網(wǎng)絡(luò)隔離邊界安全接入技術(shù)

　　溝通科技安全接入堡壘機(jī)方案技術(shù)特點(diǎn)

　　1. 跨域安全訪問(wèn)保障

　　溝通科技安全接入堡壘機(jī)方案基于可信路徑(TrustedPath)技術(shù)、強(qiáng)制訪問(wèn)控制技術(shù)、高等級(jí)的保障技術(shù)，是一種可證明的安全技術(shù)

　　2. 文件安全傳輸通道

　　在移動(dòng)辦公訪問(wèn)相關(guān)應(yīng)用系統(tǒng)的時(shí)候,會(huì)涉及到把本地的文件傳到應(yīng)用系統(tǒng)中,比如發(fā)送郵件的時(shí)候,需要帶上附件,鑒于安全考慮,必須對(duì)上傳的文件進(jìn)行相關(guān)的審核,針對(duì)這一情況,在低安全域設(shè)置一臺(tái)從文件服務(wù)器，在高安全域增加一臺(tái)主文件服務(wù)器,并對(duì)文件服務(wù)器進(jìn)行策略設(shè)置,使移動(dòng)辦公人員只能看到自己的文件夾，溝通安全接入堡壘機(jī)僅調(diào)用高安全域的主文件服務(wù)器。

　　3. 訪問(wèn)控制

　　訪問(wèn)控制：基于角色、權(quán)限分配，設(shè)置細(xì)粒度訪問(wèn)控制策略，達(dá)到非法用戶不能訪問(wèn)，合法用戶不能越權(quán)訪問(wèn)的目的

　　4. 權(quán)限管理

　　可以根據(jù)邊界接入的需要，設(shè)置角色，指定相應(yīng)的資源訪問(wèn)權(quán)限，防止非授權(quán)訪問(wèn)和越權(quán)訪問(wèn)

　　5. 安全審計(jì)管理

　　審計(jì)服務(wù)：記錄終端用戶在其安全接入堡壘機(jī)平臺(tái)上運(yùn)行的各部件的有關(guān)事件，包括用戶登錄、驗(yàn)證、數(shù)據(jù)傳輸?shù)?，審?jì)信息可以通過(guò)WEB界面查詢。

　　6. 應(yīng)用集中管理

　　應(yīng)用集中于溝通安全接入堡壘機(jī)平臺(tái)統(tǒng)一管理和部署，低安全域用戶無(wú)需關(guān)注應(yīng)用的升級(jí)維護(hù)和部署，實(shí)現(xiàn)了應(yīng)用的集中管控和統(tǒng)一部署。

　　7. 登陸認(rèn)證管理

　　SSLVPN認(rèn)證系統(tǒng):只有擁有SSLVPN客戶端以及賬號(hào)和密碼才能夠撥入

　　通過(guò)溝通安全接入堡壘機(jī)策略,對(duì)客戶端身份進(jìn)行雙因子認(rèn)證

　　通過(guò)溝通安全接入堡壘機(jī)策略,綁定移動(dòng)辦公人員PC的硬件信息

　　專有的溝通安全接入堡壘機(jī)客戶端控件

　　8. 安全接入堡壘機(jī)安全策略

　　配置管理平臺(tái)有自己獨(dú)有的管理賬號(hào),負(fù)責(zé)添加用戶(所創(chuàng)建的用戶,全分布在虛擬應(yīng)用服務(wù)器上)、設(shè)置用戶策略、應(yīng)用策略以及發(fā)布應(yīng)用

　　用戶權(quán)限管理,實(shí)行權(quán)限分立，加強(qiáng)溝通安全接入堡壘機(jī)安全可靠性

　　配置管理實(shí)行了三權(quán)分立，不存在超級(jí)權(quán)限的管理員，管理員分為三角色，

　　配置管理員、操作系統(tǒng)管理員、審計(jì)管理員;

　　移動(dòng)辦公人員的賬號(hào)創(chuàng)建在虛擬應(yīng)用服務(wù)器上，且為匿名用戶;

　　堡壘機(jī)沒(méi)有移動(dòng)辦公人員賬號(hào)，只有配置管理員、操作系統(tǒng)用戶

　　堡壘機(jī)配置管理認(rèn)證需通過(guò)配置管理員和操作系統(tǒng)兩層身份認(rèn)證;

　　應(yīng)用系統(tǒng)用戶(如OA協(xié)同辦公系統(tǒng))是內(nèi)部網(wǎng)管理，完全與溝通安全接入堡壘機(jī)的用戶無(wú)關(guān)，且溝通安全接入堡壘機(jī)與內(nèi)部網(wǎng)有網(wǎng)閘進(jìn)行隔離，使移動(dòng)辦公人員無(wú)法通過(guò)溝通安全接入堡壘機(jī)篡改應(yīng)用系統(tǒng)用戶權(quán)限。

　　通過(guò)集群技術(shù)，實(shí)現(xiàn)的高可靠性，防止單點(diǎn)故障

　　操作系統(tǒng)安全加固

　　系統(tǒng)最小化安裝，除安裝最基本的系統(tǒng)組件與本應(yīng)用平臺(tái)組件，不安裝任何其它組件與模塊

　　系統(tǒng)最小化服務(wù)，最對(duì)外僅提供應(yīng)用平臺(tái)一個(gè)服務(wù)，不對(duì)外提供任何其它服務(wù)，包括任何其它TCP/IP服務(wù)和端口