当今社会，信息技术革命日新月异，其发展速度远远超过人们的预期，在政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进，信息化已经融入社会生活方方面面，深刻改变了人们的生产和生活方式。依靠高性能品质的IT基础软硬件，企业的业务处理及管理效率得到大幅提升，但不得不正视的是：在信息化的早期，核心IT基础设施绝大多数从国外引进且占主导地位，随之带来的信息安全隐患也不容小觑，“棱镜”事件便为中国敲响了警钟，政府对信息安全提出了更高的要求，IT国产化责无旁贷的成为了信息安全的首要保障。

华胜信泰在IT国产化研发建设领域深耕多年，一直致力于为中国政府及企业提供“自主可控、安全可信、高效可用”的软硬件产品服务及一站式解决方案，以满足中国政府及企业IT“可用、可管、可控、可信”的需求。

在本期内容中小编将重点为大家介绍华胜信泰消息中间件ToprowMQ及应用中间件ToprowAS如何构建用户信息安全之桥。

ToprowMQ消息中间件—完整的安全保障体系

ToprowMQ消息中间件是基于国际领先的云计算、大数据理念与技术，一款高性能消息中间件软件。该产品可为应用系统中不同节点之间的数据传输提供异步、可靠的数据传输服务，通过在节点之间建立传输通道，实现互联互通，应用程序只需要调用ToprowMQ提供的API即可实现消息的可靠传输。

ToprowMQ为用户提供全面的安全保障功能，满足用户不同级别和程度的安全需求。其安全保障功能包括ToprowMQ对象的访问权限、SSL、队列权限、黑白名单、安全出口等。

• 对象访问权限：ToprowMQ对访问权限有着严格的管理，只有授权用户才可以使用命令行和控制台管理本地和远程的队列管理器。只有具有权限的用户才能够访问ToprowMQ的对象，在进行相应的操作时会校验用户权限的合法性。此外关联MCA的用户必须具有访问ToprowMQ相关资源的权限。
• SSL3.0: SSL(Secure Sockets Layer 安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。SSL在传输层对网络连接进行加密，SSL提供了用户及服务器双向认证、数据加密、数据完整性等传输安全机制。ToprowMQ支持SSL3.0，为数据的安全传输提供保障。
• 国密支持：ToprowMQ支持国密算法、SM2/3/4、国密证书。通过在通道层支持国密算法，保障数据传输的安全性。
• 自定义安全：用户可以使用ToprowMQ的出口机制，扩展ToprowMQ安全机制，满足用户特定的安全需求。自定义安全包括链路层和应用层。链路层出口包括安全出口、消息出口、发送和接收出口。应用层出口则主要是API出口。
• 通道认证表：ToprowMQ通过通道认证表能够控制特定的用户、IP地址对ToprowMQ的访问。具体包括：IP地址黑白名单、用户黑白名单、队列管理器白名单等。
• 审计：用户通过使用ToprowMQ的事件消息能够检查到安全入侵和入侵企图信息，通过对安全事件的审计，帮助用户发现系统的安全性漏洞。这些安全入侵包括未授权的队列管理器访问，或未授权的消息发送等。

ToprowAS应用中间件—多位一体保障安全

ToprowAS基于OSGi内核，高模块化，可提供高动态性、高扩展性的轻量级应用服务。它具备安装简单、启动快速、灵活扩展的特性，不仅适用于传统部署架构，更适用于云化部署架构。同时ToprowAS提供了全面的安全功能，包括数据加密、传输安全、用户认证、用户授权、安全审计等基础能力，并将这些基础能力应用于各类安全规范及扩展规范，构建了全方位、多层次、宽领域的多位一体的标准安全体系，可以满足用户不同级别、不同领域的安全需求。

• 传输层安全：ToprowAS支持SSL，为数据的安全传输提供保障。基于SSL协议，产品将各类加解密及签名算法应用于各安全相关领域，保障在传输通道层面的机密性、完整性和不可抵赖性。
• 数据加密：ToprowAS支持所有主流的加解密及签名算法。如DES、AES、RSA、SHA1、SHA2等。特别地，ToprowAS还提供了对国密算法的支持。用户可以根据自身需求，在数据传输层、应用层等各个安全层面，来应用这些安全算法，进而可以保障数据的机密性和完整性。
• 用户认证：ToprowAS认证包括用户认证信息集成和认证程序两方面。用户信息集成方面，产品提供基于LDAP格式的用户注册表，用户可以将自己的用户LDAP数据库接入到ToprowAS中，支持用户信息联邦。认证程序方面，产品除具备支持JavaEE 7规范要求的所有认证能力外，还提供多种SSO认证方式，以满足各类用户的SSO需求。
• 用户授权：基于用户、用户组、角色等标准的权限模型，ToprowAS可将各类资源如servlet、JDBC、web服务等按角色分配给不同的用户或用户组，从而实现不同用户的授权分离。此外产品支持JavaEE 7规范要求的所有授权能力，并且提供包括ws-security、cslv2、OAuth等多种授权协议，可应用于Servlet、EJB、JAS-RS、JAX-WS及各类SSO环境下的授权服务，满足绝大多数用户的所有授权要求。
• 自定义安全：为满足用户对认证和授权的定制化要求，ToprowAS提供用户认证和授权的自定义编程接口，用户可以开发自己的用户认证及授权插件并将这些插件嵌入到ToprowAS认证及授权的主要业务流程中。
• 安全审计：ToprowAS提供了各类安全事件及日志，如用户访问日志、上述各类认证及安全规范的安全审计日志及相关事件。通过对这些安全事件和审计日志进行诊断分析，可以发现系统的安全性入侵及安全漏洞，以帮助用户及时采取相关补救措施。

关于华胜信泰

华胜信泰信息产业发展有限公司（以下简称：“华胜信泰”），是中国IT综合服务领导企业华胜天成（上交所：600410）旗下成员企业。

华胜信泰是中国可信开放高端计算生态系统的缔造者和践行者，是中国“可信开放高端计算系统产业化项目（TOP）”的承载者，拥有丰富的自主、可信的高性能计算产品线，包括：服务器平台、操作系统、存储、数据库、中间件等，同时在北京投资建立了大中华区最大规模的基于Power技术的企业级服务器生产工厂。

华胜信泰以推动“中国高性能计算产业系统建设”为目标，以实现“IT强国梦”为使命，实现对国际先进技术的“引进、消化、吸收、再创造”，整合产业链优质资源，打造可信高端计算“一站式”产品、解决方案及服务能力，以满足中国政府及企业IT“可用、可管、可控、可信”的需求。