本公開提供了一種應用程序的訪問控制方法、裝置、系統及計算機可讀存儲介質，屬于信息安全技術領域。所述方法包括：接收對所述應用程序的訪問請求；響應于所述訪問請求，獲取所述訪問請求從產生到傳輸至所述應用程序的過程中各個環節的訪問特征信息；基于所述訪問特征信息對所述訪問請求進行評估；以及當評估所述訪問請求符合所述應用程序的安全訪問條件時，允許基于所述訪問請求訪問所述應用程序。

技術領域

本公開涉及信息安全技術領域，更具體地，涉及一種應用程序的訪問控制方法、裝置、系統及介質。

背景技術

新冠疫情隔離的需求促使遠程辦公、移動辦公成為企業復工并保障生產力的主要方式，從目前來看疫情具有長期存在的趨勢。如何防止生產業務系統中的敏感信息外泄就顯得格外關鍵，尤其對銀行系統而言。

傳統安全防控框架主要采用基于網絡層進行邊界防控，內外網訪問控制僅通過虛擬專用網絡進行單點內部網絡接入控制，而內部網絡域可訪問的業務服務使用靜態的應用訪問權限控制機制。然而當虛擬專用網絡網關存在漏洞時，攻擊者可輕易進入企業內部網絡，通過釣魚、木馬、弱密碼等攻擊方式，可非法訪問業務，獲取高價值數據。而且一旦單點防控的網關存在漏洞被攻擊者攻破，攻擊者將可訪問內部網絡信任區內的、受攻擊者已被靜態授權的所有業務系統，這時往往僅能通過關閉虛擬訪問網絡、防火墻訪問策略收緊等措施降低風險，技術操作復雜、且靈活性差。

在基于零信任架構的框架下，基于網絡層的安全防控框架中默認不信任網絡的任何節點，寄希望于在網絡層認證和授權的基礎上，按照零信任架構理念建設或重構企業網絡架構實現。這種方式的實現一般需對企業現有網絡架構和分層進行較大調整，增加大量訪問控制類網絡設備。

發明內容

有鑒于此，本公開實施例提供了一種在應用層實施零信任體系的應用程序的訪問控制方法和裝置、系統、及介質。

本公開實施例的一個方面提供了一種應用程序的訪問控制方法。所述方法包括：接收對所述應用程序的訪問請求；響應于所述訪問請求，獲取所述訪問請求從產生到傳輸至所述應用程序的過程中各個環節的訪問特征信息；基于所述訪問特征信息對所述訪問請求進行評估；以及當評估所述訪問請求符合所述應用程序安全訪問條件時，允許基于所述訪問請求訪問所述應用程序。

根據本公開的實施例，所述訪問請求從產生到傳輸至所述應用程序的過程中各個環節的訪問特征信息包括以下至少之一：生成所述訪問請求的終端設備的終端特征信息；發送所述訪問請求的用戶的用戶特征信息；以及傳輸所述訪問請求的網絡環境的環境特征信息。

根據本公開的實施例，所述基于所述訪問特征信息對所述訪問請求進行評估包括：基于所述應用程序的應用特征信息以及所述訪問特征信息，對所述訪問請求進行評估。

根據本公開的實施例，所述基于所述訪問特征信息評估對所述訪問請求進行評估包括：利用外部獨立評估單元按照通用評估邏輯評估所述訪問特征信息，以得到訪問評估指標；以及利用信任評估單元按照專用評估邏輯評估所述訪問評估指標。其中，所述通用評估邏輯為針對任意的應用程序均通用的評估邏輯，所述專用評估邏輯為基于所述應用程序的應用特征信息而確定的評估邏輯。

根據本公開的實施例，所述外部獨立評估單元包括以下至少之一：終端管控單元、用戶行為防控單元、防病毒單元、或者數據防泄漏單元。

根據本公開的實施例，所述利用信任評估單元按照專用評估邏輯評估所述訪問評估指標還包括：所述信任評估單元結合通過所述訪問請求訪問所述應用程序時的身份認證憑證方式、和/或憑證認證通過率，對所述評估指標進行評估。

根據本公開的實施例，所述方法還包括按照所述專用評估邏輯設置所述信任評估單元中的信任算法模型。