CN101594360A - 局域网系统和维护局域网信息安全的方法 - Google Patents
局域网系统和维护局域网信息安全的方法 Download PDFInfo
- Publication number
- CN101594360A CN101594360A CNA2009100886577A CN200910088657A CN101594360A CN 101594360 A CN101594360 A CN 101594360A CN A2009100886577 A CNA2009100886577 A CN A2009100886577A CN 200910088657 A CN200910088657 A CN 200910088657A CN 101594360 A CN101594360 A CN 101594360A
- Authority
- CN
- China
- Prior art keywords
- security
- user
- server
- concerning security
- security matters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了局域网系统和维护局域网信息安全的方法,属于网络安全领域。该系统包括网络监控设备以及与其相连的安全终端、主控制服务器、公共/私有涉密资源服务器和防护服务器,网络监控设备监控数据的交换和转发;安全终端实施本地监控;主控制服务器验证身份,维护安全策略;公共涉密资源服务器监控对公共涉密资源的访问;私有涉密资源服务器监控对私有涉密资源的访问;防护服务器提供数据还原保护。该方法包括:安全终端输入认证信息和登录模式;主控制服务器验证用户的身份,如验证通过:由主控制服务器、网络监控设备、公共涉密资源服务器、私有涉密资源服务器、防护服务器和安全终端共同维护网络安全。本发明提高了网络访问的安全性。
Description
技术领域
本发明涉及网络安全领域,特别涉及局域网系统和维护局域网信息安全的方法。
背景技术
网络环境下的信息安全问题,比单机环境下要复杂得多。目前存在的多数网络安全问题并非来自网络外部,而是由局域网内部的恶意者或非法操作者造成的。局域网的安全与可信已成为广域网安全的前提和必要条件,只有先解决好局域网的安全问题,才能解决好更大规模网络的安全问题。
在诸多的局域网安全问题中,机密信息泄露造成的危害极大。据资料记载,大部分的机密、敏感数据,70%以上都是被内部员工从内部网络系统的桌面终端计算机上,通过各种传输、复制等途径泄露出去的。由此可见,如何防范局域网内的安全隐患,尤其是如何防止局域网内部信息的非法访问及泄露已成为当前网络安全领域的重要方面。
在对现有技术进行分析后,发明人发现,现有各类解决方案的特点,一是通常采用自主访问控制策略,这样虽能防止非法用户的数据访问行为,却往往无法防范合法用户有意或无意的数据泄密;二是大都依赖于密码学技术,对数据信息的加密防护在一定程度上防止了信息泄露,但合法用户持有的明文则难以得到安全保护;三是采用的技术较为单一,比如仅针对局域网内部信息交换进行防控,或防范由移动存储设备造成的信息泄露,鲜有针对局域网的体系结构进行考虑的。
此外,业界现有的综合性解决方案,虽在实践上获得了一定应用,但并没能形成一套完整的理论体系和完善的解决方案,以指导局域网安全系统的构建。不同的内网安全系统往往采用不同的体系结构,一方面适应了某些特定需求,另一方面也使得对于这些系统安全性的评定显得较为复杂,难以从理论上验证其安全可信。
发明内容
为了提高资源访问的安全性与便捷性,本发明实施例提供了一种局域网系统和维护局域网信息安全的方法。所述技术方案如下:
一种局域网系统,包括:网络监控设备以及与所述网络监控设备分别相连的安全终端、主控制服务器、公共涉密资源服务器、私有涉密资源服务器和防护服务器,
所述网络监控设备,用于根据网络安全策略,监控所述安全终端之间以及所述安全终端与外网之间数据的交换和转发;
所述安全终端具有身份标识,包括:
划分模块,用于划分所述安全终端的逻辑存储区域;
认证模块,用于获取用户的身份认证信息和所述用户的登录模式;将所述身份认证信息和所述登录模式通过所述网络监控设备发送给所述主控制服务器;
本地监控模块,用于根据本地安全策略、所述用户的在线信息和所述登录模式监控所述用户对所述系统的访问;
所述主控制服务器,用于验证所述安全终端发来的所述身份认证信息,初始化所述用户的密级为最低密级并发送给所述安全终端;维护所述安全策略和所述用户的当前密级、最高密级、在线信息;将验证结果通过所述网络监控设备发送给所述安全终端;将所述用户的在线信息与当前密级信息发送给网络监控设备、公共涉密资源服务器、私有涉密资源服务器、防护服务器;
所述公共涉密资源服务器,用于提供所述系统内公共涉密资源的集中式存储,并根据所述当前密级信息对所述用户进行访问控制,管理所述公共涉密资源的密级,并维护公共涉密资源的更新信息;
所述私有涉密资源服务器,用于提供所述系统内私有涉密资源的网络分布式存储,并根据所述在线信息与当前密级信息对所述用户进行访问控制;
所述防护服务器,用于提供对所述安全终端的逻辑存储区域的数据还原保护。
一种维护局域网信息安全的方法,包括以下步骤:
安全终端将用户输入的认证信息和登录模式转发给主控制服务器;
所述主控制服务器根据所述认证信息验证所述用户的身份,所述用户如果验证通过:
所述主控制服务器更新所述用户的在线信息;所述主控制服务器根据所述登录模式、所述认证信息以及所述安全终端的身份标识确定对所述用户执行的本地安全策略和网络安全策略,将所述本地安全策略发送给所述安全终端,并将所述网络安全策略发送给所述网络监控设备;初始化所述用户的密级为最低密级并发送给所述安全终端;维护所述本地安全策略、网络安全策略和所述用户的当前密级、最高密级、在线信息;将所述用户的在线信息与当前密级信息发送给网络监控设备、公共涉密资源服务器、私有涉密资源服务器、防护服务器;
所述安全终端划分所述安全终端的逻辑存储区域,所述逻辑存储区域由防护服务器提供数据还原保护;
当所述用户访问公共涉密资源时,所述公共涉密资源服务器根据所述当前密级信息对所述用户进行访问控制,管理所述公共涉密资源的密级,并维护公共涉密资源的更新信息,其中所述公共涉密资源服务器提供公共涉密资源的集中式存储;
当所述用户访问私有涉密资源时,所述私有涉密资源服务器根据所述在线信息与当前密级信息对所述用户进行访问控制,其中所述私有涉密资源服务器提供私有涉密资源的网络分布式存储;
所述安全终端根据所述本地安全策略、所述在线信息和所述登录模式监控所述用户对局域网系统的访问;所述网络监控设备根据所述网络安全策略,监控所述安全终端之间以及所述安全终端与外网之间数据的交换和转发。
本发明实施例通过采用涉密资源的集中式存储与分布式存储相结合的方式,提高了网络资源访问的安全性与便捷性;在安全终端及局域网络中部署监控机制并协同实施,有效防范了该局域网系统的涉密信息的泄露。
附图说明
