CN101562609A - Vpn网络安全漏洞检测全局准入控制系统 - Google Patents
Vpn网络安全漏洞检测全局准入控制系统 Download PDFInfo
- Publication number
- CN101562609A CN101562609A CNA200910022732XA CN200910022732A CN101562609A CN 101562609 A CN101562609 A CN 101562609A CN A200910022732X A CNA200910022732X A CN A200910022732XA CN 200910022732 A CN200910022732 A CN 200910022732A CN 101562609 A CN101562609 A CN 101562609A
- Authority
- CN
- China
- Prior art keywords
- module
- security
- client
- vpn
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种VPN网络安全漏洞检测全局准入控制系统,其采用C/S架构,分为客户端、服务器端两部分,其中服务器端包括:VPN拨号认证管理模块、安全准入控制模块、漏洞检测与修复服务模块、预警服务模块和日志服务模块;客户端包括VPN客户端拨号模块和客户端本地安全漏洞检测模块。本发明的控制系统可以在一个网络内很好地实现安全的统一规划和部署,从而达到整体安全性提高的效果;在安全性上既保证了各安全域内主机的安全,也保证了进入该安全域的网络元素的准入安全;采用C/S模式架构,不受地域和网络的限制,管理通用性和有效性提高明显。
Description
技术领域
本发明属于网络安全控制技术领域,特别涉及一种VPN环境下的基于漏洞检测技术的网络安全准入控制系统。
背景技术
随着网络技术的不断发展,不同网络环境下的网络可控性、可管理性、网络运行状况的可视化、网络运行中数据的安全性、网络的健壮性以及各网络元素即网络中各节点设备的安全性等各方面的要求日益增加,而现有网络管理技术多采用的是对网络设备本身运行状况的关注和管理,即更关注于运行中的网络安全状况的分析管理,缺少了对进入网络的各种元素的控制和管理,以及对网络传输本身的安全性的考量。
从现有的网络安全评估工具来看,多数针对网络漏洞的评估的工具在原理上并没有本质的区别,均是针对网络进行渗透测试来进行评估的,即评估并不是显示的,很多是以后台服务的形式运行于网络元素上的,一方面增加了网络的流量,降低了网络反应速度,一方面也占用了主机的开销,而且对网络系统安全评估设计到的软硬件平台、产品的规范命名,系统配置的规范表示,漏洞的标准命名,漏洞评估过程的数据标准化等问题在系统安全评估的表示中存在不一致的问题等等,需要一个统一的支持多平台的安全服务系统来解决上述问题。
此外,当下很多漏洞评估工具,大多是针对网络上的主机的安全状况的检测评估,缺少针对整个网络,或者是安全级别不同的网络环境的安全状况的控制和评估,缺少针对不同安全域的安全状况进行分析评测,以及按照某种安全策略进行网络准入的相关操作,也需要一个多级安全域的全局准入的控制系统来解决上述问题。
发明内容
本发明的目的是应用VPN来解决当前网络漏洞检测技术中忽略的网络传输中信息流的安全问题,解决当前网络漏洞检测技术中缺少的对网络环境的准入控制问题,通过支持多平台的集成OVAL检测技术的漏洞扫描检测技术解决针对各个域的安全情况(服务器、客户端主机的安全情况)的扫描、根据CVE国际评分标准,生成图文并茂的主机安全状况评测报告,以友好的人机交互页面客观反映给客户的完整的VPN环境下的漏洞检测、多级安全域控制、准入控制的系统。
本发明目的是这样实现的:
一种VPN网络安全漏洞检测全局准入控制系统,采用C/S架构,分为客户端、服务器端两部分,其中服务器端包括:
-VPN拨号认证管理模块,该模块作为系统的VPN拨号认证服务逻辑,负责对客户端节点即VPN拨入用户进行身份认证并与准入控制模块进行联动;
-安全准入控制模块,该模块作为系统的准入控制服务逻辑,负责对业务终端的接入进行控制,通过漏洞检测及修复服务逻辑,检测系统的漏洞,根据检测结果和安全准入控制数据库中准入规则判断是否允许业务终端接入,如果系统准入级别低于准入规则规定的准入安全级别,提示业务终端进行系统安全修复,待修复完毕后,方可进行VPN拨号;
-漏洞检测与修复服务模块,该模块的主要功能是为客户机的漏洞检测与修复客户逻辑提供漏洞扫描策略和补丁修复策略,从而使漏洞检测与修复客户逻辑按照指定策略扫描漏洞,提供补丁修复策略,并根据漏洞检测结果生成系统安全状况评估报告;
-预警服务模块,该模块的主要功能是根据漏洞检测的结果即生成的系统完全评估报告给出预警提示信息;
-日志服务模块,该模块负责收集、汇总日志信息,以便集中审计和事件追查;
其中客户端包括:
-VPN客户端拨号模块,该模块作为系统的VPN拨号认证服务逻辑,负责对客户端节点即VPN拨入用户进行身份认证并与安全准入控制模块进行联动;
-客户端本地安全漏洞检测模块,该模块利用OVAL漏洞检测工具,对客户端主机本身进行基于浏览器的人机交互页面进行本地主机的安全漏洞检测,对生成的XML文件进行分析,依据CVE评分标准,程序实现人机交互页面中的漏洞检测结果即主机安全状况评估报告;并提供与服务器端相同的补丁修复策略。
