安全服务管理、设备管理、安全制度建设等管理活动。
企业信息安全体系
应用安全
身份安全
USBKey数字证书
用户管理
密钥管理
数据安全
加密技术容灾备份
安全服务管理
设备管理
安全制度建设
系统安全
终端安全
防病毒补丁分发系统还原
网络安全
防火墙入侵检测负载均衡
物理安全
图1企业信息安全体系
四、企业信息安全整体解决方案以企业信息安全体系为理论基础，我们整合信息安全领域相关软硬件产品，提出了一个完整统一的信息安全整体解决方案。以解决在企业环境下，整个信息系统面临的各种安全问题。该方案的整体结构如下图所示：
f数据安全域
网络安全域
曙光加密存储服务器应用服务器集群天机加密卡
身份安全域
曙光集群负载均衡器DCLB
以太网曙光CA服务器
I
ter
et
曙光签名服务器
以太网交换机
曙光天罗防火墙
以太网数据安全域NiKeyNiKey管理服务器（曙光企业信息安全综合管理系统）NiKey用户终端1用户终端
NiKey远程终端
终端安全域
图2企业信息安全整体解决方案
从图中可以看出，该方案将企业信息化系统分为四个安全域进行保护，即身份安全域、数据安全域域、终端安全和网络安全域。这与企业信息安全体系技术切面中的身份安全、数据安全、终端安全和网络安全是一一对应的。另外，针对企业信息安全体系中的管理切面，我们在管理服务器上部署了曙光企业信息安全综合管理系统，以便提供统一的用户管理、密钥管理、安全服务管理和设备管理功能。1身份安全域在身份安全域中，最主要的功能是对本地操作系统登录和远程业务系统登录时的身份认证过程进行安全加固，其核心是利用NiKey和数字证书技术来弥补传统“用户名密码”认证方式的安全漏洞。单机登录解决方案采用基于NiKey的单机登录系统，在操作系统内核中增
加NiKey认证模块。由于NiKey的双因子认证方式，无论密码泄露还是NiKey丢
f失，他人都无法仿冒该用户身份。针对单机登录安全需求，已推出适用于Wi
dowsXP、Wi
2003以及Wi
7、Vista、Wi
2008两个系列的单机登录解决方案。远程业务登录系统方案业务系统可以利用数字证书对用户权限进行精细控制，整个身份认证过程也能有效抵御“重放攻击”和“中间人攻击”。前者又称证书认证中心（简称CA中心），内置CA软件和天机加密卡，能够对外提供数字证书颁发、查询、吊销等服务；后者内置了天机加密卡，能够提供签名和验证服务。方案实施需要业务应用做部分定制工作。典型的定制工作包括：界面集成USBKey；r