中软华泰HuaTech应用安全防护系统

一、产品概述

随着计算机网络技术的迅速发展和进步，信息和计算机网络组成的应用系统现在已经成为社会发展的重要保证。应用系统目前已经覆盖到国家的政治、金融、军事、文化、科技、教育等诸多领域。由于应用系统担负着存储、传输和处理的重要信息的职能，这些信息涵盖了各种政府宏观调控决策、商业经济信息、银行资金转帐、股票证劵、能源资源数据、高科技科研数据等重要信息，其中有很多是国家敏感信息和国家机密，因此应用系统难免会吸引各种网络黑客的攻击行为（例如，信息窃取、信息泄漏、数据删除和篡改、计算机病毒、拒绝服务攻击等）。如下图所示：

图：应用系统面临的威胁 

因此应用系统安全是关系到国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。

应用系统通常由应用服务器、应用系统使用及维护终端、应用系统信息资源共同组成，为了全面的保障应用系统的安全，必须从这几个方面着手进行安全防护。因此为了全面解决应用系统防止来自外部及内部用户攻击的问题，中软华泰在对攻击手段及传统安全产品详尽分析的基础上，经过多年研发，于2009年2月份推出了“HuaTech应用安全防护系统”。该系统以安全管理中心策略控制为核心，在不改变现有应用系统的基础上，通过对终端、服务器、应用系统进行安全增强，提高整套应用系统的健壮性，保证应用系统始终在可控状态下运行，从而从根源上有效抑制对应用系统安全的威胁。

二、产品架构

HuaTech应用安全防护系统是由四大模块共同组成，包括服务器加固模块、终端安全保护模块、应用安全增强模块和安全管理中心模块四个组成部分。

图：HuaTech应用安全防护系统整体架构图
（注：本图及下面文字介绍仅列举产品部分功能，详细功能请参见产品白皮书） 

三、各模块介绍

1、安全管理中心模块

系统管理：提供对用户身份的管理、平台身份的管理、移动存储设备管理、执行程序管理等管理功能。

标记管理：提供对系统中的主体及客体的安全标记功能，安全标记包括与文件名直接相关的安全标记、目录安全标记、设备安全标记等类型。同时提供安全标记的修改接口，供安全管理员人工参与安全级别的制定和更改。

授权管理：提供授权管理界面，制定强制访问控制策略、自主访问控制策略、级别调整策略等，将对特定客体的打开、读、写、执行、删除、改名等权限赋予相应的用户。

策略管理：提供策略下载和更新功能，将生成的访问控制策略表组合发送到各终端/服务器平台的安全部件；提供策略维护界面,为安全管理员的策略查找、策略更新等操作提供支持，并能够实现策略文件的导入导出操作,支持离线状态下的策略管理。

审计管理：针对受控终端/服务器，根据审计需求制定详尽的审计策略；对已收集的审计信息，分类别提供详细的审计查询，支持对审计信息的收集、归并、查询、备份等操作。

管理模式：

 
图：HuaTech应用安全防护系统管理模式

2、服务器加固模块

双因子强身份认证：采用双因子身份认证方式，用户只有拥有合法的USB-KEY，并且输入正确的服务器操作系统口令+ USB-KEY口令，才能登录服务器；当授权用户离开时，提供拔KEY锁屏的功能。

基于标记的强制访问控制：提供对主体（用户、进程）及客体（文件、执行程序、外部设备等）进行安全标识，根据客体类型的不同，分别制定了不同的访问控制规则，控制用户行为，严格规定“谁”可以“做什么”。

操作系统完整性保护：对服务器操作系统文件进行实时的保护，以保证服务器操作系统的安全。

可执行代码控制：对系统中要汇海的执行程序进行真实性度量，禁止非授权程序的汇海。同时对执行程序的每一次汇海请求进行完整性度量，阻止不符合预期的执行程序的汇海。

 1/2    1 2 下一页 尾页