本发明VPN网络安全漏洞检测全局准入控制系统支持多级分布式部署,在大规模网络部署时,可以将系统支持平台根据所属的网络大小和管理级别划分为N级,N≥1,各级平台之间存在管辖关系,其中一级管理二级及以下级,二级管理三级,依次类推,逐级管理,各级安全域服务器相互独立工作,也可以与其他安全域服务器协同工作或互为备份。
上述安全准入控制模块包括如下功能模块:
-人机交互接口,负责与管理者交互,实现人机交互,提供管理界面;
-漏洞状况分析模块,通过漏洞检测与修复服务模块生成的主机安全状况评测报告,对漏洞检测检测结果进行分析评测,为安全准入控制模块进行信息交互;
-安全准入控制模块,根据漏洞状况分析模块的分析评测结果,采用准入控制策略数据库中控制策略,在人际交互接口给出提示信息,与联动模块进行信息交互,进行准入控制;
-联动模块,根据准入控制模块的准入决策,与VPN拨号认证管理模块进行信息交互。
上述漏洞检测与修复服务模块包括如下功能模块:
-漏洞检测模块,负责对主机进行漏洞检测和链接到该服务器的客户端主机发出漏洞扫描指令;该模块利用OVAL漏洞检测工具,进行漏洞检测,对生成的XML文件进行分析,依据CVE评分标准,程序实现人机交互页面中的漏洞检测结果即主机安全状况评估报告,并与安全准入控制模块进行通信,进行联动;
-漏洞管理模块,负责漏洞定义文件的管理,及时更新服务器端漏洞定义库,并在每次客户端主机上线时,及时更新客户端漏洞定义库,并在人机交互页面中给出更新信息;
-补丁修复策略模块,根据漏洞扫描的结果,即每个检测出的漏洞,更改模块在人机交互页面中显示提供OVAL官方的解决该漏洞方案的链接地址,即提供补丁修复服务解决方案。
VPN网络安全漏洞检测全局准入控制系统中涉及对网络安全状况的部署方法和解决方案,是对需要进行安全保护的目标和方法的定义,包括如下步骤:
①部署VPN网络环境,包括建立Radius认证服务器,VPN环境搭建,建立VPN拨号用户账号,密码等相关部署;
②根据需求划分不同安全域级别,即部署多级网络安全体系,建立各级安全域服务器管辖关系及各客户端节点连接的相应级别的安全域服务器;
③在各级安全域内安装安全服务器,即服务器端程序,并配置相应配置文件及数据库信息,满足步骤②中安全域级别要求;同时根据步骤②中部署要求,安装客户端程序,并配置客户端配置文件即保证客户端在安全域部署范围内连接上相应安全服务器。
发明的优点与积极效果:
1、VPN网络安全漏洞检测全局准入控制系统可以在一个网络内很好地实现安全的统一规划和部署,从而达到整体安全性提高的效果。
2、安全功能,本发明在安全性上既保证了各安全域内主机的安全,也保证了进入该安全域的网络元素的准入安全,同时采用VPN部署网络环境,保证信息传输过程的安全;采用国际通用的支持多平台的基于OVAL的漏洞检测技术,更通用。
表1 本系统与其他系统的功能对比
| 功能点 | 入侵检测系统 | 漏洞扫描系统 | 本系统 |
| VPN网络环境部署 | N | N | Y |
| 准入控制 | N | N | Y |
| 基于OVAL的检测 | Y/N | Y/N | Y |
| 人机交互页面 | Y/N | Y/N | Y |
| 多级安全域部署 | Y | N | Y |
| 支持平台限制 | Y | N | Y |
| 数据传输加密 | N | N | Y |
3、管理通用性有效性的显著提高
本发明采用C/S模式架构,客户端主机连接相应安全域内的服务器主机,可通过任何终端浏览器进行VPN拨号认证,认证通过后,可直接访问服务器主机,通过浏览器查看该服务器下辖客户端主机安全状况,并通过友好的人机交互页面针对主机进行准入控制操作、漏洞检测操作等相关操作,不受地域和网络的限制,管理通用性和有效性提高明显。
附图说明
图1:VPN网络安全漏洞检测全局准入控制系统层次结构图;
图2:VPN网络安全漏洞检测全局准入控制系统逻辑结构图;
图3:安全域树形组织结构示意图;
图4:VPN网络安全漏洞检测全局准入控制系统拓扑图;
图5:嵌入式Web服务器内部逻辑结构图;
图6:Servlet执行引擎逻辑结构图;
图7:Servlet执行引擎的工作流程。
具体实施方式
下面结合附图对本发明作进一步说明。
本发明是工作在VPN网络环境下,通过基于OVAL的漏洞检测系统进行漏洞检测,生成主机安全评测报告,并根据准入控制策略,与VPN拨号等用户身份认证机制联动,从而控制个安全域边界,达到对整个网络环境的安全防护。
本发明由四部分组成,分别是准入控制层、安全服务层、服务控制层、表示层。如图1所示。各部分工作机制如下:
准入控制层为安全服务层,服务控制层,表示层提供准入控制服务,所有上层服务均需要准入层提供安全保障,确保系统各个参与者身份合法,权限合法,该层主要组件有:安全准入控制服务逻辑,安全准入控制客户逻辑,安全准入控制管理控制台。
安全服务层为基础网络提供安全保障,确保业务网络主机的安全可靠,承载漏洞检测及修复,安全服务扩展业务等业务,优化VPN网络配置,修复主机漏洞。该层主要组件有:漏洞检测及修复服务逻辑,安全服务扩展服务端执行引擎,预警服务逻辑,日志服务逻辑,漏洞检测及修复客户逻辑,安全服务扩展客户端执行引擎,预警客户逻辑,日志客户逻辑。
漏洞检测模块中,系统的漏洞库采用CVE作为漏洞表示,对CVE标准作了全面的支持。可通过导入由MITRE的CVE官方发布的XML形式的漏洞字典到数据库来对漏洞库初始化。现给出漏洞数据初始化算法的伪码实现如下:
1:void import_cves(){
2:cve_dict=xmlDocumentLoad(//从CVE字典的官方发布地址处装载。
3:“http://cve.mitre.org/data/downloads/allcves.xml”);
