CN102882859A - 一种基于公网数据传输信息系统的安全防护方法 - Google Patents
一种基于公网数据传输信息系统的安全防护方法 Download PDFInfo
- Publication number
- CN102882859A CN102882859A CN2012103388310A CN201210338831A CN102882859A CN 102882859 A CN102882859 A CN 102882859A CN 2012103388310 A CN2012103388310 A CN 2012103388310A CN 201210338831 A CN201210338831 A CN 201210338831A CN 102882859 A CN102882859 A CN 102882859A
- Authority
- CN
- China
- Prior art keywords
- main website
- information system
- terminal
- packet
- safety device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于公网数据传输信息系统的安全防护方法:S1.主站部署带第一加解密模块的主站安全防护装置;S2.终端部署带第二加解密模块的终端安全防护装置;S3.设有离线数字证书系统;S4.安全防护装置接收数据时先对数据包进行基于IP地址、端口号、协议号的数据包过滤,实现访问控制功能;S5.通信双方建立加密隧道之前首先进行基于数字证书系统的身份认证,实现身份认证功能;S6.主站发送信息先加密,在终端安全防护装置处解密,反之亦然;S7.主站采用内外网双主机形式,内外网主机通过非网络方式连接,实现主站信息系统的非网络方式隔离。本发明的基于公网传输的数据不易被窃听泄漏和篡改,主站、终端用户身份不易被伪造,主站不易受渗透攻击。
Description
技术领域
本发明涉及一种网络信息系统的安全防护方法,具体是提出一种基于公网数据传输信息系统的安全防护方法。
技术背景
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多,而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多,特别是公用信息基础设施建设推动了政府、企业日益依赖信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战,如维基解密网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。
国家、政府、企业的信息系统涉及到国家的安全、企业机密及公民的切身利益,其数据的安全性、准确性必须得到充分的保障。为了加强信息系统的安全保护,国家、政府、企业大量使用专网、局域网、VPN等技术进行防护,起到了良好的效果。
本文定义的公网是指与互联网有IP网络互连的计算机网络。
由于国家、政府、企业的信息系统大多与公网有数据交互,特别是现有的信息系统大部分采用总部—分支(即主站—终端)的工作模式,在主站和终端之间的通信链路存在数据易窃听泄露、终端用户易冒充、易受重放攻击等安全风险,给国家、政府、企业的信息系统构成了极大的威胁,因此必须对公网的信息系统进行安全保护。
发明内容
本发明所要解决的技术问题,就是提供一种主站与终端通信时数据不易被窃听泄漏、数据不易被篡改,主站和终端用户身份不易被伪造、主站不易受渗透攻击的基于公网数据传输信息系统的安全防护方法。
解决上述技术问题,本发明采用的技术方案如下:
一种基于公网数据传输信息系统的安全防护方法,所述的信息系统采用主站至终端或者终端至主站的工作形式,方法包括以下步骤:
S1在信息系统主站的网络边界即信息系统主站的数据出口部署具有第一加解密模块的主站安全防护装置;
S2在信息系统终端的网络边界即终端信息系统的数据出口部署具有第二加解密模块的终端安全防护装置;
S3设有离线数字证书系统为主站安全防护装置和终端安全防护装置签发数字证书;
S4通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
S5信息系统主站发送至信息系统终端的数据包首先在主站安全防护装置处加密,在终端安全防护装置处解密,反之亦然。
所述的主站安全防护装置采用内外网双主机的形式,内网主机连接信息系统主站内部的业务系统,外网主机连接公网,内网主机和外网主机通过非网络方式隔离,达到阻断网络入侵目的,实现安全防护体系的网络隔离。
所述的主站安全防护装置和终端安全防护装置提供访问控制功能,使用访问控制列表技术实现基于IP地址、端口号和网络协议的数据包过滤。
所述的信息系统主站发往信息系统终端的数据包首先在主站安全防护装置的内网侧进行数据加密,加密后的数据包摆渡到主站安全防护装置的外网侧并发往终端安全防护装置,终端安全防护装置对收到的数据包进行基于IP地址、端口号、协议类型的过滤,初步确认数据包的合法性以后,对数据包进行解密,发送到信息系统终端;
