可靠运行 ,建议采用双机备份 ,实现硬件冗余 .保证系统在出现硬件故障时 ,仍可提供正常的服务和处理 . Sun公司防火墙 /VPN 产品与技术介绍 Sun 公司设计和开发出的防火墙产品 SunScreen 的特点是网络安全结构完善、安全等级高、功能强，而且复杂程度低。 SunScreen 把非常先进的包过滤、确认及保密技术同简单的管理机制组合在一起来 提供强有力且使用方便的安全性解决方案。 它独立于网络、协议及应用程序。 SunScreen 分为两种类型的软件产品： SunScreen 隐型模式和 SunScreen 路由模式。 SunScreenTM 路由模式是网络安全产品 SunScreen 家族中的最新成员，它是高性能加密服务器与 Inter/Intra 防火墙 (Firewall)的强有力结合。 SunScreenTM 路由模式支持 Inter协议的简单密钥管理 (SKIP)加密技术，对网络层的所有应用软件和加密数据是透明的。 Sun Screen 路 由模式也包括动态包检测机制，使得路由模式可用作 Inter 或 Intra的防火墙/网关。 SunScreen 路由模式可满足商业组织在公共网或企业网／企业内部网 (Intra)上进行安全通信的要求，也可使商行安全地进行“商行－商行”或“商行－消费者”的交易。 另外，SunScreen 路由模式可在企业网与移动的、过程的或拨号用户之间进行证实或保密通信。 SunScreen 路由模式软件结合了防火墙技术和加密技术，是金融电子化网络安全系统的优选产品之一。 1．防火墙技术 防火墙技 术是被动防卫型安全保障系统，它的特征是在网络边界上建立相应的网络通信监控系统来实现安全保障。 它要求所保卫的网络是一个相对封闭的拓扑结构，只在有限出口与外界网络连接，并且假设不安全的因素仅来自于外部网络。 建立“防火墙”就是利用专用安全软件、硬件以及管理配置，对内部网络与外部网络之间的往来信息进行监测、控制和修改。 防火墙最常采用的技术是数据包过滤。 数据包过滤是根据数据包的源地址、目的地址、 TCP端口号等因素不综合判断，只有满足逻辑条件的才允许通过。 防火墙技术有提供对数据流进行监控、记录等功能。 SunScreen 路由模式软件是防火墙产品中的佼佼者，它具有基于规则的动态数据包过滤功能。 规则由四个部分组成： 服务 (如 tel, ftp等 )。 源地址。 目的地址。 动作。 其中源地址和目的地址可以是某个设备、网络、子网或一组地址，动作可以是通过、加密或解密数据包、记录数据包、拒绝接收数据包。 数据加密技术是适用范围更广的一项技术，它对网络结构没有特殊的要求，对网络服务的影响也较小，只在发收两端用软件进行加／解密工作。 数据加密技术要求只有在指定的用户或网络才能解除密码而获得原来的数据，这就 需要给数据发送方和接受方以一些特殊的信息用于加／解密，这就是密钥。 简单方式是单密钥，通信双方必须彼此交换密钥，并存放在各自主机内，需给对方发信息时，自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。 这种方式在与多方通信时因为需要保存很多密 钥而变得很复杂，而且密钥本身的安全就是一个问题。 所以现在越来越多地采用了公开密钥体系，在公开密钥体系中，有两个密钥，一个为自己的私用密钥，只能自己使用；而另一个密钥为自己的公开密钥，可让所有欲与之通信的人知道。 数据用私用密钥或公开密钥加密后必须用配 对的另一个密钥才能解密。 当发送方用接收方的公开密钥加密后，只有接收方才能用它所具有的私用密钥解密，这保证了数据传送的隐密性 (Privacy)，无关人员或犯罪者不能破译数据。 当发送方用自己的私用密钥加密数据后，接收方须用发送方的公开密钥解密 ，接收方因此可以确认数据确实来自于原改善方，传送的数据未被修改。 这就是发送方的身份认证 (Authentication)。 SunScreen 路由模式 采用的密码编码技术，混合使用了单密钥技术和公用密钥技术，具有很强的加密和认证功能，可以用来在公用网络 (如 Inter)上建立安全的虚拟私用网络 (SVPN)防止侵入者破译网上流动信息。 SunScreen 路由模式同时使用这两种加密编码技术和最大好处是安全、可靠、方便、功能强、性能好。 此外 Sun Screen 路由模式还提供了密钥管理的功能。 利用 SunScreen 路由模式的加密功能，针对农业银行实际，我们可以配置各分行与总行之间计算机的业务通讯为加密方式，以便防止外来侵入者破译数据包，对数据包进行不正当的修改。 由于 SunScreen 路由模式的加密是在网络层 (IP层 )进行的，因此，我们不需要改写任何一行目前已有的应用程序。 此外 SunScreen 路由模式对用户是十分方便的，不必让用户再去进行复杂的开发和研究，用户只要学会如何使用就可以了，其操作过程也很简单。 