近年来,随着我国新一代公安信息网建设逐步推进,打破了公安各终端间的网络壁垒,促进了数据融合共享,极大地提高了公安机关的工作效率。但同时,大量数据汇聚也导致数据泄漏与滥用的风险加剧。
为深入贯彻落实公安部《关于围绕新中国成立 70 周年安保维稳强化公安大数据智能化建设应用的通知》精神和公安大数据智能化建设的指导原则,依据公安部颁发的《新一代公安信息网网络架构设计》、《公安大数据安全总体技术框架》和《公安大数据安全安全访问平台技术设计要求》的相关技术规范,明朝万达在新一代公安信息网安全访问平台建设过程中,自主研发了基于“零信任”体系的API网关产品。
本产品作为基于“零信任”体系安全访问平台用户访问链路的核心安全产品之一,位于应用前、后置之间,可以与“零信任”体系联动,根据授权提供API级细粒度访问控制,建立统一的安全访问通道,为公安信息网提供可靠网络承载。
新一代公安信息网安全访问平台主要由安全防护区、应用前置区、接口控制区以及安全检查区构成。
API网关系统部署于接口访问区,部署示意图如下所示:
在安全访问平台中引入API网关系统,与可信代理控制服务、可信接入代理和环境感知系统联动,验证终端设备、人员身份、服务及功能身份的可信,实现 API 接口的访问权限控制,实现应用级统一入口、统一安全管理,使后端各应用系统更轻量化、更敏捷化,API网关系统的国密通道和服务路由机制可极大提高应用系统的安全性。可以与零信任体系安全联动,根据授权提供API级的应用安全防护。
产品功能
访问鉴权
API网关系统对外提供统一安全控制策略。应用系统时必须经过鉴权,鉴权通过后方允许访问,否则予以拦截。
服务注册
服务提供者依据服务资源注册信息格式要求,将自己的服务和服务规约上线到服务注册中心,平台统一管理服务目录。
服务路由
服务路由是API网关系统基于服务请求进行路由匹配的核心功能。API网关系统接收到服务发起方通过权限校验后提交的服务请求后,开始进行路由匹配,匹配成功后就开始处理该请求,并将服务响应结果传输给服务提供方。
访问控制
访问控制:对接入API网关系统的服务请求方和服务接口进行身份合法性验证。对服务请求方发出的请求进行权限检查,对于越权访问予以拒绝。
安全审计
通过日志采集、分析和处理实现对服务行为进行安全审计。行为日志主要包括服务资源注册、授权和访问等三种类型。
负载均衡
内置负载均衡调度机制,不需要借助第三方负载均衡器即可实现多台设备的负载均衡调度。产品可通过内置负载调度引擎自动轮询服务实例的可用性,自动选择最优的API 代理访问方案。
通道流量统计
基于通道流量采集信息及通道带宽预设值进行通道使用率计算,查看通道实时使用率变化。
产品功能
高安全
产品采用安全加固操作系统,软硬一体设计可实现进程级可信,兼容支持国密和国际算法。
高可用
产品支持高可用集群部署,支持多套设备堆叠,可平滑升级扩容,具备API版本灰度能力。
易扩展
产品可兼容业界主流应用系统,对新增应用可根据需求灵活定制发布新的API服务路由规则。
可联动
支持与可信代理控制服务等第三方安全产品联动部署,可用于“零信任”用户安全访问解决方案。
作为中国新一代信息安全技术企业的代表厂商,明朝万达专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务,历经十余年的积累和沉淀,客户覆盖金融、政府、公安、电信运营商等诸多行业。
明朝万达始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展,拥有一支以清华博士、硕士为骨干力量的核心团队,截止目前公司已申请发明专利400余项,授权专利近150余项