图1是本发明实施例提供的局域网系统结构示意图;
图2是本发明实施例不同的登录模式对应的安全策略示意图;
图3是本发明实施例提供的维护局域网信息安全的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明实施例中的一些重要概念作出规定。
1、涉密资源:指包含涉密信息的数据。在本发明实施例的局域网系统中,涉密资源的来源包括三部分:(1)由可信管理员构造、区分密级并导入系统的数据;(2)用户在安全终端的特定存储区域(即涉密资源存储区)构造的数据;(3)通过对已有涉密数据的复制、修改、拼接等操作形成的新数据。
本发明实施例中涉密资源可分为用户私有涉密资源与公共涉密资源两类,前者与用户身份绑定,后者可被该局域网系统内的多用户共享。同样,非涉密资源也可划分为用户私有非涉密资源与公共非涉密资源两类。
2、密级。它是一个正整数,数值越大代表密级越高。
涉密资源、安全终端以及用户被分配以一个密级。安全终端的用户和安全终端分配以相同的密级,其密级分为最高密级与当前密级。其中,最高密级代表用户访问系统内相关资源的最高权限;当前密级代表用户当前具有的访问系统内相关资源的权限,该当前密级依据用户的行为并遵照本发明实施例中相关安全策略动态变化,始终不高于用户的最高密级。
3、身份标识:标识用户或安全终端身份的信息。每个用户具有唯一的身份标识。每个安全终端分配以某个用户的身份标识,以此代表该安全终端与某个用户之间的隶属关系。
4、安全终端的本地用户:当使用某安全终端的用户与该安全终端的身份标识匹配(即相同)时,称该用户为该安全终端的本地用户。本地用户具有特殊的访问权限(有权访问该安全终端的非涉密资源存储区)。
5、会话:自某用户登录某一安全终端始,直至该用户注销该次登录的过程,称为一次会话。在一次会话中,安全终端将以该用户的身份标识参与该系统内的各种活动,而忽略自身的身份标识。
6、涉密访问:表示访问涉密资源的行为。
7、安全终端的涉密访问模式:本发明实施例中的安全终端,在用户登录时提供给用户选择是否采用涉密访问模式的权限。若用户选择了涉密访问模式,则该用户能够访问涉密资源,但使用安全终端的其他行为将受到严格限制,以防泄密;若用户选择了非涉密访问模式,则该用户无法访问任何涉密资源。
8、安全终端的登录模式:指用户登录和使用安全终端的行为集合。根据使用安全终端的用户是否为该终端的本地用户,以及该用户是否选择涉密访问,用户对安全终端的登录模式分为四种。这四种登录模式分别是:非本地用户的非涉密模式,本地用户的非涉密模式,本地用户的涉密模式,非本地用户的涉密模式。各种使用模式,对应系统结构的不同子集,并且实施安全策略的不同子集,用户行为所受的约束也不同。
下面结合附图对本发明实施方式作进一步的详细描述。
实施例一
本发明实施例提供了一种局域网系统,如图1所示,包括:网络监控设备101以及与网络监控设备101分别相连的安全终端102、主控制服务器103、防护服务器104、公共涉密资源服务器105和私有涉密资源服务器106,
网络监控设备101,用于根据网络安全策略,监控安全终端102之间以及安全终端102与外网之间数据的交换和转发;
安全终端102具有身份标识,包括:
划分模块,用于划分安全终端102的逻辑存储区域;
认证模块,用于获取用户的身份认证信息和用户的登录模式;将身份认证信息和登录模式通过网络监控设备101发送给主控制服务器103;
本地监控模块,用于在用户登录后,初始化用户的密级为最低密级并发送给主控制服务器103;根据本地安全策略、用户的在线信息和登录模式监控用户对系统的访问;
主控制服务器103,用于验证安全终端发来的身份认证信息,维护安全策略和用户的当前密级、最高密级、在线信息;将验证结果通过网络监控设备101发送给安全终端102;将用户的在线信息与当前密级信息发送给网络监控设备101、公共涉密资源服务器105、私有涉密资源服务器106、防护服务器104;
公共涉密资源服务器105,用于提供系统内公共涉密资源的集中式存储,并根据当前密级信息对用户进行访问控制,管理公共涉密资源的密级,并维护公共涉密资源的更新信息;
私有涉密资源服务器106,用于提供系统内私有涉密资源的网络分布式存储,并根据在线信息与当前密级信息对用户进行访问控制;
防护服务器104,用于提供对安全终端102的逻辑存储区域的数据还原保护。
本实施例局域网系统的拓扑结构为星型局域网络结构,以网络监控设备101(可分为若干子监控设备和主监控设备)作为星型网络的中心,其他各组件均与网络监控单元直接相连,但彼此间互不相连。安全终端102是该系统为用户提供的操作终端,可以有一个或者多个。用户可使用安全终端执行在通常计算机上的各种操作。安全终端102上部署着认证模块,提供了用户登录安全终端或访问该系统内涉密资源的接口,同时本地监控模块部署在安全终端102的操作系统内核中,也对相关访问行为进行监控,实施相关的安全策略,以防范涉密资源泄露。主控制服务器103是该系统的核心控制组件,用于维护用户的身份信息、最高密级信息、当前密级信息、本地安全策略与网络安全策略等;验证用户的身份,维护用户的在线信息(包括用户的登录时间、用户当前使用的安全终端的身份标识和网络地址等);将有关信息提供给各监控单元,以实施对用户行为的监控。
进一步地,安全终端102还包括存储区域,存储区域被上述划分模块划分为多个逻辑存储区域,包括:
系统资源存储区,用于存储操作系统和应用程序代码,采用本地存储模式。由本地监控模块及防护服务器104提供数据还原保护,从而普通用户对该区域的任何修改在安全终端关闭或重启时将被清除,而仅有可信的管理员可对操作系统及应用程序进行更新维护。
非涉密资源存储区,用于存储与安全终端102具有相同身份标识的用户的私有非涉密数据,采用本地存储模式。当用户未访问涉密数据前,可自由访问该存储区;但当用户访问涉密数据之后,该存储区将无法写入任何信息。
涉密资源存储区,该区域存储安全终端使用者的私有涉密数据,采用网络存储模式。当用户登录安全终端102后,私有涉密资源服务器106上存储着的用户私有涉密数据,将被下载到安全终端的该存储区,供用户访问。该存储区是安全终端102的一个本地虚拟存储区域,它是私有涉密资源服务器106所存储的登录用户私有涉密数据在该安全终端本地的映射。用户可以像使用安全终端的本地物理存储区域一样,对该区域的数据进行访问,而实际的访问行为将作用于私有涉密资源服务器。
临时存储区,用于临时存储各类数据,包括涉密及非涉密数据,采用本地存储模式。该区域由本地监控模块及防护服务器104提供数据还原保护,其存储的内容在安全终端关闭或重启时将被清除。安全终端的临时存储区是涉密资源进出安全终端的临时暂存区。
本地监控模块具体包括:
初始化单元,用于在用户登录后,初始化用户的密级为最低密级并发送给主控制服务器。
本地监控模块还包括以下单元中的至少一个:
第一单元,用于允许未访问过涉密数据的用户自由访问非涉密资源存储区;禁止访问过涉密数据的用户写入任何信息到非涉密资源存储区,参见图2。
