CN100428689C - 一种网络安全控制方法及系统 - Google Patents
一种网络安全控制方法及系统 Download PDFInfo
- Publication number
- CN100428689C CN100428689C CNB2005101155744A CN200510115574A CN100428689C CN 100428689 C CN100428689 C CN 100428689C CN B2005101155744 A CNB2005101155744 A CN B2005101155744A CN 200510115574 A CN200510115574 A CN 200510115574A CN 100428689 C CN100428689 C CN 100428689C
- Authority
- CN
- China
- Prior art keywords
- security
- network
- information
- safety
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种网络安全控制方法及系统,用以解决现有技术根据单个移动终端的安全配置信息定制的安全策略对终端设备进行网络接入控制及应用服务接入限制,其准确性与合理性较差的问题。本发明在服务器端预先设置了安全信息与安全策略的对应关系,由至少两个终端设备收集本地安全信息并上报给关联的服务器端,服务器端综合分析终端设备的安全信息获取相应的安全策略,利用该安全策略通过网络接入设备对终端设备进行网络接入控制和应用服务接入控制,由于所定制的安全策略综合分析了多个终端设备上报的安全信息,因此与现有技术相比该安全策略在合理性方面有所提升。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种对无线数据网络的安全进行控制的方法及系统。
背景技术
随着无线数据网的应用,越来越多的人开始使用移动终端设备享受网络服务,传统标准3GPP(3rd Generation Partnership Project,第三代移动通信标准化组织)、WLAN(Wireless Local Area Network,无线局域网)、WiMAX(WorldwideInteroperability Microwave Access,微波接入全球互通)中的安全机制对用户接入认证、业务传输安全提供了保障,但由于应用服务提供者和IP网络本身的开放性和安全漏洞,导致来自应用层面的安全威胁(如病毒、黑客攻击、用户信息盗用等)层出不穷,传统标准中的安全机制对这些安全威胁无法应付。
目前在ITU-T SG17组的标准中,提出了一种针对无线数据网络的安全联动系统(CRS,Correlative Reacting System),该系统是一种通过控制不安全移动终端(即不符合网络设定的安全策略,例如有安全漏洞或感染病毒的终端)的接入,使无线数据网络免受安全威胁的系统,其实质是通过移动终端和网络侧的安全联动,对移动终端的网络接入进行控制,对移动终端的应用服务接入进行限制,从而为网络提供抵御病毒、网络攻击等安全威胁的能力。
图1所示为现有技术安全联动系统的组网结构示意图,该系统主要包括移动终端侧的安全代理模块、网络侧的安全策略服务器、与安全策略服务器关联的网络接入设备(如网络接入控制器和应用服务接入控制器)。
其中安全代理模块和安全策略服务器构成了安全联动系统的核心,安全代理模块用于收集来自移动终端的安全配置信息,如系统安全配置信息、应用安全配置信息等,初步处理和组织上述信息,将其上报给安全策略服务器。同时安全代理模块接收安全策略服务器的安全更新命令和指示,一方面向用户报告移动终端的安全信息,另一方面为移动终端提供必要的信息和配合,帮助修复不安全的移动终端。安全策略服务器用于根据预先定制的安全策略控制移动终端和应用服务的接入,并与相关网络设备配合,协助移动终端进行安全更新。
安全代理模块与安全策略服务器之间通过联动协议进行信息交互,安全策略服务器可从安全代理模块中获取到移动终端的安全配置信息,根据该安全配置信息对移动终端实施相应的安全策略,安全策略主要包括网络接入控制策略和应用服务接入控制策略。
网络接入控制策略是指安全策略服务器通过与网络接入控制器的联动,利用流量控制、限制访问、QoS(Quality of Service,业务质量)重配置等技术手段,实现对移动终端接入网络的数据总流量的限制,以防止不安全的移动终端对网络资源的不合理占用,阻止恶意病毒在网络中传播。对于来自外部ASP(Application Service Provider,应用服务提供商)的不安全服务提供者的接入,安全策略服务器也能够通过与网络接入控制器(例如网络边界网关等)的联动,提供基于网络层的流量屏蔽。
