CN113726728B - 一种安全防护系统及应用系统改造处理方法、装置 - Google Patents
一种安全防护系统及应用系统改造处理方法、装置 Download PDFInfo
- Publication number
- CN113726728B CN113726728B CN202110789320.XA CN202110789320A CN113726728B CN 113726728 B CN113726728 B CN 113726728B CN 202110789320 A CN202110789320 A CN 202110789320A CN 113726728 B CN113726728 B CN 113726728B
- Authority
- CN
- China
- Prior art keywords
- web application
- party web
- application system
- module
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Alarm Systems (AREA)
Abstract
本申请提出一种安全防护系统以及一种应用系统改造处理方法、装置,该安全防护系统包括:安全护盾,以及与所述安全护盾连接的辅助功能模块;其中,所述安全护盾用于与第三方web应用系统集成,并且通过与所述辅助功能模块之间的交互与配合,为所述第三方web应用系统提供安全防护功能,从而提升所述第三方web应用系统的安全等级;所述辅助功能模块由安全管理功能组件构成,用于提供安全管理功能。该安全防护系统能够被集成至第三方web应用系统中,从而依托该安全防护系统自身的安全管理功能,使得第三方web应用系统快速地获取安全防护功能,从而能够使得集成该安全防护系统的第三方web应用系统快速地提升安全等级。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种安全防护系统以及一种应用系统改造处理方法、装置。
背景技术
互联网的发展带来便利的同时,安全事件层出不穷,应用系统的安全成为系统运营者和系统开发者的极其重要的工作,2019年颁布的国家标准《GB/T22239-2019信息安全技术网络安全等级保护基本要求》则为系统安全提出了具体要求。
通常需要达到等级保护基本要求中二级及以上级别才能满足基本安全要求,而由于大部分应用系统以WEB方式提供对外服务,因此WEB应用系统通过安全测评就成为极其重要的工作。
要想使应用系统达到对应用系统安全的要求,基本上等于所有的应用系统要进行一次重构,每个应用系统的开发者都要经历研究、设计、开发、测试、集成、部署等等一系列的工作,存在改造难度大、改造周期长、改造费用高等问题,因此对于运营者和开发者来说,通过安全测评是一项非常困难的工作,迫切需要一种统一的、简单的安全改造方案。
发明内容
基于上述技术现状,本申请提出一种安全防护系统、一种应用系统改造处理方法,以及一种应用系统改造处理装置,能够快速地提升第三方web应用系统安全等级。
为了实现上述目的,本申请提出如下具体技术方案:
一种安全防护系统,包括:
安全护盾,以及与所述安全护盾连接的辅助功能模块;
其中,所述安全护盾用于与第三方web应用系统集成,并且通过与所述辅助功能模块之间的交互与配合,为所述第三方web应用系统提供安全防护功能,从而提升所述第三方web应用系统的安全等级;
所述辅助功能模块由安全管理功能组件构成,用于提供安全管理功能。
可选的,所述辅助功能模块,包括:
管理中心、服务中心和认证中心;
其中,所述管理中心,用于对所述服务中心及所述第三方web应用系统进行统一安全管理;
所述服务中心,用于为所述第三方web应用系统、所述安全护盾、所述管理中心以及所述认证中心提供安全防护服务;
所述认证中心,用于为所述第三方web应用系统、所述管理中心、所述服务中心提供统一的用户认证功能。
可选的,所述管理中心包括:
统一身份管理模块、统一授权管理模块、统一审计管理模块、统一监控管理模块、统一配置模块和数据同步模块;
其中,所述统一身份管理模块,用于对所述第三方web应用系统进行统一的身份管理;
所述统一授权管理模块,用于对所述第三方web应用系统进行统一的授权管理;
所述统一审计管理模块,用于对所述第三方web应用系统进行统一的审计管理;
所述统一监控管理模块,用于对所述第三方web应用系统进行统一的监控管理;
所述统一配置模块,用于对所述第三方web应用系统进行统一的配置处理;
所述数据同步模块,用于对所述第三方web应用系统进行数据同步处理。
可选的,所述服务中心包括:
身份服务模块、认证服务模块、授权服务模块、日志服务模块、配置服务模块、同步服务模块、租户服务模块、消息服务模块、健康服务模块、性能服务模块、许可服务模块、目录服务模块。