第二单元,用于当用户的登录模式为涉密模式时,禁止对安全终端的输入输出设备和非涉密资源存储区进行写操作,同时禁止该安全终端的网络连接。若用户以非涉密模式使用安全终端时,不对非涉密资源存储区实施任何访问控制,参见图2。
第三单元,用于根据用户的请求,经网络监控设备获取公共涉密资源服务器上的公共涉密资源并存储在临时存储区;根据用户的请求,经网络监控设备获取私有涉密资源服务器上的用户的私有涉密资源并存储在涉密资源存储区,参见图2。
第四单元,用于允许用户对密级不高于用户的最高密级的文件进行只读访问,并在只读访问操作之后,更新用户的当前密级;允许用户对密级不低于用户的当前密级的文件进行只写访问;允许用户对密级不高于用户的最高密级且不低于用户的当前密级的文件进行读写访问,并在读写访问操作之后,更新用户的当前密级;在用户当前密级发生改变时,将用户的当前密级信息转发给主控制服务器。
一般情况下,以用户的当前密级作为被创建的文件的密级;但,若该文件被创建在该安全终端的涉密资源存储区,则该文件的密级应设为该用户的最高密级;若该文件被创建在该安全终端的非涉密资源存储区,则该文件的密级应设为系统的最低密级。
用户仅能对密级不高于其最高密级的文件进行只读访问;且只读访问操作完成之后,该用户的当前密级将设定为访问之前的当前密级与该文件的密级之中的较大值。
用户仅能对密级不低于其当前密级的文件进行只写访问。
用户仅能对密级不高于其最高密级且不低于其当前密级的文件进行读写访问;且读写访问操作完成之后,该用户的当前密级将设定为文件的密级。
网络监控设备101,可以包括至少一个子监控设备与至少一个主监控设备(它们可以位于一个实体上,也可以位于多个实体上),它们彼此互联,并作为一个整体,部署在局域网系统网络拓扑结构的中心;该系统内的所有设备都与网络监控设备直接相连,某个子或主监控设备与一个连接外网的网关相连。网关(及其相连的外部网络)在本发明实施例中视为一个特殊的安全终端,其最高密级与当前密级相同,均设定为系统的最低密级;外部网络中的数据,其密级设定为系统的最低密级;安全终端本地可能导致泄密的输入输出设备,其上的数据资源的密级设定为系统的最低密级。
网络监控设备101知悉每个安全终端的IP地址。网络监控设备101具体用于:
禁止信息由当前密级较高的安全终端流向当前密级较低的安全终端,其中,安全终端的当前密级与安全终端的登录用户的当前安全密级保持一致;
对以涉密模式登录的用户,禁止以涉密模式登录的用户所使用的安全终端与外网连接,参见图2。
在主监控设备上设有:与资源服务器的接口,与防护服务器的接口,与安全终端的接口,本地安全策略以及网络安全策略。
该局域网系统内所有的通讯数据以及该局域网与外部网络之间的通讯数据都要经过网络监控设备,因此网络监控设备可以很容易地对上述各种通信行为进行监控,根据从主控制服务器获取的用户(及安全终端)的密级信息,并依据安全策略,动态调整各通信关系。
公共涉密资源服务器105包括:
存储模块,用于提供系统内公共涉密资源的集中式存储;
密级管理模块,用于管理上传到公共涉密资源服务器的涉密资源的密级;
访问控制模块,用于禁止最高密级低于公共涉密资源的密级的用户,从公共涉密资源服务器下载公共涉密资源;
维护模块,用于维护公共涉密资源的更新信息,更新信息包括资源上传、下载、删除、更名、密级更改。
其中密级管理模块具体用于:
上传到公共涉密资源服务器105的涉密资源,其密级保持不变;任何上传都不允许覆盖原文件(如存在);
涉密资源只能被最高密级不低于其密级的用户下载;任何下载都不会导致原资源的删除;只有该公共涉密资源服务器的管理员有权删除公共涉密资源服务器105上的资源。
对于待降级的涉密资源,可由用户指定,并上传至公共涉密资源服务器105的特定区域,由管理员审核后调整该资源的密级。这项功能主要是为了使某些高密级用户发布公开的低密级消息成为可能。
为使对公共涉密资源的访问行为受到有效的监督,公共涉密资源服务器105维护其上所有资源的更新信息,包括上传、下载、更名、删除或者密级更改操作,以便于日后审计。
私有涉密资源服务器106包括:至少一个索引服务器和至少一个数据服务器,
索引服务器,用于维护私有涉密资源的地址信息及用户的验证信息;
数据服务器,用于存储私有涉密资源的数据,并根据在线信息与当前密级信息对用户进行访问控制。
上述验证信息用于当用户访问私有涉密资源服务器106时,私有涉密资源服务器106将在后台通过网络监控设备101向主控制服务器103请求该用户的认证信息并对该用户进行验证,如果验证通过,才向该用户提供私有涉密数据。
根据使用安全终端的用户是否为该终端的本地用户,以及该用户是否选择涉密访问,将安全终端的登录模式分为四种。不同的登录模式实施安全策略的不同子集,用户行为所受的约束也不同,参见图2,其中×表示禁止,√表示允许。
进一步地,本发明实施例的局域网系统还包括与网络监控设备相连的网络应用服务器,比如可以为电子邮件服务器、打印服务器、Web服务器中的任意一个或若干的组合,用于为局域网系统提供网络打印服务、邮件转发服务或者Web资源服务。
本发明实施例的局域网系统以普通PC机作为安全终端,从体系结构入手处理和解决局域网防泄密问题,具有更高的安全性和主动性。与现有技术相比,本发明实施例的主要优点是:
(1)从体系结构的角度入手解决局域网防泄密问题:现有的局域网防泄密问题的解决方案,往往关注一个或若干方面,鲜有着眼于体系结构的,因而难以应对复杂的安全问题。本发明从体系结构入手,将局域网内各实体作为该体系结构的组成部分,统筹考虑局域网防泄密问题的解决方案。该体系结构采用涉密资源的集中式存储与分布式存储相结合的方式,提高了资源访问的安全性与便捷性;并通过在安全终端上及局域网络中部署监控单元,有效防范了局域网系统的涉密信息泄露。
(2)统一的多级访问控制策略:普通计算机的行为独立性使得由多机构成的局域网系统内的安全问题难以防范。采用统一的多级访问控制策略,并部署在局域网内多个实体上,由其协同实施,能有效地实现局域网系统的防泄密需求。
(3)动态物理隔离:现有的防范局域网泄密的基本策略是静态物理隔离,使内外网相互分隔,即局域网内的计算机完全无法访问外部网络,只能使用专门的计算机设备访问外网,这一方面提供了较可靠的安全性,另一方面却限制了可用性。本发明通过在局域网系统中部署作为网络监控设备的专用硬件设备,使得一旦用户访问涉密数据,即自动切断所用安全终端与外部网络的连接,实现了内外网的动态物理隔离,使得可使用同一计算机安全地访问内网与外网,提高了可用性。
实施例二
在实施例一的基础上,本发明实施例还提供了一种维护局域网信息安全的方法,如图3所示,包括以下步骤:
310:安全终端将用户输入的认证信息和登录模式转发给主控制服务器。
