本发明专利技术公开了一种远程接入安全管理系统,包括相互连接的访问门户网站单元、会话管理器代理单元、会话管理器单元、数字保险库单元和中央策略管理器单元;访问门户网站单元用于为远程接入人员提供认证登录服务,实现远程办公统一单点登录,通过认证方式进行身份的确认和识别,保证合法的访问企业中的资源;会话管理器代理单元用于对远程接入人员的使用资源请求进行转发,并将企业中内网已经在使用的资源的界面通过协议转换,通过https协议传入远程接入人员的终端服务器,保证数据的安全。本发明专利技术做到远程接入人员对企业资源进行合法的访问、安全的接入和安全的操作,从而达到最大化的保证企业内部系统资源的数据安全目的。
【技术实现步骤摘要】
远程接入安全管理系统
本专利技术涉及远程接入安全管理领域,特别涉及一种远程接入安全管理系统。
技术介绍
随着云计算、移动办公等新的IT技术的发展,随时随地的远程办公方式变得越来越普遍,用户的网络使用是高度动态化的,一个用户可能同时存在不同的角色,不同角色间所访问的应用服务及资源均可能是不同或者是交叉的。这种新的工作方式,造成了系统边界的新变化,网络安全边界越来越难以界定。传统基于固定边界的VPN接入方式的防护方案已经开始逐渐失效,暴露了许许多多的缺点:1)VPN认证方式过于简单:仅验证用户身份,而用户使用的设备、应用都可能存在种种安全风险,单纯验证用户身份的方式不足以构建信任,确保远程访问的安全。2)缺乏基于身份的访问控制:传统VPN远程安全访问采用网络边界防护方式,工作在网络层,一旦网络打通,关键网络资产及设施不可避免的暴露在互联网环境中,用户可以横向获得更多访问可能,黑客可以尝试撞库、爆破等方式获得更多企业内部系统资源。传统远程安全访问缺乏对内网的保护,接入内部网络以后用户不再进行严格的访问控制与权限区分,带来非常多的风险点和管控面,缺乏在企业内部网络中实施严格的网络准入访问控制与隔离,基于用户的身份及权限进行动态和精细化的访问权限控制管理,确保具有合适身份权限的用户只能访问特定的应用与数据。3)缺乏细粒度的安全访问控制策略:基于传统VPN设备的安全防护是基于策略配置完成的,需要提前预先基于用户的权限和管理需要进行策略配置,过程繁杂且容易出错,缺乏细粒度、动态的策略配置,以适应访问位置、设备、角色权限等的频繁变化。4)缺乏访问安全审计:传统的远程接入方案缺乏严格的安全审计,无法对访问行为进行全过程的审计、进行溯源和实时的分析与管控,实现实时威胁分析和安全可视化。
技术实现思路
本专利技术要解决的技术问题在于,针对现有技术的上述缺陷,提供一种做到远程接入人员对企业资源进行合法的访问、安全的接入和安全的操作,从而达到最大化的保证企业内部系统资源的数据安全目的的远程接入安全管理系统。本专利技术解决其技术问题所采用的技术方案是:构造一种远程接入安全管理系统,包括:访问门户网站单元:用于为远程接入人员提供认证登录服务,实现远程办公统一单点登录,通过认证方式进行身份的确认和识别,保证合法的访问企业中的资源;会话管理器代理单元:用于对远程接入人员的使用资源请求进行转发,并将企业中内网已经在使用的资源的界面通过协议转换,通过https协议传入远程接入人员的终端服务器,保证数据的安全;会话管理器单元:用于远程接入人员通过RemoteAPP的方式去调用企业中的资源,或通过RDP协议直接接入企业中内网的资源,实现正常办公和运维;数字保险库单元:用于统一存储远程接入人员访问企业资源的密码,将密码代填流程控制在企业内网,保证外网无法侦测,同时还将统一存储和加密审计视频,留下不可抵赖的信息;中央策略管理器单元:用于为企业资源的特权账号密码提供更新;所述访问门户网站单元、会话管理器代理单元、会话管理器单元、数字保险库单元和中央策略管理器单元相互连接。在本专利技术所述的远程接入安全管理系统中,所述访问门户网站单元进一步包括:身份认证模块:用于远程接入人员访问企业资源登录前,进行验证身份的方式,只有通过验证后,才能登录所述远程接入安全管理系统,且支持多种认证方式,也能采用双因素的认证方式;访问控制模块:用于实施严格的网络准入访问控制与隔离,基于用户的身份进行精细化的访问权限控制管理,确保具有合适身份权限的用户只能访问特定的应用与数据;策略配置模块:用于进行自动化、细粒度和动态的策略配置,以适应访问位置、设备和角色权限的频繁变化;资源使用模块:用于远程接入人员成功登录系统后,通过界面上的企业资源进行选择,然后再进行使用,整个使用过程都会被记录下来;所述身份认证模块、访问控制模块、策略配置模块和资源使用模块相互连接。在本专利技术所述的远程接入安全管理系统中,所述会话管理器代理单元进一步包括:登录代填资源账号模块:用于用于响应远程接入人员的连接请求,在企业内网快速的建立会话,实现密码的统一自动登录代填;全程审计模块:用于对各种资源账号的使用行为进行实时检测机制,做到事前警告、事中拦截和事后分析;实时分析管控模块:用于提供账号的威胁分析,实时检测并主动告警、自动拦截高危威胁,且能提供账号威胁行为轨迹关联回放,保证资源使用的安全;所述登录代填资源账号模块、全程审计模块和实时分析管控模块相互连接。在本专利技术所述的远程接入安全管理系统中,所述数字保险库单元进一步包括:权限细分模块:用于实现管理人员权限、普通使用人员权限和审计人员权限的划分;资源存储模块:用于存放企业资源中的所有账号密码和策略设置,保证所有资源统一安全的存储在数字保险库中;审计存储模块:用于存放企业资源中的审计记录,包含事前、事中和事后所有的审计,实现后续对事件的追溯和溯源;所述权限细分模块、资源存储模块和审计存储模块相互连接。在本专利技术所述的远程接入安全管理系统中,所述中央策略管理器单元进一步包括:密码更改模块:用于对企业资源所有的账号密码进行更改,能通过系统定期自动更改的方式和手动更改的方式对账号的密码进行更改,更改密码时能设置一定的复杂度;密码验证模块:用于对企业资源所有的账号密码进行验证,能通过系统定期自动验证的方式和手动验证的方式对账号的密码进行验证,查看是否所有账号都是正常的,能清楚的查看企业资源的整体情况;密码重置模块:用于高权限的账号对普通权限的账号密码进行重置;联动改密模块:用于内嵌应用的改密;所述密码更改模块、密码验证模块、密码重置模块和联动改密模块相互连接。实施本专利技术的远程接入安全管理系统,具有以下有益效果:由于设有访问门户网站单元、会话管理器代理单元、会话管理器单元、数字保险库单元和中央策略管理器单元,本专利技术做到远程接入人员对企业资源进行合法的访问、安全的接入和安全的操作,从而达到最大化的保证企业内部系统资源的数据安全目的。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术远程接入安全管理系统一个实施例中的结构示意图;图2为所述实施例中访问门户网站单元的结构示意图;图3为所述实施例中会话管理器代理单元的结构示意图;图4为所述实施例中数字保险库单元的结构示意图;图5为所述实施例中中央策略管理器单元的结构示意图;图6为所述实施例中远程接入安全管理系统接入的流程图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述本文档来自技高网...
【技术保护点】
1.一种远程接入安全管理系统,其特征在于,包括:/n访问门户网站单元:用于为远程接入人员提供认证登录服务,实现远程办公统一单点登录,通过认证方式进行身份的确认和识别,保证合法的访问企业中的资源;/n会话管理器代理单元:用于对远程接入人员的使用资源请求进行转发,并将企业中内网已经在使用的资源的界面通过协议转换,通过https协议传入远程接入人员的终端服务器,保证数据的安全;/n会话管理器单元:用于远程接入人员通过RemoteAPP的方式去调用企业中的资源,或通过RDP协议直接接入企业中内网的资源,实现正常办公和运维;/n数字保险库单元:用于统一存储远程接入人员访问企业资源的密码,将密码代填流程控制在企业内网,保证外网无法侦测,同时还将统一存储和加密审计视频,留下不可抵赖的信息;/n中央策略管理器单元:用于为企业资源的特权账号密码提供更新;/n所述访问门户网站单元、会话管理器代理单元、会话管理器单元、数字保险库单元和中央策略管理器单元相互连接。/n
【技术特征摘要】
1.一种远程接入安全管理系统,其特征在于,包括:
访问门户网站单元:用于为远程接入人员提供认证登录服务,实现远程办公统一单点登录,通过认证方式进行身份的确认和识别,保证合法的访问企业中的资源;
会话管理器代理单元:用于对远程接入人员的使用资源请求进行转发,并将企业中内网已经在使用的资源的界面通过协议转换,通过https协议传入远程接入人员的终端服务器,保证数据的安全;
会话管理器单元:用于远程接入人员通过RemoteAPP的方式去调用企业中的资源,或通过RDP协议直接接入企业中内网的资源,实现正常办公和运维;
数字保险库单元:用于统一存储远程接入人员访问企业资源的密码,将密码代填流程控制在企业内网,保证外网无法侦测,同时还将统一存储和加密审计视频,留下不可抵赖的信息;
中央策略管理器单元:用于为企业资源的特权账号密码提供更新;
所述访问门户网站单元、会话管理器代理单元、会话管理器单元、数字保险库单元和中央策略管理器单元相互连接。
2.根据权利要求1所述的远程接入安全管理系统,其特征在于,所述访问门户网站单元进一步包括:
身份认证模块:用于远程接入人员访问企业资源登录前,进行验证身份的方式,只有通过验证后,才能登录所述远程接入安全管理系统,且支持多种认证方式,也能采用双因素的认证方式;
访问控制模块:用于实施严格的网络准入访问控制与隔离,基于用户的身份进行精细化的访问权限控制管理,确保具有合适身份权限的用户只能访问特定的应用与数据;
策略配置模块:用于进行自动化、细粒度和动态的策略配置,以适应访问位置、设备和角色权限的频繁变化;
资源使用模块:用于远程接入人员成功登录系统后,通过界面上的企业资源进行选择,然后再进行使用,整个使用过程都会被记录下来;
所述身份认证模块、访问控制模块、策略配置模块和资源使用模块相互连接。
【专利技术属性】
技术研发人员:董明,邓祯恒,顾伟,杨达盛,潘明政,
申请(专利权)人:广州海颐信息安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。