SunScreen 路由模式方案包括的基本组件： SunScreen 路由模式动态包过滤器软件（安全模块） SunScreen 路由模式管理软件（管理模块） SKIP for Solaris 加密软件 (SKIP 模块 ) 根据 SKIP 软件的加密能力， SUN公司提供二个版本的产品： Sun Screen 路由模式 Global (512 bits 加密 ) Sun Screen 路由模式 Domestic (美国、加拿大 )(2048 bits 加密 ) 这两个产品都运行在 Solaris 或 操作系统上 . Sun公司对 SunScreen 路由模式软件提供两种软件许可 (License)选择 : 防火墙后保护 100 台机器 防火墙后保护无限台机器 SunScreen 产品家族 (隐型模式 , 路由模式及 SKIP for Solaris)为企业提供了一套完整的安全措施。 SunScreen 路由模式与 SunScreen 家族的其他产品一起，为通过 公共网 络进行交易处理提供了一套完整的平台和基础： 为 Inter 访问、商业提供了安全基础 网络安全由“周边”防御型变为贯穿整个企业的安全 对网络上的每个节点进行安全保护 在公共网络上进行安全通信 为通信和交易提供保密及证实手段 有竞争力的价格使这个功能强大的产品可大量部署 SunScreen 路由模式提供了新一代的网络安全措施，使公司不必牺牲功能或网络性能就可经营业务， SunScreen 路由模式把令人注目的技术与服务集成在一起，提供了以下功能： 用最小的复杂性，获得了高层次的功能和安全性 －－成熟的动态包过 滤，带有一个容易使用的管理界面 在公共网上建立安全的虚拟专用网 (SVPN) －－加密敏感的商业通信 －－把公共网用作专门用途 保护网上的每一台服务器 －－建立多个相互重叠的安全虚拟专用网； 如果与大的 Inter DMZ 区和 Intra 在一起时，尤其有用 同时传输加密的和“显式的”通信流量 采用公共密钥加密法保证商业交易及分布式网络服务的安全性，实现了证实／加密的整体性。 建立一个完整的安全平台，实现了安全的 Inter 贸易 －－用健全的、灵活的方式建立了公共网络上商业贸易的基础 第四章 网络设备 配置一台 CISCO路由器 2620 以 100M 以太网方式接入大楼局域网，并配置一个 WIC2T网络子卡以 128K DDN 方式接入 Inter。 网络选型分析 Cisco Systems 通过 Cisco 2600 系列将企业级的通用性、集成和处理能力扩展到了远程。 Cisco 2600 系列配置了强大的 RISC 处理器，能够支持当今不断发展的网络中所需的高级服务质量保证 (QoS)、安全的网络集成特性。 通过将多个独立设备的功能集成到一个单元之中，Cisco 2600 系列降低了管理远 程网络的复杂性。 Cisco 2600 系列与 Cisco 1600、 1700 和 3600 系列共享模块化的接口，为 Inter/Intra 接入、多业务语音 /数据集成、模拟和数字拨号访问服务、 VPN 接入、 VLAN 以及路由带宽管理等应用提供经济有效的解决方案。 适用场合 当客户需要以下这些特性时 Cisco 2600 系列 局域网到局域网路由，包括带宽管理 远程访问服务器 (模拟和数字拨号服务 ) 多服务语音 /传真 /数据 /集成 带有可选防火墙安全的 VPN /外部网 (Extra) 访问 串行设备集中 广域网访问，包括 ATM 服务 Cisco 2610 一个以太网端口 Cisco 2611 两个用于局域网分割或局域网安全隔离的以太网端口 Cisco 2612 一个令牌环网端口和一个以太网端口，适合混合型局域网和从令牌环网迁移到以太网 Cisco 2613 一个令牌环网端口 Cisco 2620 一个带有 VLAN 支持的自适应 10/100 Mbps 以太网端口 Cisco 2621 二个带有 VLAN 支持的自适应 10/100 Mbps 以太网端口 关键特性 通用性 /投资保护－可以现场更新模块化接口，能够启动数以千计的定制化解决方案，并能够轻松地适应未来网络发展的要求过渡。 集成 /可管理性－降低拥有成本，简化远程管理，提供结合 CSU/DSU、复用器、调制解调器、语音 /数据网关 / ISDN NT防火墙、 VPN、加密和压缩设备的集成化网络。 多业务语音 /数据网络－降低网络管理费用、话费；通过利用 Cisco IOS 服务质量 (QoS)特性(例如 RSVP、 WFQ、承诺接入速率 [CAR] 和随机早期检测 [RED])，语音流量可以实现数字化并封装在 IP数据包中，而且能够与数据流量相结合。 Cisco IOS 软件和内存要求 Cisco 2600 系列提供 8 MBn 闪存、 24 MB DRAM 内存。