WebST 应用安全平台简介
22
WebST WebST 应应应应应应应应 应应应应应应应应
description
WebST 应用安全平台简介. WebST 应 用 安 全 平 台 简 介. 1. WebST 市场定位 2. 应用安全新观念 3. WebST 技术框架 4. 应用安全服务模型 5. WebST 技术价值 6. 应用安全业务模式 7. WebST 未来技术发展. 目 录. 清华得实网络安全技术有限公司. WebSEAL NetSEAL. 应用层. 应用层. 表示层. 表示层. 会话层. 会话层. 传输层. 传输层. FW-1. 网络层. 网络层. 链路层. 链路层. NetST. 物理层. - PowerPoint PPT Presentation
Transcript of WebST 应用安全平台简介
WebST WebST 应用安全平台简介应用安全平台简介WebST WebST 应用安全平台简介应用安全平台简介
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
目
录
目
录
目
录
目
录
1. 1. WebST WebST 市场定位市场定位
2. 2. 应用安全新观念应用安全新观念
3. 3. WebST WebST 技术框架技术框架
4. 4. 应用安全服务模型应用安全服务模型
5. 5. WebST WebST 技术价值技术价值
6. 6. 应用安全业务模式应用安全业务模式
7. 7. WebST WebST 未来技术发展未来技术发展
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
WebST
WebST
市
场
定
位
市
场
定
位
WebST
WebST
市
场
定
位
市
场
定
位
身份认证身份认证访问控制访问控制数据保密数据保密数据完整数据完整
端到端的加密端到端的加密
防火墙防火墙 , , IPIP 加密信道加密信道
点到点链路加密点到点链路加密
安全物理信道安全物理信道
防止系统破坏防止系统破坏防止系统破坏防止系统破坏
防范信息失密防范信息失密防范信息失密防范信息失密
WebSEALWebSEALNetSEALNetSEAL
FW-1FW-1
NetSTNetST链路层链路层链路层链路层 链路层链路层链路层链路层
网络层网络层网络层网络层 网络层网络层网络层网络层
传输层传输层传输层传输层 传输层传输层传输层传输层
会话层会话层会话层会话层 会话层会话层会话层会话层
表示层表示层表示层表示层 表示层表示层表示层表示层
应用层应用层应用层应用层 应用层应用层应用层应用层
物理层物理层物理层物理层
物理介质物理介质
物理层物理层物理层物理层 ……......
1.1.1.1.
应
用
安
全
新
观
念
应
用
安
全
新
观
念
应
用
安
全
新
观
念
应
用
安
全
新
观
念
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
2.2.2.2.2.1 2.1 必要性必要性
2.2 2.2 服务标准化服务标准化
2.3 2.3 应用安全平台应用安全平台
2.4 2.4 支持企业级计算支持企业级计算
2.5 2.5 安全行政管理安全行政管理
应
用
安
全
必
要
性
应
用
安
全
必
要
性
应
用
安
全
必
要
性
应
用
安
全
必
要
性
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
2.12.12.12.1信息安全主要依靠网络安全、操作信息安全主要依靠网络安全、操作系统安全、数据库安全、防病毒、系统安全、数据库安全、防病毒、防黑客等安全技术,应用系统无须防黑客等安全技术,应用系统无须专门的安全功能专门的安全功能。。
在网络安全、操作系统安全、数据在网络安全、操作系统安全、数据库安全、防病毒、防黑客等安全技库安全、防病毒、防黑客等安全技术基础上,使应用系统具有完备的术基础上,使应用系统具有完备的安全功能,是安全功能,是保证信息安全的最终保证信息安全的最终手段。手段。
应用安全服务标准化
应用安全服务标准化
应用安全服务标准化
应用安全服务标准化
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
2.22.22.22.2应用系统的安全功能需要自行设计应用系统的安全功能需要自行设计开发。由于设计差异,导致系统各开发。由于设计差异,导致系统各模块安全强度参差不齐;安全服务模块安全强度参差不齐;安全服务因应用系统的差别而难以标准化。因应用系统的差别而难以标准化。
应用系统应应用系统应使用标准化的安全服务使用标准化的安全服务,,而不是自己开发,保证系统各部分而不是自己开发,保证系统各部分安全强度的一致性;安全服务可以安全强度的一致性;安全服务可以独立于应用系统,并且与应用系统独立于应用系统,并且与应用系统实现无缝集成。实现无缝集成。
应
用
安
全
平
台
应
用
安
全
平
台
应
用
安
全
平
台
应
用
安
全
平
台
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
