[00121896]应用服务器访问控制安全系统

信息安全的最终目标是保证业务应用的安全。市面上产品没有与应用深层结合,本项目开发一套具备安全集中管理、控制、审计分析等功能的综合安全管理类产品;能够实现安全策略、安全控制措施统一配置、分发的安全管理类产品;实现纵深防御。 成果面向应用系统进行安全设计,基于自主可控的安全操作平台,为上层应用系统提供针对性的安全防护。特点为：可以PKI密码技术为根基;建立至应用插件的精简信任链;以增强可信安全功能的商业操作系统为基础;以可信连接、安全传输、透明代理为纽带;以安全目录服务系统为支撑。性能指标为平均无故障时间≥5万小时、单功能模块2000SSL/s。 首创基于数字证书和用户口令的多因子身份认证和独创LDAP云存储服务系统。基于逻辑绑定的访问控制方法是根据访问者特征给其打标记,避免在添加模块时修改原有应用安全程序,实现应用级访问控制,确保登录者无法进行越权操作;实现不需要修改应用,为其添加安全模块;应用代理与安全模块分离机制是在不改变现有应用,将应用安全功能放置在应用服务器之前的专用应用安全系统上实现;模块化设计使系统便于裁剪、扩展,灵活性大,所有模块分为必需和可选,在模块中保留接口,在各个流程中插入模块进行处理,可以根据需要编写不同功能模块插入系统中,实现定制功能;流水线技术保障高并发访问;双机热备份的高可用性设计。 关键技术储备为：应用转发、基于自主可控的安全操作平台、基于可信安全数据处理平台、基于可信密码和可信安全技术的安全机制、LDAP云存储服务系统等。本品适用于各种信息系统,基础行业、国有重点大中型企业的大型信息系统。本产品完全符合《GB17859-1999》、《GB/T22240-2008》、《GB/T22239-2008》、《GB/T24856-2009》、《GB/T8566-2007》、《GB/T8567-2006》、《GB/T9385-2008》等标准,获得行业多项许可证,安全、可靠。 目前已经应用于铁路12306网上售票系统,保障电子支付以及客服系统的安全,截止目前为止已经保障项目有效运行,在大并发的情况下依然性能良好,获得铁道部通报表扬,附《感谢信》。