所述的信息系统终端发往信息系统主站的数据包首先到达主站安全防护装置的外网侧,在外网侧进行基于IP地址、端口号、协议类型的数据包过滤。初步确认身份的数据包摆渡到主站安全防护装置的内网侧,在内网侧进行数据包解密,并进一步确定数据的合法性,发送到信息系统主站。
有益效果:本发明结合网络隔离、身份认证、传输加密、访问控制的技术路线对基于主站-终端数据传输的信息系统进行保护,使得传输的信息数据不易被窃听泄漏、数据不易被篡改,主站、终端用户身份不易被伪造,主站不易受渗透攻击。
附图说明
下面结合附图和具体实施方式对本发明做进一步的详细说明。
图1为公网信息系统总体安全防护框架示意图;
图2为主站安全防护装置与终端安全防护装置通信过程示意图。
具体实施方式
本发明的基于公网数据传输信息系统的安全防护方法,所述的信息系统采用主站至终端或终端至主站的工作形式,方法包括以下步骤:
S1在信息系统主站的网络边界即信息系统主站的数据出口部署具有第一加解密模块的主站安全防护装置;
S2在信息系统终端的网络边界即终端信息系统的数据出口部署具有第二加解密模块的终端安全防护装置;
S3设有离线数字证书系统为主站安全防护装置和终端安全防护装置签发数字证书;
S4通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
S5信息系统主站发送至信息系统终端的数据包首先在主站安全防护装置处加密,在终端安全防护装置处解密,反之亦然;
主站安全防护装置采用内外网双主机的形式,内网主机连接信息系统主站内部的业务系统,外网主机连接公网,内网主机和外网主机通过非网络方式隔离,业务系统设备以及认证加密设备(或功能模块)应位于非网络隔离设备(或功能模块)的内网侧,达到阻断网络入侵目的,实现安全防护体系的网络隔离。
主站安全防护装置和终端安全防护装置提供访问控制功能,使用访问控制列表技术实现基于IP地址、端口号和网络协议的数据包过滤。
图1为本发明的基于公网数据传输信息系统的安全防护方法的公网信息系统总体安全防护框架,该总体安全防护框架充分体现了“网络隔离、身份认证、传输加密、访问控制”的安全防护技术路线,从逻辑上对信息系统主站、信息系统终端进行了充分的保护。
网络隔离是指在信息系统主站的通信出口采用非网络方式隔离措施,实现信息系统主站与公网的非网络隔离;隔离措施的原则为业务系统设备以及认证加密设备(或功能模块)应位于非网络隔离设备(或功能模块)的内网侧。
身份认证是指通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性。
传输加密是指信息系统主站和信息系统终端之间的通信采用加密措施,实现数据的加密传输,防止数据被窃听泄漏、篡改。
访问控制是指主站安全防护装置、终端安全防护装置提供访问控制功能,对数据包的IP地址、端口号和通信协议进行严格限制,防止第三方攻击者的恶意攻击。
信息系统主站通过主站安全防护装置对内部的服务器、数据库及高级应用系统进行保护。发往信息系统主站的数据包首先到达主站安全防护装置的外网侧,在外网侧进行基于IP地址、端口号、协议类型的数据包过滤。初步确认身份的数据包摆渡到主站安全防护装置的内网侧,在内网侧进行数据包解密,并进一步确定数据的合法性,发送到信息系统主站。
信息系统终端通过终端安全防护装置对信息系统终端进行保护。发往终端安全防护装置的数据包首先在主站安全防护装置的内网侧进行数据加密,加密后的数据包摆渡到主站安全防护装置的外网侧并发往终端安全防护装置,终端安全防护装置对收到的数据包进行基于IP地址、端口号、协议类型的过滤,初步确认数据包的合法性以后,对数据包进行解密,发送到信息系统终端。
通过主站安全防护装置和终端安全防护装置的加解密(如图2所示),实现通信双方身份的确认及数据的加密,有效地防止在通信链路上,数据被窃听泄漏、篡改等,通过主站安全防护装置和终端安全防护装置的身份鉴别措施,实现主站安全防护装置和终端安全防护装置的身份鉴别,防止第三方伪造身份发送数据;同时通过主站安全防护装置的非网络方式隔离,有效地阻断了恶意网络攻击的途径,有效的保护了信息系统主站的安全。
本发明的防护方法具体包含如下部分:1)公网信息系统总体安全防护框架;2)信息系统主站安全防护;3)信息系统终端安全防护。
公网信息系统总体安全防护框架
公网信息系统总体安全防护框架如图1所示
公网信息系统总体安全防护框架采用“网络隔离、身份认证、传输加密、访问控制”的安全防护技术路线。
网络隔离:主站的通信出口采用非网络隔离措施,实现信息系统主站与公网的非网络隔离;隔离措施的原则为业务系统设备以及认证加密设备(或功能模块)位于非网络隔离设备(或功能模块)的内网侧。通过非网络方式的隔离,有效地切断黑客网络入侵的途径。
身份认证:信息系统主站和信息系统终端之间的通信采用基于数字证书的身份认证措施,通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
传输加密:信息系统主站和信息系统终端之间的通信采用加密措施,实现数据的加密传输,防止数据被窃听泄漏、篡改。
访问控制:主站安全防护装置、终端安全防护装置提供访问控制功能,对数据包的IP地址、端口号和通信协议进行严格限制,防止第三方攻击者的恶意攻击。
信息系统主站安全防护
信息系统主站的安全防护主要通过主站安全防护装置实现。主站安全防护装置部署在信息系统主站的出口,用于保护信息系统主站内部的重要服务器、数据库以及其他高级应用程序等。主站安全防护装置实现的功能主要包括:数据的加解密、通信双方的身份鉴别、访问控制、信息系统主站的非网络方式隔离和对终端安全防护装置的管理及监控等。
主站安全防护装置的加解密功能、身份验证功能需要和终端安全防护装置相应功能配合使用,其通信示意图如图2所示:
主站安全防护装置对接收到的数据包进行解密,对发往终端安全防护装置的数据进行加密,有效地防止在通信链路上,数据被窃听泄漏,篡改等,加解密算法可以但不限于对称密码算法。
主站安全防护装置使用数字证书实现对信息系统终端中用户的身份认证,通过数字签名实现发送方身份的验证,防止第三方冒充信息系统终端的用户向信息系统主站发起攻击。
主站安全防护装置使用访问控制列表技术实现基于IP地址、端口号及通信协议的数据包过滤,具有一定的防火墙功能。主站安全防护装置的访问控制功能一般用于数据包的初步过滤。
主站安全防护装置分为内网主机和外网主机两部分。内网主机连接信息系统主站内部的业务系统,外网主机连接公网。内网主机和外网主机通过非网络方式隔离,达到阻断网络入侵等目的。
主站安全防护装置采用特殊管理报文的形式对终端安全防护装置进行状态监视及配置管理,便于对终端安全防护装置的统一管理。
信息系统终端安全防护
信息系统终端的安全防护主要通过终端安全防护装置实现。终端安全防护装置用于保护信息系统终端,其中终端安全防护装置保护的信息系统终端在数量上应该小于100。终端安全防护装置部署在信息系统终端的出口,采用透明工作方式,主要实现数据加解密、访问控制、身份鉴别、状态反馈等功能。
终端安全防护装置的数据加解密功能和主站安全防护装置的加解密功能配合使用,终端安全防护装置对进入信息系统终端的数据包进行解密,对发往信息系统主站的数据包进行加密,有效地防止在通信链路上,数据被窃听泄漏,篡改等。
终端安全防护装置使用数字证书实现对信息系统主站中用户的身份认证,通过数字签名实现发送方身份的验证,防止第三方冒充信息系统主站的用户向信息系统主站发起攻击。
终端安全防护装置使用访问控制列表技术实现基于IP地址、端口号及通信协议的数据包过滤,具有一定的防火墙功能。终端安全防护装置的访问控制功能一般用于数据包的初步过滤。
终端安全防护装置根据事先约定好的管理报文内容执行相应的动作,如反馈终端安全防护装置的工作状态、反馈已经设置的隧道、反馈隧道安全策略等。管理报文同样采用密码技术进行加密。
Claims (5)
1.一种基于公网数据传输信息系统的安全防护方法,所述的信息系统采用主站至终端或者终端至主站的工作形式,方法包括以下步骤:
S1在信息系统主站的网络边界即信息系统主站的数据出口部署具有第一加解密模块的主站安全防护装置;
S2在信息系统终端的网络边界即终端信息系统的数据出口部署具有第二加解密模块的终端安全防护装置;
S3设有离线数字证书系统为主站安全防护装置和终端安全防护装置签发数字证书;
S4通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
S5信息系统主站发送至信息系统终端的数据包首先在主站安全防护装置处加密,在终端安全防护装置处解密,反之亦然。
2.根据权利要求1所述的基于公网数据传输信息系统的安全防护方法,其特征是:所述的主站安全防护装置和终端安全防护装置提供访问控制功能,使用访问控制列表技术实现基于IP地址、端口号和网络协议的数据包过滤。
3.根据权利要求1所述的基于公网数据传输信息系统的安全防护方法,其特征是:所述的信息系统主站发往终端安全防护装置的数据包首先在主站安全防护装置的内网侧进行数据包加密,加密后的数据包摆渡到主站安全防护装置的外网侧并发往终端安全防护装置,终端安全防护装置对收到的数据包进行基于IP地址、端口号、协议类型的过滤,初步确认数据包的合法性以后,对数据包进行解密,将解密正确的数据发送到信息系统终端。
4.根据权利要求1所述的基于公网数据传输信息系统的安全防护方法,其特征是:所述的信息系统终端发往信息系统主站的数据包首先到达主站安全防护装置的外网侧,在外网侧进行基于IP地址、端口号、协议类型的数据包过滤,将初步确认身份数据包摆渡到主站安全防护装置的内网侧,在内网侧进行数据包解密,将解密正确的数据发送到信息系统主站。
5.根据权利要求1所述的基于公网数据传输信息系统的安全防护方法,其特征是:所述的主站安全防护装置采用内外网双主机的形式,内网主机连接信息系统主站内部的业务系统,外网主机连接公网,内网主机和外网主机通过非网络方式隔离,业 务系统设备以及认证加密设备位于非网络隔离设备的内网侧。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210338831.0A CN102882859B (zh) | 2012-09-13 | 2012-09-13 | 一种基于公网数据传输信息系统的安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210338831.0A CN102882859B (zh) | 2012-09-13 | 2012-09-13 | 一种基于公网数据传输信息系统的安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102882859A true CN102882859A (zh) | 2013-01-16 |
| CN102882859B CN102882859B (zh) | 2015-08-05 |
Family
ID=47484003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210338831.0A Active CN102882859B (zh) | 2012-09-13 | 2012-09-13 | 一种基于公网数据传输信息系统的安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102882859B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780628A (zh) * | 2014-02-10 | 2014-05-07 | 成都卫士通信息产业股份有限公司 | 基于安全网络隔离技术的串行网络数据传输方法及装置 |
| CN103795719B (zh) * | 2014-01-23 | 2017-09-19 | 广东电网公司电力科学研究院 | 终端安全设备精简配置管理方法与系统 |
| CN107920089A (zh) * | 2017-12-28 | 2018-04-17 | 国电南瑞科技股份有限公司 | 一种智能网荷互动终端信息安全防护认证加密方法 |
| CN111314382A (zh) * | 2020-03-20 | 2020-06-19 | 国家电网公司东北分部 | 一种适用于高频紧急控制系统的网络安全防护方法 |
| CN111654497A (zh) * | 2020-06-03 | 2020-09-11 | 广东电网有限责任公司电力科学研究院 | 一种增强电力监控系统终端接入安全性的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005069864A2 (en) * | 2004-01-15 | 2005-08-04 | Cisco Technology, Inc. | Establishing a virtual private network for a road warrior |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
| CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
-
2012
- 2012-09-13 CN CN201210338831.0A patent/CN102882859B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005069864A2 (en) * | 2004-01-15 | 2005-08-04 | Cisco Technology, Inc. | Establishing a virtual private network for a road warrior |
| CN101076796A (zh) * | 2004-01-15 | 2007-11-21 | 思科技术公司 | 为漫游用户建立虚拟专用网络 |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
| CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795719B (zh) * | 2014-01-23 | 2017-09-19 | 广东电网公司电力科学研究院 | 终端安全设备精简配置管理方法与系统 |
| CN103780628A (zh) * | 2014-02-10 | 2014-05-07 | 成都卫士通信息产业股份有限公司 | 基于安全网络隔离技术的串行网络数据传输方法及装置 |
| CN107920089A (zh) * | 2017-12-28 | 2018-04-17 | 国电南瑞科技股份有限公司 | 一种智能网荷互动终端信息安全防护认证加密方法 |
| CN111314382A (zh) * | 2020-03-20 | 2020-06-19 | 国家电网公司东北分部 | 一种适用于高频紧急控制系统的网络安全防护方法 |
| CN111314382B (zh) * | 2020-03-20 | 2022-07-22 | 国家电网公司东北分部 | 一种适用于高频紧急控制系统的网络安全防护方法 |
| CN111654497A (zh) * | 2020-06-03 | 2020-09-11 | 广东电网有限责任公司电力科学研究院 | 一种增强电力监控系统终端接入安全性的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102882859B (zh) | 2015-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103491072B (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| CN101795271B (zh) | 网络安全打印系统及打印方法 | |
| CN108965215B (zh) | 一种多融合联动响应的动态安全方法与系统 | |
| CN101662359B (zh) | 电力专用公网通信数据安全防护方法 | |
| CN102882850B (zh) | 一种采用非网络方式隔离数据的密码装置及其方法 | |
| CN101529805A (zh) | 中间设备 | |
| US9015825B2 (en) | Method and device for network communication management | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| CN102882859B (zh) | 一种基于公网数据传输信息系统的安全防护方法 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
| CN102710638A (zh) | 一种采用非网络方式隔离数据的装置及其方法 | |
| CN106506540A (zh) | 一种抗攻击的内网数据传输方法及系统 | |
| Kumar et al. | Cyber security threats in synchrophasor system in WAMS | |
| Parmar et al. | Analysis and study of network security at transport layer | |
| CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
| Khan et al. | Another look at privacy threats in 3G mobile telephony | |
| CN102868686A (zh) | 一种基于esp封装、强化数据加密的方法 | |
| Sethi et al. | Methods of Network Security and Improving the Quality of Service–A Survey | |
| Taib et al. | Security mechanisms for the IPv4 to IPv6 transition | |
| Maple et al. | Choosing the right wireless LAN security protocol for the home and business user | |
| Kothai et al. | Conventional and hybrid encryption schemes for security against attacks in vehicular adhoc network | |
| Bartman et al. | Securing critical industrial systems with SEL solutions | |
| Kumar et al. | Analysis of Network Security Issue and Its Attack and Defence | |
| Ahmed et al. | Architecture based on tor network for securing the communication of northbound interface in sdn |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGDONG POWER GRID CO., LTD. Patentee after: Guangdong Center of Electric Dispatching and Transforming Address before: 510080 Dongfeng East Road, Guangdong, Guangzhou, water, Kong Kong, No. 8 Patentee before: Electrical Power Research Institute of Guangdong Power Grid Corporation Patentee before: Guangdong Center of Electric Dispatching and Transforming |