可选的,所述安全防护功能至少包括认证检测、鉴权、攻击防御。
可选的,所述安全护盾为所述第三方web应用系统提供安全防护功能,具体包括:
当接收所述第三方web应用系统的访问请求时,校验所述访问请求是否满足安全过滤器要求;其中,所述安全过滤器包括允许访问所述第三方web应用系统的规则;
如果满足安全过滤器要求,则控制所述访问请求执行所述第三方web应用系统的相应逻辑。
可选的,所述安全护盾中还包括所述第三方web应用系统的配置文件。
可选的,所述安全防护系统还包括:
健康卫士模块,用于对所述第三方web应用系统所在服务器的健康状态进行监测。
一种应用系统改造处理方法,包括:
部署上述的安全防护系统的辅助功能模块;
在第三方web应用系统中集成上述的安全防护系统的安全护盾;
部署集成了所述安全护盾的所述第三方web应用系统。
可选的,所述安全防护系统的辅助功能模块包括管理中心、服务中心和认证中心;
部署所述安全防护系统的辅助功能模块,包括:
在同一或不同的服务器上分别部署所述安全防护系统的管理中心、服务中心和认证中心。
可选的,所述在第三方web应用系统中集成上述的安全防护系统的安全护盾,包括:
在第三方web应用系统中引入上述的安全防护系统的安全护盾运行包;
在所述第三方web应用系统中配置所述安全防护系统的安全护盾所需的参数。
可选的,所述在第三方web应用系统中集成上述的安全防护系统的安全护盾,还包括:
在所述第三方web应用系统中配置所述安全防护系统的安全护盾所需的参数后,判断所述第三方web应用系统前端是否使用了ajax请求;
如果所述第三方web应用系统前端使用了ajax请求,则在处理所述ajax请求的响应的公共代码中,增加对返回状态码401的特殊处理代码。
一种应用系统改造处理装置,包括:
第一部署单元,用于部署上述的安全防护系统的辅助功能模块;
集成处理单元,用于在第三方web应用系统中集成上述的安全防护系统的安全护盾;
第二部署单元,用于部署集成了所述安全护盾的所述第三方web应用系统。
本申请提出的安全防护系统,其中包括安全护盾和辅助功能模块,该辅助功能模块能够提供安全管理功能,该安全护盾能够与第三方web应用系统集成,通过与辅助功能模块进行交互与配合,为第三方web应用系统提供安全防护功能。该安全防护系统能够被集成至web应用系统中,从而依托该安全防护系统自身的安全管理功能,使得web应用系统快速地获取安全防护功能,从而能够使得集成该安全防护系统的web应用系统快速地提升安全等级。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本申请实施例提供的一种安全防护系统的结构示意图;
图2是本申请实施例提供的一种应用程序改造处理方法的流程示意图;
图3是本申请实施例提供的第三方web应用系统改造后架构示意图;
图4是本申请实施例提供的一种应用系统改造处理装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提出一种安全防护系统,该安全防护系统,包括:
安全护盾,以及与所述安全护盾连接的辅助功能模块;
其中,所述安全护盾用于与第三方web应用系统集成,并且通过与所述辅助功能模块之间的交互与配合,为所述第三方web应用系统提供安全防护功能,从而提升所述第三方web应用系统的安全等级;
所述辅助功能模块由安全管理功能组件构成,用于提供安全管理功能。
具体的,在上述的辅助功能模块中,包含了各种与应用系统安全相关的功能模块,安全护盾通过调用该辅助功能模块中的各种功能模块,或者与该辅助功能模块中的各功能模块进行交互、配合,可以实现安全护盾的安全防护功能。
上述的安全护盾,可以与第三方web应用系统集成,基于其与上述的辅助功能模块的交互与配合,集成到第三方web应用系统中的安全护盾能够为第三方web应用系统提供安全防护功能,从而提升第三方web应用系统的安全等级。
基于本申请实施例提出的安全防护系统,第三方web应用系统开发者只需要开发web应用系统的业务功能即可,无需在第三方web应用系统中再开发安全防护功能。在上述的只有业务功能模块的第三方web应用系统的基础上,集成本申请实施例提出的安全防护系统的安全护盾,同时在第三方web应用系统所在的服务器上,或者在其他服务器上部署本申请实施例提出的安全防护系统的辅助功能模块,并通过该安全防护系统的后台注册中心将第三方web应用系统的安全护盾和该安全防护系统辅助功能模块进行关联、绑定。经过上述处理,本申请实施例提出的安全防护系统,能够为第三方web应用系统提供安全防护功能。
并且,当第三方web应用系统有多个时,也只是需要在每个第三方web应用系统中集成本申请实施例提出的安全护盾,即可使第三方web应用系统具备安全防护功能,从而提高第三方web应用系统的安全等级。