2.32.32.32.3开发应用系统的安全功能需要第三开发应用系统的安全功能需要第三方提供的方提供的 APIAPI ,,应用安全功能难于应用安全功能难于管理、维护,不适应用户安全需求管理、维护,不适应用户安全需求的变化。的变化。
应用系统应建立在应用系统应建立在统一的安全运行统一的安全运行和管理平台和管理平台上,通过平台技术的支上,通过平台技术的支持对安全规则进行配置、管理和维持对安全规则进行配置、管理和维护,适应用户需求的不断变化。护,适应用户需求的不断变化。
应用安全应支持企业级计算
应用安全应支持企业级计算
应用安全应支持企业级计算
应用安全应支持企业级计算
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
2.42.42.42.4通过高性能的硬件、网通过高性能的硬件、网络、络、 OSOS 、、 DBMSDBMS 等支持企业级计等支持企业级计算,与应用系统的安全功能无关。算,与应用系统的安全功能无关。
应用安全管理和运行平台必须应用安全管理和运行平台必须支持支持企业级计算环境企业级计算环境,提供复杂的安全,提供复杂的安全规则配置、动态复制、并行容错等规则配置、动态复制、并行容错等技术,确保应用系统不间断运行。技术,确保应用系统不间断运行。
安
全
行
政
管
理
安
全
行
政
管
理
安
全
行
政
管
理
安
全
行
政
管
理
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
2.52.52.52.5应用系统的安全主要依靠技术手段应用系统的安全主要依靠技术手段来保证,行政管理的措施只是辅助来保证,行政管理的措施只是辅助手段。手段。
应用安全是用户安全策略的实现,应用安全是用户安全策略的实现,安全行政管理与安全技术密切相关,安全行政管理与安全技术密切相关,相辅相成。相辅相成。
应
用
安
全
新
观
念
应
用
安
全
新
观
念
应
用
安
全
新
观
念
应
用
安
全
新
观
念
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
2.62.62.62.6
• 应用系统完备的安全功能,是应用系统完备的安全功能,是保证信息保证信息 安全的最终手段安全的最终手段。。
小 结小 结
• 应用系统应使用应用系统应使用标准化的安全服务标准化的安全服务,避免,避免 自行开发。自行开发。• 应用系统需要统一的应用系统需要统一的安全运行和管理平台安全运行和管理平台。。• 应用系统的安全功能应应用系统的安全功能应支持企业级计算支持企业级计算。。• 应用安全技术与安全行政管理相辅相成。应用安全技术与安全行政管理相辅相成。
WebST
WebST
技
术
框
架
技
术
框
架 WebST
WebST
技
术
框
架
技
术
框
架
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
3333
应
用
安
全
服
务
模
型
应
用
安
全
服
务
模
型
应
用
安
全
服
务
模
型
应
用
安
全
服
务
模
型
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
4444 安全服务安全服务安全服务安全服务系统用户系统用户系统用户系统用户 应用服务资源应用服务资源应用服务资源应用服务资源
安全管理程序安全管理程序安全管理程序安全管理程序应用安全应用安全
管理运行平台管理运行平台
WebST
WebST
技
术
价
值
技
术
价
值 WebST
WebST
技
术
价
值
技
术
价
值
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
55555.1 5.1 WebST WebST 安全特性安全特性
5.2 5.2 WebWeb 服务资源门户技术——灵巧连接服务资源门户技术——灵巧连接
5.3 5.3 访问控制的复杂度访问控制的复杂度
5.4 5.4 第一代访问控制技术——二维矩阵第一代访问控制技术——二维矩阵
5.5 5.5 第二代访问控制技术——稀疏矩阵第二代访问控制技术——稀疏矩阵
5.6 5.6 动态动态 WebWeb 页面的访问控制技术页面的访问控制技术
5.7 5.7 WebSTWebST 身份传递技术身份传递技术
WebST
WebST
安
全
特
性
安
全
特
性 WebST
WebST
安
全
特
性
安
全
特
性
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
5.15.15.15.1
J avaConsol e管 理 控 制 台
J avaConsol e管 理 控 制 台
WebST安 全 服 务 器WebST
安 全 服 务 器 用 户数 据 库用 户
数 据 库
ACL数 据 库
ACL数 据 库
应 用 服 务应 用 服 务
NetSEAL
WebSEAL应 用 安 全管 理 系 统
......
NetSEAL
WebSEAL应 用 安 全管 理 系 统
......
