CN103491054A - Sam准入系统 - Google Patents
Sam准入系统 Download PDFInfo
- Publication number
- CN103491054A CN103491054A CN201210190495.XA CN201210190495A CN103491054A CN 103491054 A CN103491054 A CN 103491054A CN 201210190495 A CN201210190495 A CN 201210190495A CN 103491054 A CN103491054 A CN 103491054A
- Authority
- CN
- China
- Prior art keywords
- sam
- external equipment
- module
- security
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种能检测和限制外来设备并对变电站网络进行实时安全保护的SAM准入系统。本发明包括用于接入外来设备并与SAM认证管理装置进行数据交互的汇聚层交换机;用于获取外来设备的安全信息并与SAM认证管理装置进行通信的SAM终端安全代理;用于控制数据流进入内部网络的SAM访问控制网关;用于收集汇聚层交换机发送来的数据,对外来设备进行认证或进行自动授权,同时与SAM终端安全代理进行通信,控制外来设备访问内部网络的SAM认证管理装置;用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理的SAM管理中心装置。本发明应用于变电站网络安全防护领域。
Description
技术领域
本发明涉及一种SAM准入系统。
背景技术
在电力系统网络信息化建设快速发展的形势下,我们经常会遇到厂家工作人员携带移动办公设备来电力系统部门出差。偶尔会有厂家工作人员因为现场工作需要,把自身携带的笔记本、平板电脑或PDA等外来设备接入现场网络进行测试。由于电力系统对临时接入网络的笔记本等设备无法进行安全性评估和网络访问控制,这对网络安全稳定运行带来了很大的安全隐患。因此我们需要一套可以对外来设备进行安全性评估,同时控制外来设备访问内部网络,可以事后进行安全审计的网络准入系统。
发明内容
本发明所要解决的技术问题是克服现有技术的不足, 提供一种能检测和限制外来设备并对变电站网络进行实时安全保护的SAM准入系统。
本发明所采用的技术方案是:本发明包括汇聚层交换机、SAM终端安全代理、SAM访问控制网关、SAM认证管理装置和SAM管理中心装置,其中,
所述汇聚层交换机用于接入外来设备并与所述SAM认证管理装置进行数据交互;
所述SAM终端安全代理用于获取外来设备的安全信息并与所述SAM认证管理装置进行通信,将获取到的外来设备的安全信息上送给所述SAM认证管理装置;
所述SAM访问控制网关用于控制数据流进入内部网络,只有符合要求的数据流才被允许通过;
所述SAM认证管理装置用于收集所述汇聚层交换机发送来的数据,根据预定安全策略对外来设备进行认证或对外来设备进行自动授权,同时与所述SAM终端安全代理进行通信,控制外来设备访问内部网络;
所述SAM管理中心装置用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理。
所述SAM终端安全代理包括:
用于外来设备进行登录信息录入并发送给所述SAM认证管理装置进行认证的信息录入模块;用于对外来设备进行安全性检测的安全检测模块;用于对外来设备的各种操作进行监控的监控模块。
所述SAM认证管理装置包括CPU、数据采集模块、安全认证模块、通信模块、设备隔离模块和信息执行模块。所述SAM管理中心装置包括用户管理模块、安全补丁分发模块、防病毒模块、安全策略制定模块和日志与审计模块。所述外来设备包括外来笔记本、平板电脑、PDA或手机。所述SAM认证管理装置对外来设备的认证方式包括账号认证、MAC地址认证、USB-Key证书认证及短信认证。
本发明的有益效果是:由于本发明在变电站网络内部署终端准入系统,该准入系统包括用于接入外来设备并与所述SAM认证管理装置进行数据交互的汇聚层交换机,用于获取外来设备的安全信息并与SAM认证管理装置进行通信,将获取到的外来设备的安全信息上送给SAM认证管理装置的SAM终端安全代理,用于控制数据流进入内部网络,只有符合要求的数据流才被允许通过的SAM访问控制网关,用于收集所述汇聚层交换机发送来的数据,根据预定安全策略对外来设备进行认证或对外来设备进行自动授权,同时与所述SAM终端安全代理进行通信,控制外来设备访问内部网络的SAM认证管理装置,用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理的SAM管理中心装置,所以,本发明通过所述SAM认证管理装置实现对外来设备的检测、认证、授权等动作,加强了变电站网络接入控制管理,防止非授权、不安全的外来设备接入变电站内的业务网络;当有外来设备接入变电站内业务网络时,本发明会强制外来设备遵从本发明的信息安全策略,确保接入站内网络设备是安全的;根据信息安全策略,建立变电站网络接入管理机制,根据终端用户的工作需要授予不同的访问权限,保护变电站核心网络资源;通过加强外来设备的网络行为管理力度,保障终端用户合理使用网络资源;通过所述日志和审计模块,可以实现对发生的网络安全违规事件做到有据可查,便于事后审计。
