访问控制案例

　　案例一:国家某信息中心采用冠群金辰eTrust Access Control加固核心服务器 　　

　　 国家某信息中心的应用服务器包括WWW服务器、邮件服务器、全文检索服务器、数据库服务器、目录服务器、DNS服务器、Radius服务器、OA服务器、Proxy服务器等数十台。服务器操作系统为Sun Solaris、HP-UX、SGI IRIX、IBM AIX以及Windows 2000等。为了提高安全管理水平，该信息中心计划在现有的安全管理设施的基础上建设一套网络安全管理系统，其中包括重点服务器的访问控制。

　　 冠群金辰在该信息中心需要进行重点保护的10台服务器上安装了eTrust Access Control软件。对于其他的业务服务器，冠群金辰建议在下一阶段将其纳入到主机防护系统来。

　　 采用冠群金辰的方案后，该信息中心提高了对关键资源的控制力度，从根本上杜绝了资源的非法和恶意访问和篡改。而且eTrust Access Control的跨平台能力使得管理员能够从一个中央控制台集中管理IBM、HP、Sun、SGI以及Microsoft等多种操作系统的访问许可，大大降低了管理难度。

　　 案例二:某商业银行采用安软访问控制解决方案

　　 随着业务的拓展，某市商业银行在全市已经建立起8个支行和多家储蓄所，相应的安全问题也被提到了日程上。通过调研分析，安软公司将用户的安全需求划分为:确保机密信息在租用通信线路上传输时的安全性;确认柜台操作员身份的真实性;确保使用者操作的不可否认性;对于所有的操作有详细日志记录。针对该用户的安全需求，安软提供了以下解决方案。

　　 一、在中央机房安装EverLink SRAC服务器作为管理端，通过详细的控制策略设置实现对下端EverLink DSAE产品的管理。经过基于数字证书的身份验证后，实现对用户的身份确认和访问权限的控制。

　　 二、在储蓄所中配备C01A型号的EverLink DSAE。C01A型号的EverLink DSAE与EverLink SRAC服务器结合使用，可以完成基于数字证书的身份认证以及细粒度的权限控制;通过身份认证后可以建立起从EverLink DSAE到EverLink SRAC服务器之间的安全数据传输通道，完成储蓄所与中心机房的通信数据的密文传输。

　　 三、在支行安装C01M08/16型号的EverLink DSAE。该型号产品集成了终端服务器功能，可以直接与EverLink DSAE产品连接，可以对终端设备提交的信息进行加密。

　　 通过实施以上方案，该商业银行在不改动现有的应用系统和网络结构的前提下，解决应用系统中身份伪造、信息在传输过程被恶意截获、中断和篡改等安全问题。