2.7.    系统安全策略

    2.7.1.  安全策略的三个层次

    

    2.7.2.  常用的安全策略

    n        访问控制(Access Control)：限制未授权用户访问本企业网络和信息资源的措施，访问者必需要能适用于现行的所有服务和应用。例如透过Internet服务，包括Web浏览器、电子邮件、FTP、Telnet及RPC和UDP等。这里重点在于服务器数据库的访问控制。
    n        授权认证(Authentication)：为提供企业网络资源给本地用户及各种远程用户、移动用户、电信用户使用，所以为了保护网络和信息安全，必须对访问连接用户采取有效的权限控制和身份认别，以确保系统安全。
    n        用户认证(User Authentication)：基于对每个用户的访问权限认证，就像用户LOGIN的程序一样。
    n        客户机认证(Client Authentication)：基于客户端主机的IP地址的一种认证方式，系统管理员可以决定对每个用户如何授权，允许访问哪些服务器资源和应用程序，何时可以访问。允许建立多少话路(Session)等。
    n        话路认证(Session Authentication)：通过话路代理软件实现客户端到服务器端的话路建立认证。
    n        加密(Encryption)：内置的专用加密和密钥管理方式；固定密钥的加密和认证方式；用于IP加密的密钥管理。
    n        路由安全管理(Router Security Management) ：通过一个集中管理的主控，可以配置和管理多个路由器上的访问控制列表。改变配置时，也只需在中央管理主控中改变，系统就会自动生成访问控制列表，并把ACL分布到全企业范围内的相关路由器中。
    n        网络地址翻译(Network Address Translation)：主要防范企业网内部的IP地址被公开。将内部网络的IP地址翻译成外部可以使用的IP的地址，并满足企业网上的IP地址能接入Internet上使用及管理。
    n        内容安全(Content Security)：提供数据监测功能到高层服务协议，保护用户的网络系统及信息资源免遭宏病毒，恶意Java ActiveX应用程序及含不必要的内容的Web文件的入侵，并且提供非常好的化的 Internet访问。
    n        连接控制(Connection Control)：服务器负载均衡(Server Load Balancing)
    n        记录管理(Auditing)：可提供用户在网络中的活动情形记录。
    n        企业安全策略管理(Enterprise-wide Security Management)：透过提供集中的安全管理机制，只要在一工作站中，即可在保障网络安全性的条件下，实时对网络配置进行控制。

    2.8.    系统建设目标
    
    选择开放式系统平台，采用统一的系统结构，使整个系统具有良好的集成性、可控性和兼容性，更好的适应新业务拓展以及计算机技术发展的需要。

    网络平台的设计采用集中数据中心模式，利用Internet / Intranet技术构建网络平台，主要包括以下方面：

    n        所有业务系统数据集中在数据中心；
    n        各物流网点通过ADSL接入数据中心，进行业务操作；
    n        在数据中心构建Internet专线接入，提供互联网的“物流商务”服务，如：网上提供物流信息资源、物流手续网上办、网上配货等；
    n        各客户、各个车队、其它物流供应商与平台之间的联系可以通过电话、传真、短信、互联网等方式实现；
    n        可以实现网上物流管理，用网络指挥和调度，优化物流及配送线路。
    n        系统建设方案应在满足目前应用需求的基础上，今后若干年内不会落后，且可根据业务的发展进行扩容或升级。

    2.9.    系统设计原则

    1)       系统先进性

    选用业界领先的计算机网络通信系统软件、硬件技术，按照国际通行标准及惯例为整个系统提供最新的计算机技术服务。

    2)       系统可靠性

    使用成熟的、得到广泛应用的技术来保障硬件及软件系统的可靠性。

    3)       系统可扩充性

    所有的系统主机及通信设备均可支持更高速度的处理和通信要求。在适合本网络系统要求的配置的同时，并预留满足更高性能要求时的接口，以便通过增加网络设备的内部模块的叠加方式来实现系统升级，保证原有投资。

    4)       系统可管理性

    系统的可管理性通过简便的网络管理技术,采用专业配套的网络管理软件，实现对网络节点、网络设备和服务器等的全方位控制和管理。
    5)       系统开放性

    系统的开放性体现在通信系统的可互连及工业标准的相容。采用国际互连网通信协议来实施网络连接，保证现在和将来与其他系统的可连通性。采用工业标准的硬件设备，以保证获得绝大多数厂商的长期技术支持。

    6)       系统安全性

    系统安全性包括保障网络服务的可用性和网络信息的完整性。网络操作系统的安全性符合国际的标准。网管系统能及时报告和记录任何非法的进入和警告信息。

    7)       充分考虑性价比

    设备选型充分考虑性价比，在实现系统功能要求的情况下，尽量保护客户的投资。