【技术实现步骤摘要】
本申请涉及信息安全传输,更具体地说,涉及一种基于身份安全的零信任接入系统的方法。
技术介绍
1、随着云计算、移动互联网、iot等新技术架构广泛应用,现在的网络安全是零信任的时代。但是,长久以来大部分用户错误的认为内网是可信的,因此风险意识相对淡薄,内控措施匮乏,却忽略了城堡往往是从内部攻破的,来自内部的安全风险更加致命。
2、由于业务系统自身安全性问题考虑较少,导致业务系统缺乏安全的自动化监测手段。在零信任架构的趋势下,内部应用安全防护的风险越来越大。
技术实现思路
1、鉴于在零信任架构的趋势下,由于业务系统缺乏安全的自动化监测手段,内部应用安全防护的风险越来越大的问题,本申请提出了一种基于身份安全的零信任接入系统的方法,并采用如下技术方案。
2、一种基于身份安全的零信任接入系统的方法,在客户端和业务系统之间部署应用堡垒,所述应用堡垒为客户端访问业务系统的唯一入口。所述应用堡垒连接于应用堡垒控制中心。所述方法包括:用户在设备上登录客户端,通过客户端向所述应用堡垒发出访问业务系统的请求;所述应用堡垒控制中心采集访问信息并解析,然后进行风险评估,根据风险评估结果得出本次访问的访问权限决策,将该决策发送至所述应用堡垒;所述应用堡垒根据该访问权限决策进行访问权限控制。
3、通过采用上述技术方案,通过应用堡垒提供统一的业务安全访问通道,关闭终端直连业务系统的网络策略,尽可能避免企业内部服务全部暴露在办公网络。所有的终端访问都要经过终端身份校验,极大的降低内
4、作为该基于身份安全的零信任接入系统的方法的一种改进,所述用户和所述设备为访问主体;所述业务系统为访问客体;所述风险评估包括:
5、所述应用堡垒控制中心采集环境感知日志以及用户访问行为日志。
6、所述应用堡垒控制中心解析环境感知日志以及用户访问行为日志,得到目标数据集合。
7、所述应用堡垒控制中心按照预设的访问主体评估周期,根据目标数据集合对访问主体进行综合信任量化评分,输出当前周期中的访问主体的信任级别,访问主体的综合信任量化评分和访问主体的信任级别作为初始可信度评估数据。
8、所述应用堡垒控制中心在当前访问主体评估周期中,获取所述目标数据集合中的实时更新数据,根据实时更新数据计算动态信任评估数据以及静态信任评估数据;将所述动态信任评估数据、所述静态信任评估数据和所述初始可信度评估数据进行整合,得到目标可信度评估数据,通过该目标可信度评估数据对应得出访问权限决策。
9、通过采用上述技术方案,应用堡垒控制中心通过采集环境感知日志、用户访问行为日志,综合分析出环境风险和用户风险,根据计算的环境、用户风险,决定该用户通过该环境的此次访问所应得到的授权访问应用,然后将授权访问决策权发送给应用堡垒,由应用堡垒执行客户端相应的访问授权。
10、作为该基于身份安全的零信任接入系统的方法的一种改进,所述环境感知日志包括访问端的本地状态,所述本地状态包括设备是否安装杀毒软件、客户端是否打了漏洞补丁程序,以及设备是否有异常进程之中的一种或者多种。所述用户访问行为日志包括审计上报数据;所述审计上报数据包括进程审计、登录审计、服务审计、用户密码审计、用户权限审计、用户信息审计、共享审计和windows注册表审计之中的一种或者多种。
11、通过采用上述技术方案,环境感知日志和用户访问行为日志包含访问主体的各种重要属性,能有效的评估出访问主体存在的风险。
12、作为该基于身份安全的零信任接入系统的方法的一种改进,所述目标数据集合包含本地状态、认证记录、历史行为记录、属性情况、异常风险记录、访问行为特征、请求访问的用户数据、请求访问的应用权重和资产数据之中的一种或者多种。
13、通过采用上述技术方案,目标数据集合包含多种重要属性,能有效的评估出访问主体的风险。
14、作为该基于身份安全的零信任接入系统的方法的一种改进,所述初始可信度评估数据的获得,包括通过预先建立所述目标数据集合之中的各项参数和评分之间的映射关系,并在评分时基于此种映射关系,确定出对应的各项参数的得分,再将各项得分汇总得到所述综合信任量化评分,并确定该综合信任量化评分所落入的信任级别。
15、通过采用上述技术方案,初始可信度评估数据是多种参数的复合,可信度高,可以作为访问鉴权基线值。
16、作为该基于身份安全的零信任接入系统的方法的一种改进,计算所述动态信任评估数据的方式为:根据访问主体请求业务系统的资源的行为特征,结合上下文行为信息,对访问行为进行信任量化评分,并确定当前访问行为的信任级别;所述动态信任评估数据包括访问行为的信任量化评分和访问行为的信任级别。计算所述静态信任评估数据的方式为:对访问请求中的静态属性进行评估,得出静态属性的信任量化评分和信任级别;所述静态属性包括用户身份、部门、岗位、权限、账号、设备归属、资产权重和应用权重之中的一种或者多种;所述静态信任评估数据包括静态属性的信任量化评分和静态属性的信任级别。
17、通过采用上述技术方案,可以动态调整访问行为的信任等级,能在各项属性发生变化的情况下,更为准确的对访问行为进行权限控制,使得系统资源被安全、受控的使用。
18、作为该基于身份安全的零信任接入系统的方法的一种改进,所述通过该目标可信度评估数据对应得出访问权限决策为:
19、围绕目标可信度评估数据之中的访问主体的综合信任量化评分、访问主体的信任级别、访问行为的信任量化评分、访问行为的信任级别、静态属性的信任量化评分和静态属性的信任级别,来设置分组,基于该分组对应得出相应的访问权限,生成相应的访问权限决策。
20、通过采用上述技术方案,不同分组对应不同的访问权限,符合安全访问要求。
21、作为该基于身份安全的零信任接入系统的方法的一种改进,应用堡垒控制中心在主体访问过程中采用动态安全监测机制,针对客户端对业务系统的每次访问都重新进行风险评估,每次均得出访问权限决策。
22、通过采用上述技术方案,能有效阻止内外网人员对业务应用的非法扫描和非法渗透,增强业务应用的安全性。
23、作为该基于身份安全的零信任接入系统的方法的一种改进,客户端与应用堡垒之间的访问链路采用国密算法加密;用户与应用堡垒通过sm4加密后的tls协议数据包进行数据访问,应用堡垒再将解密后的tls协议数据包与业务系统进行交互。
24、通过采用上述技术方案,主体访问客体的安全性高。
25、综上所述,本申请的基于身份安全的零信任接入系统的方法主要有以下四点有益效果:
26、1.业务隐藏
27、零信任访问管理系统在零信任的规范指导下,支持通过端口隐藏和连接排斥的能力实现对业务代理网关的保护。
28、端口隐藏是指正常情况下代理网关对于未授权的客户端ip不允许访问到代本文档来自技高网...
【技术保护点】
1.一种基于身份安全的零信任接入系统的方法,其特征在于,在客户端和业务系统之间部署应用堡垒,所述应用堡垒为客户端访问业务系统的唯一入口;所述应用堡垒连接于应用堡垒控制中心;
2.根据权利要求1所述的基于身份安全的零信任接入系统的方法,其特征在于,所述用户和所述设备为访问主体;所述业务系统为访问客体;所述风险评估包括:
3.根据权利要求2所述的基于身份安全的零信任接入系统的方法,其特征在于,所述环境感知日志包括访问端的本地状态,所述本地状态包括设备是否安装杀毒软件、客户端是否打了漏洞补丁程序,以及设备是否有异常进程之中的一种或者多种;
4.根据权利要求2所述的基于身份安全的零信任接入系统的方法,其特征在于,所述目标数据集合包含本地状态、认证记录、历史行为记录、属性情况、异常风险记录、访问行为特征、请求访问的用户数据、请求访问的应用权重和资产数据之中的一种或者多种。
5.根据权利要求2或4所述的基于身份安全的零信任接入系统的方法,其特征在于,所述初始可信度评估数据的获得,包括通过预先建立所述目标数据集合之中的各项参数和评分之间的映射关系
6.根据权利要求2所述的基于身份安全的零信任接入系统的方法,其特征在于,
7.根据权利要求2所述的基于身份安全的零信任接入系统的方法,其特征在于,所述通过该目标可信度评估数据对应得出访问权限决策为:
8.根据权利要求1所述的基于身份安全的零信任接入系统的方法,其特征在于,应用堡垒控制中心在主体访问过程中采用动态安全监测机制,针对客户端对业务系统的每次访问都重新进行风险评估,每次均得出访问权限决策。
9.根据权利要求1所述的基于身份安全的零信任接入系统的方法,其特征在于,客户端与应用堡垒之间的访问链路采用国密算法加密;用户与应用堡垒通过SM4加密后的TLS协议数据包进行数据访问,应用堡垒再将解密后的TLS协议数据包与业务系统进行交互。
...【技术特征摘要】
1.一种基于身份安全的零信任接入系统的方法,其特征在于,在客户端和业务系统之间部署应用堡垒,所述应用堡垒为客户端访问业务系统的唯一入口;所述应用堡垒连接于应用堡垒控制中心;
2.根据权利要求1所述的基于身份安全的零信任接入系统的方法,其特征在于,所述用户和所述设备为访问主体;所述业务系统为访问客体;所述风险评估包括:
3.根据权利要求2所述的基于身份安全的零信任接入系统的方法,其特征在于,所述环境感知日志包括访问端的本地状态,所述本地状态包括设备是否安装杀毒软件、客户端是否打了漏洞补丁程序,以及设备是否有异常进程之中的一种或者多种;
4.根据权利要求2所述的基于身份安全的零信任接入系统的方法,其特征在于,所述目标数据集合包含本地状态、认证记录、历史行为记录、属性情况、异常风险记录、访问行为特征、请求访问的用户数据、请求访问的应用权重和资产数据之中的一种或者多种。
5.根据权利要求2或4所述的基于身份安全的零信任接入系统的方法,其特征在于,所述初始可信度...
【专利技术属性】
技术研发人员:王旭,钱立佩,孙逢宁,刘迎宾,乔梦宇,索良晨,王辉,
申请(专利权)人:北京建恒信安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。