业务访问安全场景：以原子化安全能力 构建应用系统统一管理平台

在企业多业务系统并存背景下，如何保障业务访问安全是个重要的研究课题。本篇将对启明星辰集团发布的《数据安全体系【数据绿洲】建设指南》中，业务访问安全场景的安全风险及解决方案进行介绍，以帮助构建应用系统统一管理平台，实现安全能力原子化。

业务访问安全场景安全风险

在近三十年的企业信息化发展过程中，众多企业已陆续建成OA、ERP、eHR、CMS等诸多应用系统。这些系统通常独立管理用户身份和账号，并对用户行为进行审计。在此背景下，业务访问安全场景往往面临以下挑战：

在用户层面，多个应用系统往往对应多个账号和密码，为方便记忆存储及使用，较多用户常对所有系统设置相同密码，一旦密码被窃，所有应用系统将面临数据安全威胁。

在企业管理层面，各个应用系统独自维护用户身份数据模式，加大了身份认证、系统权限、应用日志管理的难度和工作量，稍有不慎，容易发生敏感数据泄露。其次，在该模式下，安全管理防护也呈现出烟囱式、单点式的状态，难以满足日趋严格的相关政策和法规的审计要求。

因应用系统分散管理带来诸多不便与问题，越来越多的企业希望通过建设统一平台对所有应用系统进行管理，但与主机数据库不同，应用系统没有统一接入标准，且各应用系统对接要求不一，建设工作量大、应用侧涉及改造成本高、周期长等成为制约企业建设统一平台的重要因素。

业务访问安景解决方案

1、应用安全管控

启明星辰应用安全管控系统，具备统一用户管理和身份认证、单点登录、支持多种强认证方式、访问授权、页面访问控制等功能，可帮助用户实现应用系统集中统一管理，并可针对指定的URL，对不同的用户运用不同的控制策略，进一步保障应用系统的数据安全。

同时，通过扩充对接自研文档管控系统，还可实现分级权限管控及日志审计，保障文档安全可控，行为日志有迹可查。

2、4A统一安全管控

4A统一安全管控平台可为企业提供集中的账号（Account） 、认证（Authentication）、授权（Authorization） 、审计（Audit）管理技术支撑及配套流程，实现包括系统资源和业务资源在内的IT资源集中管理，提升系统安全性和可管理能力。

同时，该平台可对授权人员的运维操作进行记录、分析、展现，做到事前规划预防、事中实时监控及违规行为响应、事后合规报告和事故追踪回放，加强内部业务操作行为监管，实现日常运维和业务使用可视、可控、可信，完善安全管理体系。

3、业务访问管控

业务访问管控主要通过4A平台对应用系统进行集中统一管理，实现用户单点登录应用系统、增强双因认证、控制用户访问操作等，增强整体数据安全防护能力。

4、系统运维管控

系统运维管控是对服务器、数据库、防火墙、交换机等终端的运维管控，可以通过运维管控来实现如单点登录、身份认证、操作审计、实时监控、二次审批、密码管理等功能。

运维管控也是一种管控和审计运维人员操作的网络安全设备，能够对运维人员维护过程进行全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是IT系统内部控制最有力的支撑平台之一。

5、文档管控

文档管控是一款以透明加密技术为核心的电子文档安全产品，能够帮助用户实现电子文档加密、操作日志审计、外发文档防护，避免用户直接下载到本地产生泄露风险，同时在文档上传下载过程中，支持断点续传功能，保证文档传输的连续性。

启明星辰业务访问安全场景解决方案通过各安全技术产品的运用，帮助企业构建应用系统统一管理平台，实现多个系统的安全单点登录、统一认证和集中管理，在提升用户运维效率、减少操作复杂度的同时，也增强了数据访问获取、传输、使用、销毁等各个阶段的管控能力。