4:items=xmlGetElementsByName(cve_dict,”item”);//在CVE字典中查询所有item元素。
5:vector<xmlNodePtr>::iterator cve_iter;
6:for(cve_iter=items.begin();cve_iter!=items.end();cve_iter++){
7:type=xmlNodeGetProp(*cve_iter,”type”);
8:if(type==“CVE”){//仅处理CVE条目,候选条目放弃。
9:cve_id=xmlNodeGetProp(*cve_iter,”name”);//取CVE标识符。
10:cve_desc=xmlGetChildElement(*cve_iter,”desc”);//取漏洞描述信息。
11:sql_exec(“INSERT INTO vulnerability VALUES(‘”
12:+cve_id+“’,”’+cve_desc->nodeValue+“’);”);//向漏洞表中插入一条漏洞信息。
14:refs=xmlGetChildElement(*cve_iter,”refs”);
15:for(xmlNodePtr cur=refs.firstChild;NULL!=cur;cur=cur->nextSibling){
16:ref_source=xmlNodeGetProp(cur,”source”);
17:source_id=sql_exec(“INSERT INTOvulnerability_source(source_name)VALUES(‘”
18:+ref_source+”’);”);//向漏洞源表中插入一项漏洞源。
19:ref_url=xmlNodeGetProp(cur,”url”);
20:declaration_id=sql_exec(“INSERT INTOvulnerability_declaration(declaration_url)“
21:+“VALUES(‘”+ref_url+”’);”);//向漏洞声明中插入一项漏洞声明。
22:sql_exec(“INSERT INTO ref_vulnerability_declarationVALUES(‘”
23:+cve_id+”’,”’+declaration_id+“’);”);//建立漏洞与漏洞声明的关系。
24:sql_exec(“INSERT INTO declaration_source VALUES(‘”
25:+declaration_id+“’,”’+source_id+“’);”);//建立漏洞声明与漏洞源的关系。
26:}//end for cur
27:}//end if
28:}//end for cve_iter
29:xmlBufferFree(items);
30:xmlDocFree(cve_dict);
31:}
漏洞检测模块中,系统的漏洞库模式采用OVAL作为评估标准表示,对OVAL作了全面的支持,可通过导入由MITRE的OVAL官方发布的XML形式的OVAL仓库到数据库来实现评估标准数据的初始化。现给出漏洞评估标准数据初始化的伪码实现如下:
1:void import_oval_definitions(){
2:oval_repository=xmlDocumentLoad(//从OVAL仓库的官方发布地址处装载。
3:“http://oval.mitre.org/rep-data/org.mitre.oval/oval.xml”);
4:oval_defs=xmlGetElementsByName(oval_repository,”definition”);//在仓库中查询所有定义。
5:vector<xmlNodePtr>::iterator oval_iter;
6:for(oval_iter=oval_defs.begin();oval_iter!=oval_defs.end();oval_iter++){
7:ref=xmlGetChildElement(*oval_iter,”reference”);
8:source=xmlNodeGetProp(ref,”source”);
9:if(source==“CVE”){//仅处理CVE来源。
10:cve_id=xmlNodeGetProp(ref,”ref_id”);//取CVE标识符。
11:for(criteria=xmlGetChildElement(*oval_iter,”criteria”);
12:NULL!=criteria;criteria=xmlGetChildElement(criteria,”criteria”)){
13:sql_exec(“INSERT INTO criteria(operator,comment)VALUES(‘”
14:+criteria->operator+“’,”’+criteria->comment+“’);”);
15:criterions=xmlGetChildElement(criteria,”criterion”);
16:vector<xmlNodePtr>::iterater criterion_iter;
17:for(criterion_iter=criterions.begin();criterion_iter=criterions.end();criterion_iter++){
18:negate=xmlNodeGetProp(*criterion_iter,”negate”);
