01

随着越來越多的業務系統發布到公網上，網站的安全性也越來越受重視，部分(fēn)業務系統可能長期沒有人維護更新，最新發現的漏洞也沒有被及時修複，容易被不法人士利用，造成不良影響。如wannacry勒索病毒，就需要及時關閉不必要的端口防止病毒的進一(yī)步傳播。發布在公網的業務系統若沒有及時關閉端口，則極易遭受攻擊。

傳統VPN權限管理不精細，容易發生(shēng)權限濫用、權限蔓延、賬号密碼洩露等情況。終端獲得内網IP後，就可在外(wài)網訪問所有内網業務，管理人員(yuán)很難發現終端操作過程中(zhōng)的違規行爲，難以防範下(xià)載機密文件、重要數據這些濫用權限的情況。

傳統VPN缺少完整的日志(zhì)記錄，當系統發生(shēng)安全故障時，内網訪問操作無日志(zhì)記錄，外(wài)網過VPN隻記錄登錄認證日志(zhì)，難溯源且無法複現問題場景。

02

針對上述問題，我(wǒ)司提出一(yī)套能夠增強業務系統訪問安全性的解決方案。所有業務通過資(zī)源發布系統進行發布，由資(zī)源發布系統進行安全等級的判斷，用戶訪問對防護等級要求高的業務系統時，需要先驗證身份，認證通過後經由獨立的訪問通道對業務進行訪問，确保業務安全。

系統可基于身份及應用的精細化權限控制，不同身份可訪問的資(zī)源不同，授權粒度可細化到單個業務系統或網站；解決傳統模式下(xià)互聯網用戶獲取内網IP地址後在網絡内非法橫向移動、越權訪問的問題，防止威脅擴散。同時臨時身份功能可在保證安全的情況下(xià)滿足臨時操作場景需求，例如臨時财務報銷、臨時運維訪問等場景，限制臨時身份可訪問範圍以及可用時間段，避免賬号密碼洩露的安全風險。

通過平台部署實現校内業務的IPv6以及HTTPS協議的快速升級發布，同時提供多種直接訪問、認證訪問、鏡像訪問、禁止訪問多種策略，可基于業務系統對象、時間段、IP組進行任意策略組合，應對校内WEB資(zī)源發布全類型場景。

系統可進行限速防護、網頁防篡改、動态黑名單、訪問環境監測等，采用WAF防護機制，有效檢測訪問異常行爲并攔截；支持微信遠程控制WEB資(zī)源發布，異常時一(yī)鍵斷網；實時監控資(zī)源運行狀态，異常告警。

系統可構建身份認證體(tǐ)系，避免因人員(yuán)管理不規範帶來的安全風險；減少因人員(yuán)身份管理不規範帶來的信息安全風險、隐私風險及經營風險；同時支持對接外(wài)部統一(yī)認證系統，包括LDAP、RADIUS、CAS、OAuth、企業微信、釘釘、飛書(shū)、中(zhōng)國科技雲、個人微信等；支持對個人微信綁定本地賬号以提升認證安全性；支持對接企業微信的用戶可以使用微信掃碼登錄；支持提供對第三方提供接口進行認證；支持對外(wài)部認證系統内賬号進行自定義規則匹配。

基于全量訪問、操作日志(zhì)數據，可構建完整用戶訪問行爲模型，可精準溯源“誰”、“什麽時間”、“用什麽終端”、“訪問了什麽業務”、“業務響應結果”。同時可基于訪問數據識别惡意攻擊并阻斷，防護業務安全。基于日志(zhì)數據提供多維度統計報表，可大(dà)屏展示。

采用管理端與工(gōng)作節點分(fēn)離(lí)部署架構，多台工(gōng)作節點組建高可靠集群，同一(yī)集群通過浮動公網IP對外(wài)提供統一(yī)服務，集群内統一(yī)調度，多節點Failover模式，支持靈活擴展。支持負載均衡，多集群相互配合實現最優負載方案。管理服務器存儲所有配置文件，支持一(yī)鍵恢複配置至新節點或集群，集群或節點均可快速擴展，避免單點故障保證高可靠。

高性能服務器，占用内存少、穩定性高、并發能力強，能夠承載高并發。同時采用基于應用層的短連接技術，即用即連，無需保持會話(huà)。