欧美两性人xxxx高清免费_国产婷婷综合在线视频中文_国产免费久久精品99reswag_在厨房乱子伦在线观看_一边写作业一边c她

　涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護(hù)解決方案

　解決好涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護(hù)問(wèn)題，就是要對(duì)需要訪問(wèn)應(yīng)用服務(wù)的用戶或客戶端實(shí)行有效的訪問(wèn)控制和授權(quán)管理，對(duì)未授權(quán)的用戶及客戶端進(jìn)行有效的訪問(wèn)限制;為每個(gè)訪問(wèn)的用戶指定可訪問(wèn)的應(yīng)用服務(wù)，限定訪問(wèn)的范圍，杜絕越權(quán)的訪問(wèn)行為;而這種訪問(wèn)授權(quán)的機(jī)制必須安全、可控而靈活。

　同時(shí)針對(duì)應(yīng)用服務(wù)的安全防護(hù)應(yīng)當(dāng)是立體的，多層次的防護(hù)體系。從鏈路層的地址綁定，網(wǎng)絡(luò)層的訪問(wèn)控制，傳輸層的鏈路加密，會(huì)話層的身份認(rèn)證，應(yīng)用層的訪問(wèn)授權(quán)和準(zhǔn)入控制，構(gòu)建成一個(gè)完整的應(yīng)用安全的體系結(jié)構(gòu)。構(gòu)建一個(gè)應(yīng)用服務(wù)防護(hù)的安全體系，我們需要從以下幾方面來(lái)進(jìn)行考慮：

　(1)實(shí)施單點(diǎn)登錄機(jī)制

　統(tǒng)一的單點(diǎn)登錄機(jī)制要求用戶在訪問(wèn)任何應(yīng)用服務(wù)前，都需要通過(guò)一個(gè)統(tǒng)一且唯一的訪問(wèn)入口進(jìn)入，在該入口進(jìn)行用戶認(rèn)證和身份鑒別，對(duì)未經(jīng)用戶認(rèn)證及身份鑒別的用戶將不允許其訪問(wèn)應(yīng)用服務(wù)，而對(duì)通過(guò)用戶認(rèn)證和身份鑒別的用戶才會(huì)獲取到訪問(wèn)應(yīng)用服務(wù)的授權(quán)牌，在這個(gè)授權(quán)牌中標(biāo)識(shí)了用戶的身份信息、訪問(wèn)有效期限、安全等級(jí)、可訪問(wèn)的應(yīng)用服務(wù)名稱以及允許采用的訪問(wèn)方式。由此完成了針對(duì)訪問(wèn)用戶的單點(diǎn)登錄。

　(2)實(shí)施統(tǒng)一的用戶管理機(jī)制

　實(shí)施統(tǒng)一的安全管理能夠避免用戶在使用多套賬戶口令時(shí)由于遺忘而無(wú)法訪問(wèn)，同時(shí)統(tǒng)一用戶授權(quán)，能夠有效避免由于在不同應(yīng)用服務(wù)中授權(quán)不一，用戶密級(jí)不統(tǒng)一，而形成潛在的泄密風(fēng)險(xiǎn)。另外統(tǒng)一的用戶管理有助于管理員及時(shí)了解賬戶的活動(dòng)狀態(tài)，及時(shí)清理過(guò)期或無(wú)效的賬戶信息，保證賬戶信息的準(zhǔn)確。

　3)數(shù)據(jù)級(jí)安全防護(hù)措施

　由于TCP/IP自身的性質(zhì)決定了各種數(shù)據(jù)在傳輸?shù)倪^(guò)程中都是以明文形式進(jìn)行的，這就使數(shù)據(jù)在傳輸過(guò)程中存在極大的安全風(fēng)險(xiǎn)。如果不加防護(hù)，網(wǎng)絡(luò)攻擊者可以輕易地截獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，甚至對(duì)其進(jìn)行修改和破壞。這時(shí)就需要SSL VPN數(shù)據(jù)級(jí)的安全防護(hù)措施，即借助于專業(yè)的SSL VPN加密隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密以確保數(shù)據(jù)的保密性和完整性。

　(4)用戶級(jí)安全防護(hù)措施

　用戶級(jí)的安全措施主要是指用戶賬戶安全管理。在用戶獲得訪問(wèn)權(quán)力時(shí)用戶全程的訪問(wèn)活動(dòng)進(jìn)行審計(jì)，而在他們的訪問(wèn)權(quán)不再有效時(shí)凍結(jié)用戶賬戶。同時(shí)對(duì)于用戶賬戶的異常使用，如賬戶密碼的嘗試登錄次數(shù)在超過(guò)一定閾值后將鎖定用戶賬戶。

　(5)入網(wǎng)訪問(wèn)控制

　分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶便不能進(jìn)入網(wǎng)絡(luò)，對(duì)應(yīng)用服務(wù)進(jìn)行訪問(wèn)。

　(6)網(wǎng)絡(luò)的訪問(wèn)控制

　通過(guò)訪問(wèn)控制對(duì)訪問(wèn)中的源IP、源端口、協(xié)議類型、目的IP、目的端口進(jìn)行關(guān)聯(lián)性策略制定，保證應(yīng)用服務(wù)只向用戶開放在業(yè)務(wù)中所涉及的服務(wù)端口，防止惡意用戶通過(guò)部分端口漏洞對(duì)應(yīng)用服務(wù)進(jìn)行非法攻擊。

　(7)應(yīng)用服務(wù)授權(quán)管理

　對(duì)應(yīng)用服務(wù)的授權(quán)管理分為：基于應(yīng)用服務(wù)地址的訪問(wèn)授權(quán)、基于應(yīng)用服務(wù)端口的訪問(wèn)授權(quán)、基于WEB應(yīng)用服務(wù)目錄的訪問(wèn)授權(quán)、基于WEB應(yīng)用服務(wù)資源文件的訪問(wèn)授權(quán)、基于訪問(wèn)方式的訪問(wèn)授權(quán)。另外針對(duì)應(yīng)用服務(wù)的授權(quán)管理應(yīng)當(dāng)體現(xiàn)安全級(jí)別特點(diǎn)，在涉密信息系統(tǒng)中一些密級(jí)等級(jí)較高的應(yīng)用服務(wù)應(yīng)限制低密級(jí)的用戶對(duì)其進(jìn)行越權(quán)訪問(wèn)，而一些密級(jí)等級(jí)較低的應(yīng)用服務(wù)可允許高密級(jí)用戶及低密級(jí)用戶的訪問(wèn)。

　(8)網(wǎng)絡(luò)服務(wù)器安全控制

　對(duì)服務(wù)器的操作保護(hù)是應(yīng)用服務(wù)安全重要保障，防止非法用戶修改、刪除、破壞重要信息或數(shù)據(jù);通過(guò)應(yīng)用服務(wù)防篡改保護(hù)機(jī)制對(duì)應(yīng)用服務(wù)中涉及的資源文件進(jìn)行安全防護(hù)，當(dāng)惡意用戶通過(guò)非法手段進(jìn)行數(shù)據(jù)篡改時(shí)可以對(duì)發(fā)生非法篡改的數(shù)據(jù)進(jìn)行及時(shí)恢復(fù)，保證應(yīng)用正?？捎?非法訪問(wèn)者檢測(cè)機(jī)制能夠在事件發(fā)生前進(jìn)行檢測(cè)、分析和限制，能夠更加有效的對(duì)應(yīng)用防護(hù)起到保護(hù)效果。

　(9)訪問(wèn)監(jiān)測(cè)和鎖定控制

　訪問(wèn)監(jiān)測(cè)機(jī)制針對(duì)用戶的應(yīng)用服務(wù)訪問(wèn)行為進(jìn)行訪問(wèn)事件的審計(jì)記錄，系統(tǒng)應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，并以聲光或文字或聲音等形式報(bào)警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖對(duì)應(yīng)用服務(wù)發(fā)起攻擊，系統(tǒng)應(yīng)會(huì)自動(dòng)記錄嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值，那么該賬戶將被自動(dòng)鎖定。

　(10)訪問(wèn)客戶端的準(zhǔn)入控制

　訪問(wèn)客戶端準(zhǔn)入機(jī)制能夠有效防止盜用賬戶或盜用IP的欺騙式訪問(wèn)行為，通過(guò)將客戶端物理地址和IP地址的綁定，能夠限定只能在指定的主機(jī)進(jìn)行應(yīng)用服務(wù)訪問(wèn)，通過(guò)證書Ukey的控制方式，為每個(gè)授權(quán)用戶分配唯一的key，這樣在只獲得用戶賬戶和密碼信息，而沒有授權(quán)Ukey的條件用，仍然無(wú)法通過(guò)身份鑒別獲得訪問(wèn)權(quán)。其次針對(duì)應(yīng)用服務(wù)的訪問(wèn)客戶端應(yīng)對(duì)其安全性進(jìn)行評(píng)估，防止帶有病毒，木馬及存在潛在安全風(fēng)險(xiǎn)的計(jì)算機(jī)在對(duì)應(yīng)用服務(wù)進(jìn)行訪問(wèn)時(shí)造成病毒擴(kuò)散。

　(11)數(shù)據(jù)流向安全控制

　涉密信息系統(tǒng)建設(shè)中數(shù)據(jù)流向安全控制一直受到大家的關(guān)注，通過(guò)技術(shù)手段限制高密級(jí)數(shù)據(jù)向低密級(jí)用戶流動(dòng)以及限制涉密數(shù)據(jù)向非涉密用戶的流動(dòng)這將有力保證涉密數(shù)據(jù)的安全。