CN100428731C - 基于智能交换机的星形网络防入侵和攻击的方法 - Google Patents
基于智能交换机的星形网络防入侵和攻击的方法 Download PDFInfo
- Publication number
- CN100428731C CN100428731C CNB2006100120916A CN200610012091A CN100428731C CN 100428731 C CN100428731 C CN 100428731C CN B2006100120916 A CNB2006100120916 A CN B2006100120916A CN 200610012091 A CN200610012091 A CN 200610012091A CN 100428731 C CN100428731 C CN 100428731C
- Authority
- CN
- China
- Prior art keywords
- level
- client computer
- security
- communication
- intelligent exchange
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明属于星形网络安全技术领域,其特征在于:智能服务器收到各客户机要求的涉密文件后,根据涉密文件的安全级别为相应的客户机设定一个密级,相应地建立一个星形网络中所有客户机的IP地址与他们的根据该安全级别划分的密级的对应表,设定属于同一个组密级类别的客户机之间允许通讯;若不属于同一组内的各客户机之间拒绝通讯;当某一客户机获取的涉密文件安全级别因文件的不同而改变时,便判断是否需要改变该客户机的密级。本发明具有很强的自适应性克服了目前由管理员手工配置的缺点。
Description
技术领域
本发明属于互联网安全,尤其涉及防入侵和攻击的技术领域。
背景技术
随着网络技术的不断发展,计算机已经从传统的单台计算机形式演变为目前的多台计算机互连的网络系统形式。在这个发展过程中,计算机系统所面临的安全问题也变得日益严重,它已经从传统的单机形式演变为基于网络的形式,所发生的安全问题包括通过网络传播病毒木马等程序的非法入侵,此外还包括基于网络的信息窃取等攻击手段。目前,已有的交换机智能由管理员手工配置,智能化程度较低。
发明内容:
本发明的目的在于提供一种具有自反应性的基于智能交换机的网络防入侵和攻击的方法。
本发明的特征在于:
智能交换机最大的特点是自反应性。目前已有的交换机只能由管理员手工配置,智能化较低。智能交换机中的策略生成平台中有一系列的策略机制,可以根据不同的网络状况配置不同的安全策略,并由高性能交换机模块完成具体的策略执行。这样,就可以大大提高反应速度,降低由于反应不及时所造成的损失。
该方法依次有以下步骤:
步骤(1):在智能交换机上建立所述星形网络中所有客户机的IP地址表,同时用从小到大的正整数表示安全级别序列,数字越小表示安全级别越高,并把该安全级别序列分组,按组决定密级,设定通讯规则,规定为同一组的各客户机之间的通信为合法通信,否则为非法通信;
步骤(2):服务器不断把各客户机使用的涉密文件的安全级别通知该智能交换机;
步骤(3):该智能交换机根据从该服务器获得的涉密文件的安全级别,给相应的客户机定义密级,并建立客户机的密级相对于其IP地址的一对多的映射表,以此对该星形网络中的所有客户机的安全行为进行限定;
步骤(4):各客户机在每次启动时,都被置为最低安全级别,即安全级别序列中的最大值,随后,当某客户机从该服务器上获取涉密文件时,该智能交换机根据该文件的安全级别,为该某客户机指定一个密级,并根据安全级别所在的密级,决定是否修改所述映射表,据此生成相应的客户机的通讯规则;
步骤(5):步骤(4)中所述的某客户机向智能交换机发出通讯请求要与另一个客户机通讯时,智能交换机便根据所述映射表判定,这两个客户机是否数据同一组,若属于同一组,便转发该通讯请求,否则,便向发送通讯请求的客户机发出拒绝通讯的信号;
步骤(6):当该智能交换机发现步骤(4)中所述的某客户机内无涉密文件时,便把该某客户机的密级降到最低。
附图说明:
图1、带智能交换机网络的安全级别分配图;
1.安全级别分组A:1,2,3;
安全级别分组B:4,5,6;
安全级别分组C:7,8,9
机器标识(IP地址) 安全级别
192.168.1.2 3
192.168.1.3 6
192.168.1.3 7
...