通过上述介绍可见,本申请实施例提出的安全防护系统,其中包括安全护盾和辅助功能模块,该辅助功能模块能够提供安全管理功能,该安全护盾能够与第三方web应用系统集成,通过与辅助功能模块进行交互与配合,使得第三方web应用系统快速地获取安全防护功能,从而能够使得第三方web应用系统快速地提升安全等级。
本申请实施例提出的安全防护系统的具体结构如图1所示。
参见图1所示,本申请实施例提出的安全防护系统的安全护盾,包括访问控制模块、日志记录模块、攻击防御模块、性能采集模块。
其中,访问控制模块用于控制用户对第三方web应用系统的访问。
日志记录模块,用于记录用户对第三方web应用系统的操作日志,包括访问日志、数据操作日志、功能操作日志等。
攻击防御模块,用于防御用户对第三方web应用系统的非法攻击,例如防御非法访问、暴力侵入等。
性能采集模块,用于采集第三方web应用系统的性能参数数据,从而分析、确定第三方web应用系统的性能状态。
基于上述的访问控制模块、日志记录模块、攻击防御模块、性能采集模块,该安全护盾至少能够实现认证检测、鉴权、攻击防御等安全防护功能。
同时,如图1所示,本申请实施例提出的安全防护系统的辅助功能模块,具体包括管理中心、服务中心和认证中心。
其中,管理中心作为对第三方web应用系统进行统一安全管理的门户,其主要作用是对第三方web应用系统进行统一安全管理。
参见图1,该管理中心具体包括统一身份管理模块、统一授权管理模块、统一审计管理模块、统一监控管理模块、统一配置模块和数据同步模块。
其中,统一身份管理模块用于对第三方web应用系统以及安全防护系统进行统一的身份管理,按照管理内容的不同,该统一身份管理模块又细分为域管理模块、用户管理模块、机构管理模块、委托代理模块,该统一身份管理模块,分别实现对第三方web应用系统、访问第三方web应用系统的应用或用户,以及安全防护系统的域、用户、机构、委托代理进行身份管理。
统一授权管理模块用于对第三方web应用系统以及安全防护系统进行统一的授权管理,按照授权对象的不同,该统一授权管理模块可细分为应用管理模块、资源管理模块、角色管理模块和授权管理模块,分别实现对第三方web应用系统、安全防护系统,以及访问该第三方web应用系统的各个应用、资源、角色的管理和授权。
统一审计管理模块,用于对第三方web应用系统以及安全防护系统进行统一的审计管理,按照审计管理的对象和内容的不同,该统一审计管理模块又分为日志查询模块、汇总统计模块、分析报告模块和安全预警模块,分别用于对第三方web应用系统以及安全防护系统进行日志查询、数据汇总统计、数据分析及生成分析报告,以及在发现安全问题时进行安全预警。
统一监控管理模块,用于对第三方web应用系统以及安全防护系统进行统一的监控管理,包括健康监控模块和性能监控模块,分别用于实现对第三方web应用系统以及安全防护系统所在服务器的健康监控和性能监控。
统一配置模块,用于对第三方web应用系统以及安全防护系统的安全策略进行统一的管理。
数据同步模块,用于对第三方web应用系统以及安全防护系统进行数据同步处理。
上述的认证中心,用于为第三方web应用系统和安全防护系统提供统一的用户认证功能。主要是处理单点登录和注销。
上述的服务中心,用于为所述第三方web应用系统、所述安全护盾、所述管理中心以及所述认证中心提供安全防护服务。
该服务中心又可细分为身份服务模块、授权服务模块、日志服务模块、配置服务模块、同步服务模块、租户服务模块、消息服务模块、健康服务模块、性能服务模块、许可服务模块、目录服务模块。
其中,示例性的,上述的身份服务模块可以为第三方web应用系统,以及上述的管理中心的统一身份管理模块提供身份管理服务。
授权服务模块,可以为第三方web应用系统,以及上述的管理中心的统一授权管理模块提供授权服务。
日志服务模块,可以为第三方web应用系统、上述的管理中心的统一审计管理模块,以及上述的安全护盾的日志记录模块提供日志服务。
配置服务模块,可以对第三方web应用系统以及安全防护系统的安全策略进行统一的管理。
同步服务模块,可以为第三方web应用系统,以及上述的管理中心的数据同步模块,提供数据同步服务。
此外,如图1所示,本申请实施例提出的安全防护系统还包括健康卫士模块,用于对该安全防护系统的安全护盾、该安全防护系统的辅助功能模块,包括管理中心、认证中心、服务中心,以及其他的第三方应用系统所在的服务器进行健康状态监测。该健康卫士模块可以示例性的设置于上述的管理中心。
通过上述介绍可见,本申请实施例提出的安全防护系统的安全护盾与受保护的第三方web应用系统集成,该安全防护系统的认证中心和服务中心,与安全护盾进行交互、配合,实现对第三方web应用系统的安全防护。