附图说明
图1是本发明的系统结构图;
图2是本发明的整体流程示意图;
图3是本发明的认证流程示意图。
具体实施方式
如图1、图2、图3所示,本发明是一种部署在变电站内网络的SAM准入系统,通过该系统的设置,本发明可发现和限制外来设备接入变电站内网络,强制检测和评估外来设备的安全性,以及重要防护软件安装情况,包括杀毒软件是否更新,是否安装了主机防火墙,最近是否进行过安全扫描,限制外来设备随意接入,防止病毒扩大和传染到内部网络,对接入变电站网络的外来设备及工作人员进行身份认证,达到人、设备、接入点的统一认证,并实时记录、审计接入设备的工作情况。
本发明包括汇聚层交换机、SAM终端安全代理、SAM访问控制网关、SAM认证管理装置和SAM管理中心装置,其中,所述汇聚层交换机用于接入外来设备并与所述SAM认证管理装置进行数据交互;所述SAM终端安全代理用于获取外来设备的安全信息并与所述SAM认证管理装置进行通信,将获取到的外来设备的安全信息上送给所述SAM认证管理装置;所述SAM访问控制网关用于控制数据流进入内部网络,只有符合要求的数据流才被允许通过; 所述SAM认证管理装置用于收集所述汇聚层交换机发送来的数据,根据预定安全策略对外来设备进行认证或对外来设备进行自动授权,同时与所述SAM终端安全代理进行通信,控制外来设备访问内部网络;所述SAM管理中心装置用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理。
在本发明中,所述SAM终端安全代理装置在外来设备上,作为外来人员与内部网络进行通信的终端界面。所述SAM访问控制网关装置在所述汇聚层交换机上,对外来设备及人员的信息进行审定及控制信息进入变电站的内部网络。
所述SAM终端安全代理包括用于外来设备进行登录信息录入并发送给所述SAM认证管理装置进行认证的信息录入模块;用于对外来设备进行安全性检测的安全检测模块;用于对外来设备的各种操作进行监控的监控模块。所述SAM认证管理装置包括CPU、数据采集模块、安全认证模块、通信模块、设备隔离模块和信息执行模块。所述数据采集模块用于收集所述SAM终端安全代理信息并上传至所述SAM认证管理装置;所述安全认证模块用于对所述SAM终端安全代理上传的信息对外来设备进行身份和安全认证;所述通信模块用于在所述SAM终端安全代理与所述SAM认证管理装置之间进行通信;所述设备隔离模块用于将所述SAM终端安全代理上传的认证信息不符合既定安全策略要求的外来设备隔离在内部网络之外的“宾客网络区”;所述信息执行模块用于所述SAM认证管理装置与所述汇聚层交换机进行联动,自动执行相关安全策略方案。
所述SAM管理中心装置包括用户管理模块、安全补丁分发模块、防病毒模块、安全策略制定模块和日志与审计模块。所述用户管理模块用于对外来设备和外来用户进行管理,包括用户角色制定,组织人员管理;所述安全补丁分发模块用于把安全补丁分发到外来设备上,对外来设备强制进行安全升级;所述安全策略制定模块用于对外来人员及设备进行安全策略制定,包括访问策略及访问时间制定;所述日志与审计模块用于对网络事件的记录与审计,还包括IP资源管理,通过所述日志与审计模块可以实现对发生的网络安全违规事件做到有据可查,便于事后审计,总结经验教训。
所述外来设备包括外来笔记本、平板电脑、PDA或手机。所述SAM认证管理装置对外来设备的认证方式包括账号认证、MAC地址认证、USB-Key证书认证及短信认证。亦可以实现多种方式同时进行认证,以进一步确保外来设备及外来操作人员的安全及限定操作权限。
本发明通过所述SAM终端安全代理评估外来设备的安全状态,对于不符合安全设备要求的外来设备终端,提供可行性对话的修复建议,并协助外来设备终端安装各类补丁和必备的软件,以确保外来设备终端达到信息安全防护的要求,同时,对存在重大安全隐患的外来设备终端、以及没有授权的外部终端,系统可以强制隔离。
本发明支持按角色的管理功能,可实现不同管理员对系统不同的管理权限,管理员按照自身具有的权限对系统进行操作、管理。
为了能够对外来设备和人员工作进行精细管理,本发明提供了多种安全策略方案,根据内部业务网络情况划分多个访问控制区域,设定外来设备和人员访问时间段,可以根据外来人员身份和在此出差时间长短,分配合适的权限和工作时间。将外来人员携带设备定位到汇聚层交换机端口,支持终端与主机名绑定。
本发明首先获取外来人员接入的外来设备的用户名和密码等相关信息,发送到SAM认证管理装置上进行身份认证;如果身份认证通过后,对外来人员工作接入站内设备进行安全性检查,包括:杀毒软件安装情况、病毒库是否更新、最近是否杀毒、接入设备是否存在系统漏洞、是否同时连接外网等信息;如果安全认证通过后,获取访问站内网络IP地址信息,时刻监控外来人员的操作信息,并与所述SAM认证管理装置进行通信。