2.智能交换机给局域网中的每个客户机都指定了一个安全级别
3.智能交换机根据获得的各终端的涉密情况生成一套安全策略,给各终端指定安全级别,安全级别属于同一组的客户机之间的通信为合法通信。并由此控制各终端的通讯能力。
图2、带智能交换机网络的保障安全*的流程图;
4.客户机A具有较高的安全级别,它要和具有较低安全级别的客户机B通信
5.客户机A将通过智能交换机与客户机B通讯
6.智能交换机根据客户机A和客户机B的标识,查找对应的交换表,发现客户机A不能和客户机B通讯。则判定本次通讯非法,否定本次通讯。
具体的实施方式:
智能交换机的主要功能就是控制内网数据流传播,防止敏感资料外泄。其核心思想是通过将涉密资料和涉密终端层次化。根据各终端的涉密程度生成不同的安全策略,控制其网络行为,进而防止敏感资料的外泄。
智能交换机由两部分组成:高性能交换机和策略生成平台。
与Hub、中继器不同,智能交换机是一个二层以上的设备。在部署了智能交换机后,网络的基本拓扑结构会由总线形式变为星形结构。在星形结构中,所有的网络数据流都将通过中间结点,即智能交换机。这样我们就可以通过智能交换机控制所有终端的数据通讯,根据策略布置情况允许或是截断终端的数据通讯。
策略生成平台的主要功能是根据各个终端的涉密程度制定安全、合适的策略,并将策略转换为具体的端口通讯规则,再交由高性能交换机完成具体的通讯控制。
具体地讲,监控策略主要包括:
(1)每个客户机与其它计算机的网络连接权限:其中,其它计算机包括局域网中的其它客户机、网络共享的打印机、外部网络等等;
(2)对数据服务器上的存储的或其它安全应用系统提供的敏感数据,提供强制性控制策略:即对敏感的数据的安全级别进行分级,访问到敏感数据的用户被赋予同样的安全级别,并按照用户的安全级别对其通信范围进行限制,例如,要求用户A只能与安全级别不低于自身的其他用户进行通信,对于外网或者安全级别低于A的用户,监控器将进行物理隔离,从而避免这些敏感数据外泄;
(3)对某客户机的控制权:系统应该拥有对客户机的绝对控制权,在必要时,可以强制要求客户机重启以夺取控制权。
高性能交换机的主要功能是根据策略生成平台产生的端口通讯规则配置具体的各端口通讯表。
智能交换机的工作流程如下:
(1)智能交换机给局域网中的每个客户机都指定一个安全级别(可以用一组数字来表示,比如说1,2,3…N,数字越小表示安全级别越高。具体各客户机的安全级别由其从服务器中获得的涉密文件的安全级别决定,服务器会时时将各客户端使用涉密文件情况通知智能交换机,智能交换机根据安全策略给各客户端定密级),同时系统管理员会在智能交换机上配置一组安全策略,这组安全策略将整个安全级别域分为若干组,安全级别属于同一组的客户机之间的通信为合法通信,而安全级别属于不同组的客户机之间的通信为非法通信(如图1所示)。
(2)同时智能交换机会依据配置的安全策略,对局域网上的所有
终端的通讯行为进行限定,严格禁止违反规则的通讯行为。(如图2所示)。
Claims (1)
1 基于智能交换机的星形网络防入侵和攻击的方法,其特征在于,该方法依次有以下步骤:
步骤(1):在智能交换机上建立所述星形网络中所有客户机的IP地址表,同时用从小到大的正整数表示安全级别序列,数字越小表示安全级别越高,并把该安全级别序列分组,按组决定密级,设定通讯规则,规定为同一组的各客户机之间的通信为合法通信,否则为非法通信;
步骤(2):服务器不断把各客户机使用的涉密文件的安全级别通知该智能交换机;
步骤(3):该智能交换机根据从该服务器获得的涉密文件的安全级别,给相应的客户机定义密级,并建立客户机的密级相对于其IP地址的一对多的映射表,以此对该星形网络中的所有客户机的安全行为进行限定;
步骤(4):各客户机在每次启动时,都被置为最低安全级别,即安全级别序列中的最大值,随后,当某客户机从该服务器上获取涉密文件时,该智能交换机根据该文件的安全级别,为该某客户机指定一个密级,并根据安全级别所在的密级,决定是否修改所述映射表,据此生成相应的客户机的通讯规则;
步骤(5):步骤(4)中所述的某客户机向智能交换机发出通讯请求要与另一个客户机通讯时,智能交换机便根据所述映射表判定,这两个客户机是否属于同一组,若属于同一组,便转发该通讯请求,否则,便向发送通讯请求的客户机发出拒绝通讯的信号;
步骤(6):当该智能交换机发现步骤(4)中所述的某客户机内无涉密文件时,便把该某客户机的密级降到最低。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100120916A CN100428731C (zh) | 2006-06-02 | 2006-06-02 | 基于智能交换机的星形网络防入侵和攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100120916A CN100428731C (zh) | 2006-06-02 | 2006-06-02 | 基于智能交换机的星形网络防入侵和攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1889502A CN1889502A (zh) | 2007-01-03 |
| CN100428731C true CN100428731C (zh) | 2008-10-22 |
Family
ID=37578761
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100120916A Expired - Fee Related CN100428731C (zh) | 2006-06-02 | 2006-06-02 | 基于智能交换机的星形网络防入侵和攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100428731C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185867A (zh) * | 2011-05-19 | 2011-09-14 | 苏州九州安华信息安全技术有限公司 | 一种实现网络安全的方法和一种星形网络 |
| CN102497381A (zh) * | 2011-12-26 | 2012-06-13 | 苏州风采信息技术有限公司 | 动态可控安全交换机结构的实现方法 |