基于上述结构,本申请实施例提出的安全防护系统实现了前后端分离,管理中心作为系统前端界面,能够为第三方web应用系统提供安全防护管理功能,第三方web应用系统的用户可以通过选择管理中心所展示的管理功能,实现对第三方web应用系统的安全管理。
管理中心、认证中心和安全护盾,分别依托服务中心提供的服务,实现其各自的管理功能或安全防护功能。
而安全护盾,则作为与第三方web应用系统进行集成从而实现对应用系统的保护的组件。安全护盾与第三方web应用系统的集成,可以认为是上述的安全防护系统对第三方web应用系统进行保护的桥梁。
因此,任意的第三方web应用系统只需要集成上述安全防护系统的安全护盾,同时部署该安全防护系统的管理中心、认证中心和服务中心,即可使得第三方web应用系统快速获取全面的、统一的安全能力,不再需要web应用系统开发者自行编码实现系统安全功能,其具体原理如下:
第一,利用web应用的过滤器机制,当请求到达应用时会被拦截,先执行过滤器的代码,满足过滤器要求之后才会执行原有的代码。
在本申请实施例中,上述的安全护盾由一系列的安全过滤器组成,该安全过滤器由允许访问web应用系统的规则构成。当请求到达应用时,会首先被安全护盾拦截,安全护盾校验访问请求是否满足安全过滤器要求,只有通过了安全过滤器的校验的请求才会执行原有的处理逻辑,也就是,只有经过安全护盾校验确认满足安全过滤器要求的访问请求,才能执行web应用系统自身的相应逻辑。
可见,将本申请实施例提出的安全防护系统的安全护盾集成至第三方web应用系统,即可使第三方web应用系统快速的获得全面、统一的安全能力。
而且,采用这种方式能够让应用系统具有统一的安全能力,即使出现了问题,也能够统一进行处理,不再需要各个第三方web应用系统的开发者来进行处理,极大地提高了响应速度,为用户节省大量的成本。
比如,假设有10个第三方web应用系统都集成了本申请实施例提出的安全防护系统的安全护盾,则当发现多个第三方web应用系统中出现了安全问题时,不需要针对每个有问题的第三方web应用系统分别进行修复,只需要统一地对各个第三方web应用系统上集成的安全护盾进行修复即可,例如对各个第三方web应用系统上集成的安全护盾打补丁或者进行更新即可。
第二是利用了web应用的Fragment模块化机制,将所需的xml等配置文件封装在安全护盾内部,不需要应用系统对大量的配置文件进行维护,只需集成安全护盾的运行包并配置相应的参数,极大地简化了集成工作。
具体的,在web应用的Fragment模块化机制下,各个模块之间需要一些配置文件,才能实现各个模块之间的正确调用和协作。通常情况下,需要开发人员或运维人员在第三方web应用中维护这些配置文件,这些配置文件内容较多,而且容易配置错误。而在本申请实施例中,将所需的xml等配置文件封装在安全护盾中,然后再使第三方web应用集成该安全护盾,即可实现配置文件在第三方web应用中的部署,由此可以使得安全护盾与第三方web应用的集成更简化,而且不易出错。
基于本申请实施例提出的安全防护系统,提出了一种应用系统改造处理方法,该方法可以应用于对第三方web应用系统进行安全改造,使其快速地获得统一、全面的安全能力。参见图2所示,该方法包括:
S201、部署上述的安全防护系统的辅助功能模块。
具体的,在同一或不同的应用服务器中,分别部署本申请实施例提出的安全防护系统的辅助功能模块,具体包括管理中心、服务中心和认证中心。
S202、在第三方web应用系统中集成上述的安全防护系统的安全护盾。
具体的,先在第三方web应用系统中引入上述的安全防护系统的安全护盾运行包,然后在所述第三方web应用系统中配置所述安全防护系统的安全护盾所需的参数,即可实现第三方web应用系统与安全防护系统的安全护盾的集成。
其中,在第三方web应用系统中引入安全护盾有两种方式,一种是使用依赖方式通过构建工具引入安全护盾的运行包,另一种是直接复制安全护盾的运行包。
S203、部署集成了所述安全护盾的所述第三方web应用系统。
具体的,将集成了上述的安全护盾的第三方web应用系统部署至与上述的辅助功能模块相同或不同的应用服务器,即可实现第三方web应用系统的安全等级升级。
其中,部署上述的辅助功能模块以及部署上述的集成了安全护盾的第三方web应用系统的应用服务器,可以是位于同一物理服务器上的应用服务器,或者是位于不同物理服务器上述的应用服务器。
经过上述处理后,得到的第三方web应用系统以及安全防护系统的架构如图3所示。其中,图3示出了将第三方web应用系统以及安全防护系统的管理中心、认证中心、服务中心分别部署于不同的应用服务器的情况,在实际应用中,也可以将其部署于同一应用服务器。
通过上述介绍可见,本申请实施例提出的第三方web应用系统改造处理方法,能够将本申请上述实施例提出的安全防护系统的安全护盾集成至第三方web应用系统中,从而使得第三方web应用系统能够借助该安全防护系统快速地获取全面、统一的安全能力。
