01

 

 

 

現狀問題

 

 

 

1

業務系統直接發布至外(wài)網,存在極高安全風險

随着越來越多的業務系統發布到公網上,網站的安全性也越來越受重視,部分(fēn)業務系統可能長期沒有人維護更新,最新發現的漏洞也沒有被及時修複,容易被不法人士利用,造成不良影響。如wannacry勒索病毒,就需要及時關閉不必要的端口防止病毒的進一(yī)步傳播。發布在公網的業務系統若沒有及時關閉端口,則極易遭受攻擊。

 

 

2

傳統VPN賬号及權限管理不精細,難以防範違規行爲

傳統VPN權限管理不精細,容易發生(shēng)權限濫用、權限蔓延、賬号密碼洩露等情況。終端獲得内網IP後,就可在外(wài)網訪問所有内網業務,管理人員(yuán)很難發現終端操作過程中(zhōng)的違規行爲,難以防範下(xià)載機密文件、重要數據這些濫用權限的情況。

 

3

傳統VPN缺少完整日志(zhì)記錄,發生(shēng)故障難溯源、難恢複

傳統VPN缺少完整的日志(zhì)記錄,當系統發生(shēng)安全故障時,内網訪問操作無日志(zhì)記錄,外(wài)網過VPN隻記錄登錄認證日志(zhì),難溯源且無法複現問題場景。

02

 

 

 

零信任安全訪問解決方案

 

 

 

針對上述問題,我(wǒ)司提出一(yī)套能夠增強業務系統訪問安全性的解決方案。所有業務通過資(zī)源發布系統進行發布,由資(zī)源發布系統進行安全等級的判斷,用戶訪問對防護等級要求高的業務系統時,需要先驗證身份,認證通過後經由獨立的訪問通道對業務進行訪問,确保業務安全。

 

1

基于身份實現精細化權限管理,全程加密傳輸,保障信息安全符合國家政策要求

系統可基于身份及應用的精細化權限控制,不同身份可訪問的資(zī)源不同,授權粒度可細化到單個業務系統或網站;解決傳統模式下(xià)互聯網用戶獲取内網IP地址後在網絡内非法橫向移動、越權訪問的問題,防止威脅擴散。同時臨時身份功能可在保證安全的情況下(xià)滿足臨時操作場景需求,例如臨時财務報銷、臨時運維訪問等場景,限制臨時身份可訪問範圍以及可用時間段,避免賬号密碼洩露的安全風險。

 

2

可配置靈活的WEB資(zī)源發布策略

通過平台部署實現校内業務的IPv6以及HTTPS協議的快速升級發布,同時提供多種直接訪問、認證訪問、鏡像訪問、禁止訪問多種策略,可基于業務系統對象、時間段、IP組進行任意策略組合,應對校内WEB資(zī)源發布全類型場景。

 

3

提供精準高效的安全防護功能

系統可進行限速防護、網頁防篡改、動态黑名單、訪問環境監測等,采用WAF防護機制,有效檢測訪問異常行爲并攔截;支持微信遠程控制WEB資(zī)源發布,異常時一(yī)鍵斷網;實時監控資(zī)源運行狀态,異常告警。

 

 

4

可與多維認證系統進行對接,支持多因子認證,提高安全系數

系統可構建身份認證體(tǐ)系,避免因人員(yuán)管理不規範帶來的安全風險;減少因人員(yuán)身份管理不規範帶來的信息安全風險、隐私風險及經營風險;同時支持對接外(wài)部統一(yī)認證系統,包括LDAP、RADIUS、CAS、OAuth、企業微信、釘釘、飛書(shū)、中(zhōng)國科技雲、個人微信等;支持對個人微信綁定本地賬号以提升認證安全性;支持對接企業微信的用戶可以使用微信掃碼登錄;支持提供對第三方提供接口進行認證;支持對外(wài)部認證系統内賬号進行自定義規則匹配。

 

 

5

提供全量日志(zhì)精準溯源,構建貼合使用場景的行爲審計模型,進一(yī)步保障内網系統安全

基于全量訪問、操作日志(zhì)數據,可構建完整用戶訪問行爲模型,可精準溯源“誰”、“什麽時間”、“用什麽終端”、“訪問了什麽業務”、“業務響應結果”。同時可基于訪問數據識别惡意攻擊并阻斷,防護業務安全。基于日志(zhì)數據提供多維度統計報表,可大(dà)屏展示。

 

 

6

高性能高可靠

采用管理端與工(gōng)作節點分(fēn)離(lí)部署架構,多台工(gōng)作節點組建高可靠集群,同一(yī)集群通過浮動公網IP對外(wài)提供統一(yī)服務,集群内統一(yī)調度,多節點Failover模式,支持靈活擴展。支持負載均衡,多集群相互配合實現最優負載方案。管理服務器存儲所有配置文件,支持一(yī)鍵恢複配置至新節點或集群,集群或節點均可快速擴展,避免單點故障保證高可靠。

高性能服務器,占用内存少、穩定性高、并發能力強,能夠承載高并發。同時采用基于應用層的短連接技術,即用即連,無需保持會話(huà)。