本实施例可以应用于实施例一所述的局域网系统中。该局域网系统的拓扑结构为星型局域网络结构,以网络监控设备101作为星型网络的中心,其他各组件均与网络监控单元直接相连,但彼此间互不相连。安全终端102是该系统为用户提供的操作终端,用户可使用安全终端执行在通常计算机上的各种操作。安全终端提供了用户登录安全终端或访问该系统内涉密资源的接口,也对用户的相关访问行为进行监控,实施相关的安全策略,以防范涉密资源泄露。主控制服务器103是该系统的核心控制组件,用于维护用户的身份信息、当前密级信息、最高密级信息、本地安全策略与网络安全策略等;验证用户的身份,维护用户的在线信息(包括用户的登录时间、用户当前使用的安全终端的身份标识和网络地址等);将有关信息提供给各监控单元,以实施对用户行为的监控。
当用户启动安全终端102,安全终端的操作系统和预设应用程序也相应启动,这时安全终端将要求用户输入认证信息和登录模式,并将用户输入的认证信息和登录模式通过网络监控设备101转发给主控制服务器103。上述认证信息包括用户名、口令或者使用USB KEY设备(提供USB接口的智能硬件存储设备)进行身份认证时提供的密钥及USB KEY设备存储的数字证书。上述登录模式包括:非涉密模式和涉密模式。
320:主控制服务器103根据认证信息验证用户的身份,用户如果验证通过,执行下述步骤。
主控制服务器103在收到步骤310中转发的认证信息后,经身份认证,将成功或失败的验证结果通过网络监控设备转发给安全终端102,允许或拒绝该用户登录安全终端。如果验证通过,执行下述步骤。
330:主控制服务器103更新用户的在线信息;根据登录模式、认证信息以及安全终端的身份标识确定对用户执行的本地安全策略和网络安全策略,将本地安全策略发送给安全终端,并将网络安全策略发送给网络监控设备;初始化用户的密级为最低密级并发送给安全终端;维护本地安全策略、网络安全策略和用户的当前密级、最高密级、在线信息;将用户的在线信息与当前密级信息发送给网络监控设备101、公共涉密资源服务器105、私有涉密资源服务器106、防护服务器104。
用户登录之后,主控制服务器103更新用户的在线信息。在线信息包括:用户的登录时间、用户当前使用的安全终端的身份标识和网络地址。主控制服务器103根据用户的认证信息中的用户名以及安全终端的身份标识确定用户是本地用户还是非本地用户。如果用户名与安全终端的身份标识一致,说明用户是本地用户,否则是非本地用户;并结合用户选择的登录模式为非涉密模式或涉密模式,所以事实上用户的实际登录模式可包括四种情况,参见图2,分别为非本地用户非涉密模式、本地用户非涉密模式、非本地用户涉密模式和本地用户涉密模式。针对以上四种不同的实际登录模式,主控制服务器确定对用户执行的本地安全策略和网络安全策略,将本地安全策略发送给安全终端,并将网络安全策略发送给网络监控设备。不同的用户,其最高密级由其身份决定,具体由可信任管理员指定。用户登录之后,主控制服务器103初始化用户的密级为最低密级并发送给安全终端。
由于用户登录之后,其密级可动态变化,在线信息也是动态变化的,这样相应地本地安全策略、网络安全安全策略可能也会有所变化,所以主控制服务器103需要负责维护本地安全策略、网络安全策略和用户的当前密级、最高密级、在线信息。主控制服务器103还会将用户的在线信息与当前密级信息发送给网络监控设备101、公共涉密资源服务器105、私有涉密资源服务器106和防护服务器104,以备用户访问外网、公共涉密资源、私有涉密资源或需要防护服务器提供数据还原服务时使用。
340:安全终端102划分安全终端的逻辑存储区域,逻辑存储区域由防护服务器104提供数据还原保护。
安全终端102在收到主控制服务器103转发的本地安全策略和用户初始密级之后,部署该安全终端的初始安全环境,划分安全终端的逻辑存储区域。
安全终端102可以将安全终端的存储区域划分为多个逻辑存储区域,包括:系统资源存储区、非涉密资源存储区、涉密资源存储区和临时存储区,其中,
系统资源存储区存储操作系统和应用程序代码,由安全终端102及防护服务器104提供数据还原保护;
非涉密资源存储区存储与安全终端具有相同身份标识的用户的私有非涉密数据;
涉密资源存储区作为安全终端的虚拟存储区,是私有涉密资源服务器106存储的用户的私有涉密资源在安全终端本地的映射,用于存储用户的私有涉密数据;
临时存储区临时存储各类数据,由安全终端102及防护服务器104提供数据还原保护。
350:当用户访问公共涉密资源时,公共涉密资源服务器105根据当前密级信息对用户进行访问控制,管理公共涉密资源的密级,并维护公共涉密资源的更新信息,其中公共涉密资源服务器105提供公共涉密资源的集中式存储;
当用户访问私有涉密资源时,私有涉密资源服务器106根据在线信息与当前密级信息对用户进行访问控制,其中私有涉密资源服务器106提供私有涉密资源的网络分布式存储;
安全终端102根据本地安全策略、在线信息和登录模式监控用户对所述系统的访问,网络监控设备101根据网络安全策略,监控安全终端之间以及安全终端与外网之间数据的交换和转发。
步骤350中的上述各个小步骤不区分先后顺序。
当用户访问公共涉密资源时,公共涉密资源服务器105根据当前密级信息对用户进行访问控制,比如禁止最高密级低于公共涉密资源的密级的用户,从公共涉密资源服务器105下载公共涉密资源;上传到公共涉密资源服务器的涉密资源,其密级保持不变;任何上传都不允许覆盖原文件(如存在);涉密资源只能被最高密级不低于其密级的用户下载;任何下载都不会导致原资源的删除;只有该公共涉密资源服务器的管理员有权删除公共涉密资源服务器上的资源。对于待降级的涉密资源,可由用户指定,并上传至公共涉密资源服务器的特定区域,由管理员审核后调整该资源的密级。为使对可共享涉密资源的访问行为受到有效的监督,公共涉密资源服务器维护其上所有资源的更新信息,包括上传、下载、更名、密级更改以及删除操作,以便于日后审计。
当用户访问私有涉密资源时,私有涉密资源服务器106根据在线信息与当前密级信息对用户进行访问控制。私有涉密资源服务器106包括至少一个索引服务器和至少一个数据服务器,私有涉密资源服务器106根据在线信息与当前密级信息对用户进行访问控制,具体为:索引服务器维护私有涉密资源的地址信息;数据服务器存储私有涉密资源并根据在线信息与当前密级信息对用户进行访问控制。当用户访问私有涉密资源服务器106时,私有涉密资源服务器106将在后台通过网络监控设备101向主控制服务器103请求该用户的认证信息并对该用户进行验证,如果验证通过,才向该用户提供私有涉密数据。
安全终端102根据本地安全策略、在线信息和登录模式监控用户对局域网系统的访问。如上所述,根据用户的认证信息中的用户名以及安全终端的身份标识确定用户是本地用户还是非本地用户,再结合用户选择的登录模式为非涉密模式或涉密模式,确定事实上用户的实际登录模式。根据本地安全策略、在线信息和实际登录模式对用户进行相应的访问控制。
本地安全策略包括以下至少一种:
允许未访问过涉密数据的用户自由访问非涉密资源存储区;禁止访问过涉密数据的用户写入任何信息到非涉密资源存储区;
当用户的登录模式为涉密模式时,禁止对安全终端的输入输出设备和非涉密资源存储区进行写操作;
根据用户的请求,获取公共涉密资源服务器105上的公共涉密资源并存储在临时存储区;根据用户的请求,获取私有涉密资源服务器106上的用户的私有涉密资源并存储在涉密资源存储区;
