[发明专利]一种零信任无边界安全访问系统

说明书

本发明公开了一种零信任无边界安全访问系统，所述系统包括身份认证模块、安全访问控制模块、访问代理模块、AI终端感知模块、AI网络感知模块以及AI操作感知模块；在用户发起数据访问请求时，由身份认证模块对用于进行身份认证，由安全访问控制模块确定用户的数据访问权限，由访问代理模块根据数据访问权限对数据访问请求进行权限认证，由AI终端感知模块、AI网络感知模块以及AI操作感知模块分别进行设备风险、网络风险以及操作风险的评估，通过实施本发明能够提高数据访问的安全性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种零信任无边界安全访问系统。

背景技术

传统网络安全平台默认内网是安全的，认为网络安全就是边界安全，因此通过在边界部署大量的安全产品如通过防火墙、WAF、IPS、网闸等设备对网络边界进行层层防护，而相对不重视甚至忽视企业内网的安全。其主要的防护操作是在网络边界验证用户身份，确定用户是否值得信任，如果用户被认定为是可信任的，就能进入网络，而一旦通过边界进入到网络内部，访问基本就通行无阻了，但是业界的调查表明，高达80％的网络安全事件源于内网，或者内外勾结所致，因此仅在边界部署安全产品，并不能够使用户的网络变得更安全，尤其是虚拟化、云计算、移动互联网的出现，更是打破传统网络边界，同时使某些边界网络安全产品失去保护作用。

发明内容

本发明实施例提供一种零信任无边界安全访问系统，不再区分网络边界，对所有数据访问请求统一进行认证，进而提高数据访问的安全性。

本发明实施例提供了一种零信任无边界安全访问系统，包括身份认证模块、安全访问模块、访问代理模块、AI终端感知模块、AI网络感知模块以及AI操作感知模块；

所述身份认证模块，用于在用户通过用户终端发起数据访问请求时，获取用户身份信息并根据所述用户身份信息对用户进行身份验证；

所述安全访问控制模块，用于在用户通过身份验证后，根据用户身份信息确定用户数据访问权限；

所述访问代理模块，用于在根据所述用户数据访问权限确定所述数据访问请求符合权限时，将数据访问请求发送至所述安全访问控制模块；

所述AI终端感知模块，用于在所述安全访问控制模块接收到所述数据访问请求时，获取用户终端当前时段的用户终端信息，并将当前时段的用户终端信息输入至预设的终端感知模型中，以使所述终端感知模型根据当前时段的用户终端信息确定用户终端的当前终端风险等级；

所述AI网络感知模块，用于在所述安全访问控制模块接收到所述数据访问请求时，获取用户终端当前时段的网络日志信息，并将当前时段的网络日志信息输入至预设的网络感知模型中，以使所述网络感知模型根据当前时段的网络日志信息确定当前网络风险等级；

所述AI操作感知模块，用于在所述安全访问控制模块接收到所述数据访问请求时，获取用户终端当前时段的操作日志信息，将当前时段的操作日志信息输入至预设的操作感知模型中，以使所述操作感知模型根据当前时段的操作日志信息，确定当前操作风险等级；

所述安全访问控制模块，还用于在所述当前终端风险等级、所述当前网络风险等级以及所述当前操作风险等级都在符合预设的风险等级要求时，根据所述数据访问请求从数据存储服务器中获取对应的访问数据并反馈至用户终端。

进一步的，所述用户身份信息包括以下任意一项或其组合：人脸信息以及指纹信息；

所述获取用户身份信息并根据所述用户身份信息对用户进行身份验证，具体包括：

在所述身份信息为人脸信息时，根据所获取的人脸信息对用户进行人脸识别，并在人脸识别成功后确定身份验证通过；

在所述身份信息为指纹信息时，根据所获取的指纹信息对用户进行指纹识别，并在指纹识别成功后确定身份验证通过；