本发明专利技术涉及一种用于保障信息安全的前置安全系统,连接在客户终端和服务器之间,所述前置安全系统包括:安全代理模块,安全传输模块,身份认证模块,访问控制模块,单点登录模块,配置管理模块、安全审计模块,应用转发模块。使用本发明专利技术后,所有访问应用服务器的访问请求都必须通过前置系统,在不改变任何用户操作的同时,前置安全系统将应用服务器完全置于其保护之下。
【技术实现步骤摘要】
一种用于保障信息安全的前置安全系统
本专利技术涉及信息安全领域,特别是涉及一种用于保障信息安全的前置安全系统。
技术介绍
目前,很多重要的信息系统已经或开始由早期的大机系统转向开放的B/S计算模式,这些系统有着典型的三层应用结构,如图1所示。其中,应用服务器接受客户终端的业务服务请求和操作,完成业务逻辑,将业务相关的数据操作转化为对数据/存储系统上数据库的访问,并将业务服务结果返回给客户终端。现实中,具有图1结构的应用系统往往具备以下特征和安全挑战:1.应用之间难以隔离,系统之间不存在明显的物理和网络层面界限。这是因为,对于一个较大型的信息系统,一方面,多个业务应用可能共同运行在同一个应用服务器上,另一方面,有些单个业务应用可能同时分布运行在多个应用服务器上,同时,客户终端根据业务操作人员的业务需要可能访问不同的应用,因此应用系统应用安全保护不可能通过简单的物理或网络隔离来实现,例如通过防火墙或其他网络隔离设备来提供安全保护功能,而必须在应用层面对不同的应用加以识别、隔离和保护。2.应用系统在开发和建设过程中,可能会存在安全需求考虑不周、安全设计不全面以及应用开发编码欠完善的情况,这些都会给用户应用系统带来安全漏洞和安全风险,但是对于关键应用系统,由于其业务连续性要求,对这些系统的安全改进只能采取一种平滑和兼容的方式。另外,在B/S应用结构下,业务应用的核心相对偏重于应用服务一端,业务逻辑、业务数据等主要在应用服务一方处理和保存,客户端主要任务是业务操作发起、业务数据返回显示等工作。结合上述应用特征,在B/S应用结构中,应用系统的安全保护重点应当放在应用服务端,在应用层面实施应用隔离、身份认证和访问控制等安全保护措施。
技术实现思路
针对现有技术中存在的缺陷和不足,本专利技术提出一种前置安全系统,力图在保证用户关键业务运行连续性的前提下,提高业务应用系统的安全性和高可用性,满足国家信息安全等级保护制度和相关技术标准的要求。为了实现上述目的,本专利技术提出一种用于保障信息安全的前置安全系统,连接在客户终端和服务器之间,所述前置安全系统包括:安全代理模块,安全传输模块,身份认证模块,访问控制模块,单点登录模块,配置管理模块、安全审计模块,应用转发模块;其中,所述安全代理模块用于通过透明安全代理减少对用户应用操作模式的改变,保证安全和应用的兼容一致性;所述安全传输模块用于支持SSL协议,并基于SSL协议在客户终端和前置安全系统之间建立安全传输通道,保证身份认证、业务敏感数据等重要信息在网络传输中的保密性及完整性;所述身份认证模块用于实现基于证书的身份认证功能;所述访问控制模块用于支持基于角色的应用访问控制,支持根据应用及其信息的重要性或敏感程度分配相应的安全标记,并基于这些安全标记实施强制型访问控制,满足等级保护技术要求;所述安全审计模块用于对用户的应用服务请求和操作及其结果进行记录,并将审计记录结果及时发送至安全审计中心;所述单点登录模块用于在用户在通过了身份认证后,无需对其每个应用进行身份认证;所述应用转发模块用于在应用服务器因故障时,自动将用户的应用服务请求和操作转接到其它提供同类服务的应用服务器上。作为上述技术方案的优选,所述前置安全系统还包括:防止DoS/DDoS攻击模块,基于角色的网络传输控制模块,内置LDAP服务模块。作为上述技术方案的优选,多个所述前置安全系统能够集群成前置安全系统集群。作为上述技术方案的优选,多个前置安全系统互为热备,通过网络虚拟技术对外以一个共同的虚拟名称及地址表示。作为上述技术方案的优选,将多个所述前置安全系统中的一个作为正常情况下运行的主设备,其它的作为主设备故障时接管主设备的从设备。作为上述技术方案的优选,所述前置安全系统支持UNIX系统平台和Linux系统平台。本专利技术提出的前置安全系统通过透明接入的方式放置在应用服务器之间,所有访问应用服务器的访问请求都必须通过前置系统。在不改变任何用户操作的同时,前置安全系统将应用服务器完全置于其保护之下。通过在信息系统中使用本专利技术的前置安全系统,应用系统可以实现如下的安全功能:1.