允许用户对密级不高于用户的最高密级的文件进行只读访问,并在只读访问操作之后,更新用户的当前密级;允许用户对密级不低于用户的当前密级的文件进行只写访问;允许用户对密级不高于用户的最高密级且不低于用户的当前密级的文件进行读写访问,并在读写访问操作之后,更新用户的当前密级;在用户当前密级发生改变时,将用户的当前密级信息转发给主控制服务器103。
网络监控设备101根据网络安全策略,监控安全终端102之间以及安全终端102与外网之间数据的交换和转发。具体为:
禁止信息由密级较高的安全终端流向密级较低的安全终端;
对以涉密模式登陆的用户,禁止以涉密模式登陆的用户所使用的安全终端与外网或者网络应用服务器连接。
本发明实施例的维护局域网信息安全的方法以普通PC机作为安全终端,从体系结构入手处理和解决局域网防泄密问题,具有更高的安全性和主动性。与现有技术相比,本发明实施例的主要优点是:
(1)从体系结构的角度入手解决局域网防泄密问题:现有的局域网防泄密问题的解决方案,往往关注一个或若干方面,鲜有着眼于体系结构的,因而难以应对复杂的安全问题。本发明从体系结构入手,将局域网内各实体作为该体系结构的组成部分,统筹考虑局域网防泄密问题的解决方案。该体系结构采用涉密资源的集中式存储与分布式存储相结合的方式,提高了资源访问的安全性与便捷性;并在安全终端上及局域网络中部署监控单元,有效防范了该局域网系统的涉密信息泄露。
(2)统一的多级访问控制策略:普通计算机的行为独立性使得由多机构成的局域网系统内的安全问题难以防范。采用统一的多级访问控制策略,并部署在局域网内多个实体上,由其协同实施,能有效地实现局域网系统的防泄密需求。
(3)动态物理隔离:现有的防范局域网泄密的基本策略是静态物理隔离,使内外网相互分隔,即局域网内的计算机完全无法访问外部网络,只能使用专门的计算机设备访问外网,这一方面提供了较可靠的安全性,另一方面却限制了可用性。本发明通过网络监控设备和网络安全策略,使得一旦用户访问涉密数据,即自动切断所用安全终端与外部网络的连接,实现了内外网的动态物理隔离,使得可使用同一计算机安全地访问内网与外网,提高了可用性。
本发明实施例可以利用软件与硬件相结合实现,相应的软件程序可以存储在可读取的存储介质中,例如,计算机的硬盘、缓存或光盘中;相应的硬件设备,例如动态可控交换机等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种局域网系统,其特征在于,包括:网络监控设备以及与所述网络监控设备分别相连的安全终端、主控制服务器、公共涉密资源服务器、私有涉密资源服务器和防护服务器,
所述网络监控设备,用于根据网络安全策略,监控所述安全终端之间以及所述安全终端与外网之间数据的交换和转发;
所述安全终端具有身份标识,包括:
划分模块,用于划分所述安全终端的逻辑存储区域;
认证模块,用于获取用户的身份认证信息和所述用户的登录模式;将所述身份认证信息和所述登录模式通过所述网络监控设备发送给所述主控制服务器;
本地监控模块,用于根据本地安全策略、所述用户的在线信息和所述登录模式监控所述用户对所述系统的访问;
所述主控制服务器,用于验证所述安全终端发来的所述身份认证信息,初始化所述用户的密级为最低密级并发送给所述安全终端;维护所述安全策略和所述用户的当前密级、最高密级、在线信息;将验证结果通过所述网络监控设备发送给所述安全终端;将所述用户的在线信息与当前密级信息发送给网络监控设备、公共涉密资源服务器、私有涉密资源服务器、防护服务器;
所述公共涉密资源服务器,用于提供所述系统内公共涉密资源的集中式存储,并根据所述当前密级信息对所述用户进行访问控制,管理所述公共涉密资源的密级,并维护公共涉密资源的更新信息;
所述私有涉密资源服务器,用于提供所述系统内私有涉密资源的网络分布式存储,并根据所述在线信息与当前密级信息对所述用户进行访问控制;
所述防护服务器,用于提供对所述安全终端的逻辑存储区域的数据还原保护。
2.如权利要求1所述的局域网系统,其特征在于,所述安全终端还包括存储区域,所述存储区域被所述划分模块划分为多个逻辑存储区域,包括:
系统资源存储区,用于存储操作系统和应用程序代码,由所述本地监控模块及所述防护服务器提供数据还原保护;
非涉密资源存储区,用于存储与所述安全终端具有相同身份标识的用户的私有非涉密数据;
涉密资源存储区,是所述安全终端的虚拟存储区,是所述私有涉密资源服务器存储的所述用户的私有涉密资源在所述安全终端本地的映射;
临时存储区,用于临时存储各类数据,由所述本地监控模块及所述防护服务器提供数据还原保护。
3.如权利要求2所述的局域网系统,其特征在于,所述本地监控模块包括以下单元中的至少一个:
第一单元,用于允许未访问过涉密数据的所述用户自由访问所述非涉密资源存储区;禁止访问过涉密数据的所述用户写入任何信息到所述非涉密资源存储区;
第二单元,用于当所述用户的登录模式为涉密模式时,禁止对所述安全终端的输入输出设备和所述非涉密资源存储区进行写操作;
第三单元,用于根据所述用户的请求,获取所述公共涉密资源服务器上的公共涉密资源并存储在所述临时存储区;根据所述用户的请求,获取所述私有涉密资源服务器上的所述用户的私有涉密资源并存储在所述涉密资源存储区;
第四单元,用于允许用户对密级不高于用户的最高密级的文件进行只读访问,并在所述只读访问操作之后,更新所述用户的当前密级;允许用户对密级不低于用户的当前密级的文件进行只写访问;允许用户对密级不高于用户的最高密级且不低于用户的当前密级的文件进行读写访问,并在所述读写访问操作之后,更新所述用户的当前密级;在用户当前密级发生改变时,将所述用户的当前密级信息转发给主控制服务器。
4.如权利要求1所述的局域网系统,其特征在于,所述网络监控设备具体用于,
禁止信息由当前密级较高的安全终端流向当前密级较低的安全终端,其中,所述安全终端的当前密级与所述安全终端的登录用户的当前安全密级保持一致;
对以涉密模式登录的用户,禁止所述以涉密模式登录的用户所使用的安全终端与外网连接。
5.如权利要求1所述的局域网系统,其特征在于,所述公共涉密资源服务器包括:
存储模块,用于提供所述系统内公共涉密资源的集中式存储;
密级管理模块,用于管理上传到所述公共涉密资源服务器的涉密资源的密级;
访问控制模块,用于禁止最高密级低于公共涉密资源的密级的用户,从所述公共涉密资源服务器下载所述公共涉密资源;
维护模块,用于维护公共涉密资源的更新信息,所述更新信息包括资源上传、下载、删除、更名、密级更改。
6.如权利要求1所述的局域网系统,其特征在于,所述私有涉密资源服务器包括:至少一个索引服务器和至少一个数据服务器,
所述索引服务器,用于维护私有涉密资源的地址信息;
所述数据服务器,用于存储私有涉密资源的数据,并根据所述在线信息与当前密级信息对所述用户进行访问控制。
7.如权利要求1所述的局域网系统,其特征在于,所述系统还包括与所述网络监控设备相连的网络应用服务器,用于为局域网系统提供网络打印服务或邮件转发服务。
