29 8月 2016

公检法内部统一访问安全方案

公检法内部统一访问安全方案

一、业务需求

防止因内外网相互连接问题影响到整个业务内网的安全,确保对所有内部以及外部的访问账号的统一管控,保障所有被访问的内网资源的安全。通过架设统一的审计安全管理平台,来实现内网业务的安全接入,且在此基础上系统满足4A的安全管控和审计要求。在实现上,系统不仅要满足安全需求外,同时要考虑对现有内网业务做最小甚至零改动,方案实施简单可靠,且最大程度的降低整个系统的运维工作。

二、解决方案

部署云匣子的物理服务器采用“物理旁路,逻辑串联”的部署模式,所有外网和公网的用户访问内部业务系统限制必须通过云匣子。系统部署图如下:

3

二、方案特点

  • 管理方便

前置服务器应提供一套简单直观的账号管理、权限管理,管理员可快速方便地查找某个用户,查询修改访问权限;同时终端用户能够方便的登录系统对自己的基本信息进行管理,包括账号、口令等基本属性的修改。

  • 可扩展性

当进行新业务系统改造、建设或扩容时,新业务可以快速登记到前置服务器系统中来,满足业务系统的集中化管理需求,整个过程无需终端用户的任何更改和设置。

  • 实时监控

能够对终端用户在业务平台上所做的任何操作进行实时监控,包括视频录制和日志记录,类似于行车记录仪能够进行完整记录。

  • 审计可查

可根据用户实际需求,可方便快速地定位监控视频,并能准确查找用户的操作行为日志,包括登录时间、登录IP、操作行为等,以便追查取证。

  • 安全性

满足4A安全管理系统自身所必须具备的安全要素,包括采用HTTPS协议进行网络通信的加密、仅对外部开放单一的访问端口、多次尝试登陆失败锁定IP、多因子认证等。

  • 部署方便

系统采用物理旁路,逻辑串联的模式,不需要改变网络拓扑结构,不需要在终端安装客户端软件,不改变终端用户的操作习惯,整个过程无需对终端和现有业务系统做任何改动。