----------------- 背 景 -----------------
由于各企事业单位的多个业务系统的建设时间、建设部门、建设厂商等相对独立,且多数业务系统的主要建设需求,更多的关注在业务逻辑处理角度,缺乏多业务系统统一管理及安全访问控制考量,存在较大的管理问题和安全隐患。
在用户管理方面,多个业务系统相对独立,各系统内部的组织机构、用户管理各自为政,员工的入职、调岗、离职等变动,需要对每个业务系统进行独立操作,尤其是员工离职后的账户注销或删除操作,极容易出现遗漏情况,员工离职后,仍然能够正常访问业务系统的情况屡见不鲜,存在的安全隐患。
在身份认证方面,大部分业务系统仍然采用静态的用户名口令认证方式,认证强度低,且存在弱口令及多系统同一口令的安全隐患和口令策略无法统一管理的难题,如需升级或加强业务系统的认证机制(MFA),则面临巨大的、不可控的改造成本,甚至面临老旧系统无法改造的问题。
在自身安面,业务系统开发/升级过程中,由于开发人员的安全意识缺乏,可能存在明显的安全漏洞,如有些关键性的接口因为没有做验证或者其它预防机制,容易遭到枚举攻击,有些接口因为缺少了对用户的登陆凭证的验或者是验证存在缺陷,导致攻击者可以未经授权访问这些敏感信息甚至是越权操作等。资产对外暴露面太多,容易造成非法的连接、扫描、渗透。
在授权访问方面,业务系统的授权体系,是基于平台角色的功能授权,无法根据用户访问时间、访问位置、用户行为等维度设定灵活的安全访问控制策略,同时,对业务系统敏感数据的拷贝下载也无法做到有控制,数据的安全性无法得到有,据Fortscal调查报告显示,85%的泄密事件是由内部造成。
在综合审计方面,各自独立的业务系统建设完成后,除了上述难题外,统一审计的问题也逐步凸显,业务系统日志记录位置、内容、格式都不统一,为基于用户访问行为综合审计造成的技术障碍。
业务系统如何统一和综合管理?建恒信安科技有限公司通过多年来在身份管理及访问控制领域的实践以及技术沉淀,现推出建恒应用访问管理系统(以下简称应用堡垒),在不需要业务系统改造的情况下,以产品化方案解决上述问题。
01 产品架构 02 产品功能介绍 应用堡垒通过终端安全容器与服务端安全容器,对业务系统进行全面的安全防护和用户访问控制,系统采用数据平面、控制平面相互分离的结构模型,了大量的数据处理不影响管理和控制,而在复杂的网络环境下,控制平面和数据平面相互不影响,高度了系统安全稳定。
03 用户管理
应用堡垒提供用户身份全生命周期管理能力,可通过主从账号管理、主从账号关联等方式,实现员工的入职、调岗、离职等全生命周期管理,对于业务系统具备集成能力的情况,也可通过接口对接方式实现用户生命周期管理。
04 应用统一门户 应用堡垒为所有的业务系统提供统一的门户入口,用户可以在单一页面便捷访问所有的被授权业务系统。业务人员无需记忆各个业务系统的IP端口/域名以及与之匹配的用户名口令。
系统具有“防绕行”能力,所有用户无法与业务系统直接建立连接。
05 身份统一认证
应用堡垒具备统一强认证能力。认证方式包括用户名/口令、证书、OTP、短信、生物识别等多种认证方式。
同时提供灵活的认证策略管理机制:
用户账号/口令生命周期,口令复杂度策略管理;
集中强认证中心,用于为主登录认证和二次登录认证提供集中的认证服务;
认证枢纽服务,支持各类标准的第三方认证协议集成,如AD认证、Radius认证等;
多种认证方式任意组合,提供不同安全级别、不同安全策略的认证手段。
06 应用单点登录 应用堡垒可通过标准接口对接或用户名口令代填方式实现业务系统SSO(单点登录)能力,用户只需要登录,即可访问所有被授权业务系统。同时具备单点登出能力,当用户注销时,可同时注销所有开启的业务系统。 07 应用安全访问控制 1.应用边界授权
应用堡垒提供基于岗位的授权模型,通过岗位,实现用户与业务系统的关系映射(即什么人有权限访问什么业务系统),根据不同的用户岗位,授权访问不同的业务系统,实现对用户权限的集中管控。
2.应用内部授权
在无需业务系统任何改造的情况下,应用堡垒提供对业务系统内部的二次授权能力,可基于访问时间、访问位置、访问行为等因素拒绝或申请审批,受控访问业务系统内部的核心敏感功能。
08 应用安全防护 1.应用安全隔离
应用堡垒通过核心组件:服务端安全容器,将业务系统和业务用户进行安全隔离,将业务系统“隐身”,所有对业务系统的访问请求,必须通过预授权终端发起,且必须通过应用堡垒的认证、授权、控制及审计,防止内外网人员对业务系统的非法扫描和非法渗透,统一增强业务系统安全性。
2.应用安全加固
应用堡垒通过核心组件:服务端安全容器,通过深入到协议底层的安全检测,能够针对应用层的攻击特征、算法、模式进行的匹配,同时还能够针对异常的业务行为和操作进行检测与告警。
应用堡垒通过核心组件:服务端安全容器,具备综合的安全检测与入侵防范功能,能够有对抗攻击扫描与黑客渗透。能够告警和阻断OWASP Top10的常见攻击,比如WSQL注入、XSS和CSRF,能够对抗CC和web慢速攻击,同时还能防止针对应用系统的挂马、暗链和黑链等。
3.实时监控控制
管理员提供远程监控方式,实时监控重点人员对敏感业务系统的操作行为,一旦发现违规或者高危操作,管理员可以远程一键锁定/中断业务人员的操作界面,同时可以发送实时的告警提示信息,威胁解除后,可一键解锁。
09 安全审计
1.系统内部审计用户管理,应用管理,岗位管理、系统管理等相应的管理行为的审计日志;
2.应用访问行为审计应用堡垒以录像和日志方式实现对业务系统访问行为的完整记录,同时,基于内部的搜索引擎,提供对业务操作行为的检索功能,为后续安全事故的追责,提供高准确的追责机制,为管理员提供统一的监控平台。
———建恒运维堡垒机———————
————产品价值——— 内部用户身份,实现统一管理
业务系统一站式访问,用户体验
统一升级认证强度,满足等保要求
业务系统“隐身”,减少业务系统安全隐患
深入到业务逻辑内部的小化授权
加强业务系统防护能力
高加密协议转换与业务机密性保障
应用堡垒采用物理旁路、逻辑串联,不改变用户现有的网络架构,部署灵活便利。
n 系统支持分离部署、集中部署方式;
n 支持双机,支持横向集群扩展;
n 高度产品化交付,配置便捷,即插即用;
n 提供无插件模式,兼容各类终端。
目前,建恒身份管理及访问控制系统(应用堡垒机)已经在各个行业中应用。应用堡垒无需对业务系统进行改造,通过终端安全容器与服务端安全容器对业务系统进行全面的安全防护和用户访问控制,大量的数据处理不影响管理和控制,从而也高度了在复杂的网络环境下系统的安全稳定。未来,建恒信安还将对应用堡垒进行深入研究,完善和,使其能更好地服务于各行业的信息安全建设工作。 推广关键字:堡垒机