19:comment=xmlNodeGetProp(*criterion_iter,”comment”);
20:criterion_id=sql_exec(“INSERT INTOcriterion(negate,comment)VALUES(‘”
21:+negate+“’,”’+comment+“’);”);//新建原子评估标准
22:test_ref=xmlNodeGetProp(*criterion_iter,”test_ref”);
23:test=xmlGetElementById(oval_repository,test_ref);
24:test_id=sql_exec(“INSERT INTO test(version,check,comment)VALUES(‘”
25:+test->version+”’,”’+test->check+“’,”’+test->comment+“’);”);//新建测试。
26:sql_exec(“INSERT INTO ref_criterion_test VALUES(‘”
27:+criterion_id+“’,”’+test_id+“’);”);//建立原子评估标准与测试的关系。
28:object=xmlGetElementById(oval_repository,test->object_ref);
29:object_id=sql_exec(“INSERT INTO object(version,comment)VALUES(‘”
30:+object->version+“’,”’+object->comment+“’);”);//新建抽象对象。
31:state=xmlGetElementById(oval_repository,test->state_ref);
32:state_id=sql_exec(“INSERT INTOstate(operator,version,comment)VALUES(‘”
33:+state->operator+”’,”’+state->version+“’,”’+state->comment+“’);”);
34:sql_exec(“INSERT INTO check VALUES(‘”//建立测试,对象,状态之间的关系。
35:+test id+“’,”’+object_id+“’,”’+state_id+“’);”);
36:sql_exec(“INSERT INTO ref_criteria_criterion VALUES(‘”
37:+critera->id+“’,”’+criterion_id+“’);”);//建立复合标准与原子标准的关系。
38:}//end for criterion_iter
39:}//end for criteria_iter
40:}//end if
41:}//end for oval_iter
42:}
漏洞检测模块中,漏洞评估策略是漏洞评估的一个规划,漏洞评估策略的产生途径有两个:由系统操作人员定制,或者是在评估过程中产生。如果漏洞评估策略由操作人员来定制,那么需要操作人员有相当丰富的安全管理知识和经验。而评估过程中产生的漏洞评估策略则不然,因为该种策略由程序产生,因此对系统操作人员要求比较低。对于手工定制漏洞评估策略的情况,操作人员根据需要从漏洞库中选择部分漏洞进行评估。对于漏洞评估策略自动生成的情况,漏洞评估策略可根据客户端主机的硬件平台,操作系统以及软件平台来确定,漏洞评估策略仅列入那些与客户端主机有关的漏洞。现给出对漏洞评估策略的自动产生算法的伪码实现如下:
1:void plan_schema(schema_t*plan,profile_t*profile){//plan,输出,漏洞评估计划。
2://profile,输入,主机骨架信息。
3:vector<platform_t>::iterator platform_iter;
4:for(platform_iter=profile->begin();platform_iter!=profile->end();platform_iter++){
5:vid_list=sql_exec(“SELECT vulnerability_id FROM affected WHEREplatform_id=”’
6:+(*platform_iter)->platform_id+“’;”);//查询与该平台相关的所有漏洞ID。
7:vector<string>::iterator v_iter;
8:for(v_iter=vid_list.begin();v_iter!=vid_list.end();v_iter++){
9:vulnerability=sql_exec(“SELECT*FROM vulnerability WHEREvulnerability_id=”’
10:+*v_iter+“’;”);//根据漏洞ID查询漏洞详细信息。
11:plan->add_vunerability(vulnerability);//将该漏洞添加至评估方案。
12:}//end for v_iter
13:}//end for platform_iter
14:}
服务控制层为基础网络提供安全服务配置功能,控制安全服务层的运行。该层主要组件有:漏洞检测及修复管理控制台,安全服务扩展管理控制台,日志管理控制台。