进一步的,本申请实施例提出,在所述应用系统中配置所述安全防护系统的安全护盾所需的参数后,还进一步判断所述第三方web应用系统前端是否使用了ajax请求;
上述的ajax请求,即Asynchronous JavaScript and XML,是一种在无需重新加载整个网页的情况下,能够更新部分网页的技术,当请求对象为包含了XMLHttpRequest响应头时,该请求即为Ajax请求。
通常访问web应用系统使用的都是http协议,发送http请求获得的结果(响应)包含了三个部分:Status(状态码)、Header(响应头)、Body(响应体),正常的响应其状态码为200或302,401表示用户未认证。
如果所述第三方web应用系统的前端使用了ajax请求,则需要在第三方web应用系统的前端处理所述ajax请求的公共代码中,增加用于对所述ajax请求的响应的401状态进行处理的特定代码。当返回状态码为401时,所述特定代码将引导用户进行登录,登录完成后,仍然回到原有界面,界面数据不受任何影响,与未登录前没有任何差别,同时还避免了并发请求可能造成的多次登录问题。其中,上述安全防护系统的开发人员提供了对该特定401状态码的示例处理代码,其不超过100行。
如果所述第三方web应用系统前端不存在ajax请求,则无需对第三方web应用系统的前端代码进行上述处理。
本申请另一实施例还提出一种应用系统改造处理装置,参见图4所示,该装置包括:
第一部署单元100,用于部署上述的安全防护系统的辅助功能模块;
集成处理单元110,用于在第三方web应用系统中集成上述的安全防护系统的安全护盾;
第二部署单元120,用于部署集成了所述安全护盾的所述第三方web应用系统。
可选的,所述安全防护系统的辅助功能模块包括管理中心、服务中心和认证中心;
部署所述安全防护系统的辅助功能模块,包括:
在同一或不同的服务器上分别部署所述安全防护系统的管理中心、服务中心和认证中心。
可选的,所述在第三方web应用系统中集成上述的安全防护系统的安全护盾,包括:
在第三方web应用系统中引入上述的安全防护系统的安全护盾运行包;
在所述第三方web应用系统中配置所述安全防护系统的安全护盾所需的参数。
可选的,所述在第三方web应用系统中集成上述的安全防护系统的安全护盾,还包括:
在所述第三方web应用系统中配置所述安全防护系统的安全护盾所需的参数后,判断所述第三方web应用系统前端是否使用了ajax请求;
如果所述第三方web应用系统前端使用了ajax请求,则在处理所述ajax请求的响应的公共代码中,增加对返回状态码401的特殊处理代码。
具体的,该第三方web应用系统改造处理装置的各个单元的具体工作内容,请参见上述方法实施例的内容,此处不再赘述。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请各实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减,各实施例中记载的技术特征可以进行替换或者组合。
本申请各实施例种装置及终端中的模块和子模块可以根据实际需要进行合并、划分和删减。
本申请所提供的几个实施例中,应该理解到,所揭露的终端,装置和方法,可以通过其它的方式实现。例如,以上所描述的终端实施例仅仅是示意性的,例如,模块或子模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个子模块或模块可以结合或者可以集成到另一个模块,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块或子模块可以是或者也可以不是物理上分开的,作为模块或子模块的部件可以是或者也可以不是物理模块或子模块,即可以位于一个地方,或者也可以分布到多个网络模块或子模块上。可以根据实际的需要选择其中的部分或者全部模块或子模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块或子模块可以集成在一个处理模块中,也可以是各个模块或子模块单独物理存在,也可以两个或两个以上模块或子模块集成在一个模块中。上述集成的模块或子模块既可以采用硬件的形式实现,也可以采用软件功能模块或子模块的形式实现。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件单元,或者二者的结合来实施。软件单元可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种安全防护系统,其特征在于,包括:
安全护盾,以及与所述安全护盾连接的辅助功能模块;
