WebST安全平台-北京同方信息安全技术股份有限公司.PPT

WebST 应用安全平台 目录 一、信息安全体系结构 ISO 7498-2提供了以下五种安全服务： (1) 认证（authentication); (2) 访问控制 ( access control ); (3) 数据保密 ( data confidentiality ); (4) 数据完整性 ( data integrity ); (5) 防止否认 ( non-reputation ); 身份认证 身份认证是授权控制的基础； 身份认证必须准确无误将对方认证出来，且应是双向的； 目前身份认证的主要机制为： （1）用户id 及口令； （2）一次性口令； （3）数字证书 ( PKI )； （4）IC卡； （5 ）生物识别； （6）kerberos; 授权控制 授权控制是控制不同用户对信息资源的访问权限，对授权控制的要求是： （1）一致性，即对信息资源的控制没有二义性，各种 定义只间不冲突； （2）同一性，对所有资源进行 集中管理，安全政策 统一贯彻； （3）具有审记功能，对所有授权记录可以核查； （4）提供细粒度的访问控制； 数据保密 数据加密是保证安全通信的手段，目前加密技术主要分为两大类： （1）对称密钥加密算法； Des Triple - DES Idea （2）非对称密钥加密算法； Diffie - hellman密钥交换 Rsa 数据完整性 数据完整性是指防止网上传输的数据被 （1）修改； （2）删除； （3）插入替换； （4）重发； 防止否认 （1）接受方要对方保证不能否认收到的信息是发送方发出的信息而不是被他人冒名、篡改过的信息； （2）发送方也会要求对方不能否认以收妥的信息； 三维信息系统体系结构 二、网络安全服务层次模型 网络安全服务层次模型 （1） 物理层 保证线路可靠，不易被窃听，在internet 、intranet 环境中难以保证。 数据链路层 硬件设备被用来在单独连接的主机 / 路由器之间进 行加密，在internet 、intranet环境中不完全适用。 网络层 （1）传统的防火墙技术，控制信息在内外网络之间的流动（2）使用IP sec 技术，建立透明安全加密道， 不能防止网络内部的不安全因素，是粗粒度的访问控 制。 网络安全服务层次模型 （2） 传输层 使用SSL技术实现两通信结点间安全TCP连接。 该技术使用PKI体系完成身份认证及加密传输， 但对应用层不透明，需要证书授权中心(ca)， 本身不提供访问控制。 应用层 针对专门的应用，在应用层实施安全机制，对特 定应用有效，如PEM。由于针对特定，缺乏通用 性，且需修改应用程序。 网络安全服务层次模型 （3） Webst 是一种基于安全中间件的产品，它克服 了针对专门应用实施安全服务的缺陷，是一种通 用应用安全平台 网络安全服务层次模型 （4） 安全中间件 DCE： 防止非法入侵 防止进网用户进行授权之外的操作 支持跨平台异种系统互联 提供分布环境下统一身份认证、授权、数据保密等等服务 三、WebST安全平台 WebST基本特性: （1） 分布环境提供统一安全管理； （2）作为网络授权和访问控制的中心，实施用户到应用 的安全管理； （3）采用集中式用户登记进行用户身份认证，对认证的 用户，根据访问权限对应用服务进行访问控制； （4）访问数据库采用统一策略管理； （5）所有通信在安全通道上进行（RPC、GSS); WebST 工作模型 WebST基本功能（1） （1）身份认证——提供了对客户和服务方的双向身份认证，采用著名的Kerberos身份认证协议和机制、基于对称密钥和公开密钥的加密方法、并可将其它密码算法嵌入系统； （2）访问控制——控制不同用户对信息资源的访问权限，根据安全策略，对信息，资源进行集中管理，对资源的控制粒度兼有粗粒度和细粒度两种。可控制到文件、Web的HTML页面、图形、CGI、Java应用等。 （3）数据保密和数据完整性——防止通过网上传输的数据被修改、删除、插入、替换或重发、以保证合法用户接收和使用该数据的真实性。可选用多种密码算法。 WebST基本功能（2） （4）审计和日志——在提供强的访问控制功能同时，还为每个Web服务器及Netseal服务器提供详细的日志和审计信息。 （5）安全管理控制台——基于Java技术开发的WebST控制台提供了对分散在网上的众多的Web的集中管理，对Web对象的访问控制和URL管理配置十分方便。 Java 管理控制台 WebST组成 （1）客户端软件NetSEAT （2）Web 代理服务器WebSEAL （3）传统TCP/IP应用代理服务器N