应 用 安 全 支 撑 平 台 (ASSP ASSP) 2010 年 12 月 1
版 权 声 明 : 本 文 件 中 出 现 的 全 部 内 容, 除 另 有 特 别 注 明, 版 权 均 属 上 海 格 尔 软 件 股 份 有 限 公 司 ( 以 下 简 称 格 尔 软 件 ) 所 有, 未 经 格 尔 软 件 书 面 许 可, 任 何 人 不 得 以 任 何 形 式 擅 自 拷 贝 传 播 复 制 泄 露 本 文 件 的 全 部 或 部 分 内 容 2
目 录 1 背 景...1 2 产 品 概 述...1 2.1 应 用 安 全 支 撑 平 台 系 统 概 述...1 2.2 应 用 安 全 支 撑 平 台 服 务 端 产 品 概 述...1 3 产 品 主 要 功 能...1 4 产 品 特 色...1 4.1 身 份 鉴 别 支 撑 和 安 全 传 输 支 撑...1 4.2 安 全 存 储 支 撑...1 4.3 授 权 管 理 支 撑...1 4.4 签 名 验 证 支 撑...2 4.5 安 全 审 计 支 撑...2 5 产 品 部 署...1 5.1 单 设 备 部 署...1 5.2 双 机 热 备 部 署...1 6 产 品 参 数...1 3
1 产 品 概 述 应 用 安 全 支 撑 平 台 在 用 户 规 划 和 建 设 应 用 系 统 过 程 中, 为 落 实 应 用 的 安 全 要 求 提 供 了 参 考 指 南 和 解 决 规 范 ; 应 用 安 全 支 撑 平 台 在 应 用 的 使 用 和 管 理 过 程 中, 为 方 便 应 用 的 安 全 管 理 提 供 了 可 行 手 段 和 操 作 工 具 应 用 安 全 支 撑 平 台 的 三 个 特 点 : 应 用 安 全 : 应 用 安 全 支 撑 平 台 可 最 大 程 度 的 解 决 各 个 网 络 中 应 用 系 统 存 在 的 安 全 问 题, 使 之 达 到 敏 感 信 息 网 络 的 相 关 安 全 要 求 简 化 管 理 : 应 用 安 全 支 撑 平 台 可 最 大 程 度 的 简 化 管 理 员 对 客 户 终 端 的 安 装 部 署, 应 用 系 统 的 调 整 安 全 策 略 的 调 整 只 需 管 理 员 在 平 台 上 集 中 完 成, 对 所 有 的 用 户 透 明 集 中 统 一 : 应 用 安 全 支 撑 平 台 将 当 前 分 散 的 应 用 安 全 管 理 和 标 准 不 一 的 安 全 问 题 尽 最 大 程 度 的 集 中 在 平 台 上 予 以 解 决, 做 到 应 用 安 全 服 务 集 中 标 准 统 一 成 本 低 廉 安 全 风 险 低 1
2 产 品 参 数 格 尔 应 用 安 全 支 撑 平 台 采 用 专 用 网 络 硬 件 设 备, 产 品 具 有 两 个 型 号 : ASSP-L ASSP-S ASSP-H 设 备 高 度 1u 2u 2u 网 络 接 口 6*100M 6*100M/1000M 8*100M/1000M 工 作 温 度 0 C--40 C 0 C--40 C 0 C--40 C 工 作 湿 度 5%--95% RH, 不 凝 结 5%--95% RH, 不 凝 结 5%--95% RH, 不 并 发 能 力 500 2000 5000 ( 在 线 用 户 数 * 启 动 应 用 数 ) 注 : 上 述 规 格 及 参 数 若 有 变 动 恕 不 另 行 通 知, 请 以 厂 家 提 供 的 最 终 配 置 为 准 3 产 品 主 要 功 能 应 用 安 全 支 撑 平 台 主 要 功 能 包 含 身 份 鉴 别 支 撑 安 全 传 输 支 撑 安 全 存 储 支 撑 授 权 管 理 支 撑 签 名 验 证 支 撑 安 全 审 计 支 撑 等 六 个 部 分 功 能 说 明 身 份 鉴 别 支 撑 实 现 应 用 系 统 用 户 的 身 份 鉴 别, 提 供 强 身 份 认 证 安 全 传 输 支 撑 实 现 应 用 系 统 中 客 户 端 与 服 务 端 连 接 的 数 据 安 全 传 输 安 全 存 储 支 撑 为 应 用 系 统 数 据 的 安 全 存 储 提 供 安 全 支 撑 1
授 权 管 理 支 撑 签 名 验 证 支 撑 提 供 统 一 的 用 户 管 理 和 一 定 粒 度 的 访 问 控 制, 为 应 用 系 统 的 访 问 控 制 与 授 权 管 理 提 供 安 全 支 撑 提 供 签 名 和 验 证 服 务, 为 应 用 数 据 的 防 篡 改 和 抗 抵 赖 提 供 安 全 支 撑 安 全 审 计 支 撑 提 供 全 方 位 的 应 用 访 问 日 志 审 计 和 统 计 服 务 系 统 备 份 恢 复 功 能 双 机 热 备 功 能 多 种 开 发 接 口 支 持 系 统 可 以 备 份 当 前 所 有 配 置, 保 证 系 统 瘫 痪 时 的 快 速 恢 复 高 可 靠 性 提 供 多 种 类 型 的 第 三 方 应 用 开 发 接 口 2
4 产 品 特 色 4.1 身 份 鉴 别 支 撑 和 安 全 传 输 支 撑 结 合 PKI/CA 证 书, 采 用 SSL VPN 协 议 的 应 用 安 全 保 护 方 案, 实 现 用 户 的 强 身 份 认 证 和 数 据 安 全 传 输 将 在 格 尔 原 安 全 认 证 网 关 基 础 上, 研 发 了 透 明 代 理 技 术, 将 该 功 能 集 成 到 平 台 中 ; 并 和 网 盾 配 合, 透 明 的 实 现 强 身 份 认 证 和 安 全 传 输 ; 透 明 代 理 的 安 全 解 决 方 案, 使 应 用 结 合 更 快 捷, 管 理 员 安 装 维 护 更 方 便 ; 安 全 代 理 的 策 略 设 置 需 严 格 进 行 三 权 分 立 管 理 ; 提 供 一 个 应 用 访 问 门 户, 根 据 应 用 的 情 况, 可 增 删 应 用 列 表, 且 在 门 户 里 显 示 相 应 的 应 用 链 接 列 表 另 外, 该 门 户 页 面 可 实 现 必 要 的 用 户 自 配 置 功 能 ( 如 单 位 名 称 显 示 图 片 等 ) 4.2 安 全 存 储 支 撑 结 合 PKI/CA 证 书, 采 用 网 络 安 全 集 中 存 储 与 安 全 分 享 的 数 据 保 护 方 案, 实 现 应 用 数 据 的 安 全 存 储 ( 注 : 仅 限 文 件 类 型 的 应 用 数 据 ) 集 成 网 络 安 全 存 储 功 能 ; 提 供 加 密 存 取 的 开 发 接 口 ( 需 要 应 用 调 用 ); 提 供 客 户 端 控 件, 用 户 在 应 用 客 户 端 程 序 中 上 传 文 件 时, 可 选 择 网 络 安 全 存 储 中 的 相 关 目 录 ; 提 供 服 务 端 接 口, 应 用 可 获 取 用 户 可 阅 文 件 的 链 接 地 址 ( 安 全 存 储 文 件 的 获 取 途 径 ) 4.3 授 权 管 理 支 撑 提 供 统 一 的 授 权 管 理 模 块, 为 应 用 系 统 提 供 授 权 管 理 支 撑 平 台 提 供 独 立 的 应 用 授 权 管 理 模 块 ; 统 一 管 理 用 户 的 详 细 属 性 ( 基 本 属 性 + 扩 展 属 性 ), 为 应 用 的 各 自 授 权 提 供 统 一 的 用 户 属 性 管 理 功 能 ; 统 一 属 性 管 理 功 能 中 注 册 的 部 门 结 构 用 户 属 性, 可 以 对 外 提 供 接 口, 1
供 各 种 应 用 获 取 ; 平 台 为 应 用 提 供 基 本 的 网 络 接 入 授 权, 首 先 非 平 台 注 册 授 权 的 用 户 无 法 接 入 该 网 络 ; 平 台 为 每 一 应 用 提 供 一 定 粒 度 的 访 问 控 制, 为 每 一 应 用 先 做 一 次 用 户 的 访 问 筛 选 ; 授 权 管 理 设 置 需 严 格 进 行 三 权 分 立 管 理 4.4 签 名 验 证 支 撑 为 符 合 应 用 安 全 要 求 的 完 整 性 抗 抵 赖 性, 提 供 签 名 和 验 签 的 功 能, 即 签 名 验 证 支 撑 提 供 签 名 验 证 服 务 模 块 ; 签 名 验 证 支 撑 支 持 多 种 模 式, 满 足 各 种 应 用 数 据 完 整 性 和 抗 抵 赖 的 需 求 ; 如 下 三 种 常 见 模 式 : (1) 客 户 端 数 据 签 名, 客 户 端 数 据 验 证 ;( 常 用 于 数 据 交 换 应 用 ) (2) 客 户 端 数 据 签 名, 服 务 端 数 据 验 证 ;( 常 用 于 客 户 端 的 关 键 操 作 或 提 交 的 关 键 数 据 ) (3) 服 务 端 数 据 签 名, 服 务 端 数 据 验 证 ;( 常 用 于 数 据 备 份 ) 提 供 客 户 端 控 件, 供 应 用 客 户 端 调 用, 完 成 应 用 数 据 和 应 用 操 作 的 签 名 或 数 据 验 证 过 程 ;( 签 名 时 采 用 客 户 端 操 作 者 的 个 人 证 书 进 行 ) 提 供 服 务 端 接 口, 供 应 用 服 务 端 调 用, 采 用 平 台 的 设 备 证 书 进 行 数 据 签 名 操 作 ; 提 供 服 务 端 接 口, 供 应 用 服 务 端 调 用, 进 行 验 证 操 作, 实 现 应 用 的 完 整 性 校 验 数 据 提 交 者 身 份 的 抗 抵 赖 ; 平 台 可 拒 绝 传 输 过 程 中 完 整 性 破 坏 的 数 据, 要 求 发 起 方 进 行 重 发 处 理, 以 进 行 信 息 补 救 4.5 安 全 审 计 支 撑 通 过 提 供 平 台 本 身 及 整 个 应 用 系 统 的 全 方 位 审 计 和 统 计 功 能, 实 现 应 用 系 统 的 安 全 审 计 支 撑 2
提 供 平 台 本 身 的 全 方 位 审 计 和 统 计 功 能 ;( 针 对 平 台 自 身 的 安 全 功 能 进 行 审 计, 包 括 透 明 代 理 的 日 志 授 权 管 理 的 日 志 安 全 存 储 的 日 志 平 台 管 理 员 的 操 作 日 志 等 ) 为 应 用 提 供 数 据 审 计 接 口, 应 用 系 统 通 过 该 接 口 可 将 日 志 发 送 到 平 台, 由 平 台 集 中 提 供 统 一 详 细 的 审 计 和 统 计 ( 日 志 格 式 由 平 台 统 一 定 义, 并 根 据 应 用 安 全 的 要 求, 对 审 计 数 据 信 息 详 细 度 提 出 一 些 要 求 ); 提 供 网 络 层 的 用 户 访 问 审 计, 如 何 人 何 时 何 IP 访 问 了 哪 个 应 用 ; 提 供 审 计 存 储 空 间 的 阀 值 设 置 功 能, 当 存 储 空 间 将 满 时, 及 时 进 行 告 警 当 审 计 系 统 不 能 正 常 工 作 或 审 计 存 储 空 间 将 满 时, 自 动 产 生 告 警 信 息 审 计 存 储 空 间 将 满 时 采 取 以 下 措 施 : 切 换 到 新 的 审 计 数 据 库, 原 审 计 数 据 库 存 档 ( 用 户 可 根 据 需 要 和 制 度 进 行 保 存 ) 采 取 审 计 服 务 与 数 据 分 离 的 机 制, 当 审 计 系 统 出 现 异 常 时, 存 储 的 审 计 记 录 不 会 被 破 坏 系 统 审 计 记 录 不 可 修 改 不 可 伪 造 不 可 删 除, 另 外 通 过 摘 要 技 术 及 验 证 操 作, 在 意 外 情 况 下, 能 检 测 出 对 审 计 记 录 的 修 改 提 供 对 审 计 记 录 的 统 计 查 询 功 能, 包 括 按 时 间 范 围 主 客 体 身 份 行 为 类 型 等 条 件 进 行 检 索 查 询 由 平 台 操 作 员 来 配 置 哪 些 应 用 可 审 计, 审 核 后 方 可 生 效 ; 由 平 台 操 作 员 来 配 置 每 个 应 用 的 审 计 员, 审 核 后 方 可 生 效 ; 平 台 的 审 计 员 不 能 审 计 具 体 的 应 用 ; 每 个 应 用 的 审 计 员 方 可 审 计 对 应 的 应 用 对 审 计 记 录 的 操 作 同 样 记 录 日 志, 且 受 到 同 样 的 保 护 ( 不 可 修 改 不 可 伪 造 不 可 删 除 ) 审 计 系 统 时 间 可 内 部 设 置, 也 可 配 置 时 间 同 步, 即 与 外 部 标 准 时 间 源 进 行 时 间 同 步 3
5 产 品 部 署 5.1 单 设 备 部 署 格 尔 应 用 安 全 支 撑 平 台 与 应 用 服 务 器 串 联 部 署, 内 网 需 部 署 一 台 文 件 服 务 器, 提 供 审 计 数 据 库 服 务 和 应 用 文 件 的 安 全 存 储 服 务 文 件 服 务 器 应 用 服 务 器 应 用 安 全 支 撑 平 台 操 作 终 端 : 每 台 带 证 书 存 储 介 质 (k e y 或 I C 卡 ) 图 表 1 单 设 备 部 署 示 意 图 5.2 双 机 热 备 部 署 采 用 两 台 格 尔 应 用 安 全 支 撑 平 台, 双 机 热 备 部 署, 大 大 提 高 了 系 统 的 可 用 性 和 稳 定 性 其 他 网 络 结 构 与 单 设 备 部 署 环 境 相 同 1
文 件 服 务 器 应 用 服 务 器 双 机 热 备 应 用 安 全 支 撑 平 台 操 作 终 端 : 每 台 带 证 书 存 储 介 质 (k e y 或 I C 卡 ) 图 表 2 双 机 热 备 部 署 示 意 图 2