網(wǎng)絡(luò)安全整體項(xiàng)目解決課件

1、網(wǎng)絡(luò)安全整體解決方案神州數(shù)碼DCN產(chǎn)品規(guī)劃部王景輝網(wǎng)絡(luò)安全建設(shè)原則網(wǎng)絡(luò)安全體系結(jié)構(gòu)P2DR模型網(wǎng)絡(luò)安全技術(shù)不同行業(yè)中應(yīng)用的安全技術(shù)主要內(nèi)容網(wǎng)絡(luò)安全的建設(shè)原則需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則綜合性、整體性原則一致性原則易操作性原則適應(yīng)性、靈活性原則多重保護(hù)原則可評(píng)價(jià)性原則安全體系結(jié)構(gòu)可用性審計(jì)管理不可抵賴數(shù)據(jù)完整數(shù)據(jù)保密訪問(wèn)控制身份鑒別應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層信息處理單元通信網(wǎng)絡(luò)三維安全體系結(jié)構(gòu)框架物理環(huán)境安全管理結(jié)構(gòu)層次安全特性系統(tǒng)單元P2DR模型的組成部分 Protection（保護(hù)） Detection（檢測(cè)） Response（響應(yīng)） Policy（安全策略）P2DR模型的應(yīng)

2、用MPDRR模型PMRRDManagement 安全管理Protect 安全保護(hù)Reaction安全響應(yīng)Recovery安全恢復(fù)安全模型MPDRR訪問(wèn)控制機(jī)制入侵檢測(cè)機(jī)制安全響應(yīng)機(jī)制備份與恢復(fù)機(jī)制網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀潛在的安全風(fēng)險(xiǎn)安全需求與目標(biāo)安全體系安全解決方案分析后得出提出依照風(fēng)險(xiǎn)制定出進(jìn)行安全集成 / 應(yīng)用開發(fā)安全服務(wù)安全方案設(shè)計(jì)建立相應(yīng)的安全風(fēng)險(xiǎn)分析物理層安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析應(yīng)用層安全風(fēng)險(xiǎn)分析管理安全風(fēng)險(xiǎn)分析物理層安全風(fēng)險(xiǎn)網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用,而造成網(wǎng)絡(luò)系統(tǒng)的不可用。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。如：設(shè)備被盜、被毀壞鏈路老化或被有意

3、或者無(wú)意的破壞因電子輻射造成信息泄露設(shè)備意外故障、停電地震、火災(zāi)、水災(zāi)等自然災(zāi)害網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析數(shù)據(jù)傳輸安全網(wǎng)絡(luò)邊界安全網(wǎng)絡(luò)設(shè)備安全數(shù)據(jù)傳輸安全由于在同級(jí)局域網(wǎng)和上下級(jí)網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽(tīng)的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。 由于目前尚無(wú)安全的數(shù)據(jù)庫(kù)及個(gè)人終端安全保護(hù)措施，還不能抵御來(lái)自網(wǎng)絡(luò)上的各種對(duì)數(shù)據(jù)庫(kù)及個(gè)人終端的攻擊。同時(shí)一旦不法分子針對(duì)網(wǎng)上傳輸數(shù)據(jù)作出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴(yán)重的影響和損失。 網(wǎng)絡(luò)邊界安全嚴(yán)格的說(shuō)網(wǎng)絡(luò)上的任何一個(gè)節(jié)點(diǎn)，其它所有網(wǎng)絡(luò)節(jié)點(diǎn)都是不可信任域，都可能對(duì)

4、該系統(tǒng)造成一定的安全威脅。 網(wǎng)絡(luò)設(shè)備的安全網(wǎng)絡(luò)設(shè)備可能存在系統(tǒng)漏洞網(wǎng)絡(luò)設(shè)備可能存錯(cuò)誤的配置網(wǎng)絡(luò)設(shè)備的安全風(fēng)險(xiǎn)以CISCO為例說(shuō)明：對(duì)于網(wǎng)絡(luò)設(shè)備本身訪問(wèn)認(rèn)證的攻擊對(duì)于網(wǎng)絡(luò)設(shè)備運(yùn)行的專有操作系統(tǒng)攻擊對(duì)于網(wǎng)絡(luò)設(shè)備的拒絕服務(wù)攻擊不必要的IOS服務(wù)或潛在的安全問(wèn)題Multiple Vendor SNMP World Writeable Community Vulnerability:對(duì)于已知的缺省SNMP社區(qū)，任何用戶都可以進(jìn)行寫入或讀取操作。Cisco IOS HTTP % Vulnerability:當(dāng)正在利用Web接口時(shí)，如果在普通的URL上加上特定的字符串時(shí)，將陷入DoS狀態(tài)。Cisco Rou

5、ter Online Help Vulnerability:在線幫助中顯示不應(yīng)泄漏的信息。系統(tǒng)層安全風(fēng)險(xiǎn)分析操作系統(tǒng)安全漏洞數(shù)據(jù)庫(kù)系統(tǒng)安全漏洞操作系統(tǒng)(如Windows 2000 server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)、服務(wù)器(如DOMINO)、數(shù)據(jù)庫(kù)(如SYBASE)等產(chǎn)品可能會(huì)因?yàn)樵O(shè)計(jì)、編碼的原因存在各種各樣的安全漏洞(有已知的、未知的)，還可能留有隱蔽通道或后門。操作系統(tǒng)(如NT、UNIX)、服務(wù)器(如DOMINO)、數(shù)據(jù)庫(kù)(如SQL、SYBASE、ORACLE)等商用產(chǎn)品本身安全

6、級(jí)別較低。操作人員對(duì)系統(tǒng)功能、系統(tǒng)服務(wù)、數(shù)據(jù)庫(kù)管理系統(tǒng)和Web服務(wù)器等的誤操作或者配置，不可避免會(huì)給信息網(wǎng)系統(tǒng)帶來(lái)一定的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理人員和用戶的終端極易感染病毒（如外來(lái)文件的拷貝，盜版軟件，從外部站點(diǎn)下載的文件或應(yīng)用軟件的非法安裝等），而一旦感染病毒，就有可能造成整個(gè)系統(tǒng)感染病毒。電子郵件系統(tǒng)的郵件收發(fā)，極易感染惡意病毒程序。病毒可肆意進(jìn)行刪除、篡改和拷貝操作，從而導(dǎo)致巨大的危害。 應(yīng)用層安全風(fēng)險(xiǎn)身份認(rèn)證漏洞DNS服務(wù)威脅WWW服務(wù)漏洞電子郵件系統(tǒng)漏洞身份認(rèn)證漏洞網(wǎng)絡(luò)服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口令在一定時(shí)間內(nèi)是不變的，且在數(shù)據(jù)庫(kù)中有存儲(chǔ)記錄，可重復(fù)使用。這樣非法用戶通過(guò)網(wǎng)絡(luò)

7、竊聽(tīng)，非法數(shù)據(jù)庫(kù)訪問(wèn)，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對(duì)業(yè)務(wù)系統(tǒng)和OA系統(tǒng)中的資源非法訪問(wèn)和越權(quán)操作。DNS服務(wù)威脅Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。幾乎所有的網(wǎng)絡(luò)應(yīng)用均利用域名服務(wù)。但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。例如，新發(fā)現(xiàn)的針對(duì)BIND-DNS實(shí)現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問(wèn)題。如由于DNS查詢使用無(wú)連接的UDP協(xié)議，利用可預(yù)測(cè)的查詢ID可欺騙域名服務(wù)器給出錯(cuò)誤的主機(jī)名-IP對(duì)應(yīng)關(guān)系。 WWW服務(wù)漏

8、洞Web Server經(jīng)常成為Internet用戶訪問(wèn)企業(yè)內(nèi)部資源的通道之一，如Web server通過(guò)中間件訪問(wèn)主機(jī)系統(tǒng)，通過(guò)數(shù)據(jù)庫(kù)連接部件訪問(wèn)數(shù)據(jù)庫(kù)，利用CGI訪問(wèn)本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。但Web服務(wù)器越來(lái)越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來(lái)越多。為了防止Web服務(wù)器成為攻擊的犧牲品或成為進(jìn)入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心。電子郵件系統(tǒng)漏洞電子郵件為網(wǎng)絡(luò)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可夠通過(guò)拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些惡意程序（如，特洛伊木馬、蠕蟲等）、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來(lái)歷不明的郵件，沒(méi)有警惕性，給入侵者

9、提供機(jī)會(huì)，給系統(tǒng)帶來(lái)不安全因至素。 安全管理再安全的網(wǎng)絡(luò)設(shè)備也離不開人的管理，再好的安全策略最終要靠人來(lái)實(shí)現(xiàn)，因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對(duì)于一個(gè)比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認(rèn)真的分析管理所帶來(lái)的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。OSI七層參考模型物理層安全技術(shù)網(wǎng)絡(luò)層安全技術(shù)應(yīng)用層安全技術(shù)系統(tǒng)層安全技術(shù)安全管理物理層安全技術(shù)GAP技術(shù)（物理隔離）物理設(shè)備的冗余和備份防電磁輻射、抗靜電等等物理隔離技術(shù)雙機(jī)雙網(wǎng)雙硬盤隔離卡單硬盤隔離卡安全網(wǎng)閘網(wǎng)絡(luò)層安全技術(shù)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)網(wǎng)絡(luò)設(shè)備的安全性增強(qiáng)技術(shù)防火墻分類ApplicationPresentat

10、ionSessionTransportNetworkData LinkPhysicalApplication Layer Gateway (Proxy)Application LevelPacket FilteringNetwork LevelStateful InspectionBefore Network LevelPacket Filtering（包過(guò)濾防火墻的優(yōu)點(diǎn)）ProsInexpensiveApplication TransparencyQuicker than application layer gatewaysApplicationPresentationSessionTran

11、sportNetworkData LinkPhysicalPacket Filtering（包過(guò)濾防火墻的缺點(diǎn)）ConsLow SecurityLimited access to packet headerLimited screening above network layerLimited ability to manipulate informationDifficult to configureInadequate loggingSubject to IP SpoofingApplicationPresentationSessionTransportNetworkData LinkPh

12、ysicalApplication Layer Gateway的優(yōu)點(diǎn)ProsGood SecurityFull application-layer awarenessApplicationPresentationSessionTransportNetworkData LinkPhysicalApplication Layer Gateway的缺點(diǎn)ConsState information partial.Poor ScalabilityDetrimental PerformanceProxies cannot provide for UDPMost proxies non-transparen

13、tVulnerable to OSOverlooks lower level infoExpensive performance costApplicationPresentationSessionTransportNetworkData LinkPhysicalStateful Inspection的特點(diǎn)Good SecurityFull Application-layer awarenessHigh PerformanceScalabilityExtensibleTransparencyApplicationPresentationSessionTransportNetworkData L

14、inkPhysical防火墻功能訪問(wèn)控制功能NAT功能PAT功能流量管理功能地址綁定雙機(jī)熱備和負(fù)載均衡支持入侵檢測(cè)支持動(dòng)態(tài)路由支持身份認(rèn)證等等動(dòng)態(tài)防火墻安全模型Policy網(wǎng)絡(luò)訪問(wèn)控制策略的制訂Protection傳統(tǒng)防火墻，可以定義防火墻允許流過(guò)的服務(wù)數(shù)據(jù)，定義基本的訪問(wèn)控制限制Detection 實(shí)時(shí)入侵檢測(cè)系統(tǒng)，可以動(dòng)態(tài)地發(fā)現(xiàn)那些透過(guò)防火墻的入侵行為Response根據(jù)發(fā)現(xiàn)的安全問(wèn)題，在統(tǒng)一策略的指導(dǎo)下，動(dòng)態(tài)地調(diào)整防火墻動(dòng)態(tài)防火墻安全模型示例Host C 入侵檢測(cè) 控制臺(tái) Host B Host A 受保護(hù)網(wǎng)絡(luò)IDS主機(jī)黑客發(fā)起攻擊驗(yàn)證報(bào)文并采取措施識(shí)別出攻擊行為阻斷連接或者報(bào)警等Pro

15、tectionDetectionResponsePolicyInternetInternet返回Intranet 省局各地市局各電廠移動(dòng)辦公用戶防火墻配置方案入侵檢測(cè)技術(shù) Intrusion Detection System入侵的定義 破壞系統(tǒng)資源可用性、完整性和保密性的行為入侵檢測(cè)系統(tǒng)的定義 檢測(cè)侵入系統(tǒng)或非法使用系統(tǒng)資源行為的系統(tǒng)機(jī)理：基于某種策略或規(guī)則 推理的方法 知識(shí)庫(kù)方法 模式匹配方法 自學(xué)習(xí)的方法響應(yīng)機(jī)制：日志、報(bào)警、通訊阻斷、事后審計(jì) IDS 的 分 類按數(shù)據(jù)源：基于主機(jī)IDS：數(shù)據(jù)源來(lái)自單個(gè)主機(jī)-文件系統(tǒng)、帳戶系統(tǒng)、進(jìn)程分析分布式IDS：多主機(jī)系統(tǒng)基于網(wǎng)絡(luò)IDS：網(wǎng)絡(luò)數(shù)據(jù)-數(shù)據(jù)

16、包分析和嗅探器技術(shù)按數(shù)據(jù)處理方式： 單包分析 與 上下文分析按模型：異常（anomaly)檢測(cè)模型-偏離正常的行為檢測(cè)違規(guī) (misuse)檢測(cè)模型-具有入侵特征或利用系統(tǒng)漏洞的行為檢測(cè)IDS 具備的攻擊檢測(cè)能力按服務(wù)劃分監(jiān)視E-Mail攻擊監(jiān)視Web攻擊監(jiān)視遠(yuǎn)程過(guò)程攻擊監(jiān)視NFS攻擊監(jiān)視FTP攻擊監(jiān)視Telnet攻擊監(jiān)視非授權(quán)網(wǎng)絡(luò)傳輸按技術(shù)途徑劃分監(jiān)視口令攻擊監(jiān)視掃描攻擊監(jiān)視特洛伊攻擊監(jiān)視拒絕服務(wù)攻擊監(jiān)視防火墻攻擊監(jiān)視daemon攻擊監(jiān)視非授權(quán)網(wǎng)絡(luò)訪問(wèn)網(wǎng)絡(luò)入侵檢測(cè)示意圖VPN概述 什么是VPN VPN，英文全稱是virtual Private Network，中文名稱一般稱為虛擬專用網(wǎng)或虛擬

17、私有網(wǎng)。它指的是以公用開放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，通過(guò)加密和驗(yàn)證網(wǎng)絡(luò)流量來(lái)保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫?huì)被竊取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(Private Network)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。VPN功能數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份鑒別數(shù)字簽名數(shù)據(jù)機(jī)密性保護(hù)撥號(hào)服務(wù)器PSTN Internet 區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線SSN區(qū)域WWW Mail DNS密文傳輸明文傳輸明文傳輸數(shù)據(jù)完整性保護(hù)內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線

18、原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對(duì)原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對(duì)方驗(yàn)證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗(yàn)證通過(guò)數(shù)據(jù)源身份認(rèn)證VPN概述 VPN的應(yīng)用示意圖 VPN網(wǎng)關(guān)Internet

19、路由器路由器VPN網(wǎng)關(guān)受保護(hù)子網(wǎng)受保護(hù)子網(wǎng)Windows客戶端控制中心VPN移動(dòng)客戶VPN的組成VPN網(wǎng)關(guān)VPN客戶端軟件集中管理軟件或控制中心網(wǎng)絡(luò)設(shè)備的安全性增強(qiáng)從全網(wǎng)角度考慮，在保證全網(wǎng)路由暢通的基礎(chǔ)之上，通過(guò)安全配置路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備改進(jìn)整個(gè)網(wǎng)絡(luò)的安全性。 以路由器為例說(shuō)明Global服務(wù)配置-通過(guò)考察骨干節(jié)點(diǎn)上的骨干路由器配置情況，結(jié)合實(shí)際需求，打開某些必要的服務(wù)或是關(guān)閉一些不必要的服務(wù)。例如：no service fingerno service pad等Interface服務(wù)配置-根據(jù)制定好的基本配置方案對(duì)路由器進(jìn)行配置檢查，刪去某些不必要ip特性，諸如：no ip redi

20、rectsno ip drected-broadcastCDP配置根據(jù)ISP網(wǎng)絡(luò)的特點(diǎn)，以及制定好的方案，配置路由器的CDP。Login Banner配置修改login banner，隱藏路由器系統(tǒng)真實(shí)信息。Enable secret配置使用enable secret來(lái)加密secret口令。等等系統(tǒng)層的安全技術(shù)操作系統(tǒng)的安全性增強(qiáng)技術(shù)數(shù)據(jù)庫(kù)系統(tǒng)的安全性增強(qiáng)技術(shù)基于主機(jī)的入侵檢測(cè)技術(shù)漏洞掃描技術(shù)（針對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)）基于主機(jī)的入侵檢測(cè)基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查、非法訪問(wèn)的闖入等，并且提供對(duì)典型應(yīng)用的監(jiān)視，如Web服務(wù)器應(yīng)用。主機(jī)入侵檢測(cè)基于

21、這樣一個(gè)原理：計(jì)算機(jī)系統(tǒng)上的攻擊和正常的系統(tǒng)活動(dòng)有著顯著的不同。一個(gè)系統(tǒng)入侵者所表現(xiàn)出的行為模式不同于合法用戶的正常行為。入侵檢測(cè)的工作就是通過(guò)分析現(xiàn)有系統(tǒng)提供的眾多信息來(lái)檢測(cè)那些異常模式。基于主機(jī)的入侵檢測(cè)示意圖漏洞掃描技術(shù)從原理上講，網(wǎng)絡(luò)漏洞檢測(cè)就是模擬攻擊者的角度、攻擊的方法和手段并結(jié)合漏洞知識(shí)庫(kù)進(jìn)行掃描和檢測(cè)，也就是說(shuō)網(wǎng)絡(luò)漏洞檢測(cè)是通過(guò)掃描工具發(fā)出模擬攻擊檢測(cè)包，然后偵聽(tīng)檢測(cè)目標(biāo)響應(yīng)來(lái)收集信息和判斷網(wǎng)絡(luò)中是否存在漏洞。檢測(cè)范圍包括所有的網(wǎng)絡(luò)系統(tǒng)設(shè)備：服務(wù)器、防火墻、交換機(jī)、路由器等網(wǎng)絡(luò)中所有設(shè)備及主機(jī)。漏洞掃描示意圖漏洞掃描產(chǎn)品的功能對(duì)所有網(wǎng)絡(luò)中的附屬設(shè)備進(jìn)行掃描，檢查來(lái)自通訊、服務(wù)、

22、防火墻、WEB應(yīng)用等的漏洞；其掃描對(duì)網(wǎng)絡(luò)不會(huì)做任何修改和造成任何危害；生成針對(duì)企業(yè)決策人、部門管理人員以及技術(shù)人員等不同管理對(duì)象的報(bào)告，報(bào)告中詳細(xì)說(shuō)明了每個(gè)漏洞的危害及補(bǔ)救辦法；網(wǎng)絡(luò)的漏洞掃描可以按安全級(jí)別實(shí)施，評(píng)估安全級(jí)別越高，達(dá)到的安全程度越高。應(yīng)用層安全技術(shù)身份認(rèn)證技術(shù)防病毒技術(shù)應(yīng)用服務(wù)器的安全增強(qiáng)技術(shù)PKI的引入PKI組成框圖PKI應(yīng)用證書機(jī)構(gòu)CA注冊(cè)機(jī)構(gòu)RA證書發(fā)布系統(tǒng)PKI策略軟硬件系統(tǒng)基礎(chǔ)服務(wù)實(shí)體典型CA框架圖一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器、注冊(cè)機(jī)構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。 CA系統(tǒng)構(gòu)成CAServer認(rèn)證中心CA本地?cái)?shù)據(jù)庫(kù)服務(wù)器CA證書庫(kù)（目錄服

23、務(wù)器）（可選件）RAServer注冊(cè)中心（可選件）RA本地?cái)?shù)據(jù)庫(kù)服務(wù)器LRA（Local RA）注冊(cè)終端（可選件）CATerminal個(gè)人管理器（可選件） CABrowser公眾申請(qǐng)/下載服務(wù)器（可選件）CA主要功能根CA管理證書管理密鑰管理CRL管理目錄管理審計(jì)管理 證書的申請(qǐng)、簽發(fā)流程HOMERA/CAAdmin新用戶目錄服務(wù)器CA身份證明策略規(guī)定的方法用戶申請(qǐng)創(chuàng)建用戶DNLDAP參考號(hào)授權(quán)碼參考號(hào)和授權(quán)碼證書下載流程最終用戶CAAdminCALDAP填寫得到的Ref#和AuthCode并通過(guò)驗(yàn)證用戶本地產(chǎn)生密鑰對(duì)用戶將公鑰傳送給CACA簽證將用戶證書發(fā)布到目錄服務(wù)器CA下傳用戶證書和根CA證書HOMECATerminalCABrowser防病毒產(chǎn)品組成網(wǎng)關(guān)防毒FTP/HTTP/SMTP服務(wù)器防病毒郵件或群件防毒EXCHANGESendmailLotus Notes客戶機(jī)防病毒病毒控制中心互聯(lián)網(wǎng)proxyftp serverwww serverMail server病毒控制中心防火墻防毒產(chǎn)品構(gòu)架服務(wù)器防毒：ServerProtect Information Server服務(wù)器防毒：ServerProtectNormal Server 群件防