1、WebST 成功案例分析一、某银行 INTRANET 项目某银行建设 INTRANET,一些重要信息上网供查询,这些信息的使用者包括银行的各级领导。该银行采用 WEB 技术。由于银行较大,网络上有上百台 WEB 服务器。每台 WEB 服务器由相应部门的管理员维护。上网信息包括公开信息、业务统计信息和密级信息。除公开信息外,其它信息需要根据用户身份进行访问授权。问题 1:如何解决统一身份认证的问题?访问授权的前提是身份认证。该银行使用 WebST 提供身份认证服务。总中心配置了一台 WebST 身份认证服务器和一台复制的身份认证服务器,这种复制方案可以确保可靠性并作到负载平衡。总中心的管理员统一
2、建用户帐号和分组。问题 2:如何进行授权管理?信息存放在各个部门的 WEB 服务器上,并由部门的管理员维护。部门管理员根据总中心的管理员建立的用户帐号和分组,进行所辖 WEB 服务器的信息访问授权。信息访问授权是通过在部门的 WEB 服务器上安装 WebST 的访问控制模块 WEBSEAL 实现的。问题 3:如何方便领导并确保安全?行长在信息查询上有最高权限,在采用 WebST 以前是抱怨最多的一个用户。原因是已有的 WEB 服务器五花八门,不支持单点登录。行长可能访问每一台WEB 服务器上的非公开信息,由于这些信息有口令保护机制,所以行长需要记住他在上百个 WEB 服务器上的上百个用户名和上
3、千个口令。采用了 WebST 以后,实现了安全单点登录。行长进入 INTRANET 时,只输入一次用户名和口令就可以任意查询,没有原来那种处处有“拦路虎”的感觉了。由于使用方便,行长上网的次数越来越多,对信息部门的工作也越来越重视。在采用 WEBST 以前,其它厂商也推荐过单点登录的产品,但总中心的管理员一直没有采用,原因是这种单点登录不安全,口令和密码在网上明文传输,极易被窃听软件截获。一旦行长口令和密码被截获,将导致严重的泄密。WEBST 采用了国际上公认的最安全的双向身份认证技术 KERBEROS,口令和密码在网上加密传输,并且每一次上网的会话密钥也不相同,并且会话密钥的生命期不超过 1
4、 天。WebST 是解决安全单点登录的最佳方案,是方便领导使用、确保信息安全的得力工具。二、某部委信息中心 WEB 系统某部委信息中心将各部门的业务数据统一上网,供查询和加快工作流程之用。根据信息的分类和密级,信息中心进行统一的授权管理。该信息中心采用了传统的 WEB 技术,除了遇到上面银行的安全单点登录问题外,还出现了一个问题。A 副部长从信息中心的主页上看到了他分管之外的信息入口,但浏览时系统返回了用户被禁止的信息。A 副部长很不高兴,打电话问信息中心主任为什么他不能看到这些信息。信息中心的主任很难解释,他既不能说 A 副部长没有权限,也不能说由于分管不同不能让 A 副部长看到。这个问题的
5、关键是主页设计时,不应让 A 副部长看到他分管以外的信息入口。但普通的 WEB 服务器不支持这种根据用户身份定制页面的技术。WebST 内置的安全 WEB 服务器,可以根据用户的身份显示不同的页面,避免了上面这种尴尬的场面。WebST 是解决用户界面定制的最佳工具。三、某股票信息服务系统某 ICP(信息服务商 Internet Content Provider 的缩写) 。提供股票信息服务,采用会员服务方式,根据会员的分类和级别提供不同的信息服务。该 ICP 的信息服务系统是基于 WEB 的。该 ICP 需要解决下面这些问题:1、如何在公网上有效的识别会员的身份?2、如何根据会员的分类和级别提