应用服务控制策略是指安全策略服务器通过与应用服务接入控制器的联动,对移动终端进行基于应用层的服务接入控制。应用服务接入控制主要是限制移动终端的可用服务,保证移动终端和系统只运行必要的服务。基于不同的安全服务类型,实施服务接入控制的方法也应不同。为了节约网络资源,在终端侧的安全代理模块要与移动终端相互配合,保证终端用户不能发起已经被禁用的服务。
安全策略是安全联动系统根据网络总体安全需求,针对各种特定安全威胁定义的防范措施的总和,现有技术中的安全联动系统在定制安全策略时,仅根据单个终端设备的安全配置信息(如系统安全配置信息、应用安全配置信息以及漏洞库和病毒库版本情况等终端设备固有的信息)为其提供相应的安全服务,没有综合考虑网络中多个终端设备的安全配置信息来定制安全策略,在定制安全策略时也没有考虑到终端设备的安全事件信息(如病毒事件信息、攻击事件信息和非法扫描事件信息等),由于单个移动终端的安全配置信息的信息量有限并且信息源单一,因此现有技术中根据单个移动终端的安全配置信息定制的安全策略对终端设备进行网络接入控制及应用服务接入限制,其准确性与合理性仍有待完善。
发明内容
本发明提供一种网络安全控制方法及系统,用以解决现有技术根据单个移动终端的安全配置信息定制的安全策略对终端设备进行网络接入控制及应用服务接入限制,其准确性与合理性较差的问题。
本发明技术方案包括:
一种网络安全控制方法,包括步骤:
A、在服务器端设置安全信息与安全策略的对应关系;
B、至少两个终端设备收集本地的安全信息并上报给服务器端;
C、服务器端综合分析所述终端设备上报的安全信息,获取对应的安全策略,采用该安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
所述步骤C中还包括:
服务器端将终端设备上报的安全信息发送给网络中的安全设备,安全设备根据接收到的安全信息执行相应的安全响应,对网络进行安全防护。
所述安全信息中包括安全配置信息和/或安全事件信息。
所述安全配置信息中包括系统安全配置信息和应用安全配置信息。
当所述终端设备收集的安全信息中包括安全事件信息时,终端设备根据预先设定的过滤规则对收集到的安全事件信息进行过滤,并将过滤后剩余的安全事件信息上报给服务器端。
所述安全事件信息中包括病毒事件信息、攻击事件信息和非法扫描信息。
所述服务器端采用中断方式或查询方式接收终端设备上报的安全信息。
一种网络安全控制系统,包括至少两个终端设备及与其连接的网络接入设备,和与所述网络接入设备相连的安全策略服务器,还包括:
安全代理模块,设置在终端设备侧,用于收集终端设备的安全信息并上报给安全策略服务器;
所述安全策略服务器用于设置安全信息与安全策略的对应关系,以及接收并综合分析所述安全代理模块上报的安全信息,获取对应的安全策略,采用该安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
所述系统进一步包括:
安全设备,与安全策略服务器连接,用于从安全策略服务器中获取安全信息执行相应的安全响应,对网络进行安全防护。
所述安全代理模块包括:
配置信息获取子模块,用于收集终端设备的安全配置信息并发送给安全策略服务器。
所述安全配置信息中包括系统安全配置信息和应用安全配置信息。
所述安全代理模块包括:
事件信息获取子模块,用于收集终端设备的安全事件信息并发送;
事件信息过滤子模块,与事件信息获取子模块连接,根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息发送给安全策略服务器。
所述安全事件信息中包括病毒事件信息、攻击事件信息和非法扫描信息。
所述安全策略服务器采用中断方式或查询方式接收安全代理模块发出的安全信息。
所述的安全代理模块为设置在终端设备内的功能模块,或者为系统中的独立功能实体。
本发明有益效果如下:
本发明在服务器端预先设置了安全信息与安全策略的对应关系,由至少两个终端设备收集本地安全信息并上报给关联的服务器端,服务器端综合分析终端设备的安全信息获取相应的安全策略,利用该安全策略通过网络接入设备对终端设备进行网络接入控制和应用服务接入控制,由于所定制的安全策略综合分析了多个终端设备上报的安全信息,因此与现有技术相比该安全策略在合理性方面有所提升。
更进一步,本发明的终端设备收集的安全信息中除了安全配置信息外还可以包括安全事件信息,从而使服务器端能够从每个终端设备中获取更多的有效信息量,因此能够制定出更为准确及合理的安全策略。
附图说明
图1为现有技术安全联动系统的组网结构示意图;
图2为本发明实施一的组网结构示意图;
图3为本发明实施例一进行网络安全控制的流程图;
图4本发明实施例二的组网结构示意图;
图5为本发明实施例二进行网络安全控制的流程图;
图6本发明实施例三的组网结构示意图;
图7为本发明实施例三进行网络安全控制的流程图;
图8本发明实施例四的组网结构示意图;
图9为本发明实施例四进行网络安全控制的流程图;
图10本发明实施例五的组网结构示意图;
图11为本发明实施例五进行网络安全控制的流程图;
图12为本发明实施例六的组网结构示意图;
