远程接入安全管理系统的制作方法

本发明涉及远程接入安全管理领域，特别涉及一种远程接入安全管理系统。

背景技术：

随着云计算、移动办公等新的it技术的发展，随时随地的远程办公方式变得越来越普遍，用户的网络使用是高度动态化的，一个用户可能同时存在不同的角色，不同角色间所访问的应用服务及资源均可能是不同或者是交叉的。这种新的工作方式，造成了系统边界的新变化，网络安全边界越来越难以界定。

传统基于固定边界的vpn接入方式的防护方案已经开始逐渐失效，暴露了许许多多的缺点：1)vpn认证方式过于简单：仅验证用户身份，而用户使用的设备、应用都可能存在种种安全风险，单纯验证用户身份的方式不足以构建信任，确保远程访问的安全。2)缺乏基于身份的访问控制：传统vpn远程安全访问采用网络边界防护方式，工作在网络层，一旦网络打通，关键网络资产及设施不可避免的暴露在互联网环境中，用户可以横向获得更多访问可能，黑客可以尝试撞库、爆破等方式获得更多企业内部系统资源。传统远程安全访问缺乏对内网的保护，接入内部网络以后用户不再进行严格的访问控制与权限区分，带来非常多的风险点和管控面，缺乏在企业内部网络中实施严格的网络准入访问控制与隔离，基于用户的身份及权限进行动态和精细化的访问权限控制管理，确保具有合适身份权限的用户只能访问特定的应用与数据。3)缺乏细粒度的安全访问控制策略：基于传统vpn设备的安全防护是基于策略配置完成的，需要提前预先基于用户的权限和管理需要进行策略配置，过程繁杂且容易出错，缺乏细粒度、动态的策略配置，以适应访问位置、设备、角色权限等的频繁变化。4)缺乏访问安全审计：传统的远程接入方案缺乏严格的安全审计，无法对访问行为进行全过程的审计、进行溯源和实时的分析与管控，实现实时威胁分析和安全可视化。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种做到远程接入人员对企业资源进行合法的访问、安全的接入和安全的操作，从而达到最大化的保证企业内部系统资源的数据安全目的的远程接入安全管理系统。

本发明解决其技术问题所采用的技术方案是：构造一种远程接入安全管理系统，包括：

访问门户网站单元：用于为远程接入人员提供认证登录服务，实现远程办公统一单点登录，通过认证方式进行身份的确认和识别，保证合法的访问企业中的资源；

会话管理器代理单元：用于对远程接入人员的使用资源请求进行转发，并将企业中内网已经在使用的资源的界面通过协议转换，通过https协议传入远程接入人员的终端服务器，保证数据的安全；

会话管理器单元：用于远程接入人员通过remoteapp的方式去调用企业中的资源，或通过rdp协议直接接入企业中内网的资源，实现正常办公和运维；

数字保险库单元：用于统一存储远程接入人员访问企业资源的密码，将密码代填流程控制在企业内网，保证外网无法侦测，同时还将统一存储和加密审计视频，留下不可抵赖的信息；

中央策略管理器单元：用于为企业资源的特权账号密码提供更新；

所述访问门户网站单元、会话管理器代理单元、会话管理器单元、数字保险库单元和中央策略管理器单元相互连接。

在本发明所述的远程接入安全管理系统中，所述访问门户网站单元进一步包括：

身份认证模块：用于远程接入人员访问企业资源登录前，进行验证身份的方式，只有通过验证后，才能登录所述远程接入安全管理系统，且支持多种认证方式，也能采用双因素的认证方式；

