網(wǎng)絡(luò )隔離邊界安全接入技術(shù)

　　溝通科技安全接入堡壘機方案技術(shù)特點(diǎn)

　　1. 跨域安全訪(fǎng)問(wèn)保障

　　溝通科技安全接入堡壘機方案基于可信路徑(TrustedPath)技術(shù)、強制訪(fǎng)問(wèn)控制技術(shù)、高等級的保障技術(shù)，是一種可證明的安全技術(shù)

　　2. 文件安全傳輸通道

　　在移動(dòng)辦公訪(fǎng)問(wèn)相關(guān)應用系統的時(shí)候,會(huì )涉及到把本地的文件傳到應用系統中,比如發(fā)送郵件的時(shí)候,需要帶上附件,鑒于安全考慮,必須對上傳的文件進(jìn)行相關(guān)的審核,針對這一情況,在低安全域設置一臺從文件服務(wù)器，在高安全域增加一臺主文件服務(wù)器,并對文件服務(wù)器進(jìn)行策略設置,使移動(dòng)辦公人員只能看到自己的文件夾，溝通安全接入堡壘機僅調用高安全域的主文件服務(wù)器。

　　3. 訪(fǎng)問(wèn)控制

　　訪(fǎng)問(wèn)控制：基于角色、權限分配，設置細粒度訪(fǎng)問(wèn)控制策略，達到非法用戶(hù)不能訪(fǎng)問(wèn)，合法用戶(hù)不能越權訪(fǎng)問(wèn)的目的

　　4. 權限管理

　　可以根據邊界接入的需要，設置角色，指定相應的資源訪(fǎng)問(wèn)權限，防止非授權訪(fǎng)問(wèn)和越權訪(fǎng)問(wèn)

　　5. 安全審計管理

　　審計服務(wù)：記錄終端用戶(hù)在其安全接入堡壘機平臺上運行的各部件的有關(guān)事件，包括用戶(hù)登錄、驗證、數據傳輸等，審計信息可以通過(guò)WEB界面查詢(xún)。

　　6. 應用集中管理

　　應用集中于溝通安全接入堡壘機平臺統一管理和部署，低安全域用戶(hù)無(wú)需關(guān)注應用的升級維護和部署，實(shí)現了應用的集中管控和統一部署。

　　7. 登陸認證管理

　　SSLVPN認證系統:只有擁有SSLVPN客戶(hù)端以及賬號和密碼才能夠撥入

　　通過(guò)溝通安全接入堡壘機策略,對客戶(hù)端身份進(jìn)行雙因子認證

　　通過(guò)溝通安全接入堡壘機策略,綁定移動(dòng)辦公人員PC的硬件信息

　　專(zhuān)有的溝通安全接入堡壘機客戶(hù)端控件

　　8. 安全接入堡壘機安全策略

　　配置管理平臺有自己獨有的管理賬號,負責添加用戶(hù)(所創(chuàng )建的用戶(hù),全分布在虛擬應用服務(wù)器上)、設置用戶(hù)策略、應用策略以及發(fā)布應用

　　用戶(hù)權限管理,實(shí)行權限分立，加強溝通安全接入堡壘機安全可靠性

　　配置管理實(shí)行了三權分立，不存在超級權限的管理員，管理員分為三角色，

　　配置管理員、操作系統管理員、審計管理員;

　　移動(dòng)辦公人員的賬號創(chuàng )建在虛擬應用服務(wù)器上，且為匿名用戶(hù);

　　堡壘機沒(méi)有移動(dòng)辦公人員賬號，只有配置管理員、操作系統用戶(hù)

　　堡壘機配置管理認證需通過(guò)配置管理員和操作系統兩層身份認證;

　　應用系統用戶(hù)(如OA協(xié)同辦公系統)是內部網(wǎng)管理，完全與溝通安全接入堡壘機的用戶(hù)無(wú)關(guān)，且溝通安全接入堡壘機與內部網(wǎng)有網(wǎng)閘進(jìn)行隔離，使移動(dòng)辦公人員無(wú)法通過(guò)溝通安全接入堡壘機篡改應用系統用戶(hù)權限。

　　通過(guò)集群技術(shù)，實(shí)現的高可靠性，防止單點(diǎn)故障

　　操作系統安全加固

　　系統最小化安裝，除安裝最基本的系統組件與本應用平臺組件，不安裝任何其它組件與模塊

　　系統最小化服務(wù)，最對外僅提供應用平臺一個(gè)服務(wù)，不對外提供任何其它服務(wù)，包括任何其它TCP/IP服務(wù)和端口