图13为本发明实施例六进行网络安全控制的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一:
图2所示为本发明实施例一的组网结构示意图,由图中可见,其主要包括设置在终端设备侧的安全代理模块,以及设置在网络侧,通过网络接入设备与终端设备连接的安全策略服务器。
安全代理模块可以为设置在终端设备内的功能模块,也可以为系统中的独立的功能实体,安全代理模块中包括配置信息获取子模块,用于收集终端设备的安全配置信息。
安全策略服务器存储有预先定制的安全配置信息和安全策略的对应关系,该安全策略通过综合考虑网络中多个终端设备的安全配置信息而定制。安全策略服务器采用中断方式或查询方式接收安全代理模块发出的安全配置信息,通过对至少两个终端设备上报的安全配置信息的综合分析和判断,确定出匹配的安全策略,利用该安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
图3为本发明实施例一进行网络安全控制的流程图,由图中可见,其主要实现过程如下:
步骤S10、在安全策略服务器上设置安全配置信息与安全策略的对应关系;
例如:若安全策略服务器发现大于或等于设定数目的终端设备上报了被篡改的安全配置信息,这种篡改是终端设备遭受了非法扫描事件引起的,为了避免网络中的其他终端遭受相同的非法扫描事件,在安全策略服务器上设置的安全策略为:向网络中所有终端设备提供针对该非法扫描事件的操作系统补丁,同时安全配置信息被篡改的终端设备进行阻断,要求其在安全补丁后才能接入。
步骤S11、收集终端设备的安全配置信息;
设置在终端设备侧的安全代理模块中的配置信息获取子模块利用与终端设备操作系统及常规应用软件之间的通信接口收集终端设备的安全配置信息,主要包括系统配置信息和应用配置信息。
步骤S12、安全策略服务器采用中断方式或查询方式接收至少两个终端设备发出的安全配置信息。
步骤S13、安全策略服务器对接收到的多个终端设备的安全配置信息进行综合分析,根据步骤S10中设置的安全配置信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略。
网络接入策略包含以下方面:
限流:将不安全终端设备的上/下行流量限制在某个预定值之内;
阻断:将不安全终端设备直接阻断,禁止其接入网络;
重定向:通过网络接入设备将不安全终端设备的特定流量重定向到其他专门的网络安全设备做进一步处理,例如,为不影响终端设备正常上网,将终端设备的所有上行流量重定向到一个防病毒网关,清除终端设备已感染蠕虫病毒的报文,然后转发用户正常的报文。
应用服务接入策略为对移动终端的可用服务进行限制或禁用。
步骤S14、安全策略服务器利用制定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
本实施例在安全策略服务器中定制的安全策略综合分析了多个终端设备上报的安全配置信息,与现有技术相比,本实施例中定制的安全策略在合理性方面有所提升。
实施例二:
图4所示为本发明实施例二的组网结构示意图,由图中可见,与实施例一相比,本实施例在网络侧增加了与安全策略服务器连接的安全设备。
与实施例一相比,本实施例中的安全策略服务器可将终端设备上报的安全事件信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,这些安全设备根据接收到的安全信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,从而达到对移动网络进行安全防护的目的。
在本实施例中安全设备通过控制路由器达到对移动网络进行安全防护的目的。
图5为本发明实施例二进行网络安全控制的流程图,由图中可见,其主要实现过程如下:
步骤S20至S22、与上述步骤S10至S12相同。
在步骤S22后,安全策略服务器分别执行步骤S23和步骤S24。
步骤S24、安全策略服务器对接收到的多个终端设备的安全配置信息进行综合分析,根据步骤S20中设置的安全配置信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略,转至步骤S26。
步骤S23、安全策略服务器将终端设备上报的安全配置信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,转至步骤S25。
步骤S26、安全策略服务器利用制定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
步骤S25、网络中的安全设备根据接收到的安全配置信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,对移动网络进行安全防护。
与实施例一相比,本实施例在网络侧增加了安全设备,该安全设备可以接收安全策略服务器发出的安全配置信息,根据接收到的安全配置信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,可对移动网络进行更有效的安全防护。
实施例三:
图6所示为本发明实施例三的组网结构示意图,由图中可见,其主要包括设置在终端设备侧的安全代理模块,以及设置在网络侧,通过网络接入设备与终端设备连接的安全策略服务器。
安全代理模块中包括事件信息获取子模块、事件信息过滤子模块和配置信息获取子模块,其中事件信息获取子模块用于收集终端设备的安全事件信息;事件信息过滤子模块与事件信息获取子模块连接,用于根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息通过网络接入设备发送给安全策略服务器;配置信息获取子模块用于收集终端设备的安全配置信息并发送给安全策略服务器。
安全策略服务器中存储有预先定制的安全事件信息和安全策略的对应关系,安全策略服务器采用中断方式或查询方式接收安全代理模块发出的安全事件信息和安全配置信息,通过对至少两个终端设备上报的安全事件信息和安全配置信息的综合分析和判断,确定出匹配的安全策略,利用该安全策略通过网络接入设备对终端设备进行网络接入控制和应用服务接入控制。
图7所示为实施例三进行网络安全控制的流程图,由图中可见,其主要实现过程如下:
步骤S30、在安全策略服务器上设置终端的安全配置信息及安全事件信息与安全策略的对应关系;
例如:若安全策略服务器收到大于或等于设定数目的终端设备上报相同或相似的安全事件信息(如病毒事件、非法扫描事件等)时由于多个终端设备遭受相同或相似的安全事件可能会导致网络的瘫痪,因此所设置的安全策略为:对上报安全事件信息的终端设备进行阻断,同时查看终端设备上报的安全配置信息,对其中上报未安装针对上述安全事件的安全补丁的终端设备进行安全更新。
步骤S31、收集终端设备的安全配置信息和安全事件信息;
设置在终端设备侧的安全代理模块中的配置信息获取子模块利用与终端设备操作系统及常规应用软件之间的通信接口收集终端设备的安全配置信息,主要包括系统配置信息和应用配置信息;
安全代理模块中的事件信息获取子模块利用与终端设备上安全应用软件(如防火墙软件、杀毒软件、漏洞扫描软件和入侵检测软件等)之间的通信接口收集终端设备的安全事件信息,主要包括病毒事件、攻击事件和非法扫描事件等。
步骤S32、安全代理模块中的事件信息过滤子模块根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的关键安全事件信息通过网络接入设备发送给安全策略服务器;配置信息获取子模块将安全配置信息发送给安全策略服务器。
由于终端设备的安全事件信息的数目较多,若不进行过滤,其传输信息量会很大,因此应在安全代理模块中设置事件信息过滤子模块,根据预先设定的过滤规则对收集到的安全事件信息进行过滤,以形成重要且传输信息量不大的关键安全事件信息;例如,针对非法扫描事件信息,设置扫描的端口数门限,如果扫描的端口数大于5,则认为此扫描为关键安全事件,此为过滤规则之一,针对不同的安全应用软件可设置不同的过滤规则。
步骤S33、安全策略服务器采用中断方式或查询方式接收事件信息过滤子模块发出的关键安全事件信息以及配置信息获取子模块发出的安全配置信息。
步骤S34、安全策略服务器对接收到的多个终端设备的安全配置信息及安全事件信息进行综合分析,根据步骤S30中设置的安全配置信息及安全事件信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略。
步骤S35、安全策略服务器利用制定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
本实施例中终端设备同时向安全策略服务器提供了关键安全事件信息和安全配置信息,与实施例一相比,安全策略服务器能够从每个终端设备中获取更多的有效信息量,因此能够制定出更为准确及合理的安全策略。
实施例四:
图8所示为本发明实施例四的组网结构示意图,由图中可见,与实施例三相比,本实施例在网络侧增加了与安全策略服务器连接的安全设备。
与实施例三相比,本实施例中的安全策略服务器可将终端设备上报的安全配置信息及安全事件信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,这些安全设备根据接收到的安全信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,从而达到对移动网络进行安全防护的目的。
在本实施例中安全设备通过控制路由器达到对移动网络进行安全防护的目的。
图9为本发明实施例四的流程图,由图中可见,其主要实现过程如下:
步骤S40至S43、与上述步骤S30至S33相同。
在步骤S43后,安全策略服务器分别执行步骤S44和S45。
步骤S44、安全策略服务器对接收到的多个终端设备的安全配置信息及安全事件信息进行综合分析,根据步骤S40中设置的安全配置信息及安全事件信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略,转至步骤S46。