表示层为VPN网络安全漏洞检测全局准入控制系统的使用者提供基于WEB的人机交互界面。为了分离底层通信细节设计和漏洞检测评估系统的设计,同时也为了增强系统的扩展性,本发明规定由嵌入式web服务器提供基本的通信保障和分布式计算能力。嵌入式web服务器的设计既包含了web服务器服务端接口的设计,也包含了web服务器客户端接口的设计,此处所指的嵌入式是指web服务器能够被应用程序以API的方式调用。图5给出了嵌入式web服务器的内部逻辑结构。
Servlet执行引擎是嵌入式web服务器的核心。根据“算法+数据结构=程序”这一公式,相应地,嵌入式web服务器将应用程序提炼为“servlets+data=application”。Servlets是算法的载体,是应用系统业务逻辑的抽象;data是数据结构的载体,是应用系统业务数据的集合。嵌入式web应用由Servlet执行引擎装载执行,Servlet执行引擎的逻辑结构见图6。
如图7所示,Servlet执行引擎实际上是嵌入式web应用的容器,维护有一个全局的嵌入式web应用注册表。Servlet执行引擎在接收到浏览器或者是其他HTTP客户发送过来的请求后,即在自身的嵌入式web应用注册表中查找该请求对应的servlet执行,向浏览器或者是其他HTTP客户输出响应。
嵌入式web应用由全局变量、会话以及servlet组成。全局变量为所有servlet共享访问,其生存期贯穿嵌入式web应用始终。会话是浏览器或者其他HTTP客户与嵌入式web应用交互时状态信息的保存,而各种状态信息则存储于会话变量。会话变量仅在会话期间有效。Servlet是服务端的一个函数,其声明必须符合“int service(http_request*req,http_response*res);”的形式。另外,在设计中还引入了一个特殊的servlet:“/rpcrouter”。该servlet主要处理HTTP-RPC业务。应用系统的业务逻辑可用servlet或者是HTTP-RPC的形式实现。
VPN网络安全漏洞检测全局准入控制系统逻辑结构见图2,①,②,③,④所标记的组件分别对应图1的L.1,L.2,L.3,L.4。
图2为系统逻辑结构图,即根据系统各功能模块对应相应逻辑层次,部署实现系统。
图3为系统部署时的安全域树形组织结构图,根据网络部署的实际需求,各级域由该域安全服务器统一管理,并直辖该域中各客户端节点主机,且上级域可查看相邻下级域信息,不可越级查看;可通过浏览器等人机交互界面,通过域安全服务器查看该域直辖各种业务服务器安全信息、客户端节点主机安全信息(安全信息包括该主机的主机信息、对该主机的漏洞扫描结果的分析报告及准入控制操作提示等信息),通过漏洞扫描结果生成的主机安全情况评测报告,根据准入策略,可通过准入控制接口进行准入/不准入的操作,从而实现与VPN拨入认证的联动,实现网络安全准入控制。
图4为系统部署时实际部署图,在搭建环境时,可根据此图部署网络环境,并在该网路环境下分别安装服务器端和客户端程序,从而实现本发明所述系统。图4中即是按照安全域的部署级别部署的网络拓扑结构。
应用实例
某用户是一个全国性的机构,从组织上分为总中心、省级中心、市级中心等三级级别,每级中心均有专属的业务服务器及相关客户端节点主机。上一级域只可查看邻近下级域信息,不可越级查看,当某级域服务器故障时,可直接由其上一级域服务器接管(此处可通过程序的配置文件配置,接管原则为:若某一级安全域内安全服务器宕机,则连接该服务器的客户端主机在上线时,若发现首选服务器连接无响应,则直接通过读取配置文件中的该服务器上一级服务器,即完成接管)。
针对客户的实际问题和需求,整个系统由几部分组成:如图4所示,顶级域、一级域、二级域各部署一台或多台(实现负载均衡)系统安全域服务器;网络安全管理员利用安全域部署需求部署管辖范围内的服务器下辖客户端节点主机;每级安全域中的安全服务器负责本域内的客户端节点主机的准入控制及安全状况评估;各级安全域节点组成一个树状结构,保证各安全域内服务器客户端漏洞信息的同步和策略的统一。
在域结构内所有的客户端节点主机和服务器上安装相应执行程序,当用户登录时,首先通过VPN拨号,成功后,由服务器端查看该客户端信息,并进行漏洞扫描等安全状况评估,根据评测报告执行准入控制。
测试时间:2009年2月
测试环境:CPU:Intel Pentium D 2.8GHz,内存:512M DDR2533,硬盘:7200RPM SATA 80G,显卡:ATI X600SE 128M,芯片组:Intel 945P,显示器:Dell 17’LCD。
测试策略:
检测个安全域间辖属关系;
查看个安全域内所辖客户端主机,针对不同的操作系统版本进行VPN用户拨入、漏洞检测等安全状况评估、准入控制等相关操作。
部署本发明所述系统后,有效地解决和预防了原来系统中出现的各种安全和管理问题,实现了在VPN网络环境下,通过对网络节点主机的漏洞检测等安全状况的评估,根据安全状况评估报告,与VPN拨号联动,实现了对网络规划中的各个安全域的边界限定即准入控制。使得整个网络的安全性、网络拓扑结构中的各网络元素的安全性大大提高。
Claims (5)
1、一种VPN网络安全漏洞检测全局准入控制系统,其特征在于:采用C/S架构,分为客户端、服务器端两部分,其中服务器端包括:
-VPN拨号认证管理模块,该模块作为系统的VPN拨号认证服务逻辑,负责对客户端节点即VPN拨入用户进行身份认证并与准入控制模块进行联动;
-安全准入控制模块,该模块作为系统的准入控制服务逻辑,负责对业务终端的接入进行控制,通过漏洞检测及修复服务逻辑,检测系统的漏洞,根据检测结果和安全准入控制数据库中准入规则判断是否允许业务终端接入,如果系统准入级别低于准入规则规定的准入安全级别,提示业务终端进行系统安全修复,待修复完毕后,方可进行VPN拨号;
