信托行业基于硬件特征码的应用安全加固案例
受限于正在使用的恒生电子应用比较古老,信托行业主流的用户安全访问方式依然停留在用户名和静态密码。为了更好服务于一些资深的客户经理,所有的系统都没有设置防密码暴力破解方式。银行业里常见的U盾安全加固方案,不方便(需要随身携带),且实施成本和后期维护成本偏高。如何破局是摆在信托IT从业人员面前的一到难题,中融信托的IT经理提出了如下一些设想:
设想1:
能否找到一种基于硬件特征码绑定的方案,既能限制用户在指定的设备上访问应用,也不降低用户的操作体验。
设想2:
用户名/密码/硬件特征码登陆只发生一次,后续所有的应用系统的访问自动做单点登陆。
设想3:
所有的应用访问都必须经过严格的授权检查,拒绝访问未授权的应用。所有的应用访问记录都必须记录日志,发生多次非法访问后,需要重新做硬件特征码绑定。
设想4:
目前的大部分应用在桌面操作系统上运行,如Windows和MacOS,上述要求必须满足全部桌面系统的应用加固。移动应用属于新开发应用,要求全部支持硬件特征码加固。
设想5:
至少支持3000个并发用户。
针对客户需求,华耀中国科技有限公司基于AG系列SSLVPN网关产品AG1150,提出如下解决方案:
其中:
AG是华耀AG系列SSLVPN网关,MP是华耀MotionPro统一应用客户端,AMP是华耀安全运维平台。
AG1150型号,最大可以支持10,000并发用户,硬件SSL加速,4个千兆电口,可以选配光口,1U大小。支持功能包括:SSL端到端加密、先认证再访问、基于角色的访问控制、会话和流量级的安全审计日志。
MotionPro客户端支持Windows/MacOS/iOS/Android/Linux所有主流操作系统,通过与AG网关协同,完成硬件特征码检查、客户端环境检查、双因素认证等终端安全功能,再将应用流量迁移到AG网关。MotionPro客户端提供了单点登陆门户功能,自动提交用户名/密码/硬件特征码给后台应应用,认证成功后,自动登陆后台应用。
AMP安全运维平台提供日志审计和统计功能、配置管理功能、运行监控功能。
信托协同办公管理平台
信托综合管理平台
信托培训学校
信托TA系统
信托业务委员会会议管理系统
信托呼叫中心系统
呼叫中心系统知识库
营销服务平台
信托报表系统
牧羊犬系统
信托邮箱系统
信托互联网金融门口管理系统
汇兴管理平台
通过统一的安全管控客户端MotionPro完成所有的安全认证,包括硬件特征码的注册和检查。
提供统一的单点登陆门户,用户点击门户的应用,自动提交用户名/密码/硬件特征码给后台应应用,认证成功后,自动登陆后台应用。
提供基于角色的授权访问控制列表,实时检查用户的每一次应用访问,通过Syslog记录并提交给华耀AMP安全运维平台做审计和分析。
移动应用的APP调用MotionPro的硬件特征码服务检查硬件是否合规。
移动应用的服务器调用AG的硬件特征码服务检查用户和硬件特征码的绑定关系。
使用基于SSLVPN的应用安全加固方案,既是成熟的解决方案,也符合安全规范标准。华耀AG系列SSLVPN网关一直处于市场领导地位。
通过统一的应用客户端一次完成所有的安全基线检查,包括用户名/密码/硬件特征码三元组检查和客户端安全环境检查。既保证了安全性,又保留用户名/密码登陆的友好体验。
统一的单点登陆门户,自动向后台应用提交用户名/密码/硬件特征码,用户无需二次登陆。
提供硬件特征码即服务功能,加固流量不经过SSLVPN的应用。
往期精彩回顾
技术期刊第1期:Super SSL 解决方案概述
技术期刊第2期:高校数字图书馆远程访问方案研究
长按识别二维码关注我们