01
现状问题
业务系统直接发布至外网,存在极高安全风险
随着越来越多的业务系统发布到公网上,网站的安全性也越来越受重视,部分业务系统可能长期没有人维护更新,最新发现的漏洞也没有被及时修复,容易被不法人士利用,造成不良影响。如wannacry勒索病毒,就需要及时关闭不必要的端口防止病毒的进一步传播。发布在公网的业务系统若没有及时关闭端口,则极易遭受攻击。
传统VPN账号及权限管理不精细,难以防范违规行为
传统VPN权限管理不精细,容易发生权限滥用、权限蔓延、账号密码泄露等情况。终端获得内网IP后,就可在外网访问所有内网业务,管理人员很难发现终端操作过程中的违规行为,难以防范下载机密文件、重要数据这些滥用权限的情况。
传统VPN缺少完整日志记录,发生故障难溯源、难恢复
传统VPN缺少完整的日志记录,当系统发生安全故障时,内网访问操作无日志记录,外网过VPN只记录登录认证日志,难溯源且无法复现问题场景。
02
零信任安全访问解决方案
针对上述问题,我司提出一套能够增强业务系统访问安全性的解决方案。所有业务通过资源发布系统进行发布,由资源发布系统进行安全等级的判断,用户访问对防护等级要求高的业务系统时,需要先验证身份,认证通过后经由独立的访问通道对业务进行访问,确保业务安全。
基于身份实现精细化权限管理,全程加密传输,保障信息安全符合国家政策要求
系统可基于身份及应用的精细化权限控制,不同身份可访问的资源不同,授权粒度可细化到单个业务系统或网站;解决传统模式下互联网用户获取内网IP地址后在网络内非法横向移动、越权访问的问题,防止威胁扩散。同时临时身份功能可在保证安全的情况下满足临时操作场景需求,例如临时财务报销、临时运维访问等场景,限制临时身份可访问范围以及可用时间段,避免账号密码泄露的安全风险。
可配置灵活的WEB资源发布策略
通过平台部署实现校内业务的IPv6以及HTTPS协议的快速升级发布,同时提供多种直接访问、认证访问、镜像访问、禁止访问多种策略,可基于业务系统对象、时间段、IP组进行任意策略组合,应对校内WEB资源发布全类型场景。
提供精准高效的安全防护功能
系统可进行限速防护、网页防篡改、动态黑名单、访问环境监测等,采用WAF防护机制,有效检测访问异常行为并拦截;支持微信远程控制WEB资源发布,异常时一键断网;实时监控资源运行状态,异常告警。
可与多维认证系统进行对接,支持多因子认证,提高安全系数
系统可构建身份认证体系,避免因人员管理不规范带来的安全风险;减少因人员身份管理不规范带来的信息安全风险、隐私风险及经营风险;同时支持对接外部统一认证系统,包括LDAP、RADIUS、CAS、OAuth、企业微信、钉钉、飞书、中国科技云、个人微信等;支持对个人微信绑定本地账号以提升认证安全性;支持对接企业微信的用户可以使用微信扫码登录;支持提供对第三方提供接口进行认证;支持对外部认证系统内账号进行自定义规则匹配。
提供全量日志精准溯源,构建贴合使用场景的行为审计模型,进一步保障内网系统安全
基于全量访问、操作日志数据,可构建完整用户访问行为模型,可精准溯源“谁”、“什么时间”、“用什么终端”、“访问了什么业务”、“业务响应结果”。同时可基于访问数据识别恶意攻击并阻断,防护业务安全。基于日志数据提供多维度统计报表,可大屏展示。
高性能高可靠
采用管理端与工作节点分离部署架构,多台工作节点组建高可靠集群,同一集群通过浮动公网IP对外提供统一服务,集群内统一调度,多节点Failover模式,支持灵活扩展。支持负载均衡,多集群相互配合实现最优负载方案。管理服务器存储所有配置文件,支持一键恢复配置至新节点或集群,集群或节点均可快速扩展,避免单点故障保证高可靠。
高性能服务器,占用内存少、稳定性高、并发能力强,能够承载高并发。同时采用基于应用层的短连接技术,即用即连,无需保持会话。