-漏洞检测与修复服务模块,该模块的主要功能是为客户机的漏洞检测与修复客户逻辑提供漏洞扫描策略和补丁修复策略,从而使漏洞检测与修复客户逻辑按照指定策略扫描漏洞,提供补丁修复策略,并根据漏洞检测结果生成系统安全状况评估报告;
-预警服务模块,该模块的主要功能是根据漏洞检测的结果即生成的系统完全评估报告给出预警提示信息;
-日志服务模块,该模块负责收集、汇总日志信息,以便集中审计和事件追查;
其中客户端包括:
-VPN客户端拨号模块,该模块作为系统的VPN拨号认证服务逻辑,负责对客户端节点即VPN拨入用户进行身份认证并与安全准入控制模块进行联动;
-客户端本地安全漏洞检测模块,该模块利用OVAL漏洞检测工具,对客户端主机本身进行基于浏览器的人机交互页面进行本地主机的安全漏洞检测,对生成的XML文件进行分析,依据CVE评分标准,程序实现人机交互页面中的漏洞检测结果即主机安全状况评估报告;并提供与服务器端相同的补丁修复策略。
2、根据权利要求1所述的VPN网络安全漏洞检测全局准入控制系统,其特征在于:VPN网络安全漏洞检测全局准入控制系统支持多级分布式部署,在大规模网络部署时,可以将系统支持平台根据所属的网络大小和管理级别划分为N级,N≥1,各级平台之间存在管辖关系,其中一级管理二级及以下级,二级管理三级,依次类推,逐级管理,各级安全域服务器相互独立工作,也可以与其他安全域服务器协同工作或互为备份。
3、根据权利要求1所述的VPN网络安全漏洞检测全局准入控制系统,其特征在于:安全准入控制模块包括如下功能模块:
-人机交互接口,负责与管理者交互,实现人机交互,提供管理界面;
-漏洞状况分析模块,通过漏洞检测与修复服务模块生成的主机安全状况评测报告,对漏洞检测检测结果进行分析评测,为安全准入控制模块进行信息交互;
-安全准入控制模块,根据漏洞状况分析模块的分析评测结果,采用准入控制策略数据库中控制策略,在人际交互接口给出提示信息,与联动模块进行信息交互,进行准入控制;
-联动模块,根据准入控制模块的准入决策,与VPN拨号认证管理模块进行信息交互。
4、根据权利要求1所述的VPN网络安全漏洞检测全局准入控制系统,其特征在于漏洞检测与修复服务模块包括如下功能模块:
-漏洞检测模块,负责对主机进行漏洞检测和链接到该服务器的客户端主机发出漏洞扫描指令;该模块利用OVAL漏洞检测工具,进行漏洞检测,对生成的XML文件进行分析,依据CVE评分标准,程序实现人机交互页面中的漏洞检测结果即主机安全状况评估报告,并与安全准入控制模块进行通信,进行联动;
-漏洞管理模块,负责漏洞定义文件的管理,及时更新服务器端漏洞定义库,并在每次客户端主机上线时,及时更新客户端漏洞定义库,并在人机交互页面中给出更新信息;
-补丁修复策略模块,根据漏洞扫描的结果,即每个检测出的漏洞,更改模块在人机交互页面中显示提供OVAL官方的解决该漏洞方案的链接地址,即提供补丁修复服务解决方案。
5、权利要求1所述的VPN网络安全漏洞检测全局准入控制系统对网络安全状况的部署方法包括如下步骤:
①部署VPN网络环境,包括建立Radius认证服务器,VPN环境搭建,建立VPN拨号用户账号,密码相关部署;
②根据需求划分不同安全域级别,即部署多级网络安全体系,建立各级安全域服务器管辖关系及各客户端节点连接的相应级别的安全域服务器;
③在各级安全域内安装安全服务器,即服务器端程序,并配置相应配置文件及数据库信息,满足步骤②中安全域级别要求;同时根据步骤②中部署要求,安装客户端程序,并配置客户端配置文件即保证客户端在安全域部署范围内连接上相应安全服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910022732XA CN101562609B (zh) | 2009-05-27 | 2009-05-27 | Vpn网络安全漏洞检测全局准入控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910022732XA CN101562609B (zh) | 2009-05-27 | 2009-05-27 | Vpn网络安全漏洞检测全局准入控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101562609A true CN101562609A (zh) | 2009-10-21 |
| CN101562609B CN101562609B (zh) | 2012-06-27 |
Family
ID=41221229
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910022732XA Expired - Fee Related CN101562609B (zh) | 2009-05-27 | 2009-05-27 | Vpn网络安全漏洞检测全局准入控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101562609B (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和系统 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN104426708A (zh) * | 2013-08-23 | 2015-03-18 | 北京神州泰岳软件股份有限公司 | 一种安全检测服务执行方法及系统 |
| CN104662517A (zh) * | 2013-06-28 | 2015-05-27 | 赛门铁克公司 | 安全漏洞检测技术 |
| CN105142150A (zh) * | 2015-08-28 | 2015-12-09 | 广东电网有限责任公司信息中心 | 一种基于bs模式的无线设备漏洞扫描方法及系统 |
| CN105991734A (zh) * | 2015-02-16 | 2016-10-05 | 广东亿迅科技有限公司 | 一种云平台管理方法及系统 |
| CN106549936A (zh) * | 2016-09-29 | 2017-03-29 | 北京知道未来信息技术有限公司 | 一种基于多路vpn负载均衡的扫描器反溯源方法和设备 |
| CN103914357B (zh) * | 2014-04-11 | 2017-04-26 | 珠海市君天电子科技有限公司 | 一种ie浏览器的修复方法及装置 |
| CN106611126A (zh) * | 2016-12-22 | 2017-05-03 | 西北大学 | 一种漏洞严重性评估及修补方法 |
| CN106790284A (zh) * | 2017-02-27 | 2017-05-31 | 湖南蚁坊软件股份有限公司 | 一种基于安全域的数据隔离的方法及系统 |
| CN106790085A (zh) * | 2016-12-22 | 2017-05-31 | 国网新疆电力公司信息通信公司 | 漏洞扫描方法、装置及系统 |
| CN107332863A (zh) * | 2017-08-16 | 2017-11-07 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及系统 |
| CN108509798A (zh) * | 2018-03-31 | 2018-09-07 | 河南牧业经济学院 | 一种计算机软件分析系统 |
| CN109586995A (zh) * | 2018-11-01 | 2019-04-05 | 广州示云网络科技有限公司 | 一种用于检测人机交互的通信方法及系统 |
| CN111131297A (zh) * | 2019-12-31 | 2020-05-08 | 沈阳骏杰卓越软件科技有限公司 | 一种网络准入控制系统 |
| CN112464249A (zh) * | 2020-12-10 | 2021-03-09 | 北京冠程科技有限公司 | 资产设备攻击漏洞修复方法、装置、设备及存储介质 |
| CN114840853A (zh) * | 2021-06-16 | 2022-08-02 | 杨永飞 | 基于大数据的数字化业务分析方法及云服务器 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06282527A (ja) * | 1993-03-29 | 1994-10-07 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
| CN1997026B (zh) * | 2006-12-29 | 2011-05-04 | 北京工业大学 | 一种基于802.1x协议的扩展安全认证方法 |
| CN101072108B (zh) * | 2007-07-17 | 2011-09-28 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
-
2009
- 2009-05-27 CN CN200910022732XA patent/CN101562609B/zh not_active Expired - Fee Related
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和系统 |
| CN104662517A (zh) * | 2013-06-28 | 2015-05-27 | 赛门铁克公司 | 安全漏洞检测技术 |
| CN104662517B (zh) * | 2013-06-28 | 2019-02-15 | 赛门铁克公司 | 安全漏洞检测技术 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN103354530B (zh) * | 2013-07-18 | 2016-08-10 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN104426708A (zh) * | 2013-08-23 | 2015-03-18 | 北京神州泰岳软件股份有限公司 | 一种安全检测服务执行方法及系统 |
| CN103914357B (zh) * | 2014-04-11 | 2017-04-26 | 珠海市君天电子科技有限公司 | 一种ie浏览器的修复方法及装置 |
| CN105991734A (zh) * | 2015-02-16 | 2016-10-05 | 广东亿迅科技有限公司 | 一种云平台管理方法及系统 |
| CN105991734B (zh) * | 2015-02-16 | 2019-05-17 | 广东亿迅科技有限公司 | 一种云平台管理方法及系统 |
| CN105142150A (zh) * | 2015-08-28 | 2015-12-09 | 广东电网有限责任公司信息中心 | 一种基于bs模式的无线设备漏洞扫描方法及系统 |
