01

随着越來越多(duō)的業務(wù)系統發布到公(gōng)網上，網站的安(ān)全性也越來越受重視，部分(fēn)業務(wù)系統可(kě)能(néng)長(cháng)期沒有(yǒu)人維護更新(xīn)，最新(xīn)發現的漏洞也沒有(yǒu)被及時修複，容易被不法人士利用(yòng)，造成不良影響。如wannacry勒索病毒，就需要及時關閉不必要的端口防止病毒的進一步傳播。發布在公(gōng)網的業務(wù)系統若沒有(yǒu)及時關閉端口，則極易遭受攻擊。

傳統VPN權限管理(lǐ)不精(jīng)細，容易發生權限濫用(yòng)、權限蔓延、賬号密碼洩露等情況。終端獲得内網IP後，就可(kě)在外網訪問所有(yǒu)内網業務(wù)，管理(lǐ)人員很(hěn)難發現終端操作(zuò)過程中(zhōng)的違規行為(wèi)，難以防範下載機密文(wén)件、重要數據這些濫用(yòng)權限的情況。

傳統VPN缺少完整的日志(zhì)記錄，當系統發生安(ān)全故障時，内網訪問操作(zuò)無日志(zhì)記錄，外網過VPN隻記錄登錄認證日志(zhì)，難溯源且無法複現問題場景。

02

針對上述問題，我司提出一套能(néng)夠增強業務(wù)系統訪問安(ān)全性的解決方案。所有(yǒu)業務(wù)通過資源發布系統進行發布，由資源發布系統進行安(ān)全等級的判斷，用(yòng)戶訪問對防護等級要求高的業務(wù)系統時，需要先驗證身份，認證通過後經由獨立的訪問通道對業務(wù)進行訪問，确保業務(wù)安(ān)全。

系統可(kě)基于身份及應用(yòng)的精(jīng)細化權限控制，不同身份可(kě)訪問的資源不同，授權粒度可(kě)細化到單個業務(wù)系統或網站；解決傳統模式下互聯網用(yòng)戶獲取内網IP地址後在網絡内非法橫向移動、越權訪問的問題，防止威脅擴散。同時臨時身份功能(néng)可(kě)在保證安(ān)全的情況下滿足臨時操作(zuò)場景需求，例如臨時财務(wù)報銷、臨時運維訪問等場景，限制臨時身份可(kě)訪問範圍以及可(kě)用(yòng)時間段，避免賬号密碼洩露的安(ān)全風險。

通過平台部署實現校内業務(wù)的IPv6以及HTTPS協議的快速升級發布，同時提供多(duō)種直接訪問、認證訪問、鏡像訪問、禁止訪問多(duō)種策略，可(kě)基于業務(wù)系統對象、時間段、IP組進行任意策略組合，應對校内WEB資源發布全類型場景。

系統可(kě)進行限速防護、網頁(yè)防篡改、動态黑名(míng)單、訪問環境監測等，采用(yòng)WAF防護機制，有(yǒu)效檢測訪問異常行為(wèi)并攔截；支持微信遠(yuǎn)程控制WEB資源發布，異常時一鍵斷網；實時監控資源運行狀态，異常告警。

系統可(kě)構建身份認證體(tǐ)系，避免因人員管理(lǐ)不規範帶來的安(ān)全風險；減少因人員身份管理(lǐ)不規範帶來的信息安(ān)全風險、隐私風險及經營風險；同時支持對接外部統一認證系統，包括LDAP、RADIUS、CAS、OAuth、企業微信、釘釘、飛書、中(zhōng)國(guó)科(kē)技(jì )雲、個人微信等；支持對個人微信綁定本地賬号以提升認證安(ān)全性；支持對接企業微信的用(yòng)戶可(kě)以使用(yòng)微信掃碼登錄；支持提供對第三方提供接口進行認證；支持對外部認證系統内賬号進行自定義規則匹配。

基于全量訪問、操作(zuò)日志(zhì)數據，可(kě)構建完整用(yòng)戶訪問行為(wèi)模型，可(kě)精(jīng)準溯源“誰”、“什麽時間”、“用(yòng)什麽終端”、“訪問了什麽業務(wù)”、“業務(wù)響應結果”。同時可(kě)基于訪問數據識别惡意攻擊并阻斷，防護業務(wù)安(ān)全。基于日志(zhì)數據提供多(duō)維度統計報表，可(kě)大屏展示。

采用(yòng)管理(lǐ)端與工(gōng)作(zuò)節點分(fēn)離部署架構，多(duō)台工(gōng)作(zuò)節點組建高可(kě)靠集群，同一集群通過浮動公(gōng)網IP對外提供統一服務(wù)，集群内統一調度，多(duō)節點Failover模式，支持靈活擴展。支持負載均衡，多(duō)集群相互配合實現最優負載方案。管理(lǐ)服務(wù)器存儲所有(yǒu)配置文(wén)件，支持一鍵恢複配置至新(xīn)節點或集群，集群或節點均可(kě)快速擴展，避免單點故障保證高可(kě)靠。

高性能(néng)服務(wù)器，占用(yòng)内存少、穩定性高、并發能(néng)力強，能(néng)夠承載高并發。同時采用(yòng)基于應用(yòng)層的短連接技(jì )術，即用(yòng)即連，無需保持會話。