網(wǎng)絡(luò)隔離邊界安全接入技術(shù)

　　溝通科技安全接入堡壘機(jī)方案技術(shù)特點(diǎn)

　　1. 跨域安全訪問保障

　　溝通科技安全接入堡壘機(jī)方案基于可信路徑(TrustedPath)技術(shù)、強(qiáng)制訪問控制技術(shù)、高等級的保障技術(shù)，是一種可證明的安全技術(shù)

　　2. 文件安全傳輸通道

　　在移動辦公訪問相關(guān)應(yīng)用系統(tǒng)的時候,會涉及到把本地的文件傳到應(yīng)用系統(tǒng)中,比如發(fā)送郵件的時候,需要帶上附件,鑒于安全考慮,必須對上傳的文件進(jìn)行相關(guān)的審核,針對這一情況,在低安全域設(shè)置一臺從文件服務(wù)器，在高安全域增加一臺主文件服務(wù)器,并對文件服務(wù)器進(jìn)行策略設(shè)置,使移動辦公人員只能看到自己的文件夾，溝通安全接入堡壘機(jī)僅調(diào)用高安全域的主文件服務(wù)器。

　　3. 訪問控制

　　訪問控制：基于角色、權(quán)限分配，設(shè)置細(xì)粒度訪問控制策略，達(dá)到非法用戶不能訪問，合法用戶不能越權(quán)訪問的目的

　　4. 權(quán)限管理

　　可以根據(jù)邊界接入的需要，設(shè)置角色，指定相應(yīng)的資源訪問權(quán)限，防止非授權(quán)訪問和越權(quán)訪問

　　5. 安全審計管理

　　審計服務(wù)：記錄終端用戶在其安全接入堡壘機(jī)平臺上運(yùn)行的各部件的有關(guān)事件，包括用戶登錄、驗(yàn)證、數(shù)據(jù)傳輸?shù)?，審計信息可以通過WEB界面查詢。

　　6. 應(yīng)用集中管理

　　應(yīng)用集中于溝通安全接入堡壘機(jī)平臺統(tǒng)一管理和部署，低安全域用戶無需關(guān)注應(yīng)用的升級維護(hù)和部署，實(shí)現(xiàn)了應(yīng)用的集中管控和統(tǒng)一部署。

　　7. 登陸認(rèn)證管理

　　SSLVPN認(rèn)證系統(tǒng):只有擁有SSLVPN客戶端以及賬號和密碼才能夠撥入

　　通過溝通安全接入堡壘機(jī)策略,對客戶端身份進(jìn)行雙因子認(rèn)證

　　通過溝通安全接入堡壘機(jī)策略,綁定移動辦公人員PC的硬件信息

　　專有的溝通安全接入堡壘機(jī)客戶端控件

　　8. 安全接入堡壘機(jī)安全策略

　　配置管理平臺有自己獨(dú)有的管理賬號,負(fù)責(zé)添加用戶(所創(chuàng)建的用戶,全分布在虛擬應(yīng)用服務(wù)器上)、設(shè)置用戶策略、應(yīng)用策略以及發(fā)布應(yīng)用

　　用戶權(quán)限管理,實(shí)行權(quán)限分立，加強(qiáng)溝通安全接入堡壘機(jī)安全可靠性

　　配置管理實(shí)行了三權(quán)分立，不存在超級權(quán)限的管理員，管理員分為三角色，

　　配置管理員、操作系統(tǒng)管理員、審計管理員;

　　移動辦公人員的賬號創(chuàng)建在虛擬應(yīng)用服務(wù)器上，且為匿名用戶;

　　堡壘機(jī)沒有移動辦公人員賬號，只有配置管理員、操作系統(tǒng)用戶

　　堡壘機(jī)配置管理認(rèn)證需通過配置管理員和操作系統(tǒng)兩層身份認(rèn)證;

　　應(yīng)用系統(tǒng)用戶(如OA協(xié)同辦公系統(tǒng))是內(nèi)部網(wǎng)管理，完全與溝通安全接入堡壘機(jī)的用戶無關(guān)，且溝通安全接入堡壘機(jī)與內(nèi)部網(wǎng)有網(wǎng)閘進(jìn)行隔離，使移動辦公人員無法通過溝通安全接入堡壘機(jī)篡改應(yīng)用系統(tǒng)用戶權(quán)限。

　　通過集群技術(shù)，實(shí)現(xiàn)的高可靠性，防止單點(diǎn)故障

　　操作系統(tǒng)安全加固

　　系統(tǒng)最小化安裝，除安裝最基本的系統(tǒng)組件與本應(yīng)用平臺組件，不安裝任何其它組件與模塊

　　系統(tǒng)最小化服務(wù)，最對外僅提供應(yīng)用平臺一個服務(wù)，不對外提供任何其它服務(wù)，包括任何其它TCP/IP服務(wù)和端口