根据电力系统二次安全防护的规定,在部署本发明时,必须坚持以下原则:第一不改变原有网络环境,第二不影响原有变电站业务网络系统的正常运行。将变电站原有业务网络整体划为图1所示的“变电站业务网络”中。将变电站外来设备划为图1所示的“宾客网络区”中。在默认情况下,如果外来设备及人员之前没有经过认证,那么此时外来设备及人员只可以在“宾客网络区”内活动。本发明的工作流程如下:
1、当有外来设备接入到汇聚层交换机后,所述汇聚层交换机会将探测到的外来设备终端的信息镜像到所述SAM访问控制网关的“Eth0”口,所述SAM访问控制网关会控制转发这些信息通过所述SAM访问控制网关上的“Eth1”口,传送到SAM认证管理装置,如图3所示。
2、所述SAM认证管理装置获取所述汇聚层交换机探测到的外来设备及人员信息后,如果是外来人员退出账户后再登录,那么可以有三种操作:
1)、如果这些信息在认证列表中存在,并且接入时间没有超时,那么直接与所述汇聚层交换机联动,将接入的外来设备接入到“变电站业务网络”中,访问内部业务网络。
2)、如果这些信息在认证列表中存在,但接入时间超时,那么把该外来设备和账户重新分配到“宾客网络区”中,输入认证信息进行认证。
3)、如果这些信息不在认证列表中存在,所述SAM认证管理装置会将此设备加入到发现列表中,并与所述汇聚层交换机联动,将外来设备接入的端口划入到“宾客网络区”中。
3、当外来设备被划入到所述“宾客网络区”中,此外来设备中的所有数据都镜像到所述SAM访问控制网关接口“Eth0”,所述SAM终端安全代理向所述SAM认证管理装置通信并获取IP地址,执行用户名和密码进行认证。
4、用户名和密码认证通过后,所述SAM认证管理装置会向所述SAM终端安全代理发送安全策略,所述SAM终端安全代理会执行本地检查,通过后向所述SAM认证管理装置发送检查结果。
5、本地安全检查通过后,所述SAM认证管理装置会与所述汇聚层交换机联动将外来设备划入到“变电站业务网络”中,与变电站内部业务网络设备通信。
根据信息安全策略,建立变电站网络接入管理机制,根据终端用户的工作需要授予不同的访问权限,保护变电站核心网络资源。
本发明应用于变电站网络安全防护领域。
Claims (6)
1.一种SAM准入系统,其特征在于:所述SAM准入系统包括汇聚层交换机、SAM终端安全代理、SAM访问控制网关、SAM认证管理装置和SAM管理中心装置,其中,
所述汇聚层交换机用于接入外来设备并与所述SAM认证管理装置进行数据交互;
所述SAM终端安全代理用于获取外来设备的安全信息并与所述SAM认证管理装置进行通信,将获取到的外来设备的安全信息上送给所述SAM认证管理装置;
所述SAM访问控制网关用于控制数据流进入内部网络,只有符合要求的数据流才被允许通过;
所述SAM认证管理装置用于收集所述汇聚层交换机发送来的数据,根据预定安全策略对外来设备进行认证或对外来设备进行自动授权,同时与所述SAM终端安全代理进行通信,控制外来设备访问内部网络;
所述SAM管理中心装置用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理。
2.根据权利要求1所述的SAM准入系统,其特征在于,所述SAM终端安全代理包括:
用于外来设备进行登录信息录入并发送给所述SAM认证管理装置进行认证的信息录入模块;
用于对外来设备进行安全性检测的安全检测模块;
用于对外来设备的各种操作进行监控的监控模块。
3.根据权利要求1所述的SAM准入系统,其特征在于:所述SAM认证管理装置包括CPU、数据采集模块、安全认证模块、通信模块、设备隔离模块和信息执行模块。
4.根据权利要求1所述的SAM准入系统,其特征在于:所述SAM管理中心装置包括用户管理模块、安全补丁分发模块、防病毒模块、安全策略制定模块和日志与审计模块。
5.根据权利要求1所述的SAM准入系统,其特征在于:所述外来设备包括外来笔记本、平板电脑、PDA或手机。
6.根据权利要求1至6任一项所述的SAM准入系统,其特征在于:所述SAM认证管理装置对外来设备的认证方式包括账号认证、MAC地址认证、USB-Key证书认证及短信认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210190495.XA CN103491054A (zh) | 2012-06-12 | 2012-06-12 | Sam准入系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210190495.XA CN103491054A (zh) | 2012-06-12 | 2012-06-12 | Sam准入系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103491054A true CN103491054A (zh) | 2014-01-01 |
Family