其中,所述安全护盾用于与第三方web应用系统集成,并且通过与所述辅助功能模块之间的交互与配合,为所述第三方web应用系统提供安全防护功能,从而提升所述第三方web应用系统的安全等级;
所述辅助功能模块由安全管理功能组件构成,用于提供安全管理功能;
所述辅助功能模块包括:
管理中心、服务中心和认证中心;
其中,所述管理中心,用于对所述服务中心及所述第三方web应用系统进行统一安全管理;
所述服务中心,用于为所述第三方web应用系统、所述安全护盾、所述管理中心以及所述认证中心提供安全防护服务;
所述认证中心,用于为所述第三方web应用系统、所述管理中心、所述服务中心提供统一的用户认证功能;
所述安全护盾由一系列的安全过滤器组成,所述安全护盾为所述第三方web应用系统提供安全防护功能,具体包括:
当接收所述第三方web应用系统的访问请求时,校验所述访问请求是否满足安全过滤器要求;其中,所述安全过滤器包括允许访问所述第三方web应用系统的规则;
如果满足安全过滤器要求,则控制所述访问请求执行所述第三方web应用系统的相应逻辑。
2.根据权利要求1所述的安全防护系统,其特征在于,所述管理中心包括:
统一身份管理模块、统一授权管理模块、统一审计管理模块、统一监控管理模块、统一配置模块和数据同步模块;
其中,所述统一身份管理模块,用于对所述第三方web应用系统进行统一的身份管理;
所述统一授权管理模块,用于对所述第三方web应用系统进行统一的授权管理;
所述统一审计管理模块,用于对所述第三方web应用系统进行统一的审计管理;
所述统一监控管理模块,用于对所述第三方web应用系统进行统一的监控管理;
所述统一配置模块,用于对所述第三方web应用系统进行统一的配置处理;
所述数据同步模块,用于对所述第三方web应用系统进行数据同步处理。
3.根据权利要求1所述的安全防护系统,其特征在于,所述服务中心包括:
身份服务模块、认证服务模块、授权服务模块、日志服务模块、配置服务模块、同步服务模块、租户服务模块、消息服务模块、健康服务模块、性能服务模块、许可服务模块、目录服务模块。
4.根据权利要求1所述的安全防护系统,其特征在于,所述安全防护功能至少包括认证检测、鉴权、攻击防御。
5.根据权利要求1所述的安全防护系统,其特征在于,所述安全护盾中还包括所述第三方web应用系统的配置文件。
6.根据权利要求1所述的安全防护系统,其特征在于,所述安全防护系统还包括:
健康卫士模块,用于对所述安全护盾以及所述辅助功能模块的健康状态进行监测。
7.一种第三方web应用系统改造处理方法,其特征在于,包括:
部署权利要求1至6中任意一项所述的安全防护系统的辅助功能模块;
在第三方web应用系统中集成权利要求1至6中任意一项所述的安全防护系统的安全护盾;
部署集成了所述安全护盾的所述第三方web应用系统。
8.根据权利要求7所述的方法,其特征在于,所述安全防护系统的辅助功能模块包括管理中心、服务中心和认证中心;
部署所述安全防护系统的辅助功能模块,包括:
在同一或不同的服务器上分别部署所述安全防护系统的管理中心、服务中心和认证中心。
9.根据权利要求8所述的方法,其特征在于,所述在第三方web应用系统中集成权利要求1至6中任意一项所述的安全防护系统的安全护盾,包括:
在第三方web应用系统中引入权利要求1至6中任意一项所述的安全防护系统的安全护盾运行包;
在所述第三方web应用系统中配置所述安全防护系统的安全护盾所需的参数。
10.根据权利要求9所述的方法,其特征在于,所述在第三方web应用系统中集成权利要求1至6中任意一项所述的安全防护系统的安全护盾,还包括:
在所述第三方web应用系统中配置所述安全防护系统的安全护盾所需的参数后,判断所述第三方web应用系统前端是否使用了ajax请求;
如果所述第三方web应用系统前端使用了ajax请求,则在处理所述ajax请求的响应的公共代码中,增加对返回状态码401的特殊处理代码。
11.一种第三方web应用系统改造处理装置,其特征在于,包括:
第一部署单元,用于部署权利要求1至6中任意一项所述的安全防护系统的辅助功能模块;
集成处理单元,用于在第三方web应用系统中集成权利要求1至6中任意一项所述的安全防护系统的安全护盾;
第二部署单元,用于部署集成了所述安全护盾的所述第三方web应用系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110789320.XA CN113726728B (zh) | 2021-07-13 | 2021-07-13 | 一种安全防护系统及应用系统改造处理方法、装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110789320.XA CN113726728B (zh) | 2021-07-13 | 2021-07-13 | 一种安全防护系统及应用系统改造处理方法、装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113726728A CN113726728A (zh) | 2021-11-30 |