应 用客 户 端应 用
客 户 端
双向身双向身份认证份认证
认证认证
Access
访问凭证访问凭证
访问请求访问请求访问凭证访问凭证
访问控制访问控制
访问资源访问资源安全通道安全通道
安全管理安全管理安全管理安全管理
安全审计安全审计
Web
Web
服务资源门户技术
服务资源门户技术
Web
Web
服务资源门户技术
服务资源门户技术
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
5.25.25.25.2
灵巧连接灵巧连接
安全通道安全通道
Web浏 览 器
www. s1. abc. com
www. s2. abc. com
www. s3. abc. com
http://www.s1.abc.com
http://www.s2.abc.com
http://www.s3.abc.com
http://www.webst.abc.com/s1
http://www.webst.abc.com/s2
http://www.webst.abc.com/s3
WebSTWebSEAL
www.webst.abc.com
灵巧连接 灵巧连接 Smart JunctionSmart Junction —— —— 统一统一 WebWeb 空空间间
访
问
控
制
复
杂
度
访
问
控
制
复
杂
度
访
问
控
制
复
杂
度
访
问
控
制
复
杂
度
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
5.35.35.35.3 • 应用系统的安全策略主要由应用系统的安全策略主要由访问控制访问控制规则实现。规则实现。• 访问控制访问控制的复杂度由的复杂度由用户角色用户角色、、应用资源访问控制点应用资源访问控制点和和 访问权限类型访问权限类型决定:决定:
用户角色 用户角色 = = PP 应用资源访问控制点 应用资源访问控制点 = = CC 访问权限类型 访问权限类型 = = RR极限极限访问授权访问授权复杂度复杂度 = = PP × × CC × × RR
• WebWeb 应用模式大幅增加应用模式大幅增加应用资源控制点应用资源控制点的数量:的数量:
• 当前的技术手段使访问控制规则的实施当前的技术手段使访问控制规则的实施没有捷径没有捷径!!• 采用编程方式实现访问控制,占应用开发成本采用编程方式实现访问控制,占应用开发成本 1/3~1/21/3~1/2 。。• 访问控制规则的维护和变更成为捆饶访问控制规则的维护和变更成为捆饶系统维护的难题系统维护的难题。。
……......……......
……......
……......
……......
第一代访问控制技术
第一代访问控制技术
第一代访问控制技术
第一代访问控制技术
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
5.45.45.45.4
……......
二维矩阵访问控制二维矩阵访问控制
C1C1
lr-x
-r-x
-rwx C2C2
lr-x
-r-x
-rwx
C3C3
lr-x
lr- -
C4C4
lr-x
-r-x
-rwx
C5C5
-rwx
-r-x
-rwx
C6C6
lrwx
lr- -
……......
……......lrwx
……......
……......
……......
……......
lrwx
lr-x lr-x lr-x lr-x -rwx lrwx
-r-x -r-x - - - - -r-x -r-x - - - --rwx -rwx lr- - -rwx -rwx lr- -
- - - - - - - - lrwx - - - - - - - - lrwx
P1P1
P2P2
P3P3
P4P4
C1C1C1C1 C2C2C2C2 C3C3C3C3 C4C4C4C4 C5C5C5C5 C6C6C6C6
l=list r=read w=write
- =disablex=execute
P1P1
P2P2
P3P3
P4P4
第二代访问控制技术
第二代访问控制技术
第二代访问控制技术
第二代访问控制技术
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
5.55.55.55.5
……......
稀疏矩阵访问控制稀疏矩阵访问控制
C1C1
C2C2
C3C3
C4C4
C5C5
C6C6
……......
……......
……......
……......
……......
……......
lr-x
lr-x
lr-x
lr-x -rwx
lrwx
-r-x
-r-x -r-x
-r-x
-rwx
-rwx -rwx
-rwxlr- -
lr- -
lrwx
lrwx
lr-xlr-x --rwxrwx lrwxlrwx
--r-xr-x -- -- -- ----rwxrwx lr-lr- --
-- -- -- -- lrwxlrwx
P1P1
P2P2
P3P3
P4P4
C1C1C1C1 C2C2C2C2 C3C3C3C3 C4C4C4C4 C5C5C5C5 C6C6C6C6
l=list r=read w=write
- =disablex=execute
P1P1
P2P2
P3P3
P4P4
ACLACLACLACL 继承关系继承关系继承关系继承关系
ACLACL 规则规则ACLACL 规则规则
动态动态W
ebW
eb
页面访问控制技
页面访问控制技
术 术
动态动态W
ebW
eb
页面访问控制技
页面访问控制技
术 术
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
5.65.65.65.6 WebWeb 浏览器浏览器WebWeb 浏览器浏览器 WebWeb 服务器服务器WebWeb 服务器服务器
动态动态WebWeb页面页面
DataBaseDataBaseDataBaseDataBase
SQL ServerSQL ServerSQL ServerSQL Server
SQLSQL
abc.aspabc.aspabc.aspabc.asp
RequestRequest
a=a=200200a=a=200200
a=a=300300a=a=300300
a=a=100100a=a=100100
http://abc.asphttp://abc.aspa=xxxa=xxx
http://abc.asphttp://abc.aspa=xxxa=xxx
CCCC
访问控制点 C —— 动态 URL映射
假设 a = { 100, 200, 300, …… }
当 a = 100 时:
当 a = 200 时:
当 a = 300 时:
…...
访问控制点 C —— 动态 URL映射
假设 a = { 100, 200, 300, …… }
当 a = 100 时:
当 a = 200 时:
当 a = 300 时:
…...
身
份
传
递
技
术
身
份
传
递
技
术
身
份
传
递
技
术
身
份
传
递
技
术
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
5.75.75.75.7
双向身双向身份认证份认证
认证认证
访问控制访问控制httphttp 请求请求httphttp 请求请求
Access
Web浏 览 器
Web浏 览 器
Access
访问凭证访问凭证
httphttp 请求请求用户身份用户身份httphttp 请求请求用户身份用户身份
Web服 务 器
Web服 务 器
WebST安 全 服 务 器WebST
安 全 服 务 器用 户
数 据 库
ACL数 据 库
WebSEAL应 用 安 全管 理 系 统
WebSEAL应 用 安 全管 理 系 统
WebST
WebST
技
术
价
值
技
术
价
值
WebST
WebST
技
术
价
值
技
术
价
值
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
5.85.85.85.8 • 为应用系统提供安全运行和管理平台为应用系统提供安全运行和管理平台• 统一用户管理,双向身份认证服务统一用户管理,双向身份认证服务• Internet/Intranet/ExtranetInternet/Intranet/Extranet 访问控制标准访问控制标准• 完全支持完全支持 B/W/DB/W/D 三层应用模式,与三层应用模式,与 WebWeb 应用无缝集成应用无缝集成• ACLACL 技术支持复杂访问控制规则的配置、变更和维护技术支持复杂访问控制规则的配置、变更和维护• 首创稀疏矩阵技术,简化访问控制规则的管理首创稀疏矩阵技术,简化访问控制规则的管理• 首创动态首创动态 URLURL映射技术,实现动态映射技术,实现动态 WebWeb 页面的访问控页面的访问控制制• 向连接的向连接的 WebWeb 服务器传递已认证用户的身份服务器传递已认证用户的身份• JavaConsoleJavaConsole 安全管理控制台,集中的可视化安全管理安全管理控制台,集中的可视化安全管理• 提供密码接口,集成第三方的高强度加密算法 提供密码接口,集成第三方的高强度加密算法 • 完善的安全审计完善的安全审计
Web
ST
W
ebS
T
未来发展方向
未来发展方向
Web
ST
W
ebS
T
未来发展方向
未来发展方向
WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介WebST WebST 应 用 安 全 平 台 简 介应 用 安 全 平 台 简 介
7777 • 完善对完善对 PKIPKI公钥认证体系的支持 —— 电子商务应公钥认证体系的支持 —— 电子商务应用用• 支持支持 LDAPLDAP目录服务 —— 海量目录服务 —— 海量 InternetInternet 用户用户• 智能安全策略规划 —— 自动产生智能安全策略规划 —— 自动产生 ACLACL 和动态和动态 URLURL
• 开发开发 Auth-ScriptAuth-Script 语言 —— 描述访问控制规则语言 —— 描述访问控制规则• 完善完善 AuthAPI —— TCP/IPAuthAPI —— TCP/IP 应用的细粒度访问控制应用的细粒度访问控制• 开发开发 ObjectSEAL —— ObjectSEAL —— 对对 CORBACORBA 对象的访问控制对象的访问控制• 开发开发 MQSEAL —— MQSEAL —— 对对 MQMQ 对象的访问控制对象的访问控制• 开发开发 DBSEAL —— DBSEAL —— 对数据库对象的访问控制对数据库对象的访问控制• 开发开发 NotesSEAL —— NotesSEAL —— 对对 Lotus NotesLotus Notes 对象的访问控对象的访问控制制
