国路安公司认为在B/S应用结构中，应用系统的安全保护重点放在应用服务端，在应用层面实施应用隔离、身份认证和访问控制等安全保护措施。 在应用服务端的安全保证可以采用两种实现方案： 其一是在应用安全内置模式，即在应用服务端，在应用服务程序中实现安全机制； 其二是应用安全前置模式，即应用服务程序不考虑安全控制措施，所有的应用安全控制都通过部署在应用服务器之前的安全应用系统实现。 采用GLA天璿可信应用安全系统保护应用系统有如下优点： 1）它将应用软件的业务逻辑简化，使业务应用开发人员和应用软件专注于业务处理本身，提高业务处理效率和性能； 2）它能够弥补已有应用软件在安全功能和安全机制方面的缺失和缺陷，加强已有应用软件的安全强度； 3）易于部署，对原系统影响较小。 GLA天璿可信应用安全系统功能特点 ： 1） 透明安全代理功能 2） 安全传输功能 3） 基于证书的身份认证功能 4） 访问控制功能 5） 安全审计功能 6） 安全单点登录 7） 防止DoS/DDoS攻击 8） 应用转发机制 9） 基于角色的网络传输控制 10） 内置LDAP服务 GLA天璿可信应用安全系统有能力保证自身的安全性，能够对系统可执行代码的加载运行进行控制：基于代码唯一特征（如散列值），任何未经允许的代码不会被系统调度运行，从而保证系统本身不会被非法代码破坏，或被恶意人员用来执行非法操作。 GLA天璿可信应用安全系统产品资质

随着企业中应用规模的增加，安全管理难度也随之提高。在小型应用系统中，由于系统规模、资源数量及用户数量有限，安全策略能够很快部署且不会带来管理不一致问题；但在大中型应用系统中，如何保证系统各组成部分之间安全策略的快速部署及一致性执行则成为一个非常现实和紧迫的问题，并最终决定了应用系统的安全效率及管理效果。 安全管理中最为核心的内容是认证与权限控制。国路安公司基于目录服务系统开发出的应用认证与权限管理平台可实现对应用系统中用户身份、资源、证书、角色权限、访问控制等安全信息和安全策略的集中统一管理，并结合信息安全等级保护对高安全（三级及以上）等级系统的管理和技术要求，安全管理还包括了如安全标记管理、接入策略管理等等，以满足不同用户实际业务需求。 除满足一般应用环境下的管理需求，管理平台还应能适应大型、复杂生产系统的实际管理需要，在某些行业内，有些是属于集中指挥、分级管理的管理体系，这就要求应用的认证与权限管理应该与用户的业务管理结构及流程一致，在体现集中管理的客观要求下，基于角色的安全管理能够更忠实地体现现实组织结构的管理模式，同时可以减轻因为人员变化而带来的大量繁杂的授权变更操作。 可信管理平台主要功能特点如下： 1） 基于用户和角色的授权管理。支持基于用户和角色的授权管理机制，安全管理员可以根据用户身份分配或根据角色（业务岗位）确定对资源的访问权限。 2） 基于权限委托的管理机制。通过权限委托方式，将具体的与业务应用密切相关的安全管理细节委任给具体的适当人选，而高层管理人员或机构通过这种创建或取消权限委托的方式实现其管理意志。有效地实现集中指挥、多级管理的现实管理方式和管理要求，最大限度支持现有业务管理流程。 3） 支持最小特权安全原则。通过安全访问控制机制限制每个安全管理员对安全目录信息（包括身份、资源、角色、证书、安全标记、安全策略等）的管理权限，并通过管理权限的合理设置保证安全管理员拥有充分并且适当的管理范围和管理能力。 4） 可信管理。本系统建立在可信的目录服务平台上，支持基于证书的安全管理人员和管理设备的身份认证，保证管理人员和安全管理平台的身份可信；支持基于密码技术的安全目录信息传输和复制，保证安全目录服务内容的可信；通过信任传递机制保证安全管理平台的运行可信。 5） 实时高效。通过应用内置LDAP服务减少应用在安全机制执行过程中的性能开销，提高系统的管理实时性和高效性。 6） 高可用性结构。系统内置LDAP服务机制本质上保证了应用安全策略执行实体与安全管理系统之间的松耦合性，不会因安全管理系统导致安全策略不可用。 此外，GLA天 璿 可信安全管理平台 还通过双机热备等方式提供安全管理的高可用性。 采用GLA天 璿 可信安全管理平台 的最大优势在于：以标准化技术为基础，容易实现客户化定制；充分参考了实际的机构管理模式，管理流程更符合用户要求，同时 管理平台 使用简单，容易维护和优化。

操作系统是业务应用系统的基础平台，由于对运行稳定性和运行性能上的高要求，目前有大量的用户关键业务都运行在商用UNIX操作系统平台之上。但是随着信息安全攻击手段不断提高、攻击工具不断普及，信息安全形势日益严峻、信息安全事件层出不穷，商用UNIX操作系统的安全弱点和不足也日渐暴露出来，比如系统结构上的安全漏洞、软件编码缺陷导致的溢出攻击漏洞、系统服务或特权程序存在的安全弱点、远程调用漏洞等等，这些安全漏洞或弱点给用户的业务信息系统可能带来巨大的安全风险，带来业务中断、数据被破坏等损失。 国路安公司认为，由于运行稳定性和性能因素，商用UNIX操作系统在一定时期内还会被用户作为应用支撑平台这个现实不会发生改变。另外，由于软件的复杂性，操作系统存在安全漏洞是不可避免的，但是用户不应该每次都成为这些漏洞的牺牲品。 国路安公司针对商用UNIX操作系统的安全弱点提出安全增强技术方案，从根本上对用户关键业务提供安全支持，并满足国家信息安全等级保护制度和相关技术标准的要求。与其它类似产品相比，国路安GLA天 璿 UNIX 可信加固系统充分考虑了重要信息系统关键业务对安全的要求，吸收和实现了信息安全技术的最新成果，使安全机制与应用需求密切地融合在一起。 国路安GLA天 璿 UNIX 可信加固系统是一种基于现有商业UNIX系统平台的可安装软件包，与用户已有的商用UNIX系统兼容,用户部署该系统不会带来应用运行风险,主要功能包括： 1 ）基于数字证书和用户口令的双因子身份认证； 2 ）基于安全标记的强制访问控制； 3 ）可执行代码的保护验证执行； 4 ）剩余信息保护； 5 ）基于角色的权限管理分离； 6 ）安全审计； 7 ）可信数据存储保护； 8 ）内置LDAP目录服务。 国路安GLA天 璿 UNIX 可信加固系统目前支持Solaris、 HP-UX和AIX 等操作系统平台。

随着网络技术的迅猛发展，基于数据库+网络+Java的应用模式成为现在应用系统的主流模式，在这种B/S的应用模式基础上使得应用开发变得简单，而该模式使用的关系数据库能够持续提供简单性、健壮性、灵活性以及性能的最佳组合，并带来了通用数据管理的兼容性，使得数据存储的安全性和可靠性得到了很大的保障。 但是随着应用需求的不断增加，传统的关系数据库+网络+Java的模式逐渐暴露出很多的缺点，已经不能适应这些新应用的需要。比如：关系数据库表中的数据都必须是相同类型的，对于有些应用，例如人员组织结构等管理系统，使用关系数据库来进行管理就不是很适合，会造成很多的冗余数据项，并且设计、开发、管理的难度非常大。 而且目前新的应用很多是面向对象的，不适合关系数据库的存储方式，并且有些应用对于数据的依赖性不是特别的高，并不要求数据保存有很高的可靠性，不需要在数据库上花费太多得资金，而有的应用则需要根据用户的需求变化要求数据库具有高端可扩性，这些关系数据库都很难满足。 基于上述分析，国路安公司提出了可信安全目录服务系统技术方案，本系统基于LDAP+Java的开发技术，来满足上述用户新应用的管理需求。 GLA 可信安全目录服务系统主要功能包括： 1 ）查询存储：提供LDAP基本功能，进行数据的插入和查询操作； 2 ）认证和安全传输：使用TLS/SSL为信息的传输提供保护，通过一种加密算法进行认证与传输，支持基于数字证书的证书链和CRL验证； 3 ）同步功能：在数据加密的前提下实现从一个服务器到其他相关服务器的信息的动态更新，支持一主一从复制、一主多从复制、多主多从复制、级连复制等多种模式； 4 ）安全审计：对用户行为或管理员操作进行记录，支持第三方审计； 5 ）双机热备：支持主-从模式。