访问控制模块：用于实施严格的网络准入访问控制与隔离，基于用户的身份进行精细化的访问权限控制管理，确保具有合适身份权限的用户只能访问特定的应用与数据；

策略配置模块：用于进行自动化、细粒度和动态的策略配置，以适应访问位置、设备和角色权限的频繁变化；

资源使用模块：用于远程接入人员成功登录系统后，通过界面上的企业资源进行选择，然后再进行使用，整个使用过程都会被记录下来；

所述身份认证模块、访问控制模块、策略配置模块和资源使用模块相互连接。

在本发明所述的远程接入安全管理系统中，所述会话管理器代理单元进一步包括：

登录代填资源账号模块：用于用于响应远程接入人员的连接请求，在企业内网快速的建立会话，实现密码的统一自动登录代填；

全程审计模块：用于对各种资源账号的使用行为进行实时检测机制，做到事前警告、事中拦截和事后分析；

实时分析管控模块：用于提供账号的威胁分析，实时检测并主动告警、自动拦截高危威胁，且能提供账号威胁行为轨迹关联回放，保证资源使用的安全；

所述登录代填资源账号模块、全程审计模块和实时分析管控模块相互连接。

在本发明所述的远程接入安全管理系统中，所述数字保险库单元进一步包括：

权限细分模块：用于实现管理人员权限、普通使用人员权限和审计人员权限的划分；

资源存储模块：用于存放企业资源中的所有账号密码和策略设置，保证所有资源统一安全的存储在数字保险库中；

审计存储模块：用于存放企业资源中的审计记录，包含事前、事中和事后所有的审计，实现后续对事件的追溯和溯源；

所述权限细分模块、资源存储模块和审计存储模块相互连接。

在本发明所述的远程接入安全管理系统中，所述中央策略管理器单元进一步包括：

密码更改模块：用于对企业资源所有的账号密码进行更改，能通过系统定期自动更改的方式和手动更改的方式对账号的密码进行更改，更改密码时能设置一定的复杂度；

密码验证模块：用于对企业资源所有的账号密码进行验证，能通过系统定期自动验证的方式和手动验证的方式对账号的密码进行验证，查看是否所有账号都是正常的，能清楚的查看企业资源的整体情况；

密码重置模块：用于高权限的账号对普通权限的账号密码进行重置；

联动改密模块：用于内嵌应用的改密；

所述密码更改模块、密码验证模块、密码重置模块和联动改密模块相互连接。

实施本发明的远程接入安全管理系统，具有以下有益效果：由于设有访问门户网站单元、会话管理器代理单元、会话管理器单元、数字保险库单元和中央策略管理器单元，本发明做到远程接入人员对企业资源进行合法的访问、安全的接入和安全的操作，从而达到最大化的保证企业内部系统资源的数据安全目的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明远程接入安全管理系统一个实施例中的结构示意图；

图2为所述实施例中访问门户网站单元的结构示意图；

图3为所述实施例中会话管理器代理单元的结构示意图；

图4为所述实施例中数字保险库单元的结构示意图；

图5为所述实施例中中央策略管理器单元的结构示意图；

图6为所述实施例中远程接入安全管理系统接入的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明远程接入安全管理系统实施例中，该远程接入安全管理系统的结构示意图如图1所示。图1中，该远程接入安全管理系统包括相互连接的访问门户网站单元1、会话管理器代理单元2、会话管理器单元3、数字保险库单元4和中央策略管理器单元5。

访问门户网站单元1用于为远程接入人员提供认证登录服务，实现远程办公统一单点登录，通过认证方式进行身份的确认和识别，保证合法的访问企业中的资源。

会话管理器代理单元2用于对远程接入人员的使用资源请求进行转发，并将企业中内网已经在使用的资源的界面通过协议转换(rdpoverhttps)，通过https协议传入远程接入人员的终端服务器，从而保证数据的安全。

会话管理器单元3用于远程接入人员通过remoteapp的方式去调用企业中的资源，或通过rdp协议直接接入企业中内网的资源，从而实现正常办公和运维。

数字保险库单元4用于统一存储远程接入人员访问企业资源的密码，将密码代填流程控制在企业内网，保证外网无法侦测，同时还将统一存储和加密审计视频，留下不可抵赖的信息。

中央策略管理器单元5用于为企业资源的特权账号密码提供更新，包括各种路由器、数据库、服务器、目录服务和固化于应用程序中的密码等等，并且可以和常见工具及其他系统和设备进行集成，起到密码修改、验证、更正的目的。本发明做到远程接入人员对企业资源进行合法的访问、安全的接入和安全的操作，从而达到最大化的保证企业内部系统资源的数据安全目的。

图2为本实施例中访问门户网站单元的结构示意图，图2中，该访问门户网站单元1进一步包括相互连接的身份认证模块11、访问控制模块12、策略配置模块13和资源使用模块14；身份认证模块11用于远程接入人员访问企业资源登录前，进行验证身份的方式，只有通过验证后，才能登录远程接入安全管理系统，且系统支持多种认证方式，也能采用双因素的认证方式，例如域账号加动态令牌，有双重认证，用以保证访问的安全性。身份认证模块11采用的验证身份的方式包括动态令牌、域账号、指纹和人脸识别等等。

访问控制模块12用于实施严格的网络准入访问控制与隔离，基于用户的身份进行精细化的访问权限控制管理，确保具有合适身份权限的用户只能访问特定的应用与数据。

策略配置模块13用于进行自动化、细粒度和动态的策略配置，以适应访问位置、设备和角色权限的频繁变化。策略配置模块13采用的配置方式包括自动化配置、细粒度权限配置和动态配置。

资源使用模块14用于远程接入人员成功登录系统后，通过界面上的企业资源进行选择，然后再进行使用，整个使用过程都会被记录下来。

图3为本实施例中会话管理器代理单元的结构示意图，图3中，该会话管理器代理单元2进一步包括相互连接的登录代填资源账号模块21、全程审计模块22和实时分析管控模块23；其中，登录代填资源账号模块21用于响应远程接入人员的连接请求，在企业内网快速的建立会话，实现密码的统一自动登录代填。全程审计模块22用于对各种资源账号的使用行为进行实时检测机制，做到事前警告、事中拦截和事后分析。全程审计模块22包括事前审计子模块、事中审计子模块和事后审计子模块。

实时分析管控模块23用于提供账号的威胁分析，实时检测并主动告警、自动拦截高危威胁，且能提供账号威胁行为轨迹关联回放，保证资源使用的安全。实时分析管控模块23包括威胁分析子模块和主动预警子模块。

图4为本实施例中数字保险库单元的结构示意图，图4中，该数字保险库单元4进一步包括相互连接的权限细分模块41、资源存储模块42和审计存储模块43；其中，权限细分模块41用于实现管理人员权限、普通使用人员权限和审计人员权限的划分；管理人员权限用于远程接入人员使用管理员账号时需进行流程的审批；对于普通使用人员权限，远程接入人员可以直接进行使用，这两类账号，远程接入人员都仅有使用权，无查看、拷贝密码等权限，也无需知道资源具体数量；审计人员权限用于对密码策略统一下发和管理，审计人员可以从系统中定期导出安全报表，监督合规性的落实。

资源存储模块42用于存放企业资源中的所有账号密码和策略设置，保证所有资源统一安全的存储在数字保险库中。资源存储模块42包括账号存储子模块和策略配置存储子模块。

审计存储模块43用于存放企业资源中的审计记录，包含事前、事中和事后所有的审计，便于实现后续对事件的追溯和溯源。审计存储模块43包括录像审计存储子模块和文本审计存储子模块。

图5为本实施例中中央策略管理器单元的结构示意图，图5中，该中央策略管理器单元5进一步包括相互连接的密码更改模块51、密码验证模块52、密码重置模块53和联动改密模块54。

密码更改模块51用于对企业资源所有的账号密码进行更改，能通过系统定期自动更改的方式和手动更改的方式对账号的密码进行更改，更改密码时能设置一定的复杂度，来确保密码的可用性，达到企业要求的密码复杂度的目的。密码更改模块51包括预定义密码复杂度子模块、自动更改子模块和手动更改子模块。

密码验证模块52用于对企业资源所有的账号密码进行验证，能通过系统定期自动验证的方式和手动验证的方式对账号的密码进行验证，查看是否所有账号都是正常的，从而能清楚的查看企业资源的整体情况。密码验证模块52包括自动验证子模块和手动验证子模块。

密码重置模块53用于高权限的账号对普通权限的账号密码进行重置；例如普通权限的账号密码无效了，可通过重置密码的方式修正密码，可通过系统自动重置的方式和手动重置的方式对普通权限的账号密码进行重置，重置密码时也可设置一定的复杂度，保证所有的账号密码都是正确的、可用的。密码重置模块53包括预定义密码复杂度子模块、自动重置子模块和手动重置子模块。

联动改密模块54用于内嵌应用的改密，例如：在更改数据库的密码时，可同步的去更新控制台应用的密码，内嵌应用会动态的调用密码，实现联动改密，达到前端用户无感访问，业务无中断连接的目的。

图6为本实施例中远程接入安全管理系统接入的流程图，图6中，远程接入人员通过访问门户网站单元1登录远程接入安全管理系统，通过身份认证成功后进入资源管理的界面；远程接入人员通过确定需要连接的资源后，由统一访问门户网站单元1生成连接请求，从用户侧发送请求至会话管理器代理单元2，再转发给会话管理器单元3；会话管理器单元3监听到请求后，响应并初始化会话，并将请求从数字保险库单元4中获取正确的密码进行单点登录代填，成功代填后，会话建立，将当前操作界面映射回前端运维用户，在整个过程中，会话管理器单元3会进行审计和录屏，并上传至数字保险库单元4进行加密存储；中央策略管理器单元5根据数字保险库单元4中设置的改密策略，自动的进行密码更换，并同时存储在数字保险库单元4中。

总之，本实施例中，由于设有门户网站单元1、会话管理器代理单元2、会话管理器单元3、数字保险库单元4和中央策略管理器单元5，做到远程接入人员对企业资源进行合法的访问、安全的接入和安全的操作，从而达到最大化的保证企业内部系统资源的数据安全的目的。

该远程接入安全管理系统为了有效的解决传统技术中远程接入的安全问题，满足合法访问、安全接入和安全操作的需求，首先，远程接入安全管理系统具有多种的身份认证方式，例如动态令牌、域账号、指纹和人脸识别等的方式，能够结合设备、位置等信息保证安全合法的访问；其次，远程接入人员全部采用https加密协议访问企业内部系统资源；第三，实施严格的网络准入访问控制与隔离，基于用户身份进行动态和精细化的访问权限控制管理，确保具有合适身份权限的用户只能访问特定的应用与数据。第四，可以进行自动化、细粒度、动态的策略配置，以适应访问位置、设备、角色权限等的频繁变化；第五，对访问行为进行全过程的审计、进行溯源和实时的分析与管控，实现实时威胁分析和安全可视化。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。