01

隨著越來越多的業(yè)務(wù)系統(tǒng)發(fā)布到公網(wǎng)上，網(wǎng)站的安全性也越來越受重視，部分業(yè)務(wù)系統(tǒng)可能長(zhǎng)期沒有人維護(hù)更新，最新發(fā)現(xiàn)的漏洞也沒有被及時(shí)修復(fù)，容易被不法人士利用，造成不良影響。如wannacry勒索病毒，就需要及時(shí)關(guān)閉不必要的端口防止病毒的進(jìn)一步傳播。發(fā)布在公網(wǎng)的業(yè)務(wù)系統(tǒng)若沒有及時(shí)關(guān)閉端口，則極易遭受攻擊。

傳統(tǒng)VPN權(quán)限管理不精細(xì)，容易發(fā)生權(quán)限濫用、權(quán)限蔓延、賬號(hào)密碼泄露等情況。終端獲得內(nèi)網(wǎng)IP后，就可在外網(wǎng)訪問所有內(nèi)網(wǎng)業(yè)務(wù)，管理人員很難發(fā)現(xiàn)終端操作過程中的違規(guī)行為，難以防范下載機(jī)密文件、重要數(shù)據(jù)這些濫用權(quán)限的情況。

傳統(tǒng)VPN缺少完整的日志記錄，當(dāng)系統(tǒng)發(fā)生安全故障時(shí)，內(nèi)網(wǎng)訪問操作無日志記錄，外網(wǎng)過VPN只記錄登錄認(rèn)證日志，難溯源且無法復(fù)現(xiàn)問題場(chǎng)景。

02

針對(duì)上述問題，我司提出一套能夠增強(qiáng)業(yè)務(wù)系統(tǒng)訪問安全性的解決方案。所有業(yè)務(wù)通過資源發(fā)布系統(tǒng)進(jìn)行發(fā)布，由資源發(fā)布系統(tǒng)進(jìn)行安全等級(jí)的判斷，用戶訪問對(duì)防護(hù)等級(jí)要求高的業(yè)務(wù)系統(tǒng)時(shí)，需要先驗(yàn)證身份，認(rèn)證通過后經(jīng)由獨(dú)立的訪問通道對(duì)業(yè)務(wù)進(jìn)行訪問，確保業(yè)務(wù)安全。

系統(tǒng)可基于身份及應(yīng)用的精細(xì)化權(quán)限控制，不同身份可訪問的資源不同，授權(quán)粒度可細(xì)化到單個(gè)業(yè)務(wù)系統(tǒng)或網(wǎng)站；解決傳統(tǒng)模式下互聯(lián)網(wǎng)用戶獲取內(nèi)網(wǎng)IP地址后在網(wǎng)絡(luò)內(nèi)非法橫向移動(dòng)、越權(quán)訪問的問題，防止威脅擴(kuò)散。同時(shí)臨時(shí)身份功能可在保證安全的情況下滿足臨時(shí)操作場(chǎng)景需求，例如臨時(shí)財(cái)務(wù)報(bào)銷、臨時(shí)運(yùn)維訪問等場(chǎng)景，限制臨時(shí)身份可訪問范圍以及可用時(shí)間段，避免賬號(hào)密碼泄露的安全風(fēng)險(xiǎn)。

通過平臺(tái)部署實(shí)現(xiàn)校內(nèi)業(yè)務(wù)的IPv6以及HTTPS協(xié)議的快速升級(jí)發(fā)布，同時(shí)提供多種直接訪問、認(rèn)證訪問、鏡像訪問、禁止訪問多種策略，可基于業(yè)務(wù)系統(tǒng)對(duì)象、時(shí)間段、IP組進(jìn)行任意策略組合，應(yīng)對(duì)校內(nèi)WEB資源發(fā)布全類型場(chǎng)景。

系統(tǒng)可進(jìn)行限速防護(hù)、網(wǎng)頁防篡改、動(dòng)態(tài)黑名單、訪問環(huán)境監(jiān)測(cè)等，采用WAF防護(hù)機(jī)制，有效檢測(cè)訪問異常行為并攔截；支持微信遠(yuǎn)程控制WEB資源發(fā)布，異常時(shí)一鍵斷網(wǎng)；實(shí)時(shí)監(jiān)控資源運(yùn)行狀態(tài)，異常告警。

系統(tǒng)可構(gòu)建身份認(rèn)證體系，避免因人員管理不規(guī)范帶來的安全風(fēng)險(xiǎn)；減少因人員身份管理不規(guī)范帶來的信息安全風(fēng)險(xiǎn)、隱私風(fēng)險(xiǎn)及經(jīng)營(yíng)風(fēng)險(xiǎn)；同時(shí)支持對(duì)接外部統(tǒng)一認(rèn)證系統(tǒng)，包括LDAP、RADIUS、CAS、OAuth、企業(yè)微信、釘釘、飛書、中國(guó)科技云、個(gè)人微信等；支持對(duì)個(gè)人微信綁定本地賬號(hào)以提升認(rèn)證安全性；支持對(duì)接企業(yè)微信的用戶可以使用微信掃碼登錄；支持提供對(duì)第三方提供接口進(jìn)行認(rèn)證；支持對(duì)外部認(rèn)證系統(tǒng)內(nèi)賬號(hào)進(jìn)行自定義規(guī)則匹配。

基于全量訪問、操作日志數(shù)據(jù)，可構(gòu)建完整用戶訪問行為模型，可精準(zhǔn)溯源“誰”、“什么時(shí)間”、“用什么終端”、“訪問了什么業(yè)務(wù)”、“業(yè)務(wù)響應(yīng)結(jié)果”。同時(shí)可基于訪問數(shù)據(jù)識(shí)別惡意攻擊并阻斷，防護(hù)業(yè)務(wù)安全?；谌罩緮?shù)據(jù)提供多維度統(tǒng)計(jì)報(bào)表，可大屏展示。

采用管理端與工作節(jié)點(diǎn)分離部署架構(gòu)，多臺(tái)工作節(jié)點(diǎn)組建高可靠集群，同一集群通過浮動(dòng)公網(wǎng)IP對(duì)外提供統(tǒng)一服務(wù)，集群內(nèi)統(tǒng)一調(diào)度，多節(jié)點(diǎn)Failover模式，支持靈活擴(kuò)展。支持負(fù)載均衡，多集群相互配合實(shí)現(xiàn)最優(yōu)負(fù)載方案。管理服務(wù)器存儲(chǔ)所有配置文件，支持一鍵恢復(fù)配置至新節(jié)點(diǎn)或集群，集群或節(jié)點(diǎn)均可快速擴(kuò)展，避免單點(diǎn)故障保證高可靠。

高性能服務(wù)器，占用內(nèi)存少、穩(wěn)定性高、并發(fā)能力強(qiáng)，能夠承載高并發(fā)。同時(shí)采用基于應(yīng)用層的短連接技術(shù)，即用即連，無需保持會(huì)話。