步骤S45、安全策略服务器将终端设备上报的安全配置信息及安全事件信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,转至步骤S47。
步骤S46、安全策略服务器利用制定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
步骤S47、网络中的安全设备根据接收到的安全配置信息及安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,对移动网络进行安全防护。
与实施例三相比,本实施例在网络侧增加了安全设备,该安全设备可以接收安全策略服务器发出的安全配置信息及安全事件信息,根据接收到的安全配置信息及安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,可对移动网络进行更有效的安全防护。
实施例五:
图10所示为本发明实施例五的组网结构示意图,由图中可见,其主要包括设置在终端设备侧的安全代理模块,以及设置在网络侧,通过网络接入设备与终端设备连接的安全策略服务器。
安全代理模块可以为设置在终端设备内的功能模块,也可以为系统中的独立的功能实体,安全代理模块中包括事件信息获取子模块和事件信息过滤子模块,其中事件信息获取子模块用于收集终端设备的安全事件信息;事件信息过滤子模块与事件信息获取子模块连接,用于根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息通过网络接入设备发送给安全策略服务器。
安全策略服务器存储有预先定制的安全事件信息和安全策略的对应关系,安全策略服务器采用中断方式或查询方式接收安全代理模块发出的安全事件信息,通过对至少两个终端设备上报的安全事件信息的综合分析和判断,确定出匹配的安全策略,利用该安全策略通过网络接入设备对终端设备进行网络接入控制和应用服务接入控制。
图11为本发明实施例五进行网络安全控制的流程图,由图中可见,其主要实现过程如下:
步骤S50、在安全策略服务器上设置安全事件信息与安全策略的对应关系;
例如:若安全策略服务器收到大于或等于设定数目的终端设备上报相同或相似的安全事件信息(如病毒事件、非法扫描事件等)时,由于多个终端设备遭受相同或相似的安全事件可能会导致网络的瘫痪,因此所设置的安全策略为:在大于或等于设定数目的终端设备上报相同或相似的安全事件时,对上报安全事件信息的终端设备进行阻断,同时对网络中的其他终端设备进行流量控制。
步骤S51、收集终端设备的安全事件信息;
设置在终端设备侧的安全代理模块中的事件信息获取子模块利用与终端设备上安全应用软件(如防火墙软件、杀毒软件、漏洞扫描软件和入侵检测软件等)之间的通信接口收集终端设备的安全事件信息,主要包括病毒事件、攻击事件和非法扫描事件等。
步骤S52、安全代理模块中的事件信息过滤子模块根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的关键安全事件信息通过网络接入设备发送给安全策略服务器。
步骤S53、安全策略服务器中采用中断方式或查询方式接收至少两个终端设备发出的安全事件信息。
步骤S54、安全策略服务器对接收到的多个终端设备的安全事件信息进行综合分析,根据步骤S50中设置的安全事件信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略。
步骤S55、安全策略服务器利用制定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
实施例六:
图12所示为本发明实施例六的组网结构示意图,由图中可见,与实施例五相比,本实施例在网络侧增加了与安全策略服务器连接的安全设备。
与实施例五相比,本实施例中的安全策略服务器可将终端设备上报的安全事件信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,这些安全设备根据接收到的安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,从而达到对移动网络进行安全防护的目的。
在本实施例中安全设备通过控制路由器达到对移动网络进行安全防护的目的。
图13为本发明实施例六进行网络安全控制的流程图,由图中可见,其主要实现过程如下:
步骤S60至S63、与上述步骤S50至S53相同。
步骤S63后,安全策略服务器分别执行步骤S64和步骤S65。
步骤S64、安全策略服务器对接收到的多个终端设备的安全事件信息进行综合分析,根据步骤S60中设置的安全事件信息与安全策略的对应关系确定出相应的安全策略,安全策略中包括网络接入策略和/或应用服务接入策略,转至步骤S66。
步骤S65、安全策略服务器将终端设备上报的安全事件信息发送给网络中的安全设备,如防火墙、入侵监测装置、运维管理中心等,转至步骤S67。
步骤S66、安全策略服务器利用制定出的安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
步骤S67、网络中的安全设备根据接收到的安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,对移动网络进行安全防护。
与实施例五相比,本实施例在网络侧增加了安全设备,该安全设备可以接收安全策略服务器发出的安全事件信息,根据接收到的安全事件信息通过网络流量过滤、应用协议分析或者安全事件预警等方式进行相应的安全响应,可对移动网络进行更有效的安全防护。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1、一种网络安全控制方法,其特征在于,包括步骤:
A、在服务器端设置安全信息与安全策略的对应关系;
B、至少两个终端设备收集本地的安全信息并上报给服务器端;
C、服务器端综合分析所述终端设备上报的安全信息,获取对应的安全策略,采用该安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
2、如权利要求1所述的网络安全控制方法,其特征在于,
所述步骤C中还包括:
服务器端将终端设备上报的安全信息发送给网络中的安全设备,安全设备根据接收到的安全信息执行相应的安全响应,对网络进行安全防护。
3、如权利要求1所述的网络安全控制方法,其特征在于,所述安全信息中包括安全配置信息和/或安全事件信息。
4、如权利要求3所述的网络安全控制方法,其特征在于,所述安全配置信息中包括系统安全配置信息和应用安全配置信息。
5、如权利要求3所述的网络安全控制方法,其特征在于,当所述终端设备收集的安全信息中包括安全事件信息时,终端设备根据预先设定的过滤规则对收集到的安全事件信息进行过滤,并将过滤后剩余的安全事件信息上报给服务器端。
6、如权利要求3所述的网络安全控制方法,其特征在于,所述安全事件信息中包括病毒事件信息、攻击事件信息和非法扫描信息。
7、如权利要求1所述的网络安全控制方法,其特征在于,所述服务器端采用中断方式或查询方式接收终端设备上报的安全信息。
8、一种网络安全控制系统,包括至少两个终端设备及与其连接的网络接入设备,和与所述网络接入设备相连的安全策略服务器,其特征在于,还包括:
安全代理模块,设置在终端设备侧,用于收集终端设备的安全信息并上报给安全策略服务器;
所述安全策略服务器用于设置安全信息与安全策略的对应关系,以及接收并综合分析所述安全代理模块上报的安全信息,获取对应的安全策略,采用该安全策略通过网络接入设备对终端设备进行网络接入控制和/或应用服务接入控制。
9、如权利要求8所述的网络安全控制系统,其特征在于,所述系统进一步包括:
安全设备,与安全策略服务器连接,用于从安全策略服务器中获取安全信息执行相应的安全响应,对网络进行安全防护。
10、如权利要求8所述的网络安全控制系统,其特征在于,所述安全代理模块包括:
配置信息获取子模块,用于收集终端设备的安全配置信息并发送给安全策略服务器。
11、如权利要求10所述的网络安全控制系统,其特征在于,所述安全配置信息中包括系统安全配置信息和应用安全配置信息。
12、如权利要求8或10所述的网络安全控制系统,其特征在于,所述安全代理模块包括:
事件信息获取子模块,用于收集终端设备的安全事件信息并发送;
事件信息过滤子模块,与事件信息获取子模块连接,根据预先设定的过滤规则对收集到的安全事件信息进行过滤,将过滤后剩余的安全事件信息发送给安全策略服务器。
13、如权利要求12所述的网络安全控制系统,其特征在于,所述安全事件信息中包括病毒事件信息、攻击事件信息和非法扫描信息。
14、如权利要求8所述的网络安全控制系统,其特征在于,所述安全策略服务器采用中断方式或查询方式接收安全代理模块发出的安全信息。
15、如权利要求8所述的网络安全控制系统,其特征在于,所述的安全代理模块为设置在终端设备内的功能模块,或者为系统中的独立功能实体。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101155744A CN100428689C (zh) | 2005-11-07 | 2005-11-07 | 一种网络安全控制方法及系统 |
| CN2006800122727A CN101160876B (zh) | 2005-10-15 | 2006-10-08 | 一种网络安全控制方法及系统 |
| EP06791210A EP1936892A4 (en) | 2005-10-15 | 2006-10-08 | SYSTEM FOR CONTROLLING THE SECURITY OF A NETWORK AND METHOD THEREFOR |
| PCT/CN2006/002628 WO2007045150A1 (fr) | 2005-10-15 | 2006-10-08 | Procede et systeme de controle de la securite d'un reseau |
| US11/549,186 US20070089165A1 (en) | 2005-10-15 | 2006-10-13 | Method and System for Network Security Control |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101155744A CN100428689C (zh) | 2005-11-07 | 2005-11-07 | 一种网络安全控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1859178A CN1859178A (zh) | 2006-11-08 |
| CN100428689C true CN100428689C (zh) | 2008-10-22 |
Family
ID=37298044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101155744A Active CN100428689C (zh) | 2005-10-15 | 2005-11-07 | 一种网络安全控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100428689C (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188851B (zh) * | 2006-11-17 | 2011-03-02 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN101330401B (zh) * | 2007-06-22 | 2010-12-08 | 华为技术有限公司 | 一种安全状态的评估方法、装置及系统 |
| CN101123493B (zh) * | 2007-09-20 | 2011-11-09 | 杭州华三通信技术有限公司 | 网络接入控制应用系统的安全检查方法及安全策略服务器 |
| CN101123534B (zh) * | 2007-09-29 | 2010-09-01 | 华中科技大学 | 应用于合法监听系统的网络策略系统及其策略处理方法 |
| CN101425920B (zh) * | 2007-10-31 | 2011-02-16 | 华为技术有限公司 | 一种网络安全状态获取方法、装置及系统 |
| CN101335753B (zh) * | 2007-12-27 | 2011-07-06 | 华为技术有限公司 | 信息安全处理方法与装置 |
| CN101562541B (zh) * | 2009-05-19 | 2012-05-23 | 杭州华三通信技术有限公司 | 一种统一管理方法和装置 |
| CN102143143B (zh) * | 2010-10-15 | 2014-11-05 | 北京华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
| CN101969445B (zh) * | 2010-11-03 | 2014-12-17 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
| CN103020519A (zh) * | 2012-11-15 | 2013-04-03 | 百度在线网络技术(北京)有限公司 | 用于提供访问请求所对应的安全相关信息的方法和设备 |
| CN104394036A (zh) * | 2014-12-05 | 2015-03-04 | 北京极科极客科技有限公司 | 一种网络状态的检测方法 |
| CN106161399B (zh) * | 2015-04-21 | 2019-06-07 | 新华三技术有限公司 | 一种安全服务交付方法及系统 |
| CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1496644A (zh) * | 2001-03-15 | 2004-05-12 | �Ҵ���˾ | 用于从个人掌上计算机到万维网终端的无线传输的加密系统 |
| WO2005006182A1 (en) * | 2003-06-24 | 2005-01-20 | Thomson Licensing S.A. | Access control using configuration files |
-
2005
- 2005-11-07 CN CNB2005101155744A patent/CN100428689C/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1496644A (zh) * | 2001-03-15 | 2004-05-12 | �Ҵ���˾ | 用于从个人掌上计算机到万维网终端的无线传输的加密系统 |
| WO2005006182A1 (en) * | 2003-06-24 | 2005-01-20 | Thomson Licensing S.A. | Access control using configuration files |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1859178A (zh) | 2006-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100428689C (zh) | 一种网络安全控制方法及系统 | |
| CN101111053B (zh) | 移动网络中防御网络攻击的系统和方法 | |
| CN101160876B (zh) | 一种网络安全控制方法及系统 | |
| WO2007045150A1 (fr) | Procede et systeme de controle de la securite d'un reseau | |
| EP1668511B1 (en) | Apparatus and method for dynamic distribution of intrusion signatures | |
| EP1956463A2 (en) | Method and apparatus for providing network security based on device security status | |
| US20070169169A1 (en) | Method, System and Apparatus for Implementing Data Service Security in Mobile Communication System | |
| US7224699B2 (en) | Wireless local area network access gateway and method for ensuring network security therewith | |
| EP3257284B1 (en) | Mitigating the impact from internet attacks in a ran using internet transport | |
| EP1519541B1 (en) | DOS attack mitigation using upstream router suggested remedies | |
| CN110140380A (zh) | 紧急呼叫的开放接入点 | |
| EP1817684A2 (en) | Using flow metric events to control network operation | |
| CN104320782A (zh) | WiFi信号阻断系统及其方法 | |
| CN109995769B (zh) | 一种多级异构跨区域的全实时安全管控方法和系统 | |
| EP1804465A1 (en) | Collaborative communication traffic control network | |
| RU2373656C2 (ru) | Посредник по предоставлению содержимого и обеспечению защиты в системе мобильной связи | |
| Feng et al. | A dual-layer zero trust architecture for 5G industry MEC applications access control | |
| US7805759B2 (en) | Systems and methods for malware-contaminated traffic management | |
| CN101841841B (zh) | Hnb和hnb gw之间链路质量的监测方法及系统 | |
| CN101193430A (zh) | 基于移动终端安全状态的移动通信网准入控制装置及方法 | |
| Lapiotis et al. | A policy-based approach to wireless LAN security management | |
| CN116866921A (zh) | 一种基于Petri网的5G信令风暴脆弱点分析方法 | |
| CN115802351A (zh) | 终端访问控制方法、装置、设备及介质 | |
| Kemetmüller et al. | Manipulating Mobile Devices with a Private GSM Base Station-A Case Study. | |
| CN1889458A (zh) | 网络信息安全区域联合侦防系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |