CN102752318A - 一种基于互联网的信息安全验证方法和系统 - Google Patents
一种基于互联网的信息安全验证方法和系统 Download PDFInfo
- Publication number
- CN102752318A CN102752318A CN2012102670846A CN201210267084A CN102752318A CN 102752318 A CN102752318 A CN 102752318A CN 2012102670846 A CN2012102670846 A CN 2012102670846A CN 201210267084 A CN201210267084 A CN 201210267084A CN 102752318 A CN102752318 A CN 102752318A
- Authority
- CN
- China
- Prior art keywords
- data
- information
- verified
- level
- verify
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种基于互联网的信息安全验证方法和系统,所述信息处理及发布系统包括:具备层级分布结构的服务器和信息交互接口;各层级中的服务器包括:管理子系统、安全防护系统和核查系统,包括:根据信息安全验证请求采集对应信息及发布系统数据;根据所述信息安全验证请求的处理类型由所述管理子系统控制,利用本地的安全防护系统分别对所述本地的和下一层级的信息及发布终端软硬件参数进行检查与修复,和/或,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查;将得到的对应检查与修复结果进行记录,和/或,发送至本层级联网服务器和下一层级中的服务器。实现软硬件参数检查与修复以及信息及发布系统数据的核查。
Description
技术领域
本发明涉及基于互联网的信息安全验证技术领域,更具体地说,涉及一种基于互联网的信息安全验证方法和系统。
背景技术
随着信息技术的快速发展,以互联网为依托的信息处理及发布系统已经成为消息发布或沟通的办公手段之一。如信息及发布系统就是以互联网为基础的进务办公的处理系统,以该系统场景为例,现有信息处理及发布系统的功能包括处理、公众沟通互动数据处理等,由于所述信息及发布建设的普及与发展,所述处理数据或公众沟通互动数据的激增,以及网络设备及和终端设备的数量膨胀,上述数据的输入、输出、编辑和修改的安全性是保证信息及发布系统数据正常处理的保证。
现有的基于互联网的信息处理及发布中面临的安全问题往往是在信息处理及发布系统出现漏洞和补丁的情况下,出现恶意软件入侵时才进行有针对性的修复,并且缺乏对用户信息,用户输入信息和公开信息进行有效核查而在出现敏感信息公布的情况。
故而,现有的基于互联网的信息处理及发布方法和系统存在系统软硬件提前修复能力不足、不能对通讯内容有效核查,以及现有的用户登陆或访问口令简单而造成数据安全性低的技术问题。
发明内容
有鉴于此,本发明提供一种基于互联网的信息安全验证方法和系统,以实现对信息处理及发布系统软硬件提前修复和对通讯内容有效核查的技术效果。
一种基于互联网的信息安全验证方法,应用于信息处理及发布系统,所述信息处理及发布系统包括:具备层级分布结构的服务器和信息交互接口;
各层级中的服务器包括:管理子系统、安全防护系统和核查系统,所述方法包括:
根据信息安全验证请求采集对应信息及发布系统数据,信息安全验证请求可包括:本地信息及发布系统数据和通过信息交互接口接收所述下一层级中信息及发布系统数据,所述本地信息及发布系统数据包括本地和本层级联网服务器信息及发布终端软硬件参数和第一待核查数据,所述第一待核查数据包括本地和本层级联网服务器数据库数据;所述下一层级中信息及发布系统数据包括下一层级信息及发布终端软硬件参数和第二待核查数据,所述第二待核查数据包括下一层级数据库数据和层级间交互信息;
根据所述信息安全验证请求的处理类型由所述管理子系统控制,利用本地的安全防护系统分别对所述本地的和下一层级的信息及发布终端软硬件参数进行检查与修复,和/或,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查;
将得到的本地对应检查与修复结果,以及核查结果进行记录;
将得到的下一级层级检查与修复结果,以及核查结果发送至本层级联网服务器和下一层级中的服务器。
为了完善上述方案:
所述安全防护系统包括终端安全配置核查子系统;
所述核查系统包括终端敏感信息核查子系统和分域控制子系统。
利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
所述终端敏感信息核查子系统采用D-S证据理论算法对所述第一待测核查数据和所述第二待核查数据进行敏感匹配分析;
以及采用基于交换分区的深度核查算法对所述第二待核查数据进行深度检测。
为了完善上述方案:
所述分域控制子系统包括:分域部署核查模块、分域存储核查模块和透明数据获取模块;
针对分域部署核查模块,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
分别提取所述第一待核查数据与所述第二待核查数据部署地址字段和资源信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第一对应列表;
利用特征字库对所述资源信息字段进行识别处理,当识别成功时并在所述第一对应列表中匹配所述资源信息字段。
为了完善上述方案:
针对分域存储核查模块,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
分别提取所述第一待核查数据与所述第二待核查数据存储地址字段和存储信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第二对应列表;
利用特征字库对核查数据存储地址字段和存储信息字段进行识别处理,当识别成功时并在所述第二对应列表中匹配所述存储信息字段。
为了完善上述方案:
针对透明数据获取模块,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
截获所述第一待核查数据中的本层级联网服务器数据库数据和所述第二待核查数据中的层级间交互信息;
利用Iptables防火墙处理规则,将所述本层级联网服务器数据库数据和所述层级间交互信息的目的端口号重置为预设端口号;
在所述预设端口下对所述本层级联网服务器数据库数据和所述层级间交互信息进行监听。
为了完善上述方案:
所述核查系统还包括:所述分类防护子系统,用于对用户身份的核查,包括:
接收用户特征标识判断用户操作类型并划分用户身份等级;
针对访问用户分配临时安全标识,在接收用户输入的安全标识与所述临时安全标识匹配时,开放访问;
在接收到登录普通用户正确用户名和登录口令时,响应登录;
在接收到登录重要用户usb-key认证通过时,响应登录。
一种基于互联网的信息安全验证系统,
具备层级分布结构的服务器和信息交互接口;
各层级中的服务器包括:管理子系统、安全防护系统和核查系统;
所述管理子系统采集信息及发布系统数据,所述信息及发布系统数据包括本地信息及发布系统数据和通过信息交互接口接收所述下一层级中信息及发布系统数据,所述本地信息及发布系统数据包括本地和本层级联网服务器信息及发布终端软硬件参数和第一待核查数据,所述第一待核查数据包括本地和本层级联网服务器数据库数据;所述下一层级中信息及发布系统数据包括下一层级信息及发布终端软硬件参数和第二待核查数据,所述第二待核查数据包括下一层级数据库数据和层级间交互信息;
由所述管理子系统控制,利用本地的安全防护系统分别对所述本地的和下一层级的信息及发布终端软硬件参数进行检查与修复,以及,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查;
所述管理子系统将得到的本地对应检查与修复结果,以及核查结果进行记录;
以及,将得到的下一级层级检查与修复结果,以及核查结果通过所述信息交互接口发送至本层级联网服务器和下一层级中的服务器。
为了完善上述方案:
所述安全防护系统包括终端安全配置核查子系统;
所述核查系统包括终端敏感信息核查子系统和分域控制子系统。
利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
所述终端敏感信息核查子系统采用D-S证据理论算法对与所述服务器对应的数据库数据和第二待核查数据进行敏感匹配分析;
以及采用基于交换分区的深度核查算法对所述第二待核查数据进行深度检测。
为了完善上述方案:
所述分域控制子系统包括:分域部署核查模块、分域存储核查模块和透明数据获取模块:
所述分域部署核查模块用于:
分别提取所述第一待核查数据与所述第二待核查数据部署地址字段和资源信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第一对应列表;
利用特征字库对所述资源信息字段进行识别处理,当识别成功时并在所述第一对应列表中匹配所述资源信息字段。
为了完善上述方案:
所述分域存储核查模块用于:
分别提取所述第一待核查数据与所述第二待核查数据存储地址字段和存储信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第二对应列表;
利用特征字库对核查数据存储地址字段和存储信息字段进行识别处理,当识别成功时并在所述第二对应列表中匹配所述存储信息字段。
为了完善上述方案:
所述透明数据获取模块用于:
截获所述第一待核查数据中的本层级联网服务器数据库数据和所述第二待核查数据中的层级间交互信息;
利用Iptables防火墙处理规则,将所述本层级联网服务器数据库数据和所述层级间交互信息的目的端口号重置为预设端口号;
在所述预设端口下对所述本层级联网服务器数据库数据和所述层级间交互信息进行监听。
为了完善上述方案:
所述核查系统还包括:所述分类防护子系统,用于对用户身份的核查,包括:
接收用户特征标识判断用户操作类型并划分用户身份等级;
针对访问用户分配临时安全标识,在接收用户输入的安全标识与所述临时安全标识匹配时,开放访问;
在接收到登录普通用户正确用户名和登录口令时,响应登录;
在接收到登录重要用户usb-key认证通过时,响应登录。
从上述的技术方案可以看出,本发明实施例在基于对信息及发布的数据处理场景下,将采集的本地、本层级联网服务器和下一层级中信息及发布系统数据对应的软硬件参数进行检查与修复,并利用适应的子系统中的工具对待核查数据进行针对性核查,实现了对本层级信息及发布系统数据的处理和对下一层级的信息及发布系统数据的监控,另外,本发明实施例还针对不同类型和等级的用户采取不同允许登入的形式,克服了现有的基于互联网的信息安全验证方法和系统存在系统软硬件提前修复能力不足、不能对通讯内容有效核查的技术问题和现有的用户登陆或访问口令简单而造成数据安全性低。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的基于互联网的信息安全验证方法流程图;
图2a为本发明实施例公开的基于互联网的信息安全验证方法中D-S证据理论算法流程图;
图2b为本发明实施例公开的基于交换分区的深度核查算法流程图;
图3为本发明实施例公开的又一种基于互联网的信息安全验证方法流程图;
图4为本发明实施例公开的又一种基于互联网的信息安全验证方法流程图;
图5为本发明实施例公开的又一种基于互联网的信息安全验证方法流程图;
图6为本发明实施例公开的一种基于互联网的信息安全验证系统结构示意图;
图7为本发明实施例公开的又一种基于互联网的信息安全验证系统结构示意图;
图8为本发明实施例公开的又一种基于互联网的信息安全验证系统结构示意图;
图9为本发明实施例公开的又一种基于互联网的信息安全验证系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于互联网的信息安全验证方法和系统,以实现对信息处理及发布系统软硬件提前修复和对通讯内容有效核查的技术效果。
图1示出了一种基于互联网的信息安全验证方法,包括:
该方法应用于信息处理及发布系统,所述信息处理及发布系统包括:具备层级分布结构的服务器和信息交互接口;各层级中的服务器包括:管理子系统、安全防护系统和核查系统:
需要指出的是:本基于互联网的信息安全验证方法特别适用于具备级联架构的信息处理及发布系统,如电子政务系统,所述服务器采用级联部署模式,一级可位于市级园区网,二级可位于区县园区网(可参见图6-9),其中信息处理及发布系统服务器部署于中心机房安全管理区。交互接口可包括路由器、核心交换机、VPN、防火墙等。
需要说明的是,所述方法还可应用于其他信息处理及发布系统,各个信息处理及发布系统中存在有级联部署架构或只有一级部署架构时,下一层级具体为与本地或本层安全验证服务器交互、接收本地或本层安全验证服务器安全验证结果的其他服务器。
步骤11:根据信息安全验证请求采集信息及发布系统数据;
所述信息及发布系统数据包括本地信息及发布系统数据和通过信息交互接口接收所述下一层级中信息及发布系统数据;
所述本地信息及发布系统数据包括本地和本层级联网服务器信息及发布终端软硬件参数和第一待核查数据,所述第一待核查数据包括本地和本层级联网服务器数据库数据;
所述下一层级中信息及发布系统数据包括下一层级信息及发布终端软硬件参数和第二待核查数据,所述第二待核查数据包括下一层级数据库数据和层级间交互信息;
步骤12:根据所述信息安全验证请求的处理类型由所述管理子系统控制,利用本地的安全防护系统分别对所述本地的和下一层级的信息及发布终端软硬件参数进行检查与修复;
步骤13:利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查;
所述安全防护系统包括终端安全配置核查子系统,所述终端安全配置核查子系统的结构包含核查任务管理、核查结果分析、安全加固、整改通知、本地核查管理、日志审计、终端核查代理等。核查任务管理模块中核查内容包括:Windows终端的安全配置,服务配置,端口状态,系统补丁与防护软件安装情况,主机基本信息等。核查结果分析模块包括单任务分析、区域结果分析、项目对比分析、阶段分析等。安全加固和整改通知模块是根据核查分析结果下发整改通知,终端代理收到整改通知后自动进行安全配置一键加固。终端核查代理模块既能实时监测本地终端敏感信息情况,又能按照WEB管理平台设定的规则对终端进行定期核查,并将核查结果上报服务器。
所述核查系统包括终端敏感信息核查子系统和分域控制子系统。
步骤14:将得到的本地对应检查与修复结果,以及核查结果进行记录;
记录形式可通过日志形式实现,并通过共享接口实现写入和日志读取等操作。
将得到的下一级层级检查与修复结果,以及核查结果发送至本层级联网服务器和下一层级中的服务器。
图2a-图2b示出了又一种基于互联网的信息安全验证方法,包括:
针对上述步骤13利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查,本说明书实施例在针对第一核查数据和第二待核查数据核查过程中采用了多种适应系统及工具的核查,图2所示为所述核查系统的终端敏感信息核查子系统的核查流程,包括:
所述终端敏感信息核查子系统采用D-S证据理论算法对所述第一待测核查数据和所述第二待核查数据进行敏感匹配分析;
该D-S证据理论算法在该核查场景下具体为,如图2a所示:
步骤211:对待检测的文档对象使用lucene进行内容索引;
lucene是一个用Java写的全文索引引擎工具包,它可以方便的嵌入到各种应用中实现针对应用的全文索引/检索功能。
步骤212:对待检测的文档中包含的敏感词赋以权重,得到敏感词待融合处理结果;
步骤213:使用D-S证据理论上述待融合处理结果进行融合,得到文档敏感值;
步骤214:根据融合后的文档的敏感值进行排序;
步骤215:将大于敏感阈值的文件名及文件路径进行记录。
如图2b所示:采用基于交换分区的深度核查算法对所述第二待核查数据进行深度检测,该算法考虑了对硬盘的扇区中的文件核查,下面以本发明主要从FAT32文档系统来进行说明:
其中,对于FAT32的文档系统,具体如下:
步骤221:读取BPB表获取扇区信息;
所述扇区信息包括:扇区、字节数、簇扇区数、保留扇区数、隐藏扇区数、FAT表长度。
步骤222:根据所述扇区信息计算FDT的起始簇号。
步骤223:查找所述FDT起始簇号对应的FDT的起始位置,并逐个将pagefile.sys字符串与FDT目录项的文件名字段进行匹配;
步骤224:搜索pagefile.sys文件的目录项,得出pagefile.sys的起始簇号和文件大小。
步骤225:根据所述pagefile.sys的起始位置及文件大小计算出pagefile.sys文件数据区起始扇区号后对扇区文件数据进行核查。
图3示出了又一种基于互联网的信息安全验证方法,包括:
针对分域存储核查模块,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
步骤31:分别提取所述第一待核查数据与所述第二待核查数据存储地址字段和存储信息字段;
步骤32:构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第二对应列表;
步骤33:利用特征字库对核查数据存储地址字段和存储信息字段进行识别处理,当识别成功时并在所述第二对应列表中匹配所述存储信息字段。
图4示出了又一种基于互联网的信息安全验证方法,包括:
针对透明数据获取模块,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
步骤41:截获所述第一待核查数据中的本层级联网服务器数据库数据和所述第二待核查数据中的层级间交互信息;
步骤42:利用Iptables防火墙处理规则,将所述本层级联网服务器数据库数据和所述层级间交互信息的目的端口号重置为预设端口号;
步骤43:在所述预设端口下对所述本层级联网服务器数据库数据和所述层级间交互信息进行监听。
图5示出了又一种基于互联网的信息安全验证方法,包括:
本发明的实施例还包含了针对用户身份核查的分类防护子系统,在对信息处理及发布系统进行查阅或更新时,需要对登陆用户身份进行核查的发明内容,包括:
步骤51:接收用户特征标识判断用户操作类型并划分用户身份等级;
在用户进行访问或登陆前,需要交互界面下发送获取数据的包含有特征标识的请求或登陆特征标识。
若操作类型为访问类型:
步骤521:从所述请求数据中提取特征字段,将所述特征字段与特征字库进行匹配并检索,提取所述特征字库中针对该特征字段的唯一标识ID;
步骤522:调用用户关联列表,当唯一标识ID与用户关联列表进行查询比较,若查询失败则该用户为访问用户,进行步骤523;若查询成功,则进行步骤524;
步骤523:分配临时安全标识,在接收用户输入的安全标识与所述临时安全标识匹配时,开放访问;
步骤524:提取临时列表中的信息,将用户的身份信息和安全标识信息进行匹配,开放访问;
上述实现形式,实现了基于访问信息的用户身份快速识别。
若操作类型为发送信息类型,提取用户登录信息;
步骤531:判断用户登录信息为普通登录类型时,则将用户登陆信息中用户标识与用户关联列表进行查找比对,若匹配成功,进行步骤532;
步骤532:在接收到登录普通用户正确用户名和登录口令时,响应登录;
步骤541:判断用户登陆信息为usb-key证书登陆类型,解析所述证书当前指令进行动态认证;
步骤542:在接收到登录重要用户usb-key认证通过时,响应登录。
本发明实施例还针对不同类型和等级的用户采取不同允许登入的形式,制约了用户不合理及不规范操作所造成的数据安全受到威胁情况的发生。
图6示出了一种基于互联网的信息安全验证系统,包括:
具备层级分布结构的服务器1和信息交互接口11;
各层级中的服务器包括:管理子系统21、安全防护系统22和核查系统23;
所述管理子系统21采集信息及发布系统数据:
所述信息及发布系统数据包括本地信息及发布系统数据和通过信息交互接口2接收所述下一层级中信息及发布系统数据;
所述本地信息及发布系统数据包括本地和本层级联网服务器信息及发布终端软硬件参数和第一待核查数据,所述第一待核查数据包括本地和本层级联网服务器数据库数据;
所述下一层级中信息及发布系统数据包括下一层级信息及发布终端软硬件参数和第二待核查数据,所述第二待核查数据包括下一层级数据库数据和层级间交互信息;
由所述管理子系统21控制,利用本地的安全防护系统22分别对所述本地的和下一层级的信息及发布终端软硬件参数进行检查与修复,以及,利用本地的核查系统23分别对第一待核查数据和第二待核查数据进行核查;
所述管理子系统21将得到的本地对应检查与修复结果,以及核查结果进行记录;
以及,将得到的下一级层级检查与修复结果,以及核查结果通过所述信息交互接口11发送至本层级联网服务器和下一层级中的服务器。
如图7中又一种基于互联网的信息安全验证系统所示:
所述安全防护系统22包括终端安全配置核查子系统221;
所述核查系统23包括终端敏感信息核查子系统231和分域控制子系统232。
所述终端敏感信息核查子系统231采用D-S证据理论算法对与所述服务器对应的数据库数据和第二待核查数据进行敏感匹配分析;
以及采用基于交换分区的深度核查算法对所述第二待核查数据进行深度检测。
如图8中又一种基于互联网的信息安全验证系统所示:
所述分域控制子系统232包括:分域部署核查模块2321、分域存储核查模块2322和透明数据获取模块2323:
所述分域部署核查模块2321用于:
分别提取所述第一待核查数据与所述第二待核查数据部署地址字段和资源信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第一对应列表;
利用特征字库对所述资源信息字段进行识别处理,当识别成功时并在所述第一对应列表中匹配所述资源信息字段。
所述分域存储核查模块2322用于:
分别提取所述第一待核查数据与所述第二待核查数据存储地址字段和存储信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第二对应列表;
利用特征字库对核查数据存储地址字段和存储信息字段进行识别处理,当识别成功时并在所述第二对应列表中匹配所述存储信息字段。
所述透明数据获取模块2323用于:
截获所述第一待核查数据中的本层级联网服务器数据库数据和所述第二待核查数据中的层级间交互信息;
利用Iptables防火墙处理规则,将所述本层级联网服务器数据库数据和所述层级间交互信息的目的端口号重置为预设端口号;
在所述预设端口下对所述本层级联网服务器数据库数据和所述层级间交互信息进行监听。
如图9所示又一种基于互联网的信息安全验证系统:
所述核查系统23还包括:所述分类防护子系统233,用于对用户身份的核查,包括:
接收用户特征标识判断用户操作类型并划分用户身份等级;
针对访问用户分配临时安全标识,在接收用户输入的安全标识与所述临时安全标识匹配时,开放访问;
在接收到登录普通用户正确用户名和登录口令时,响应登录;
在接收到登录重要用户usb-key认证通过时,响应登录。
分域控制子系统232和分类防护子系统233引擎直接接入网络中的核心交换机。
对于系统实施例而言,由于其基本相应于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
综上所述:
本发明实施例在基于对信息及发布的数据处理场景下,将采集的本地、本层级联网服务器和下一层级中信息及发布系统数据对应的软硬件参数进行检查与修复,并利用适应的子系统中的工具对待核查数据进行针对性核查,实现了对本层级信息及发布系统数据的处理和对下一层级的信息及发布系统数据的监控,另外,本发明实施例还针对不同类型和等级的用户采取不同允许登入的形式,克服了现有的基于互联网的信息安全验证方法和系统存在系统软硬件提前修复能力不足、不能对通讯内容有效核查的技术问题和现有的用户登陆或访问口令简单而造成数据安全性低。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明实施例的精神或范围的情况下,在其它实施例中实现。因此,本发明实施例将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种基于互联网的信息安全验证方法,其特征在于,应用于信息处理及发布系统,所述信息处理及发布系统包括:具备层级分布结构的服务器和信息交互接口;
各层级中的服务器包括:管理子系统、安全防护系统和核查系统,所述方法包括:
根据信息安全验证请求采集对应信息及发布系统数据,信息安全验证请求可包括:本地信息及发布系统数据和通过信息交互接口接收所述下一层级中信息及发布系统数据,所述本地信息及发布系统数据包括本地和本层级联网服务器信息及发布终端软硬件参数和第一待核查数据,所述第一待核查数据包括本地和本层级联网服务器数据库数据;所述下一层级中信息及发布系统数据包括下一层级信息及发布终端软硬件参数和第二待核查数据,所述第二待核查数据包括下一层级数据库数据和层级间交互信息;
根据所述信息安全验证请求的处理类型由所述管理子系统控制,利用本地的安全防护系统分别对所述本地的和下一层级的信息及发布终端软硬件参数进行检查与修复,和/或,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查;
将得到的本地对应检查与修复结果,以及核查结果进行记录;
将得到的下一级层级检查与修复结果,以及核查结果发送至本层级联网服务器和下一层级中的服务器。
2.如权利要求1所述的处理方法,其特征在于,
所述安全防护系统包括终端安全配置核查子系统;
所述核查系统包括终端敏感信息核查子系统和分域控制子系统:
利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
所述终端敏感信息核查子系统采用D-S证据理论算法对所述第一待测核查数据和所述第二待核查数据进行敏感匹配分析;
以及采用基于交换分区的深度核查算法对所述第二待核查数据进行深度检测。
3.如权利要求2所述的处理方法,其特征在于,所述分域控制子系统包括:分域部署核查模块、分域存储核查模块和透明数据获取模块;
针对分域部署核查模块,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
分别提取所述第一待核查数据与所述第二待核查数据部署地址字段和资源信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第一对应列表;
利用特征字库对所述资源信息字段进行识别处理,当识别成功时并在所述第一对应列表中匹配所述资源信息字段。
4.如权利要求3所述的处理方法,其特征在于,针对分域存储核查模块,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
分别提取所述第一待核查数据与所述第二待核查数据存储地址字段和存储信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第二对应列表;
利用特征字库对核查数据存储地址字段和存储信息字段进行识别处理,当识别成功时并在所述第二对应列表中匹配所述存储信息字段。
5.如权利要求3所述的处理方法,其特征在于,针对透明数据获取模块,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
截获所述第一待核查数据中的本层级联网服务器数据库数据和所述第二待核查数据中的层级间交互信息;
利用Iptables防火墙处理规则,将所述本层级联网服务器数据库数据和所述层级间交互信息的目的端口号重置为预设端口号;
在所述预设端口下对所述本层级联网服务器数据库数据和所述层级间交互信息进行监听。
6.如权利要求2所述的处理方法,其特征在于,所述核查系统还包括:所述分类防护子系统,用于对用户身份的核查,包括:
接收用户特征标识判断用户操作类型并划分用户身份等级;
针对访问用户分配临时安全标识,在接收用户输入的安全标识与所述临时安全标识匹配时,开放访问;
在接收到登录普通用户正确用户名和登录口令时,响应登录;
在接收到登录重要用户usb-key认证通过时,响应登录。
7.一种基于互联网的信息安全验证系统,包括:
具备层级分布结构的服务器和信息交互接口;
各层级中的服务器包括:管理子系统、安全防护系统和核查系统;
所述管理子系统采集信息及发布系统数据,所述信息及发布系统数据包括本地信息及发布系统数据和通过信息交互接口接收所述下一层级中信息及发布系统数据,所述本地信息及发布系统数据包括本地和本层级联网服务器信息及发布终端软硬件参数和第一待核查数据,所述第一待核查数据包括本地和本层级联网服务器数据库数据;所述下一层级中信息及发布系统数据包括下一层级信息及发布终端软硬件参数和第二待核查数据,所述第二待核查数据包括下一层级数据库数据和层级间交互信息;
由所述管理子系统控制,利用本地的安全防护系统分别对所述本地的和下一层级的信息及发布终端软硬件参数进行检查与修复,以及,利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查;
所述管理子系统将得到的本地对应检查与修复结果,以及核查结果进行记录;
以及,将得到的下一级层级检查与修复结果,以及核查结果通过所述信息交互接口发送至本层级联网服务器和下一层级中的服务器。
8.如权利要求7所述的基于互联网的信息安全验证系统,其特征在于,所述安全防护系统包括终端安全配置核查子系统;
所述核查系统包括终端敏感信息核查子系统和分域控制子系统:
利用本地的核查系统分别对第一待核查数据和第二待核查数据进行核查具体为:
所述终端敏感信息核查子系统采用D-S证据理论算法对与所述服务器对应的数据库数据和第二待核查数据进行敏感匹配分析;
以及采用基于交换分区的深度核查算法对所述第二待核查数据进行深度检测。
9.如权利要求8所述的基于互联网的信息安全验证系统,其特征在于,所述分域控制子系统包括:分域部署核查模块、分域存储核查模块和透明数据获取模块:
所述分域部署核查模块用于:
分别提取所述第一待核查数据与所述第二待核查数据部署地址字段和资源信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第一对应列表;
利用特征字库对所述资源信息字段进行识别处理,当识别成功时并在所述第一对应列表中匹配所述资源信息字段。
10.如权利要求9所述的基于互联网的信息安全验证系统,其特征在于,所述分域存储核查模块用于:
分别提取所述第一待核查数据与所述第二待核查数据存储地址字段和存储信息字段;
构建所述数据部署地址字段与所述资源信息字段对应的硬件代码的对应关系,生成第二对应列表;
利用特征字库对核查数据存储地址字段和存储信息字段进行识别处理,当识别成功时并在所述第二对应列表中匹配所述存储信息字段。
11.如权利要求9所述的基于互联网的信息安全验证系统,其特征在于,所述透明数据获取模块用于:
截获所述第一待核查数据中的本层级联网服务器数据库数据和所述第二待核查数据中的层级间交互信息;
利用Iptables防火墙处理规则,将所述本层级联网服务器数据库数据和所述层级间交互信息的目的端口号重置为预设端口号;
在所述预设端口下对所述本层级联网服务器数据库数据和所述层级间交互信息进行监听。
12.如权利要求7所述的基于互联网的信息安全验证系统,其特征在于,所述核查系统还包括:所述分类防护子系统,用于对用户身份的核查,包括:
接收用户特征标识判断用户操作类型并划分用户身份等级;
针对访问用户分配临时安全标识,在接收用户输入的安全标识与所述临时安全标识匹配时,开放访问;
在接收到登录普通用户正确用户名和登录口令时,响应登录;
在接收到登录重要用户usb-key认证通过时,响应登录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210267084.6A CN102752318B (zh) | 2012-07-30 | 2012-07-30 | 一种基于互联网的信息安全验证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210267084.6A CN102752318B (zh) | 2012-07-30 | 2012-07-30 | 一种基于互联网的信息安全验证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102752318A true CN102752318A (zh) | 2012-10-24 |
| CN102752318B CN102752318B (zh) | 2015-02-04 |
Family
ID=47032217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210267084.6A Active CN102752318B (zh) | 2012-07-30 | 2012-07-30 | 一种基于互联网的信息安全验证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102752318B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015103878A1 (zh) * | 2014-01-07 | 2015-07-16 | 深圳市华傲数据技术有限公司 | 一种基于防火墙的数据修复方法及系统 |
| WO2018161302A1 (zh) * | 2017-03-09 | 2018-09-13 | 西门子公司 | 数据处理方法、装置和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060004753A1 (en) * | 2004-06-23 | 2006-01-05 | Coifman Ronald R | System and method for document analysis, processing and information extraction |
| CN102076050A (zh) * | 2010-12-28 | 2011-05-25 | 重庆邮电大学 | 一种基于保障无线传感器网络融合信息安全的路由方法 |
| CN102368760A (zh) * | 2010-12-31 | 2012-03-07 | 中国人民解放军信息工程大学 | 多级信息系统间的数据安全传输方法 |
| CN102426599A (zh) * | 2011-11-09 | 2012-04-25 | 中国人民解放军信息工程大学 | 基于d-s证据理论的敏感信息检测方法 |
-
2012
- 2012-07-30 CN CN201210267084.6A patent/CN102752318B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060004753A1 (en) * | 2004-06-23 | 2006-01-05 | Coifman Ronald R | System and method for document analysis, processing and information extraction |
| CN102076050A (zh) * | 2010-12-28 | 2011-05-25 | 重庆邮电大学 | 一种基于保障无线传感器网络融合信息安全的路由方法 |
| CN102368760A (zh) * | 2010-12-31 | 2012-03-07 | 中国人民解放军信息工程大学 | 多级信息系统间的数据安全传输方法 |
| CN102426599A (zh) * | 2011-11-09 | 2012-04-25 | 中国人民解放军信息工程大学 | 基于d-s证据理论的敏感信息检测方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015103878A1 (zh) * | 2014-01-07 | 2015-07-16 | 深圳市华傲数据技术有限公司 | 一种基于防火墙的数据修复方法及系统 |
| WO2018161302A1 (zh) * | 2017-03-09 | 2018-09-13 | 西门子公司 | 数据处理方法、装置和系统 |
| US11178114B2 (en) | 2017-03-09 | 2021-11-16 | Siemens Aktiengesellschaft | Data processing method, device, and system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102752318B (zh) | 2015-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ab Rahman et al. | Forensic-by-design framework for cyber-physical cloud systems | |
| CN111600856B (zh) | 数据中心运维的安全系统 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN102106114B (zh) | 分布式安全服务开通方法及其系统 | |
| US8667096B2 (en) | Automatically generating system restoration order for network recovery | |
| CN105453102B (zh) | 用于识别已泄漏的私有密钥的系统和方法 | |
| US20200153865A1 (en) | Sensor based rules for responding to malicious activity | |
| CN105117544A (zh) | 基于移动云计算的Android平台App风险评估方法与装置 | |
| CN104283889A (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
| CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| CN105468295A (zh) | 一种实现对象存储的安全防护访问方法及系统 | |
| CN104067283A (zh) | 识别移动环境的木马化应用程序 | |
| CN109587122B (zh) | 基于WAF系统功能实现自我保障Web子系统安全的系统及方法 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN111898124B (zh) | 进程访问控制方法和装置、存储介质及电子设备 | |
| CN111262822B (zh) | 文件存储方法、装置、区块链节点和系统 | |
| CN109995523B (zh) | 激活码管理方法及装置、激活码生成方法及装置 | |
| CN111510463B (zh) | 异常行为识别系统 | |
| CN103607291A (zh) | 用于电力二次系统内网安全监视平台的告警解析归并方法 | |
| CN110866265A (zh) | 一种基于区块链的数据存储方法、设备及存储介质 | |
| CN111611592A (zh) | 一种大数据平台安全评估方法及装置 | |
| CN110008392A (zh) | 一种基于网络爬虫技术的网页篡改检测方法 | |
| CN106953874B (zh) | 网站防篡改方法及装置 | |
| JP6294847B2 (ja) | ログ管理制御システムおよびログ管理制御方法 | |
| KR101586048B1 (ko) | 불법 어플리케이션 차단 시스템 및 서버, 이를 위한 통신 단말기 및 불법 어플리케이션 차단 방법과 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |