01
現狀問題
業務系統直接發布至外網,存在極高安全風險
隨著越來越多的業務系統發布到公網上,網站的安全性也越來越受重視,部分業務系統可能長期沒有人維護更新,最新發現的漏洞也沒有被及時修復,容易被不法人士利用,造成不良影響。如wannacry勒索病毒,就需要及時關閉不必要的端口防止病毒的進一步傳播。發布在公網的業務系統若沒有及時關閉端口,則極易遭受攻擊。
傳統VPN賬號及權限管理不精細,難以防范違規行為
傳統VPN權限管理不精細,容易發生權限濫用、權限蔓延、賬號密碼泄露等情況。終端獲得內網IP后,就可在外網訪問所有內網業務,管理人員很難發現終端操作過程中的違規行為,難以防范下載機密文件、重要數據這些濫用權限的情況。
.png)
傳統VPN缺少完整日志記錄,發生故障難溯源、難恢復
傳統VPN缺少完整的日志記錄,當系統發生安全故障時,內網訪問操作無日志記錄,外網過VPN只記錄登錄認證日志,難溯源且無法復現問題場景。
.jpg)
02
零信任安全訪問解決方案
針對上述問題,我司提出一套能夠增強業務系統訪問安全性的解決方案。所有業務通過資源發布系統進行發布,由資源發布系統進行安全等級的判斷,用戶訪問對防護等級要求高的業務系統時,需要先驗證身份,認證通過后經由獨立的訪問通道對業務進行訪問,確保業務安全。
.png)
基于身份實現精細化權限管理,全程加密傳輸,保障信息安全符合國家政策要求
系統可基于身份及應用的精細化權限控制,不同身份可訪問的資源不同,授權粒度可細化到單個業務系統或網站;解決傳統模式下互聯網用戶獲取內網IP地址后在網絡內非法橫向移動、越權訪問的問題,防止威脅擴散。同時臨時身份功能可在保證安全的情況下滿足臨時操作場景需求,例如臨時財務報銷、臨時運維訪問等場景,限制臨時身份可訪問范圍以及可用時間段,避免賬號密碼泄露的安全風險。
.png)
可配置靈活的WEB資源發布策略
通過平臺部署實現校內業務的IPv6以及HTTPS協議的快速升級發布,同時提供多種直接訪問、認證訪問、鏡像訪問、禁止訪問多種策略,可基于業務系統對象、時間段、IP組進行任意策略組合,應對校內WEB資源發布全類型場景。
提供精準高效的安全防護功能
系統可進行限速防護、網頁防篡改、動態黑名單、訪問環境監測等,采用WAF防護機制,有效檢測訪問異常行為并攔截;支持微信遠程控制WEB資源發布,異常時一鍵斷網;實時監控資源運行狀態,異常告警。
可與多維認證系統進行對接,支持多因子認證,提高安全系數
系統可構建身份認證體系,避免因人員管理不規范帶來的安全風險;減少因人員身份管理不規范帶來的信息安全風險、隱私風險及經營風險;同時支持對接外部統一認證系統,包括LDAP、RADIUS、CAS、OAuth、企業微信、釘釘、飛書、中國科技云、個人微信等;支持對個人微信綁定本地賬號以提升認證安全性;支持對接企業微信的用戶可以使用微信掃碼登錄;支持提供對第三方提供接口進行認證;支持對外部認證系統內賬號進行自定義規則匹配。
提供全量日志精準溯源,構建貼合使用場景的行為審計模型,進一步保障內網系統安全
基于全量訪問、操作日志數據,可構建完整用戶訪問行為模型,可精準溯源“誰”、“什么時間”、“用什么終端”、“訪問了什么業務”、“業務響應結果”。同時可基于訪問數據識別惡意攻擊并阻斷,防護業務安全。基于日志數據提供多維度統計報表,可大屏展示。
高性能高可靠
采用管理端與工作節點分離部署架構,多臺工作節點組建高可靠集群,同一集群通過浮動公網IP對外提供統一服務,集群內統一調度,多節點Failover模式,支持靈活擴展。支持負載均衡,多集群相互配合實現最優負載方案。管理服務器存儲所有配置文件,支持一鍵恢復配置至新節點或集群,集群或節點均可快速擴展,避免單點故障保證高可靠。
高性能服務器,占用內存少、穩定性高、并發能力強,能夠承載高并發。同時采用基于應用層的短連接技術,即用即連,無需保持會話。