| CN111030982B (zh) * | 2019-09-26 | 2023-06-02 | 北京安天网络安全技术有限公司 | 一种针对涉密文件的强管控方法、系统及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1117680A (zh) * | 1995-03-17 | 1996-02-28 | 伍思义 | 微机电子邮政网络终端 |
| CN1147738A (zh) * | 1996-09-02 | 1997-04-16 | 北京天融信技贸有限责任公司 | 防火墙系统 |
| CN1430342A (zh) * | 2001-12-26 | 2003-07-16 | 株式会社东芝 | 无线通信装置、无线通信系统、及无线通信方法 |
| WO2005046178A2 (en) * | 2003-10-29 | 2005-05-19 | Cisco Technology, Inc. | Method and apparatus for providing network security using security labeling |
| US20050160045A1 (en) * | 2002-04-03 | 2005-07-21 | Nobuyuki Watanabe | Distrubution method, distribution system, and terminal device |
-
2006
- 2006-06-02 CN CNB2006100120916A patent/CN100428731C/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1117680A (zh) * | 1995-03-17 | 1996-02-28 | 伍思义 | 微机电子邮政网络终端 |
| CN1147738A (zh) * | 1996-09-02 | 1997-04-16 | 北京天融信技贸有限责任公司 | 防火墙系统 |
| CN1430342A (zh) * | 2001-12-26 | 2003-07-16 | 株式会社东芝 | 无线通信装置、无线通信系统、及无线通信方法 |
| US20050160045A1 (en) * | 2002-04-03 | 2005-07-21 | Nobuyuki Watanabe | Distrubution method, distribution system, and terminal device |
| WO2005046178A2 (en) * | 2003-10-29 | 2005-05-19 | Cisco Technology, Inc. | Method and apparatus for providing network security using security labeling |
Non-Patent Citations (2)
| Title |
|---|
| 嵌入交换机中的安全. 张磊.计算机安全,第8期. 2005 |
| 嵌入交换机中的安全. 张磊.计算机安全,第8期. 2005 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1889502A (zh) | 2007-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100539499C (zh) | 一种安全的星形局域网计算机系统 | |
| CN103718527B (zh) | 一种通信安全处理方法、装置及系统 | |
| CN105721420B (zh) | 访问权限控制方法和反向代理服务器 | |
| CN110086825B (zh) | 一种无人机电力巡检数据安全传输系统和方法 | |
| US20020103903A1 (en) | Methods, systems and computer program products for selectively allowing users of a multi-user system access to network resources | |
| CN110109427A (zh) | 基于最小特权的过程控制软件安全架构 | |
| CN102591595A (zh) | 远程打印方法及系统 | |
| CN101512510A (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
| CN112437441B (zh) | 面向物联网的基于智能合约的访问控制系统及方法 | |
| CN103959712A (zh) | 大型防火墙集群中的定时管理 | |
| CN110858833A (zh) | 访问控制策略配置方法、装置和系统以及存储介质 | |
| US20060156400A1 (en) | System and method for preventing unauthorized access to computer devices | |
| CN102402466A (zh) | 一种解决虚拟化平台多边冲突的方法及系统 | |
| CN100428731C (zh) | 基于智能交换机的星形网络防入侵和攻击的方法 | |
| CN106341369A (zh) | 安全控制方法及装置 | |
| CN108924086A (zh) | 一种基于安全代理的主机信息采集方法 | |
| CN101175315B (zh) | 一种控制移动台进行更新的方法及其系统 | |
| CN103841050B (zh) | 一种核电站模拟机的局域网准入控制方法和系统 | |
| Paukatong | SCADA security: A new concerning issue of an in-house EGAT-SCADA | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| CN113407941A (zh) | 一种边缘云节点与终端用户安全管理方法 | |
| CN100414885C (zh) | 一种实现网络攻击隔离的方法 | |
| CN201707676U (zh) | 虚拟化企业信息管理系统 | |
| CN102082729A (zh) | 接入层交换机端口安全控制方法及交换机 | |
| CN106888199B (zh) | 智能电网中角色驱动的需求响应安全接入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081022 Termination date: 20110602 |