应用安全访问与管控系统

案例亮点

在零信任架构的趋势下，针对内部应用安全防护的风险也越来越大，比如： （1）账号安全：过于脆弱和繁琐的身份鉴别与认证机制，无法做到集中统一的管理和控制，运维工作难度大。无效账号、重复账号、共享账号的情况大量存在。 （2）联合审计：一般只具备用户的网络访问层面的系统审计信息，很少考虑用户的业务行为和操作层面的集中审计。也无法与等保2.0架构中的安全管理中心形成有效的反馈和联动。 （3）重要数据和个人信息保护：重要数据的保护措施考虑较少，只要能访问系统基本可以一览无余。 对于个人信息，多数情况是账号密码加密存储，其他信息仍是明文呈现。 （4）安全认证：多数系统采用账号密码的方式做认证，在信息系统逐步增多、安全威胁越来越严重的趋势下，需要更安全、更便捷的认证方式和管控策略。 （5）访问控制：不当的最小权限和应用访问控制未作严格限制，越权和敏感信息泄露的事件层出不穷，无法满足合规需求和安全检查。 （6）入侵防范：应用系统自身安全性问题考虑较少，很多业务系统缺乏安全的自动化监测手段。在零信任架构的趋势下，内部应用安全防护的风险越来越大。 广聚应用安全访问管控系统，为用户用很低的投入成本，实现身份鉴别、访问控制、行为审计、应用防护和应用数据脱敏/水印/审批等 １.身份鉴别： A、提供账号身份鉴别，对主账号进行鉴别管理；主账号支持与权威数据源的接口同步，支持excel导入，AD域导入等。从账号由用户自己认领关联。 B、对于一人多号、僵尸账号、无效账号等进行严格梳理。支持组织结构的创建。 C、对用户的登入登出、非法连接、登陆超时、会话状态进行全程监控和管理。 D、提供各类主流认证方式，保障应用登录的安全性和便捷性。 E、针对不同的用户，制定不同的密码策略，支持密码复杂度、有效天数、禁用关键字等密码策略的设定。 ２访问控制： A、包括主账号的登录认证（主登录认证）和业务应用从账号的登录认证（二次登录认证）。 B、主账号的身份认证方式包括用户名口令、证书、OTP、第三方接口等强认证方式。 C、支持LDAP、CAS、SAML、Oauth等认证协议；支持证书、口令、通行码、域认证、指纹、二维码、OTP等多种认证方式；支持LDAP、AD等外部认证源。 ３.行为审计： A、基于RBAC模型，以岗位为中心，提供“用户->应用”的粗粒度和细粒度授权。 B、可对管理用户进行最小授权，实现管理用户访问时的权限分离； C、岗位支持同用户组绑定，绑定完成可自动完成组内用户默认权限的授权。 D、主账号与应用系统从账号绑定关系支持管理员映射及用户认领两种方式。 E、接口预留，可实现应用系统反向授权功能。 F、安全策略，包括控制策略和审计策略；从访问时间、IP地址、URL、剪切板、文件上传下载、文件下载审批、浏览器调试等多个维度对用户访问应用系统进行安全管控。以录像方式完整记录用户业务操作。 ４.应用防护 A、应用安全访问管控系统，对集成的WEB类型应用提供入侵防范的安全防护; B、如客户端浏览器加固、会话过程的一键安全防护、常规Web入侵的异常检测、客户端输入的有效性验证; C、提供反向代理能力和SSL支持。 ５.应用数据： A、应用客户端的加固：根据应用票据信息，向用户递送应用客户端。提高浏览器的兼容性。支持对呼起的浏览器进行安全加固（如禁用F12、禁用剪贴板、禁止访问特定URL等等） B、在线实时脱敏功能：保证业务数据的保密性，防止数据泄露。单独一页 C、水印功能：防止通过截屏或者拍照等方式产生的数据泄露，最大限度保证业务安全。单独一页 D、敏感文件下载审批：针对敏感文件下载支持审批功能，确保敏感数据不被非法访问和非法传播。单独一页 E、入侵防范：单独一页， WAF的概念