目前涉密信息系統(tǒng)在軍工企業(yè)、政府黨政機(jī)關(guān)單位及部分研究院所網(wǎng)絡(luò)建設(shè)中都有了明確規(guī)劃,涉密信息系統(tǒng),在網(wǎng)絡(luò)中就會(huì)涉及國家秘密的信息,不論其中的涉密信息是多還是少,只要是有(即存儲(chǔ)、處理或傳輸了涉密信息),這個(gè)信息系統(tǒng)就是涉密信息系統(tǒng)。
涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全現(xiàn)狀分析
(1)涉密信息系統(tǒng)建設(shè)基本原則:
①物理隔離:所謂物理隔離技術(shù)是指內(nèi)部信息網(wǎng)絡(luò)不和Internet等外部信息網(wǎng)絡(luò)相連,從物理上斷開的技術(shù)。這種方法基本杜絕了因?yàn)榫W(wǎng)絡(luò)互通互連所造成的外部攻擊或內(nèi)部泄密的可能。物理隔離技術(shù)是近年來出現(xiàn)的安全保密手段,它解決了重要單位及要害部門對(duì)信息安全保密的突出需求。日趨完善的物理隔離技術(shù)和產(chǎn)品已成為網(wǎng)絡(luò)安全保密體系中不可缺少的重要環(huán)節(jié);
②最高防護(hù):在一個(gè)涉密網(wǎng)絡(luò)中會(huì)有各種各樣的涉密文件,這些文件的密級(jí)各不相同,有非密、秘密級(jí)、機(jī)密級(jí),也可能有絕密級(jí)。對(duì)不同密級(jí)文件的防護(hù)要求也是不同的,密級(jí)越高保護(hù)的要求就越嚴(yán)格。那么,我們?cè)谠O(shè)計(jì)一個(gè)涉密網(wǎng)絡(luò)的時(shí)候,應(yīng)該以該網(wǎng)絡(luò)中可能出現(xiàn)的最高密級(jí)為標(biāo)準(zhǔn)來設(shè)計(jì)。此外,對(duì)涉密媒體中的信息進(jìn)行復(fù)制、存儲(chǔ)、傳輸時(shí)也應(yīng)按該媒體中信息的最高密級(jí)標(biāo)明密級(jí),并按相應(yīng)密級(jí)進(jìn)行管理。這就是我們通常所說的最高防護(hù)的原則;
③整體防護(hù):網(wǎng)絡(luò)安全包括許多方面的內(nèi)容,有設(shè)備安全、信息安全、系統(tǒng)安全、安全管理等。從技術(shù)角度講,網(wǎng)絡(luò)安全是由安全的操作系統(tǒng)、應(yīng)用軟件、防火墻、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、信息加密、災(zāi)難恢復(fù)、安全掃描等來保證的。任何一個(gè)單獨(dú)的部分都無法完成整個(gè)網(wǎng)絡(luò)的安全管理工作。比如一個(gè)單位只購買了防火墻作為它保證網(wǎng)絡(luò)安全的惟一措施,那么該單位只能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問的控制,而對(duì)于攻擊檢測(cè)、網(wǎng)絡(luò)安全監(jiān)控等要求就無法滿足了。因此我們說網(wǎng)絡(luò)安全是一個(gè)整體的概念。在規(guī)劃涉密網(wǎng)絡(luò)時(shí),必須保證網(wǎng)絡(luò)設(shè)備和各個(gè)組件的整體性安全,這就是網(wǎng)絡(luò)安全的整體性原則。整體的網(wǎng)絡(luò)安全模型由以下幾個(gè)部分組成:M(Management)管理;P(Prediction)預(yù)警;P(Protection)防護(hù);D(Detection)發(fā)現(xiàn)、掃描、檢測(cè);R(Response)反應(yīng);R(Recoveru)恢復(fù)/備份。
