身份安全

  • 首页
  • 信息安全
  • 身份安全

信息安全

SSL VPN

重要的业务系统需要安全接入

      企业级用户业务系统中的高价值信息资产越来越多,一旦发生泄露,用户会遭受名誉、经济等层面的重大损失。安全接入是保护业务系统高价值信息资产不泄露的重要手段之一。

安全接入需要保障端到端的安全性

      当前黑客攻击技术的多样性(比如合法身份伪造及其他社工类攻击技术)为系统接入安全提出了新挑战,黑客可以轻松冒用他人身份信息,以合法身份访问业务系统、进行非法操作。因此,系统接入安全的保障工作需要从用户及终端合法性、最小/最细粒度权限管控、行为审计及异常处理、加密算法有效性四个方面开展,保障业务到用户端到端的安全性。

安全与体验需要并重

      当前常用的VPN安全接入的方案,存在着种种体验的问题,如无法支持最新的浏览器版本、不支持MAC系统,接入速度非常缓慢、等问题。 安全固然重要,但用户体验差也影响着业务效率和用户感受,需要优化用户端到端的业务访问体验。

访问权限更小化

      提供基于URL授权的细粒度访问权限控制,让用户只能访问同一台Web服务器上的有限页面,防止非法接入用户找到SQL注入漏洞页面;同时深信服提供主从账号绑定功能,将SSL VPN与业务系统的帐号做绑定,防止内部用户越权访问。

加密算法有效性

      根据不同业务的安全级别,提供AES、3DES、RSA、RC4、MD5或国密SM1、SM2、SM3、SM4等加密算法进行选择,保障数据的安全性。

提升黑客仿冒身份成本

      提供8种身份认证方式,您可以根据业务需求,采用3种以上的组合身份认证方式,如用户名/密码+终端特征码+短信验证码认证等。

防止黑客控制终端

      提供PC端安全检查机制,PC不符合安全规定则禁止接入企业网络;提供企业移动管理解决方案,检查终端的安全状态,并根据判定的结果对移动终端进行远程锁定或者数据擦除。

行为记录、展示及回溯

      详细记录接入用户的访问行为,确保用户的访问过程可追溯。

统一身份安全管理系统IDTrust

      深信服统一身份安全管理系统(简称:IDTrust),强调以人为中心应用访问控制,提供统一身份管理、统一身份认证、统一门户/单点登录(SSO)、集中应用授权、审计与分析等功能,让认证更简易、身份更安全、应用访问更可控,并实现身份全生命周期管理,降低管理员账号开户、变更、销户等带来的运维复杂度,让管理更高效。

身份管理

      人员入职、变更、离职全网自动同步,实现身份全生命周期管理,降低运维难度,降低因账号未回收带来的安全风险。

认证管理

      打通网络设备和业务应用,实现全网统一认证和单点登录,提供生物认证和双因素认证,有效降低账号共享、泄漏、弱密码等安全风险。

权限管理

      提供基于用户组和角色的应用访问控制,根据不同的部门、不同的岗位设置灵活的权限策略,降低因权限过大造成的安全风险。

行为审计

      实时记录用户、IP、时间、访问应用等相关信息,同时针对异地访问、异常时间段访问等行为进行自适应认证和告警。

零信任访问控制系统aTrust

      深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。同时,aTrust作为深信服零信任安全架构整体解决方案的核心组成部分,支持对接态势感知等多种安全设备,安全能力持续成长,助力客户网络安全体系向零信任架构迁移,帮助客户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。

可信访问

  • 网络隐身:利用SPA单包授权安全机制实现“网络隐身”,隐藏关键业务,缩小暴露面。先认证、再授权、后连接,未携带合法SPA票据的终端,无法访问任何业务系统,有效缓解扫描探测、漏洞利用、DDoS等攻击行为。
  • 终端可信检测:全周期实时地检测终端环境,不仅在用户登陆环节,而且在登录后访问业务期间进行实时检测,只有终端环境符合要求,如开启了防火墙、从Windows域接入等,才能登录访问,确保用户接入终端的安全性,避免因终端环境的安全隐患给业务系统带来安全威胁。
  • 动态业务准入:对于不同敏感度的业务系统,采用不同安全级别的准入策略,对业务实现分级保护,平衡安全与体验。

智能权限

  • 权限基线梳理:利用智能权限工具,通过采集、试运行、正式运行三个阶段辅助用户实现基础权限模型梳理。并可利用权限申请与审批工具来提升权限管理运维效率。
  • 动态访问控制:通过“信任引擎”,识别环境、身份、行为等维度安全风险,动态调整用户的访问权限,保护业务数据资产。
  • 第三方安全能力集成:提供开放的第三方安全API接口,安全联动更多安全组件,获得更丰富的安全能力,更准确、更有效地识别与应对高级威胁、异常行为。

极简运维

  • 架构轻量化易落地:以控制中心、代理网关、客户端(非必须)为核心组件的极简架构,帮助客户更容易分场景、分阶段快速落地实践。
  • WEB资源免客户端访问:针对B/S业务,可提供免客户端接入方案,不改变用户原有使用习惯,提升用户体验,免除客户端运维成本。
  • 自服务终端运维管理:提供多种用户自服务能力,简化管理运维难度。如提供权限申请自服务工具、终端环境诊断工具、授信终端自助管理工具等