6、供不同的服务?3、如何根据信息的价值来收费,既面向信息的计费?该 ICP 使用 WebST 实现用户和服务中心的双向身份认证,防止身份假冒。通过使用 WebST 的授权管理服务,服务中心的工作人员在管理控制台上集中的建用户帐号,根据用户身份设置用户对信息的访问权限。该 ICP 也使用了安全单点登录和用户界面定制技术。普通 WEB 服务器的日志根据 IP 地址做记录。由于公网上的拨号 IP 是动态的,所以普通的 WEB 服务器不能提供用户的真实身份,这样就不能收费。WebST 根据用户身份做访问记录,能够实现面向信息的计费。WebST 是信息收费、信息统计的得力工具。四、某城市公安局因特网监控系
7、统为了管理因特网的用户和 ISP,某城市公安局建立了因特网监控系统。该系统由两个部分组成:用户登记系统和 ISP 管理系统。用户登记系统实现用户的登记注册功能,采用 PKI 技术,在公安局设置 CA服务器,为注册登记的用户和 ISP 服务器发放电子身份证书。ISP 管理系统实现注册登记用户的接入管理和审计管理。上网用户必须拥有公安局签发的电子身份证书,才能接入 ISP,进而上因特网。审计记录用户每次上网的操作,供安全检查之用。该公安局采用了国内的 CA 产品和 WebST 实现上述功能。位于 ISP 的WebST 访问控制服务器检查用户的电子身份证明,并根据服务规则限制用户使用的服务。WebS
8、T 同时实现用户访问的审计记录,该日志文件经过加密,只有公安人员才能阅读,ISP 的管理员没有权限阅读,既保证了用户的隐私权,又保证了公安人员的执法检查。WebST 是公安部门进行因特网管理和监控的有力工具。五、某电子商务供应商电子商务系统包括两段:客户到电子商务服务中心,电子商务服务中心到银行。电子商务供应商的主要技术问题是客户到电子商务服务中心这一段。电子商务服务中心到银行这一段由银行解决。电子商务供应商的客户服务系统通常是基于 WEB 的,需要解决 WEB 不安全的问题,并提供双向身份认证、访问授权、数据保密性完整性、审计记录、防抵赖、安全管理等功能。WebST 完全满足该电子商务供应商
9、的安全需求。某电子商务供应商原来的开发进度和投资预算是这样的:安全占整个开发的 40%,投资占到 50%。采用了 WebST 以后,该电子商务供应商专注于客户服务系统的开发,开发进度缩短了一半,投资节省了 30%。系统很快投入运行并且稳定可靠。WebST 是现成的电子商务安全解决方案。六、某大型企业某大型企业是国内家电行业的市场领先者之一。该企业有大量的经营网点,总部管理人员和各级经理需要及时了解整体的销售、库存、资金等信息。该企业建立了全国的信息网,汇总信息并作出决策。综合考虑投资、建设周期、运行费用、容易维护和使用等因素后,该企业决定采用电话上网、使用邮电因特网传输的技术方案。软件方面选择
10、了 WEB 技术。该企业的安全需求与电子商务供应商相同。经过比较,该企业选择了WebST 作为安全平台,既节省了资金,又加快了开发周期,安全也完全有保证。WebST 是企业信息系统安全平台的最佳选择。七、某软件开发商该软件开发商承接了上述企业网的开发工作。由于安全部分的代码几乎不需要开发,并且 WebST 稳定可靠,所以开发商专注于应用本身,很快完成了开发任务,得到了用户的好评。开发商在这个项目得到了如下好处:1、缩短了开发周期。原计划 1 年的开发在 6 个月内完成了,安全代码的开发几乎变成了零。2、提高了系统的可靠性。由于安全代码属系统代码,其可靠性较难控制,使用经过严格测试并且稳定成熟的 WebST 开发平台,安全部分的可靠性、稳定性有了保证。3、综合收益成倍增加。购买 WebST 的费用只占预计开发费用的三分之一,开发周期缩短了一半,未来维护的费用也节省了三分之一。WebST 是安全应用开发的最佳平台。详细资料参见WEB 应用安全解决方案 。