④動(dòng)態(tài)原則:網(wǎng)絡(luò)安全管理是動(dòng)態(tài)的。首先網(wǎng)絡(luò)本身是動(dòng)態(tài)變化的,網(wǎng)絡(luò)的用戶在不斷增加,網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大。其次網(wǎng)絡(luò)安全問題也具有動(dòng)態(tài)性,網(wǎng)絡(luò)攻防技術(shù)不斷發(fā)展,黑客不斷地對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,病毒不斷地產(chǎn)生。這就促使網(wǎng)絡(luò)的防范策略也必須隨著網(wǎng)絡(luò)安全情況的變化而變化,從而形成一種相生相克的動(dòng)態(tài)循環(huán)過程。
(2)涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全
涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全作為信息系統(tǒng)當(dāng)中的防護(hù)重點(diǎn),就是信息系統(tǒng)中的服務(wù)器以及存儲(chǔ)在服務(wù)器當(dāng)中的涉密數(shù)據(jù)和應(yīng)用。一個(gè)安全的涉密系統(tǒng)應(yīng)用服務(wù)一定要進(jìn)行分級(jí)管理,其中包括對(duì)信息保密程度分級(jí)(非密、絕密、機(jī)密、秘密);對(duì)用戶操作權(quán)限分級(jí)(面向個(gè)人、面向群組);對(duì)網(wǎng)絡(luò)安全程度分級(jí)(安全子網(wǎng)、安全區(qū)域);對(duì)系統(tǒng)結(jié)構(gòu)分級(jí)(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等),從而針對(duì)不同級(jí)別的安全對(duì)象,提供全面可選的安全體系結(jié)構(gòu)以滿足網(wǎng)絡(luò)中不同層次的需求。
頒布的新保密法中要求國家秘密的知悉范圍要能夠限定到具體人員的;不能限定到具體人員的,限定到機(jī)關(guān)、單位,并由機(jī)關(guān)、單位限定到具體人員。那么在一個(gè)涉密信息系統(tǒng)中如果一個(gè)涉密信息存放的應(yīng)用服務(wù)沒有實(shí)施有效的分級(jí)管理,一些不符合知悉范圍人員也可以進(jìn)行訪問和查看,這將嚴(yán)重違背涉密信息系統(tǒng)建設(shè)的基本原則。
長期以來很多單位在涉密信息系統(tǒng)建設(shè)中對(duì)系統(tǒng)當(dāng)中的應(yīng)用服務(wù)系統(tǒng),在實(shí)施分級(jí)管理中通常走向兩種極端:一種是沒有對(duì)應(yīng)用系統(tǒng)進(jìn)行必要的分級(jí)管理,或通過采用防火墻等設(shè)備在網(wǎng)絡(luò)層面進(jìn)行簡單的訪問控制,遠(yuǎn)遠(yuǎn)不能達(dá)到分級(jí)管理的要求;另一種則是對(duì)不同密級(jí)的應(yīng)用系統(tǒng)采用完全的物理隔離,通過單機(jī)隔離或針對(duì)不同密級(jí)建立專用的涉密網(wǎng)絡(luò)。這樣既不便于日常辦公的使用,也因?yàn)橹貜?fù)的網(wǎng)絡(luò)建設(shè)造成資源浪費(fèi)。
因此我們?cè)谏婷苄畔⑾到y(tǒng)建設(shè)中針對(duì)應(yīng)用服務(wù)需要找到一種科學(xué)、易用的解決方案,既要能夠符合分級(jí)管理的要求,同時(shí)在日常辦公應(yīng)用中又不會(huì)對(duì)原有的使用習(xí)慣產(chǎn)生影響。
涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護(hù)解決方案
解決好涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護(hù)問題,就是要對(duì)需要訪問應(yīng)用服務(wù)的用戶或客戶端實(shí)行有效的訪問控制和授權(quán)管理,對(duì)未授權(quán)的用戶及客戶端進(jìn)行有效的訪問限制;為每個(gè)訪問的用戶指定可訪問的應(yīng)用服務(wù),限定訪問的范圍,杜絕越權(quán)的訪問行為;而這種訪問授權(quán)的機(jī)制必須安全、可控而靈活。
同時(shí)針對(duì)應(yīng)用服務(wù)的安全防護(hù)應(yīng)當(dāng)是立體的,多層次的防護(hù)體系。從鏈路層的地址綁定,網(wǎng)絡(luò)層的訪問控制,傳輸層的鏈路加密,會(huì)話層的身份認(rèn)證,應(yīng)用層的訪問授權(quán)和準(zhǔn)入控制,構(gòu)建成一個(gè)完整的應(yīng)用安全的體系結(jié)構(gòu)。構(gòu)建一個(gè)應(yīng)用服務(wù)防護(hù)的安全體系,我們需要從以下幾方面來進(jìn)行考慮:
(1)實(shí)施單點(diǎn)登錄機(jī)制
統(tǒng)一的單點(diǎn)登錄機(jī)制要求用戶在訪問任何應(yīng)用服務(wù)前,都需要通過一個(gè)統(tǒng)一且唯一的訪問入口進(jìn)入,在該入口進(jìn)行用戶認(rèn)證和身份鑒別,對(duì)未經(jīng)用戶認(rèn)證及身份鑒別的用戶將不允許其訪問應(yīng)用服務(wù),而對(duì)通過用戶認(rèn)證和身份鑒別的用戶才會(huì)獲取到訪問應(yīng)用服務(wù)的授權(quán)牌,在這個(gè)授權(quán)牌中標(biāo)識(shí)了用戶的身份信息、訪問有效期限、安全等級(jí)、可訪問的應(yīng)用服務(wù)名稱以及允許采用的訪問方式。由此完成了針對(duì)訪問用戶的單點(diǎn)登錄。
(2)實(shí)施統(tǒng)一的用戶管理機(jī)制
實(shí)施統(tǒng)一的安全管理能夠避免用戶在使用多套賬戶口令時(shí)由于遺忘而無法訪問,同時(shí)統(tǒng)一用戶授權(quán),能夠有效避免由于在不同應(yīng)用服務(wù)中授權(quán)不一,用戶密級(jí)不統(tǒng)一,而形成潛在的泄密風(fēng)險(xiǎn)。另外統(tǒng)一的用戶管理有助于管理員及時(shí)了解賬戶的活動(dòng)狀態(tài),及時(shí)清理過期或無效的賬戶信息,保證賬戶信息的準(zhǔn)確。
(3)數(shù)據(jù)級(jí)安全防護(hù)措施
由于TCP/IP自身的性質(zhì)決定了各種數(shù)據(jù)在傳輸?shù)倪^程中都是以明文形式進(jìn)行的,這就使數(shù)據(jù)在傳輸過程中存在極大的安全風(fēng)險(xiǎn)。如果不加防護(hù),網(wǎng)絡(luò)攻擊者可以輕易地截獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),甚至對(duì)其進(jìn)行修改和破壞。這時(shí)就需要SSL VPN數(shù)據(jù)級(jí)的安全防護(hù)措施,即借助于專業(yè)的SSL VPN加密隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密以確保數(shù)據(jù)的保密性和完整性。
(4)用戶級(jí)安全防護(hù)措施
用戶級(jí)的安全措施主要是指用戶賬戶安全管理。在用戶獲得訪問權(quán)力時(shí)用戶全程的訪問活動(dòng)進(jìn)行審計(jì),而在他們的訪問權(quán)不再有效時(shí)凍結(jié)用戶賬戶。同時(shí)對(duì)于用戶賬戶的異常使用,如賬戶密碼的嘗試登錄次數(shù)在超過一定閾值后將鎖定用戶賬戶。
(5)入網(wǎng)訪問控制
分為三個(gè)步驟:用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過,該用戶便不能進(jìn)入網(wǎng)絡(luò),對(duì)應(yīng)用服務(wù)進(jìn)行訪問。
(6)網(wǎng)絡(luò)的訪問控制
通過訪問控制對(duì)訪問中的源IP、源端口、協(xié)議類型、目的IP、目的端口進(jìn)行關(guān)聯(lián)性策略制定,保證應(yīng)用服務(wù)只向用戶開放在業(yè)務(wù)中所涉及的服務(wù)端口,防止惡意用戶通過部分端口漏洞對(duì)應(yīng)用服務(wù)進(jìn)行非法攻擊。
(7)應(yīng)用服務(wù)授權(quán)管理
對(duì)應(yīng)用服務(wù)的授權(quán)管理分為:基于應(yīng)用服務(wù)地址的訪問授權(quán)、基于應(yīng)用服務(wù)端口的訪問授權(quán)、基于WEB應(yīng)用服務(wù)目錄的訪問授權(quán)、基于WEB應(yīng)用服務(wù)資源文件的訪問授權(quán)、基于訪問方式的訪問授權(quán)。另外針對(duì)應(yīng)用服務(wù)的授權(quán)管理應(yīng)當(dāng)體現(xiàn)安全級(jí)別特點(diǎn),在涉密信息系統(tǒng)中一些密級(jí)等級(jí)較高的應(yīng)用服務(wù)應(yīng)限制低密級(jí)的用戶對(duì)其進(jìn)行越權(quán)訪問,而一些密級(jí)等級(jí)較低的應(yīng)用服務(wù)可允許高密級(jí)用戶及低密級(jí)用戶的訪問。
(8)網(wǎng)絡(luò)服務(wù)器安全控制
對(duì)服務(wù)器的操作保護(hù)是應(yīng)用服務(wù)安全重要保障,防止非法用戶修改、刪除、破壞重要信息或數(shù)據(jù);通過應(yīng)用服務(wù)防篡改保護(hù)機(jī)制對(duì)應(yīng)用服務(wù)中涉及的資源文件進(jìn)行安全防護(hù),當(dāng)惡意用戶通過非法手段進(jìn)行數(shù)據(jù)篡改時(shí)可以對(duì)發(fā)生非法篡改的數(shù)據(jù)進(jìn)行及時(shí)恢復(fù),保證應(yīng)用正常可用;非法訪問者檢測(cè)機(jī)制能夠在事件發(fā)生前進(jìn)行檢測(cè)、分析和限制,能夠更加有效的對(duì)應(yīng)用防護(hù)起到保護(hù)效果。
(9)訪問監(jiān)測(cè)和鎖定控制
訪問監(jiān)測(cè)機(jī)制針對(duì)用戶的應(yīng)用服務(wù)訪問行為進(jìn)行訪問事件的審計(jì)記錄,系統(tǒng)應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問,對(duì)非法的網(wǎng)絡(luò)訪問,并以聲光或文字或聲音等形式報(bào)警,以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖對(duì)應(yīng)用服務(wù)發(fā)起攻擊,系統(tǒng)應(yīng)會(huì)自動(dòng)記錄嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù),如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值,那么該賬戶將被自動(dòng)鎖定。
(10)訪問客戶端的準(zhǔn)入控制
訪問客戶端準(zhǔn)入機(jī)制能夠有效防止盜用賬戶或盜用IP的欺騙式訪問行為,通過將客戶端物理地址和IP地址的綁定,能夠限定只能在指定的主機(jī)進(jìn)行應(yīng)用服務(wù)訪問,通過證書Ukey的控制方式,為每個(gè)授權(quán)用戶分配唯一的key,這樣在只獲得用戶賬戶和密碼信息,而沒有授權(quán)Ukey的條件用,仍然無法通過身份鑒別獲得訪問權(quán)。其次針對(duì)應(yīng)用服務(wù)的訪問客戶端應(yīng)對(duì)其安全性進(jìn)行評(píng)估,防止帶有病毒,木馬及存在潛在安全風(fēng)險(xiǎn)的計(jì)算機(jī)在對(duì)應(yīng)用服務(wù)進(jìn)行訪問時(shí)造成病毒擴(kuò)散。
(11)數(shù)據(jù)流向安全控制
涉密信息系統(tǒng)建設(shè)中數(shù)據(jù)流向安全控制一直受到大家的關(guān)注,通過技術(shù)手段限制高密級(jí)數(shù)據(jù)向低密級(jí)用戶流動(dòng)以及限制涉密數(shù)據(jù)向非涉密用戶的流動(dòng)這將有力保證涉密數(shù)據(jù)的安全。
捷普涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護(hù)解決應(yīng)用方案
西安交大捷普網(wǎng)絡(luò)科技有限公司作為中西部地區(qū)最大的網(wǎng)絡(luò)安全技術(shù)及產(chǎn)品提供商,通過數(shù)十年在網(wǎng)絡(luò)安全和保密安全領(lǐng)域的探索創(chuàng)新,開發(fā)出多款適用于涉密信息系統(tǒng)的安全產(chǎn)品,近年來持續(xù)關(guān)注涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全的訪問問題,研發(fā)的服務(wù)器群組防護(hù)產(chǎn)品為應(yīng)用服務(wù)提供立體的,多層次的安全防護(hù)體系。從鏈路層的地址綁定,網(wǎng)絡(luò)層的訪問控制,傳輸層的鏈路加密,會(huì)話層的身份認(rèn)證,應(yīng)用層的訪問授權(quán)和準(zhǔn)入控制,構(gòu)建一個(gè)完整的應(yīng)用安全的體系結(jié)構(gòu),多方位的全面解決涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全問題。
1.涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全問題的需求響應(yīng)與解決
(1)實(shí)施單點(diǎn)登錄機(jī)制
捷普服務(wù)器群組防護(hù)系統(tǒng)通過串聯(lián)方式接在DMZ區(qū)的入口,成為“一夫當(dāng)關(guān),萬夫莫開”的守門神,任何進(jìn)入DMZ區(qū)對(duì)應(yīng)用服務(wù)的訪問都需要在服務(wù)器群組防護(hù)系統(tǒng)中通過第一道身份審核,只有獲得了服務(wù)器群組防護(hù)系統(tǒng)發(fā)放的第一道通行證,訪問用戶才獲得繼續(xù)訪問應(yīng)用服務(wù)的權(quán)利,同時(shí)服務(wù)器群組防護(hù)系統(tǒng)為每個(gè)通過審核的訪問者發(fā)放的通行證中標(biāo)識(shí)了用戶的身份信息、訪問有效期限、安全等級(jí)、可訪問的應(yīng)用服務(wù)名稱以及允許采用的訪問方式,訪問者只能在效的訪問期限內(nèi)對(duì)同安全級(jí)別或低安全級(jí)別的應(yīng)用服務(wù)采用允許的訪問方式進(jìn)行訪問,所有違規(guī)的訪問行為都將被限制和審計(jì)。
(2)實(shí)施統(tǒng)一的用戶管理機(jī)制
捷普服務(wù)器群組防護(hù)系統(tǒng)的用戶管理模塊,提供了本地賬戶管理,POP3、Radius、AD域控、LDAP外部聯(lián)動(dòng)賬戶管理等多種身份認(rèn)證機(jī)制,向訪問用戶提供身份鑒別服務(wù),同時(shí)通過將應(yīng)用服務(wù)訪問賬戶信息與單點(diǎn)登錄訪問賬戶信息進(jìn)行賬戶關(guān)聯(lián)綁定,使用戶只需要使用一個(gè)安全的賬戶就能夠訪問所有授權(quán)的應(yīng)用服務(wù)。同時(shí)捷普服務(wù)器群組防護(hù)系統(tǒng)通過賬戶安全策略能夠?qū)τ脩羲褂玫目诹罡轮芷凇⒖诹铋L度、口令復(fù)雜度等進(jìn)行統(tǒng)一約束,還能與更加安全的身份鑒別方式如授權(quán)Ukey、物理特征進(jìn)行綁定,強(qiáng)化了訪問賬戶的安全性。
另外捷普服務(wù)器群組防護(hù)系統(tǒng)的統(tǒng)一用戶管理有助于管理員及時(shí)了解賬戶的活動(dòng)狀態(tài),對(duì)異常的訪問賬戶及時(shí)進(jìn)行下線處理,方便管理員及時(shí)清理過期或無效的賬戶信息,保證賬戶信息的準(zhǔn)確。
(3)數(shù)據(jù)級(jí)安全防護(hù)措施
捷普服務(wù)器群組防護(hù)系統(tǒng)采用雙證書機(jī)制完成數(shù)據(jù)安全加密,這是當(dāng)前我國 PKI 體系統(tǒng)建設(shè)的主流模式。使用簽名證書進(jìn)行身份認(rèn)證,使用加密證書進(jìn)行密鑰的交換和保護(hù),既使PKI技術(shù)在應(yīng)用中發(fā)揮其基于非對(duì)稱密鑰所帶來的優(yōu)勢(shì),又滿足了國家對(duì)PKI應(yīng)用進(jìn)行審計(jì)監(jiān)管的需要,以此來向一些特定的應(yīng)用服務(wù)提供安全的訪問通道,防止網(wǎng)絡(luò)攻擊者輕易地截獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),對(duì)其進(jìn)行修改和破壞。
(4)用戶級(jí)安全防護(hù)措施
捷普服務(wù)器群組防護(hù)系統(tǒng)提供了完整的用戶賬戶安全防護(hù)措施,在用戶獲得訪問權(quán)力時(shí)對(duì)用戶全程的訪問活動(dòng)進(jìn)行審計(jì),在他們的訪問權(quán)不再有效時(shí)凍結(jié)用戶賬戶。同時(shí)對(duì)于用戶賬戶的異常使用,如賬戶密碼的嘗試行為,訪問鏈接的急速驟增,可以通過策略設(shè)定在超過一定閾值后將鎖定用戶賬戶。
(5)入網(wǎng)訪問控制
捷普服務(wù)器群組防護(hù)系統(tǒng)在用戶身份授權(quán)中需要設(shè)置了用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查、增強(qiáng)Ukey證書鑒別、客戶端準(zhǔn)入安全評(píng)估五道關(guān)卡進(jìn)行重重審核,只要任何一關(guān)未過,該用戶便不能進(jìn)入網(wǎng)絡(luò),對(duì)應(yīng)用服務(wù)進(jìn)行訪問。
(6)網(wǎng)絡(luò)的訪問控制
捷普服務(wù)器群組防護(hù)系統(tǒng)內(nèi)置防火墻訪問控制模塊,通過訪問控制對(duì)訪問中的源IP、源端口、協(xié)議類型、目的IP、目的端口進(jìn)行關(guān)聯(lián)性策略制定,保證應(yīng)用服務(wù)只向用戶開放在業(yè)務(wù)中所涉及的服務(wù)端口,防止惡意用戶通過部分端口漏洞對(duì)應(yīng)用服務(wù)進(jìn)行非法攻擊。
(7)應(yīng)用服務(wù)授權(quán)管理
捷普服務(wù)器群組防護(hù)系統(tǒng)提供了基于應(yīng)用服務(wù)地址、應(yīng)用服務(wù)端口、WEB應(yīng)用服務(wù)目錄、WEB應(yīng)用服務(wù)資源文件、訪問方式等進(jìn)行細(xì)粒度的服務(wù)授權(quán)管理,在涉密信息系統(tǒng)中解決了限制低密級(jí)用戶訪問高密級(jí)應(yīng)用服務(wù)的問題,而高密級(jí)用戶可以只讀性訪問低密級(jí)應(yīng)用服務(wù),但又可以通過訪問方式控制形式,限制高密級(jí)用戶向低密級(jí)應(yīng)用服務(wù)中輸送信息,有效解決了限制高密級(jí)到低密級(jí)數(shù)據(jù)流向安全問題。
(8)網(wǎng)絡(luò)服務(wù)器安全控制
捷普服務(wù)器群組防護(hù)系統(tǒng)通過在應(yīng)用服務(wù)器系統(tǒng)中植入防篡改監(jiān)控程序通過應(yīng)用服務(wù)防篡改保護(hù)機(jī)制對(duì)應(yīng)用服務(wù)所涉及的資源文件進(jìn)行全面安全防護(hù),當(dāng)惡意用戶通過非法手段進(jìn)行數(shù)據(jù)篡改時(shí)可以對(duì)發(fā)生非法篡改的數(shù)據(jù)進(jìn)行及時(shí)恢復(fù),保證應(yīng)用正常可用;
捷普服務(wù)器群組防護(hù)系統(tǒng)的運(yùn)行狀態(tài)監(jiān)測(cè)機(jī)制,通過在應(yīng)用服務(wù)器中植入運(yùn)行狀態(tài)監(jiān)測(cè)客戶端程序,實(shí)時(shí)監(jiān)控服務(wù)器的運(yùn)行狀態(tài),及時(shí)上報(bào)服務(wù)器異常事件如CPU占用過高、內(nèi)存不足、緩沖器溢出、磁盤空間不足、服務(wù)進(jìn)程中斷、服務(wù)端口監(jiān)聽失敗、注冊(cè)表信息篡改、數(shù)據(jù)文件損壞、服務(wù)宕機(jī)、異常關(guān)機(jī)和重啟等事件,方便管理員及時(shí)作出判斷和解決方案。
捷普服務(wù)器群組防護(hù)系統(tǒng)非法訪問者檢測(cè)機(jī)制能夠在事件發(fā)生前進(jìn)行服務(wù)器風(fēng)險(xiǎn)行為檢測(cè)、分析和限制,能夠更加有效的對(duì)應(yīng)用防護(hù)起到保護(hù)效果。
(9)訪問監(jiān)測(cè)和鎖定控制
捷普服務(wù)器群組防護(hù)系統(tǒng)訪問監(jiān)測(cè)機(jī)制針對(duì)用戶的應(yīng)用服務(wù)訪問行為進(jìn)行訪問事件的全程審計(jì)記錄,系統(tǒng)記錄用戶對(duì)應(yīng)用服務(wù)資源的訪問,非法的訪問,,并以聲光或文字或聲音等形式報(bào)警,以引起網(wǎng)絡(luò)管理員的注意。如果有試圖對(duì)應(yīng)用服務(wù)發(fā)起攻擊的行為,系統(tǒng)會(huì)自動(dòng)記錄嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù),如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值,那么該賬戶將被自動(dòng)鎖定。
(10)訪問客戶端的準(zhǔn)入控制
捷普服務(wù)器群組防護(hù)系統(tǒng)通過將客戶端物理地址和IP地址的綁定,限定只能在指定的主機(jī)進(jìn)行應(yīng)用服務(wù)訪問,同時(shí)增加用戶證書Ukey的校驗(yàn)機(jī)制,為每個(gè)授權(quán)用戶分配唯一的身份key,這樣在只獲得用戶賬戶和密碼信息,而沒有授權(quán)Ukey的條件用,仍然無法通過身份鑒別獲得訪問權(quán)。在用戶訪問結(jié)束后,拔出Ukey系統(tǒng)則立即關(guān)閉該賬戶會(huì)話活動(dòng),直到下次重新插入U(xiǎn)key后才能繼續(xù)訪問。
另外捷普服務(wù)器群組防護(hù)系統(tǒng)針對(duì)應(yīng)用服務(wù)的訪問客戶端提供系統(tǒng)版本、注冊(cè)表、進(jìn)程、服務(wù)端口、文件等全方位的安全評(píng)估方案,在系統(tǒng)接入進(jìn)行應(yīng)用服務(wù)訪問前,對(duì)設(shè)定的安全項(xiàng)目進(jìn)行依次排查,防止帶有病毒,木馬及存在潛在安全風(fēng)險(xiǎn)的計(jì)算機(jī)(如未安裝防火墻及殺毒軟件終端設(shè)備、存在嚴(yán)重系統(tǒng)漏洞的終端設(shè)備、未啟用有效的桌面監(jiān)管終端設(shè)備等),防止這類具有威脅性的終端接入網(wǎng)絡(luò)對(duì)應(yīng)用服務(wù)進(jìn)行訪問時(shí)造成病毒擴(kuò)散或系統(tǒng)破壞。
(11)數(shù)據(jù)流向安全控制
捷普服務(wù)器群組防護(hù)系統(tǒng)中的郵件安全控制模塊,在賬戶建立時(shí)即根據(jù)用戶安全等級(jí)進(jìn)行密級(jí)標(biāo)識(shí),用戶在進(jìn)行郵件收發(fā)時(shí)將受到服務(wù)器組防護(hù)系統(tǒng)的嚴(yán)格管控,只有低密級(jí)用戶可向高密級(jí)用戶發(fā)送郵件,而高密級(jí)用戶不能向低密級(jí)用戶發(fā)送郵件。另外所有轉(zhuǎn)發(fā)的郵件都將受到嚴(yán)密的內(nèi)容審計(jì),一些含有涉密內(nèi)容的郵件,將被篩選出來便于保密人員對(duì)這些信息的流向進(jìn)行跟蹤和追查。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護(hù)解決方案
本文網(wǎng)址:http://m.hanmeixuan.com/html/support/1112156919.html
相關(guān)文章
