WebST 应用安全平台简介

WebST 应用安全平台简介

WebST 应用安全平台简介 1. WebST 市场定位 2. 应用安全新观念 3. WebST 技术框架 4. 应用安全服务模型 5. WebST 技术价值 6. 应用安全业务模式 7. WebST 未来技术发展目录清华得实网络安全技术有限公司

WebSEAL NetSEAL 应用层应用层表示层表示层会话层会话层传输层传输层 FW-1 网络层网络层链路层链路层 NetST 物理层物理层物理介质 WebST 应用安全平台简介 1. 防范信息失密 WebST 市场定位身份认证访问控制数据保密数据完整端到端的加密防火墙, IP加密信道点到点链路加密安全物理信道 …... 防止系统破坏清华得实网络安全技术有限公司

WebST 应用安全平台简介 2. 2.1 必要性 2.2 服务标准化 2.3 应用安全平台 2.4 支持企业级计算 2.5 安全行政管理应用安全新观念清华得实网络安全技术有限公司

WebST 应用安全平台简介 2.1 信息安全主要依靠网络安全、操作系统安全、数据库安全、防病毒、防黑客等安全技术，应用系统无须专门的安全功能。应用安全必要性在网络安全、操作系统安全、数据库安全、防病毒、防黑客等安全技术基础上，使应用系统具有完备的安全功能，是保证信息安全的最终手段。清华得实网络安全技术有限公司

WebST 应用安全平台简介 2.2 应用系统的安全功能需要自行设计开发。由于设计差异，导致系统各模块安全强度参差不齐；安全服务因应用系统的差别而难以标准化。应用安全服务标准化应用系统应使用标准化的安全服务，而不是自己开发，保证系统各部分安全强度的一致性；安全服务可以独立于应用系统，并且与应用系统实现无缝集成。清华得实网络安全技术有限公司

WebST 应用安全平台简介 2.3 开发应用系统的安全功能需要第三方提供的API，应用安全功能难于管理、维护，不适应用户安全需求的变化。应用安全平台应用系统应建立在统一的安全运行和管理平台上，通过平台技术的支持对安全规则进行配置、管理和维护，适应用户需求的不断变化。清华得实网络安全技术有限公司

WebST 应用安全平台简介 2.4 通过高性能的硬件、网络、OS、DBMS等支持企业级计算，与应用系统的安全功能无关。应用安全应支持企业级计算应用安全管理和运行平台必须支持企业级计算环境，提供复杂的安全规则配置、动态复制、并行容错等技术，确保应用系统不间断运行。清华得实网络安全技术有限公司

WebST 应用安全平台简介 2.5 应用系统的安全主要依靠技术手段来保证，行政管理的措施只是辅助手段。安全行政管理应用安全是用户安全策略的实现，安全行政管理与安全技术密切相关，相辅相成。清华得实网络安全技术有限公司

WebST 应用安全平台简介 2.6 小结应用安全新观念 • 应用系统完备的安全功能，是保证信息 • 安全的最终手段。 • 应用系统应使用标准化的安全服务，避免 • 自行开发。 • 应用系统需要统一的安全运行和管理平台。 • 应用系统的安全功能应支持企业级计算。 • 应用安全技术与安全行政管理相辅相成。清华得实网络安全技术有限公司

WebST 应用安全平台简介 3 WebST 技术框架清华得实网络安全技术有限公司

应用安全 管理运行平台安全管理程序安全服务 WebST 应用安全平台简介 4 系统用户应用服务资源应用安全服务模型清华得实网络安全技术有限公司

WebST 应用安全平台简介 5 5.1 WebST 安全特性 5.2 Web服务资源门户技术——灵巧连接 5.3 访问控制的复杂度 5.4 第一代访问控制技术——二维矩阵 5.5 第二代访问控制技术——稀疏矩阵 5.6 动态Web页面的访问控制技术 5.7 WebST身份传递技术 WebST 技术价值清华得实网络安全技术有限公司

访问凭证 WebST 应用安全平台简介 5.1 WebST 安全特性认证双向身份认证安全管理访问控制访问请求访问凭证安全通道访问资源安全审计清华得实网络安全技术有限公司

www.webst.abc.com 安全通道灵巧连接 WebST 应用安全平台简介 5.2 灵巧连接 Smart Junction —— 统一Web空间 Web服务资源门户技术 http://www.s1.abc.com http://www.webst.abc.com/s1 http://www.s2.abc.com http://www.webst.abc.com/s2 http://www.s3.abc.com http://www.webst.abc.com/s3 清华得实网络安全技术有限公司

…... …... …... …... …... WebST 应用安全平台简介 • 应用系统的安全策略主要由访问控制规则实现。 5.3 • 访问控制的复杂度由用户角色、应用资源访问控制点和 • 访问权限类型决定： • 用户角色 = P应用资源访问控制点 = C访问权限类型 = R • 极限访问授权复杂度= P × C × R 访问控制复杂度 • Web应用模式大幅增加应用资源控制点的数量： • 当前的技术手段使访问控制规则的实施没有捷径！ • 采用编程方式实现访问控制，占应用开发成本1/3~1/2。 • 访问控制规则的维护和变更成为捆饶系统维护的难题。清华得实网络安全技术有限公司

lrwx -rwx lr-x lr-x lr-x lr-x -r-x -r-x -r-x -r-x …... …... …... -rwx -rwx lr-- lr-- -rwx -rwx C4 C3 C6 C2 C1 C5 l=list r=read w=write x=execute -=disable lrwx lrwx C1 C2 C3 C4 C5 C6 P1 P1 lr-x lr-x lr-x lr-x -rwx lrwx P2 P2 -r-x -r-x ---- -r-x -r-x ---- P3 P3 -rwx -rwx lr-- -rwx -rwx lr-- P4 P4 ---- ---- lrwx ---- ---- lrwx WebST 应用安全平台简介二维矩阵访问控制 5.4 第一代访问控制技术 …... …... …... …... 清华得实网络安全技术有限公司

lr-x lr-x lr-x -rwx lrwx lr-x -r-x -r-x -r-x -r-x …... …... …... -rwx lr-- lr-- -rwx -rwx -rwx C2 C1 C6 C5 C4 C3 l=list r=read w=write x=execute -=disable lrwx lrwx C1 C2 C3 C4 C5 C6 P1 P1 lr-x -rwx lrwx P2 P2 -r-x ---- P3 P3 -rwx lr-- P4 P4 ---- lrwx WebST 应用安全平台简介 5.5 稀疏矩阵访问控制第二代访问控制技术 …... ACL 继承关系 …... …... ACL规则 …... 清华得实网络安全技术有限公司

SQL Server Request http://abc.asp a=xxx SQL DataBase 访问控制点C —— 动态URL映射假设 a = { 100, 200, 300, …… } 当 a = 100 时：当 a = 200 时：当 a = 300 时： …... a=100 动态Web页面 a=200 a=300 WebST 应用安全平台简介 5.6 Web浏览器 Web服务器动态Web页面访问控制技术 C abc.asp 清华得实网络安全技术有限公司

访问凭证 访问控制 http请求 http请求用户身份 WebST 应用安全平台简介 5.7 认证身份传递技术双向身份认证清华得实网络安全技术有限公司

WebST 应用安全平台简介 • 为应用系统提供安全运行和管理平台 • 统一用户管理，双向身份认证服务 • Internet/Intranet/Extranet访问控制标准 • 完全支持B/W/D三层应用模式，与Web应用无缝集成 • ACL技术支持复杂访问控制规则的配置、变更和维护 • 首创稀疏矩阵技术，简化访问控制规则的管理 • 首创动态URL映射技术，实现动态Web页面的访问控制 • 向连接的Web服务器传递已认证用户的身份 • JavaConsole安全管理控制台，集中的可视化安全管理 • 提供密码接口，集成第三方的高强度加密算法 • 完善的安全审计 5.8 WebST 技术价值清华得实网络安全技术有限公司

WebST 应用安全平台简介 7 • 完善对PKI公钥认证体系的支持 —— 电子商务应用 • 支持LDAP目录服务 —— 海量Internet用户 • 智能安全策略规划 —— 自动产生ACL和动态URL • 开发Auth-Script语言 —— 描述访问控制规则 • 完善AuthAPI —— TCP/IP应用的细粒度访问控制 • 开发ObjectSEAL —— 对CORBA对象的访问控制 • 开发MQSEAL —— 对MQ对象的访问控制 • 开发DBSEAL —— 对数据库对象的访问控制 • 开发NotesSEAL —— 对Lotus Notes对象的访问控制 WebST 未来发展方向清华得实网络安全技术有限公司

WebST 应用安全平台简介

WebST 应用安全平台简介

Presentation Transcript