应用访问管控系统系统是集用户、授权、认证和审计于一体的集中用户管理系统。应用访问管控系统系统在不改变现有软硬件及网络环境的前提下,无缝地将企业现有的各种应用系统整合到应用4A平台上,实现统一的账号管理;集中的强身份认证;统一的应用访问授权及细粒度的访问控制,以及完整全面的应用访问行为审计。
目前各业务应用的身份认证方式大部分都是通过用户名和静态口令登陆系统,但静态口令本身存在极大安全隐患,易被截获和分析,猜测和破解,泄漏的机率大,一旦口令被他人所用,便可访问其没有权限的应用系统,使得机密信息被他人非法获取;甚至有些账号和口令多人使用,在发生安全事故时,难于确定责任,而且平时也难于对账号的扩散范围进行控制,容易造成各种安全漏洞。
应用系统及企业IT设备越来越多,各系统及设备各自独立,都有各自一套独立的用户账号管理模块,这些账号各自独立,极易造成账号管理困难,极易存在账号复用,给系统管理埋下安全隐患。
各应用系统缺乏一个统一的访问控制入口,每个系统独立对外开放地址和端口以提供访问,系统管理员直接在各个系统上为增删用户并对其进行授权,随着系统的增多,无疑会增加非法人员进入系统的途径。
随着应用系统的增多,使用户经常需要在各处系统间切换,需要频繁输入用户名、口令进行登陆,给用户的工作带来了不便,影响工作效率。有些人员将多个系统设置成同一口令,危害到了应用系统的安全性。
目前各个应用系统的审计都是独立的,而且,审计的方式主要为日志记录,缺乏集中统一的对访问人员、业务系统及业务操作行为进行审计分析的手段,同时,单纯的日志记录无法直观的查看用户的操作行为,对后续的问题追责也增加了难度。
目前企业和组织中的各应用系统独立维护一套认证,授权和审计系统,并且由相应的管理员进行管理和维护,当系统增多时,系统管理员的工作复杂度会成倍增加,尤其是花费大量的时间在增加和删除用户,修改密码。并会往往会因为忘记将一个离职用户从系统中解除其权限,而造成极大的安全风险。
账号管理包括通过岗位关联,实现业务应用账号的自动添加;在项目初期,账号接口还未对接完成时,通过账号认领的方式,实现业务应用账号的管理。
提供对应用系统权限管理及内容管理,包括业务应用注册到4A平台,并与岗位功能进行关联,实现用户与应用的授权关联,并通过控制策略和审计策略,实现应用的访问控制和操作审计。
应用访问管控系统为不同的角色制定不同的访问策略。其中,访问策略包括用户策略和应用访问策略。访问规则设置灵活,可以通过限制访问的源IP地址、访问时间、URL、剪切板、文件操作、跨域访问等方式实现对应用的访问控制。
应用访问管控系统为不同的角色定制不同的审计策略。审计规则设置灵活,可以通过审计访问的源IP地址、访问时间、URL、剪切板、文件操作、跨域访问等方式实现对应用的访问审计。能够根据不同的情况定制不同的策略。
应用访问管控系统需要管理全部的认证登录过程,包括4A管理平台全部主账号的登录认证(主登录认证)和业务应用中中全部从账号的登录认证(二次登录认证)。
建立集中强认证中心,用于为主登录认证和二次登录认证提供集中的认证服务 提供认证枢纽服务,在需要情况下,支持将认证请求转发至外部认证组件来完成认证。
生成应用访问会话票据。会话票据体现了用户访问具体应用的描述,包括应用信息,SSO 信息,访问控制策略,审计策略等。 通过内部接口和应用虚拟化池进程交互。
4A系统将用户对应用系统的所有操作过程以视频形式记录。视频支持画质,帧间隔,压缩比等设置,可以大大缩减图形审计产生录像文件的大小,同时对录像的播放支持本地化存储和播放。
用户访问业务系统时,4A系统会记录用户操作过程中涉及到的URL信息,同时,针对URL信息,可提取POST、GET、敏感信息提取等功能。
无论是用户在业务应用上上传文件,还是下载文件,都会被系统所审计,包括文件名,关联的url,时间,ip ,用户等信息。
剪切板内容包括用户对业务应用中,页面内容的复制、剪切、粘贴等进行审计。
管理员可以随时查看用户的业务操作,针对敏感操作可以发送告警信息或通过锁屏功能进行用户终端的远程锁定或强制注销应用会话。
包括用户异常的登录、违规登录、越权访问进行记录和告警。
根据关键字对搜索相关的URL审计,文件审计,剪贴板审计内容。根据搜索结果,反查相应的应用会话。
根据应用票据信息,向用户递送应用客户端。例如某办公自动化应用(OA),必须使用chrome访问,用户桌面环境中没有chrome ,则向用户桌面递送chrome。
通过部署应用访问管控系统,帮助企业建设一套集账号、认证、授权、审计为一体的业务应用统一管理平台,管理人员通过一个平台即可管理所有应用系统,轻松实现员工入职、调岗、离职的生命周期管理;同时,将业务人员从复杂的业务切换之间解放出来,告别纷繁复杂的密码和堆叠的登录页面,只需一次登录即可访问所有业务应用,更安全、便捷,提高办公效率。
应用访问管控系统通过对终端浏览器进行安全加固:在浏览器用户界面禁用F12快捷键,禁止使用命令栏和菜单栏,禁止修改URL地址栏等措施,增强业务终端访问业务应用的安全性;同时,通过限制访问的IP地址、访问时间、URL、剪切板、文件操作等细粒度的安全策略。
应用访问管控系统部署后,所有业务应用的访问都将通过4A系统的代理功能实现,业务终端无法直接访问业务应用,所有业务数据的交互都将通过4A平台的应用内容发布功能向业务终端递送,各业务应用对访问人员来说,都将是“隐身”状态,对于黑客而言,将无法检测到业务应用开放的服务、端口,也就无法对业务应用所在的服务器进行渗透扫描,有效的防护来自企业外部的安全威胁。
传统的应用虚拟化需要单独的一台window server服务器(即应用发布服务器)部署需要对外发布的应用,每台服务器能够承载的用户并发量约为30-50人,当用户数目比较大时,服务器的性能将极大的影响业务应用的使用,企业需要部署大量的应用发布服务器,来满足业务需要,大大增加了企业的成本。
应用访问管控系统系统采用旁路部署,不改变用户现有的网络架构,各模块之间可单独部署,支持横向扩展,部署快捷简便,支持单机、双机、集群等部署形式,无需目标应用做太多的集成开发工作,即可上线使用。
业务人员访问地址由原有的业务应用地址改成应用访问管控系统的地址即可,避免用户在各业务系统之间来回切换,频繁登录。
应用访问管控系统采用旁路部署,支持双机,支持横向集群扩展,不改变用户现有的网络架构,部署灵活便利,同时,可以结合防火墙等设备,实现应用访问管控系统的放绕行。
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层