| CN106549936A (zh) * | 2016-09-29 | 2017-03-29 | 北京知道未来信息技术有限公司 | 一种基于多路vpn负载均衡的扫描器反溯源方法和设备 |
| CN106611126A (zh) * | 2016-12-22 | 2017-05-03 | 西北大学 | 一种漏洞严重性评估及修补方法 |
| CN106790085A (zh) * | 2016-12-22 | 2017-05-31 | 国网新疆电力公司信息通信公司 | 漏洞扫描方法、装置及系统 |
| CN106790085B (zh) * | 2016-12-22 | 2020-10-23 | 国网新疆电力公司信息通信公司 | 漏洞扫描方法、装置及系统 |
| CN106790284A (zh) * | 2017-02-27 | 2017-05-31 | 湖南蚁坊软件股份有限公司 | 一种基于安全域的数据隔离的方法及系统 |
| CN107332863A (zh) * | 2017-08-16 | 2017-11-07 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及系统 |
| CN108509798A (zh) * | 2018-03-31 | 2018-09-07 | 河南牧业经济学院 | 一种计算机软件分析系统 |
| CN109586995A (zh) * | 2018-11-01 | 2019-04-05 | 广州示云网络科技有限公司 | 一种用于检测人机交互的通信方法及系统 |
| CN111131297A (zh) * | 2019-12-31 | 2020-05-08 | 沈阳骏杰卓越软件科技有限公司 | 一种网络准入控制系统 |
| CN112464249A (zh) * | 2020-12-10 | 2021-03-09 | 北京冠程科技有限公司 | 资产设备攻击漏洞修复方法、装置、设备及存储介质 |
| CN114840853A (zh) * | 2021-06-16 | 2022-08-02 | 杨永飞 | 基于大数据的数字化业务分析方法及云服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101562609B (zh) | 2012-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101562609B (zh) | Vpn网络安全漏洞检测全局准入控制系统 | |
| Kim et al. | Data governance framework for big data implementation with NPS Case Analysis in Korea | |
| EP2510466B1 (en) | Delegated and restricted asset-based permissions management for co-location facilities | |
| CN112765245A (zh) | 一种电子政务大数据处理平台 | |
| CN110957025A (zh) | 一种医疗卫生信息安全管理系统 | |
| CN101950271B (zh) | 一种基于建模技术的软件安全性测试方法 | |
| CN113114498B (zh) | 一种可信区块链服务平台的架构系统及其构建方法 | |
| CN109446817A (zh) | 一种大数据检测与审计系统 | |
| CN108197895A (zh) | 一种企业级信息系统权限管理系统 | |
| CN104506487B (zh) | 云环境下隐私策略的可信执行方法 | |
| CN104063756A (zh) | 远程用电信息控制系统 | |
| CN109962805A (zh) | 一种基于分权分域的多平台接入方法及设备 | |
| CN103339611A (zh) | 具有mss功能的远程访问装置 | |
| CN101447064B (zh) | 一种审计管理系统和审计管理方法 | |
| CN105096034B (zh) | 电子政务的实现方法和电子政务系统 | |
| CN105512780A (zh) | 协同资源管理工作平台 | |
| CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
| CN104580081A (zh) | 一种集成式单点登录系统 | |
| WO2023093638A1 (zh) | 异常数据识别方法、装置、设备和存储介质 | |
| CN112837194A (zh) | 一种智慧系统 | |
| CN105320522A (zh) | 基于面向服务的体系结构的xbrl应用平台 | |
| CN102193958A (zh) | 基于互联网的空间决策支持系统的实现方法 | |
| CN111177480A (zh) | 一种区块链目录档案系统 | |
| CN111275391A (zh) | 在线式资产智能分发系统和方法 | |
| Keshavarzi et al. | Research challenges and prospective business impacts of cloud computing: A survey |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120627 Termination date: 20140527 |