人员和设备认证通过在系统终端上安全数字证书,保证了只有通过认证的设备可以接入系统,防止了非法设备将病毒木马带入系统。通过给系统操作人员同时配备数字证书(如UKey)和用户名密码,在保证用户安全的同时,也满足了等级保护中高等级信息系统的相关要求。2.基于安全标记的应用级强制访问控制在安全策略中分配给用户不同的安全标记并进行相应的基于角色的授权管理,保证了系统操作人员只能访问经过授权的与其安全等级相适合应用。这也是等级保护中高等级信息系统所要求的关键安全措施。3.数据传输和数据保护通过使用前置安全系统,应用系统实现了从系统终端到应用服务器之间的自动安全加密。保证了在网络传输过程中系统信息不被窃听、不被破坏,实现了数据传输的安全。4.应用自动转发保护前置安全系统能够自动侦测应用服务器的状态。应用服务器正常工作时,前置安全系统将来自客户端的访问请求均衡地分配给后台的应用服务器;当某台应用服务器性能严重下降,前置安全系统将访问请求发送到其它正常工作的应用服务器,防止了应用服务器故障给应用服务带来严重影响。5.流量优先控制当访问量超过允许的最大并发数时,前置安全系统通过队列的方式控制访问请求。对于高优先级的访问请求,前置安全系统优先通过,保证了关键服务的优先进行,确保了系统的可用性。6.集中审计所有的访问事件都进行审计,无论是正常访问还是访问异常,满足等级保护对高安全等级信息系统的要求。前置安全系统支持syslog协议,可以通过syslog协议将可审计事件发往集中审计系统,实现集中审计。7.设备热备功能在对性能没有特殊要求的情况下,前置安全系统通常可以双机热备部署。当后台服务器对并发数有特殊的高要求时(如后台服务器为集群部署),前置安全系统也支持集群部署的方式,确保安全设备本身不成为系统瓶颈。8.设备自身安全可信前置安全系统的硬件为专业定制的小型机平台,确保了系统的硬件性能。前置安全系统的软件为从底层模块到应用模块的完全自主可控的专业系统,基于可信计算技术实现,保证了自身的安全。下面结合附图,对本专利技术的具体实施方式作进一步的详细说明。对于所属
的技术人员而言,从对本专利技术的详细说明中,本专利技术的上述和其他目的、特征和优点将显而易见。附图说明图1为现有技术中B/S典型应用结构;图2为本专利技术提出的前置安全系统的应用示意图;图3为本专利技术提出的前置安全系统的系统结构图;图4为使用本专利技术提出的前置安全系统的高可用的应用安全系统结构方案。图5为使用本专利技术提出的前置安全系统的双机热备方案。具体实施方式如图2所示,本专利技术提出的用于保障信息安全的前置安全系统连接在客户终端和服务器之间,如图3所示,所述前置安全系统包括:安全代理模块,安全传输模块,身份认证模块,访问控制模块,单点登录模块,配置管理模块、安全审计模块,应用转发模块。其中,安全代理模块通过透明安全代理功能可尽量减少对用户应用操作模式的改变,保证安全和应用的兼容一致性;安全传输模块支持SSL协议,并基于SSL协议在客户终端和前置安全系统之间建立安全传输通道,保证身份认证、业务敏感数据等重要信息在网络传输中的保密性及完整性本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于保障信息安全的前置安全系统,连接在客户终端和服务器之间,其特征在于,所述前置安全系统包括:安全代理模块,安全传输模块,身份认证模块,访问控制模块,单点登录模块,配置管理模块、安全审计模块,应用转发模块;其中,所述安全代理模块用于通过透明安全代理减少对用户应用操作模式的改变,保证安全和应用的兼容一致性;所述安全传输模块用于支持SSL协议,并基于SSL协议在客户终端和前置安全系统之间建立安全传输通道,保证身份认证信息、业务敏感数据信息在网络传输中的保密性及完整性;所述身份认证模块用于实现基于证书的身份认证功能;所述访问控制模块用于支持基于角色的应用访问控制,支持根据应用及其信息的重要性或敏感程度分配相应的安全标记,并基于这些安全标记实施强制型访问控制,满足等级保护技术要求;所述安全审计模块用于对用户的应用服务请求和操作及其结果进行记录,并将审计记录结果及时发送至安全审计中心;所述单点登录模块...
【专利技术属性】
技术研发人员:杨健,李毓才,刘刚,葛维,孙绍钢,李晓勇,
申请(专利权)人:中铁信息工程集团有限公司,中铁信弘远北京信息软件开发有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。