8.一种维护局域网信息安全的方法,其特征在于,包括以下步骤:
安全终端将用户输入的认证信息和登录模式转发给主控制服务器;
所述主控制服务器根据所述认证信息验证所述用户的身份,所述用户如果验证通过:
所述主控制服务器更新所述用户的在线信息;所述主控制服务器根据所述登录模式、所述认证信息以及所述安全终端的身份标识确定对所述用户执行的本地安全策略和网络安全策略,将所述本地安全策略发送给所述安全终端,并将所述网络安全策略发送给所述网络监控设备;初始化所述用户的密级为最低密级并发送给所述安全终端;维护所述本地安全策略、网络安全策略和所述用户的当前密级、最高密级、在线信息;将所述用户的在线信息与当前密级信息发送给网络监控设备、公共涉密资源服务器、私有涉密资源服务器、防护服务器;
所述安全终端划分所述安全终端的逻辑存储区域,所述逻辑存储区域由防护服务器提供数据还原保护;
当所述用户访问公共涉密资源时,所述公共涉密资源服务器根据所述当前密级信息对所述用户进行访问控制,管理所述公共涉密资源的密级,并维护公共涉密资源的更新信息,其中所述公共涉密资源服务器提供公共涉密资源的集中式存储;
当所述用户访问私有涉密资源时,所述私有涉密资源服务器根据所述在线信息与当前密级信息对所述用户进行访问控制,其中所述私有涉密资源服务器提供私有涉密资源的网络分布式存储;
所述安全终端根据所述本地安全策略、所述在线信息和所述登录模式监控所述用户对所述系统的访问;所述网络监控设备根据所述网络安全策略,监控所述安全终端之间以及所述安全终端与外网之间数据的交换和转发。
9.如权利要求8所述的维护局域网信息安全的方法,其特征在于,
所述在线信息包括:所述用户的登录时间、所述用户当前使用的安全终端的身份标识和网络地址。
10.如权利要求8所述的维护局域网信息安全的方法,其特征在于,所述安全终端划分所述安全终端的逻辑存储区域,所述逻辑存储区域由防护服务器提供数据还原保护,包括:
所述安全终端将所述安全终端的存储区域划分为多个逻辑存储区域,所述多个逻辑存储区域包括:系统资源存储区、非涉密资源存储区、涉密资源存储区和临时存储区,其中,
所述系统资源存储区存储操作系统和应用程序代码,由所述安全终端及所述防护服务器提供数据还原保护;
所述非涉密资源存储区存储与所述安全终端具有相同身份标识的用户的私有非涉密数据;
所述涉密资源存储区作为所述安全终端的虚拟存储区,是所述私有涉密资源服务器存储的所述用户的私有涉密资源在所述安全终端本地的映射,用于存储所述用户的私有涉密数据;
所述临时存储区临时存储各类数据,由所述本地监控模块及所述防护服务器提供数据还原保护。
11.如权利要求8所述的维护局域网信息安全的方法,其特征在于,所述公共涉密资源服务器根据所述当前密级信息对所述用户进行访问控制,管理所述公共涉密资源的密级,具体为:
管理上传到所述公共涉密资源服务器的涉密资源的密级;禁止最高密级低于公共涉密资源的密级的用户,从所述公共涉密资源服务器下载所述公共涉密资源。
12.如权利要求10所述的维护局域网信息安全的方法,其特征在于,所述本地安全策略包括以下至少一种:
允许未访问过涉密数据的所述用户自由访问所述非涉密资源存储区;禁止访问过涉密数据的所述用户写入任何信息到所述非涉密资源存储区;
当所述用户的登录模式为涉密模式时,禁止对所述安全终端的输入输出设备和所述非涉密资源存储区进行写操作;
根据所述用户的请求,获取所述公共涉密资源服务器上的公共涉密资源并存储在所述临时存储区;根据所述用户的请求,获取所述私有涉密资源服务器上的所述用户的私有涉密资源并存储在所述涉密资源存储区;
允许用户对密级不高于用户的最高密级的文件进行只读访问,并在所述只读访问操作之后,更新所述用户的当前密级;允许用户对密级不低于用户的当前密级的文件进行只写访问;允许用户对密级不高于用户的最高密级且不低于用户的当前密级的文件进行读写访问,并在所述读写访问操作之后,更新所述用户的当前密级;在用户当前密级发生改变时,将所述用户的当前密级信息转发给主控制服务器。
13.如权利要求8所述的维护局域网信息安全的方法,其特征在于,所述私有涉密资源服务器包括至少一个索引服务器和至少一个数据服务器,所述私有涉密资源服务器根据所述在线信息与当前密级信息对所述用户进行访问控制,具体为:
所述索引服务器维护私有涉密资源的地址信息;所述数据服务器存储私有涉密资源的数据并根据所述在线信息与当前密级信息对所述用户进行访问控制。
14.如权利要求8所述的维护局域网信息安全的方法,其特征在于,根据所述网络安全策略,监控所述安全终端之间以及所述安全终端与外网之间数据的交换和转发,具体为:
禁止信息由密级较高的安全终端流向密级较低的安全终端;
对以涉密模式登陆的用户,禁止所述以涉密模式登陆的用户所使用的安全终端与外网连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100886577A CN101594360B (zh) | 2009-07-07 | 2009-07-07 | 局域网系统和维护局域网信息安全的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100886577A CN101594360B (zh) | 2009-07-07 | 2009-07-07 | 局域网系统和维护局域网信息安全的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101594360A true CN101594360A (zh) | 2009-12-02 |
| CN101594360B CN101594360B (zh) | 2012-07-25 |
Family
ID=41408802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100886577A Expired - Fee Related CN101594360B (zh) | 2009-07-07 | 2009-07-07 | 局域网系统和维护局域网信息安全的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101594360B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827101A (zh) * | 2010-04-20 | 2010-09-08 | 中国人民解放军理工大学指挥自动化学院 | 基于可信隔离运行环境的信息资产保护方法 |
| CN102185867A (zh) * | 2011-05-19 | 2011-09-14 | 苏州九州安华信息安全技术有限公司 | 一种实现网络安全的方法和一种星形网络 |
| CN102227116A (zh) * | 2011-06-14 | 2011-10-26 | 苏州九州安华信息安全技术有限公司 | 一种安全的局域网管理方法和一种局域网 |
| CN102299834A (zh) * | 2011-09-07 | 2011-12-28 | 中国联合网络通信集团有限公司 | 局域网数据共享方法、设备及系统 |
| CN102438022A (zh) * | 2011-12-28 | 2012-05-02 | 华为技术有限公司 | 一种登录服务器系统的方法、装置及系统 |
| CN102724175A (zh) * | 2011-08-26 | 2012-10-10 | 北京天地互连信息技术有限公司 | 泛在绿色社区控制网络的远程通信安全管理架构与方法 |
| CN104796412A (zh) * | 2014-04-06 | 2015-07-22 | 惠州Tcl移动通信有限公司 | 端到端云服务系统及对其敏感数据的访问方法 |
| CN107749862A (zh) * | 2017-11-23 | 2018-03-02 | 爱国者安全科技(北京)有限公司 | 一种数据加密集中存储方法、服务器、用户终端及系统 |
| CN109302446A (zh) * | 2018-08-15 | 2019-02-01 | 广州市保伦电子有限公司 | 跨平台访问方法、装置、电子设备及存储介质 |
| CN109618344A (zh) * | 2019-01-25 | 2019-04-12 | 刘美连 | 一种无线监控设备的安全连接方法及装置 |
| CN110232068A (zh) * | 2019-06-14 | 2019-09-13 | 中国工商银行股份有限公司 | 数据共享方法及装置 |
| CN110781507A (zh) * | 2019-10-21 | 2020-02-11 | 中广核工程有限公司 | 文件权限控制方法、装置、计算机设备及存储介质 |
| CN111030982A (zh) * | 2019-09-26 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种针对涉密文件的强管控方法、系统及存储介质 |
| CN113836577A (zh) * | 2021-09-09 | 2021-12-24 | 武汉市风奥科技股份有限公司 | 一种涉密计算机的内外网访问控制方法及访问控制系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100539499C (zh) * | 2006-06-02 | 2009-09-09 | 清华大学 | 一种安全的星形局域网计算机系统 |
| CN101382919A (zh) * | 2007-09-05 | 2009-03-11 | 北京明朝万达科技有限公司 | 一种基于身份的存储数据隔离方法 |
-
2009
- 2009-07-07 CN CN2009100886577A patent/CN101594360B/zh not_active Expired - Fee Related
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827101A (zh) * | 2010-04-20 | 2010-09-08 | 中国人民解放军理工大学指挥自动化学院 | 基于可信隔离运行环境的信息资产保护方法 |
| CN102185867A (zh) * | 2011-05-19 | 2011-09-14 | 苏州九州安华信息安全技术有限公司 | 一种实现网络安全的方法和一种星形网络 |
| CN102227116A (zh) * | 2011-06-14 | 2011-10-26 | 苏州九州安华信息安全技术有限公司 | 一种安全的局域网管理方法和一种局域网 |
| CN102227116B (zh) * | 2011-06-14 | 2014-04-23 | 苏州九州安华信息安全技术有限公司 | 一种安全的局域网管理方法和一种局域网 |
| CN102724175A (zh) * | 2011-08-26 | 2012-10-10 | 北京天地互连信息技术有限公司 | 泛在绿色社区控制网络的远程通信安全管理架构与方法 |
| CN102299834A (zh) * | 2011-09-07 | 2011-12-28 | 中国联合网络通信集团有限公司 | 局域网数据共享方法、设备及系统 |
| CN102438022A (zh) * | 2011-12-28 | 2012-05-02 | 华为技术有限公司 | 一种登录服务器系统的方法、装置及系统 |
| CN104796412A (zh) * | 2014-04-06 | 2015-07-22 | 惠州Tcl移动通信有限公司 | 端到端云服务系统及对其敏感数据的访问方法 |
| CN104796412B (zh) * | 2014-04-06 | 2018-08-17 | 惠州Tcl移动通信有限公司 | 端到端云服务系统及对其敏感数据的访问方法 |
| CN107749862A (zh) * | 2017-11-23 | 2018-03-02 | 爱国者安全科技(北京)有限公司 | 一种数据加密集中存储方法、服务器、用户终端及系统 |
| CN109302446A (zh) * | 2018-08-15 | 2019-02-01 | 广州市保伦电子有限公司 | 跨平台访问方法、装置、电子设备及存储介质 |
| CN109302446B (zh) * | 2018-08-15 | 2022-10-25 | 广州市保伦电子有限公司 | 跨平台访问方法、装置、电子设备及存储介质 |
| CN109618344A (zh) * | 2019-01-25 | 2019-04-12 | 刘美连 | 一种无线监控设备的安全连接方法及装置 |
| CN109618344B (zh) * | 2019-01-25 | 2020-06-23 | 广东省恒博信息有限公司 | 一种无线监控设备的安全连接方法及装置 |
| CN110232068A (zh) * | 2019-06-14 | 2019-09-13 | 中国工商银行股份有限公司 | 数据共享方法及装置 |
| CN110232068B (zh) * | 2019-06-14 | 2022-04-05 | 中国工商银行股份有限公司 | 数据共享方法及装置 |
| CN111030982A (zh) * | 2019-09-26 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种针对涉密文件的强管控方法、系统及存储介质 |
| CN111030982B (zh) * | 2019-09-26 | 2023-06-02 | 北京安天网络安全技术有限公司 | 一种针对涉密文件的强管控方法、系统及存储介质 |
| CN110781507A (zh) * | 2019-10-21 | 2020-02-11 | 中广核工程有限公司 | 文件权限控制方法、装置、计算机设备及存储介质 |
| CN113836577A (zh) * | 2021-09-09 | 2021-12-24 | 武汉市风奥科技股份有限公司 | 一种涉密计算机的内外网访问控制方法及访问控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101594360B (zh) | 2012-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101594360B (zh) | 局域网系统和维护局域网信息安全的方法 | |
| CN111709056B (zh) | 基于区块链的数据共享方法及系统 | |
| US8769605B2 (en) | System and method for dynamically enforcing security policies on electronic files | |
| EP1977364B1 (en) | Securing data in a networked environment | |
| CN111726353A (zh) | 基于数控系统的敏感数据分级保护方法及分级保护系统 | |
| US8782782B1 (en) | Computer system with risk-based assessment and protection against harmful user activity | |
| CN104063756A (zh) | 远程用电信息控制系统 | |
| CN112653689B (zh) | 一种终端零信任安全控制方法及系统 | |
| CN101827101A (zh) | 基于可信隔离运行环境的信息资产保护方法 | |
| Plachkinova et al. | Emerging trends in smart home security, privacy, and digital forensics | |
| CN102034052A (zh) | 基于三权分立的操作系统体系结构及实现方法 | |
| CN101411163A (zh) | 跟踪网格系统中的安全执行的系统和方法 | |
| CN102307114A (zh) | 一种网络的管理方法 | |
| CN114003943B (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN104102595A (zh) | 一种高保密可移动存储设备 | |
| CN115314286A (zh) | 一种安全保障系统 | |
| CN102546522A (zh) | 一种内网安全系统及其实现方法 | |
| CN112583586A (zh) | 一种网络安全信息处理系统 | |
| Lee et al. | Assessment of the Distributed Ledger Technology for Energy Sector Industrial and Operational Applications Using the MITRE ATT&CK® ICS Matrix | |
| CN111488597A (zh) | 一种适用于跨网络安全区域的安全审计系统 | |
| CN110221991B (zh) | 计算机外围设备的管控方法及系统 | |
| CN103841050B (zh) | 一种核电站模拟机的局域网准入控制方法和系统 | |
| CN201805447U (zh) | 一种内网电子信息管理平台系统 | |
| Ke et al. | Towards evolving security requirements of industrial internet: a layered security architecture solution based on data transfer techniques | |
| CN109995735A (zh) | 下载和使用方法、服务器、客户端、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: WUXI APPLICATION TECHNOLOGY RESEARCH INSTITUTE OF Free format text: FORMER OWNER: TSINGHUA UNIVERSITY Effective date: 20131126 Owner name: TSINGHUA UNIVERSITY Effective date: 20131126 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100084 HAIDIAN, BEIJING TO: 214072 WUXI, JIANGSU PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20131126 Address after: 214072 Jiangsu Province Road DiCui Binhu District of Wuxi City No. 100, No. 1 building, 530 floor 12 Patentee after: WUXI RESEARCH INSTITUTE OF APPLIED TECHNOLOGIES, TSINGHUA UNIVERSITY Patentee after: Tsinghua University Address before: 100084 Haidian District Tsinghua Yuan Beijing No. 1 Patentee before: Tsinghua University |
|
| DD01 | Delivery of document by public notice |
Addressee: WUXI RESEARCH INSTITUTE OF APPLIED TECHNOLOGIES, TSINGHUA UNIVERSITY Document name: Notification to Pay the Fees |
|
| DD01 | Delivery of document by public notice |
Addressee: WUXI RESEARCH INSTITUTE OF APPLIED TECHNOLOGIES, TSINGHUA UNIVERSITY Document name: Notification of Termination of Patent Right |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120725 Termination date: 20150707 |
|
| EXPY | Termination of patent right or utility model |