CN113726728B true CN113726728B (zh) | 2023-10-17 |
Family
ID=78673169
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110789320.XA Active CN113726728B (zh) | 2021-07-13 | 2021-07-13 | 一种安全防护系统及应用系统改造处理方法、装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113726728B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8224873B1 (en) * | 2008-05-22 | 2012-07-17 | Informatica Corporation | System and method for flexible security access management in an enterprise |
CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
CN106341377A (zh) * | 2015-07-15 | 2017-01-18 | 威海捷讯通信技术有限公司 | 一种Web服务器免受攻击的方法及装置 |
CN111935109A (zh) * | 2020-07-24 | 2020-11-13 | 郑州信大捷安信息技术股份有限公司 | 安全通信模组远程代理系统、私有协议实现方法及装置 |
CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
CN112270012A (zh) * | 2020-11-19 | 2021-01-26 | 北京炼石网络技术有限公司 | 一种用于分布式数据安全防护的装置、方法及其系统 |
CN112491848A (zh) * | 2020-11-18 | 2021-03-12 | 山东浪潮通软信息科技有限公司 | 一种支持可扩展安全对接第三方系统的方法及设备 |
CN113079160A (zh) * | 2021-04-01 | 2021-07-06 | 广州海晟科技有限公司 | 一种基于可信计算的安全主机管理系统 |
-
2021
- 2021-07-13 CN CN202110789320.XA patent/CN113726728B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8224873B1 (en) * | 2008-05-22 | 2012-07-17 | Informatica Corporation | System and method for flexible security access management in an enterprise |
CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
CN106341377A (zh) * | 2015-07-15 | 2017-01-18 | 威海捷讯通信技术有限公司 | 一种Web服务器免受攻击的方法及装置 |
CN111935109A (zh) * | 2020-07-24 | 2020-11-13 | 郑州信大捷安信息技术股份有限公司 | 安全通信模组远程代理系统、私有协议实现方法及装置 |
CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
CN112491848A (zh) * | 2020-11-18 | 2021-03-12 | 山东浪潮通软信息科技有限公司 | 一种支持可扩展安全对接第三方系统的方法及设备 |
CN112270012A (zh) * | 2020-11-19 | 2021-01-26 | 北京炼石网络技术有限公司 | 一种用于分布式数据安全防护的装置、方法及其系统 |
CN113079160A (zh) * | 2021-04-01 | 2021-07-06 | 广州海晟科技有限公司 | 一种基于可信计算的安全主机管理系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113726728A (zh) | 2021-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hong et al. | Systematic identification of threats in the cloud: A survey | |
