业务系统访问方法、装置、系统及介质制造方法及图纸

本发明专利技术公开了一种业务系统访问方法，该方法调用安全网关进行访问请求的响应端，不需要在各个分支机构去部署设备，可以适应灵活多变的网络环境；网关可以解开加密流量，实现对于加密流量的识别；本方案通过安全网关保护业务系统，当访问业务系统时，如果流量未认证会被阻断并要求认证，认证后获取身份才能访问业务系统的全面身份化机制，实现了用户身份的安全性保障；另外，本方案通过持续、动态的综合行为以及身份评估信息实现动态的访问控制，进行访问阻断处理，集身份化威胁防护和动态访问控制为一体，可以全方面解决业务系统访问安全问题。本发明专利技术还提供了一种业务系统访问装置、系统及可读存储介质，具有上述有益效果。

【技术实现步骤摘要】
业务系统访问方法、装置、系统及介质
本专利技术涉及网络安全领域，特别涉及一种业务系统访问方法、装置、系统及可读存储介质。
技术介绍
目前，企业将自身的越来越多的内部办公系统放在企业内网中，企业内网中的数据资产价值变得越来越高，一旦内部办公系统被破或者、窃取将引发重大损失。而随着信息技术的发展，企业内部网络环境也变得复杂，内网不再纯粹，比如办公PC(PersonalComputer，个人计算机或个人电脑)可以同时访问互联网和内网，如笔记本能通过办公区WIFI(WirelessFidelityWirelessFidelity，无线局域网)连接到内网、外部网络可以通过SSLVPN(指采用安全套接字层协议来实现远程接入的一种新型新型虚拟专用网络技术技术)接入访问内网业务系统、大量分支机构的办公PC能远程接入到总部数据中心等，在复杂的网络安全形势下，即使是企业内网访问的业务系统面临安全性挑战。传统方式下主要通过NAC(网络准入控制)、IPS(入侵防御系统)/IDS(入侵检测系统)以及防火墙等来实现安全控制，而其中NAC需要在办公PC的局域本文档来自技高网...

【技术保护点】
1.一种业务系统访问方法，其特征在于，包括：/n当目标业务系统接收到用户的访问请求时，安全网关识别当前会话是否经过认证；/n若未经认证，将当前会话发送至控制器进行会话信息认证，并获取所述会话信息认证生成的认证信息；/n当所述认证信息认证通过后，代理访问所述目标业务系统以响应所述访问请求；/n对代理访问的用户行为进行异常行为识别分析，生成威胁分析结果；/n将所述威胁分析结果发送至所述控制器，以便所述控制器根据所述威胁分析结果进行访问阻断处理。/n

【技术特征摘要】
1.一种业务系统访问方法，其特征在于，包括：
当目标业务系统接收到用户的访问请求时，安全网关识别当前会话是否经过认证；
若未经认证，将当前会话发送至控制器进行会话信息认证，并获取所述会话信息认证生成的认证信息；
当所述认证信息认证通过后，代理访问所述目标业务系统以响应所述访问请求；
对代理访问的用户行为进行异常行为识别分析，生成威胁分析结果；
将所述威胁分析结果发送至所述控制器，以便所述控制器根据所述威胁分析结果进行访问阻断处理。


2.如权利要求1所述的业务系统访问方法，其特征在于，所述将当前会话发送至控制器进行会话信息认证，包括：将当前会话发送至控制器进行用户身份安全性认证以及多源信任等级评估；
则相应地，当所述认证通过后，代理访问所述目标业务系统以响应所述访问请求，包括：
当所述用户身份安全性认证通过后，根据所述多源信任等级评估的结果匹配相应的安全策略，并调用所述安全策略代理访问所述目标业务系统。


3.如权利要求1所述的业务系统访问方法，其特征在于，在代理访问所述目标业务系统以响应所述访问请求之前，还包括：
读取所述认证信息并校验所述认证信息的合法性；
若合法性校验通过，且所述认证信息显示认证通过，执行代理访问所述目标业务系统以响应所述访问请求的步骤。


4.一种业务系统访问装置，其特征在于，应用于安全网关，包括：
认证判断单元，用于当目标业务系统接收到用户的访问请求时，识别当前会话是否经过认证；若未经认证，跳转至认证信息获取单元；
所述认证信息获取单元，用于将当前会话发送至控制器进行会话信息认证，并获取所述会话信息认证生成的认证信息；
系统访问单元，用于当所述认证信息认证通过后，代理访问所述目标业务系统以响应所述访问请求；
行为分析单元，用于对代理访问的用户行为进行异常行为识别分析，生成威胁分析结果；
访问阻断处理单元，用于将所述威胁分析结果发送至所述控制器，以便所述控制器根据所述威胁分析结果进行访问阻断处理。

【专利技术属性】
技术研发人员：郭炳梁，卢艺，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44