久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

　涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護解決方案

　解決好涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護問題，就是要對需要訪問應(yīng)用服務(wù)的用戶或客戶端實行有效的訪問控制和授權(quán)管理，對未授權(quán)的用戶及客戶端進行有效的訪問限制;為每個訪問的用戶指定可訪問的應(yīng)用服務(wù)，限定訪問的范圍，杜絕越權(quán)的訪問行為;而這種訪問授權(quán)的機制必須安全、可控而靈活。

　同時針對應(yīng)用服務(wù)的安全防護應(yīng)當是立體的，多層次的防護體系。從鏈路層的地址綁定，網(wǎng)絡(luò)層的訪問控制，傳輸層的鏈路加密，會話層的身份認證，應(yīng)用層的訪問授權(quán)和準入控制，構(gòu)建成一個完整的應(yīng)用安全的體系結(jié)構(gòu)。構(gòu)建一個應(yīng)用服務(wù)防護的安全體系，我們需要從以下幾方面來進行考慮：

　(1)實施單點登錄機制

　統(tǒng)一的單點登錄機制要求用戶在訪問任何應(yīng)用服務(wù)前，都需要通過一個統(tǒng)一且唯一的訪問入口進入，在該入口進行用戶認證和身份鑒別，對未經(jīng)用戶認證及身份鑒別的用戶將不允許其訪問應(yīng)用服務(wù)，而對通過用戶認證和身份鑒別的用戶才會獲取到訪問應(yīng)用服務(wù)的授權(quán)牌，在這個授權(quán)牌中標識了用戶的身份信息、訪問有效期限、安全等級、可訪問的應(yīng)用服務(wù)名稱以及允許采用的訪問方式。由此完成了針對訪問用戶的單點登錄。

　(2)實施統(tǒng)一的用戶管理機制

　實施統(tǒng)一的安全管理能夠避免用戶在使用多套賬戶口令時由于遺忘而無法訪問，同時統(tǒng)一用戶授權(quán)，能夠有效避免由于在不同應(yīng)用服務(wù)中授權(quán)不一，用戶密級不統(tǒng)一，而形成潛在的泄密風險。另外統(tǒng)一的用戶管理有助于管理員及時了解賬戶的活動狀態(tài)，及時清理過期或無效的賬戶信息，保證賬戶信息的準確。

　3)數(shù)據(jù)級安全防護措施

　由于TCP/IP自身的性質(zhì)決定了各種數(shù)據(jù)在傳輸?shù)倪^程中都是以明文形式進行的，這就使數(shù)據(jù)在傳輸過程中存在極大的安全風險。如果不加防護，網(wǎng)絡(luò)攻擊者可以輕易地截獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，甚至對其進行修改和破壞。這時就需要SSL VPN數(shù)據(jù)級的安全防護措施，即借助于專業(yè)的SSL VPN加密隧道技術(shù)對數(shù)據(jù)進行加密以確保數(shù)據(jù)的保密性和完整性。

　(4)用戶級安全防護措施

　用戶級的安全措施主要是指用戶賬戶安全管理。在用戶獲得訪問權(quán)力時用戶全程的訪問活動進行審計，而在他們的訪問權(quán)不再有效時凍結(jié)用戶賬戶。同時對于用戶賬戶的異常使用，如賬戶密碼的嘗試登錄次數(shù)在超過一定閾值后將鎖定用戶賬戶。

　(5)入網(wǎng)訪問控制

　分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入網(wǎng)絡(luò)，對應(yīng)用服務(wù)進行訪問。

　(6)網(wǎng)絡(luò)的訪問控制

　通過訪問控制對訪問中的源IP、源端口、協(xié)議類型、目的IP、目的端口進行關(guān)聯(lián)性策略制定，保證應(yīng)用服務(wù)只向用戶開放在業(yè)務(wù)中所涉及的服務(wù)端口，防止惡意用戶通過部分端口漏洞對應(yīng)用服務(wù)進行非法攻擊。

　(7)應(yīng)用服務(wù)授權(quán)管理

　對應(yīng)用服務(wù)的授權(quán)管理分為：基于應(yīng)用服務(wù)地址的訪問授權(quán)、基于應(yīng)用服務(wù)端口的訪問授權(quán)、基于WEB應(yīng)用服務(wù)目錄的訪問授權(quán)、基于WEB應(yīng)用服務(wù)資源文件的訪問授權(quán)、基于訪問方式的訪問授權(quán)。另外針對應(yīng)用服務(wù)的授權(quán)管理應(yīng)當體現(xiàn)安全級別特點，在涉密信息系統(tǒng)中一些密級等級較高的應(yīng)用服務(wù)應(yīng)限制低密級的用戶對其進行越權(quán)訪問，而一些密級等級較低的應(yīng)用服務(wù)可允許高密級用戶及低密級用戶的訪問。

　(8)網(wǎng)絡(luò)服務(wù)器安全控制

　對服務(wù)器的操作保護是應(yīng)用服務(wù)安全重要保障，防止非法用戶修改、刪除、破壞重要信息或數(shù)據(jù);通過應(yīng)用服務(wù)防篡改保護機制對應(yīng)用服務(wù)中涉及的資源文件進行安全防護，當惡意用戶通過非法手段進行數(shù)據(jù)篡改時可以對發(fā)生非法篡改的數(shù)據(jù)進行及時恢復，保證應(yīng)用正?？捎?非法訪問者檢測機制能夠在事件發(fā)生前進行檢測、分析和限制，能夠更加有效的對應(yīng)用防護起到保護效果。

　(9)訪問監(jiān)測和鎖定控制

　訪問監(jiān)測機制針對用戶的應(yīng)用服務(wù)訪問行為進行訪問事件的審計記錄，系統(tǒng)應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，并以聲光或文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖對應(yīng)用服務(wù)發(fā)起攻擊，系統(tǒng)應(yīng)會自動記錄嘗試進入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該賬戶將被自動鎖定。

　(10)訪問客戶端的準入控制

　訪問客戶端準入機制能夠有效防止盜用賬戶或盜用IP的欺騙式訪問行為，通過將客戶端物理地址和IP地址的綁定，能夠限定只能在指定的主機進行應(yīng)用服務(wù)訪問，通過證書Ukey的控制方式，為每個授權(quán)用戶分配唯一的key，這樣在只獲得用戶賬戶和密碼信息，而沒有授權(quán)Ukey的條件用，仍然無法通過身份鑒別獲得訪問權(quán)。其次針對應(yīng)用服務(wù)的訪問客戶端應(yīng)對其安全性進行評估，防止帶有病毒，木馬及存在潛在安全風險的計算機在對應(yīng)用服務(wù)進行訪問時造成病毒擴散。

　(11)數(shù)據(jù)流向安全控制

　涉密信息系統(tǒng)建設(shè)中數(shù)據(jù)流向安全控制一直受到大家的關(guān)注，通過技術(shù)手段限制高密級數(shù)據(jù)向低密級用戶流動以及限制涉密數(shù)據(jù)向非涉密用戶的流動這將有力保證涉密數(shù)據(jù)的安全。