Datta et al. | Valve: Securing function workflows on serverless computing platforms | |
US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
Doelitzscher et al. | An agent based business aware incident detection system for cloud environments | |
US9021586B2 (en) | Apparatus and methods for preventing cross-site request forgery | |
Shahriar et al. | Client-side detection of cross-site request forgery attacks | |
US20090271863A1 (en) | Identifying unauthorized privilege escalations | |
US11750618B1 (en) | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources | |
US9336396B2 (en) | Method and system for generating an enforceable security policy based on application sitemap | |
US10904274B2 (en) | Signature pattern matching testing framework | |
Suriadi et al. | Validating denial of service vulnerabilities in web services | |
Meetei et al. | Security issues in cloud computing | |
CN111083093B (zh) | 调用端能力的方法、装置、电子设备及存储介质 | |
Doelitzscher et al. | Understanding cloud audits | |
US11522884B1 (en) | Subscription and key management system | |
CN116708033B (zh) | 终端安全检测方法、装置、电子设备及存储介质 | |
Wueest et al. | Mistakes in the IaaS cloud could put your data at risk | |
Dritsas et al. | A knowledge-based approach to security requirements for e-health applications | |
Garcia-Alfaro et al. | Prevention of cross-site scripting attacks on current web applications | |
CN113726728B (zh) | 一种安全防护系统及应用系统改造处理方法、装置 | |
Duraisamy et al. | A server side solution for protection of web applications from cross-site scripting attacks | |
Sharma et al. | Smartphone security and forensic analysis | |
KR20230156129A (ko) | 블록체인 기반의 책임 있는 분산 컴퓨팅 시스템 | |
Welz et al. | Interfacing trusted applications with intrusion detection systems | |
Garcia-Alfaro et al. | A survey on detection techniques to prevent cross-site scripting attacks on current web applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |