[发明专利]一种用于保障信息安全的前置安全系统

说明书

技术领域

本发明涉及信息安全领域，特别是涉及一种用于保障信息安全的前置安全系统。

背景技术

目前，很多重要的信息系统已经或开始由早期的大机系统转向开放的B/S计算模式，这些系统有着典型的三层应用结构，如图1所示。其中，应用服务器接受客户终端的业务服务请求和操作，完成业务逻辑，将业务相关的数据操作转化为对数据/存储系统上数据库的访问，并将业务服务结果返回给客户终端。

现实中，具有图1结构的应用系统往往具备以下特征和安全挑战：

1.应用之间难以隔离，系统之间不存在明显的物理和网络层面界限。这是因为，对于一个较大型的信息系统，一方面，多个业务应用可能共同运行在同一个应用服务器上，另一方面，有些单个业务应用可能同时分布运行在多个应用服务器上，同时，客户终端根据业务操作人员的业务需要可能访问不同的应用，因此应用系统应用安全保护不可能通过简单的物理或网络隔离来实现，例如通过防火墙或其他网络隔离设备来提供安全保护功能，而必须在应用层面对不同的应用加以识别、隔离和保护。

2.应用系统在开发和建设过程中，可能会存在安全需求考虑不周、安全设计不全面以及应用开发编码欠完善的情况，这些都会给用户应用系统带来安全漏洞和安全风险，但是对于关键应用系统，由于其业务连续性要求，对这些系统的安全改进只能采取一种平滑和兼容的方式。另外，在B/S应用结构下，业务应用的核心相对偏重于应用服务一端，业务逻辑、业务数据等主要在应用服务一方处理和保存，客户端主要任务是业务操作发起、业务数据返回显示等工作。

结合上述应用特征，在B/S应用结构中，应用系统的安全保护重点应当放在应用服务端，在应用层面实施应用隔离、身份认证和访问控制等安全保护措施。

发明内容

针对现有技术中存在的缺陷和不足，本发明提出一种前置安全系统，力图在保证用户关键业务运行连续性的前提下，提高业务应用系统的安全性和高可用性，满足国家信息安全等级保护制度和相关技术标准的要求。

为了实现上述目的，本发明提出一种用于保障信息安全的前置安全系统，连接在客户终端和服务器之间，所述前置安全系统包括：安全代理模块，安全传输模块，身份认证模块，访问控制模块，单点登录模块，配置管理模块、安全审计模块，应用转发模块；

其中，所述安全代理模块用于通过透明安全代理减少对用户应用操作模式的改变，保证安全和应用的兼容一致性；

所述安全传输模块用于支持SSL协议，并基于SSL协议在客户终端和前置安全系统之间建立安全传输通道，保证身份认证、业务敏感数据等重要信息在网络传输中的保密性及完整性；

所述身份认证模块用于实现基于证书的身份认证功能；

所述访问控制模块用于支持基于角色的应用访问控制，支持根据应用及其信息的重要性或敏感程度分配相应的安全标记，并基于这些安全标记实施强制型访问控制，满足等级保护技术要求；

所述安全审计模块用于对用户的应用服务请求和操作及其结果进行记录，并将审计记录结果及时发送至安全审计中心；

所述单点登录模块用于在用户在通过了身份认证后，无需对其每个应用进行身份认证；

所述应用转发模块用于在应用服务器因故障时，自动将用户的应用服务请求和操作转接到其它提供同类服务的应用服务器上。

作为上述技术方案的优选，所述前置安全系统还包括：防止DoS/DDoS攻击模块，基于角色的网络传输控制模块，内置LDAP服务模块。

作为上述技术方案的优选，多个所述前置安全系统能够集群成前置安全系统集群。

作为上述技术方案的优选，多个前置安全系统互为热备，通过网络虚拟技术对外以一个共同的虚拟名称及地址表示。

作为上述技术方案的优选，将多个所述前置安全系统中的一个作为正常情况下运行的主设备，其它的作为主设备故障时接管主设备的从设备。

作为上述技术方案的优选，所述前置安全系统支持UNIX系统平台和Linux系统平台。

本发明提出的前置安全系统通过透明接入的方式放置在应用服务器之间，所有访问应用服务器的访问请求都必须通过前置系统。在不改变任何用户操作的同时，前置安全系统将应用服务器完全置于其保护之下。通过在信息系统中使用本发明的前置安全系统，应用系统可以实现如下的安全功能：

1.人员和设备认证