ID=49831018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210190495.XA Pending CN103491054A (zh) | 2012-06-12 | 2012-06-12 | Sam准入系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103491054A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916312A (zh) * | 2014-04-25 | 2014-07-09 | 集美大学 | 船用数据采集网关和数据采集方法 |
| CN104796261A (zh) * | 2015-04-16 | 2015-07-22 | 长安大学 | 一种网络终端节点的安全接入管控系统及方法 |
| CN108011748A (zh) * | 2017-11-09 | 2018-05-08 | 南京捷安信息科技有限公司 | 一种网络访问调试的软隔离组件及其使用方法 |
| CN108347426A (zh) * | 2017-12-28 | 2018-07-31 | 广州华夏职业学院 | 一种基于大数据的教学系统信息安全管理系统及访问方法 |
| CN108551400A (zh) * | 2018-04-01 | 2018-09-18 | 南京捷安信息科技有限公司 | 一种便携式运维堡垒机系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010056550A1 (en) * | 2000-06-27 | 2001-12-27 | Lg Electronics Inc. | Protective device for internal resource protection in network and method for operating the same |
| US20020066029A1 (en) * | 2000-11-30 | 2002-05-30 | Yi Kyoung Hoon | Method for accessing home-network using home-gateway and home-portal server and apparatus thereof |
| US20030233440A1 (en) * | 2002-06-18 | 2003-12-18 | Hitachi, Inc. | Network system including host server and method of setting up host server |
| CN1501264A (zh) * | 2002-11-13 | 2004-06-02 | ض� | 网络保护认证代理 |
| CN1804751A (zh) * | 2005-01-14 | 2006-07-19 | 沈阳上方电子有限公司 | 应用指纹认证控制外部设备的计算机安全系统 |
| CN101008987A (zh) * | 2005-11-02 | 2007-08-01 | 株式会社东芝 | 便携电子装置、ic卡、数据处理装置以及数据处理系统 |
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN201491036U (zh) * | 2009-09-14 | 2010-05-26 | 北京鼎普科技股份有限公司 | 主机监控与审计系统 |
| CN101860534A (zh) * | 2010-05-20 | 2010-10-13 | 北京星网锐捷网络技术有限公司 | 网络切换方法、系统及接入设备、认证服务器 |
| CN102355467A (zh) * | 2011-10-18 | 2012-02-15 | 国网电力科学研究院 | 基于信任链传递的输变电设备状态监测系统安全防护方法 |
-
2012
- 2012-06-12 CN CN201210190495.XA patent/CN103491054A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010056550A1 (en) * | 2000-06-27 | 2001-12-27 | Lg Electronics Inc. | Protective device for internal resource protection in network and method for operating the same |
| US20020066029A1 (en) * | 2000-11-30 | 2002-05-30 | Yi Kyoung Hoon | Method for accessing home-network using home-gateway and home-portal server and apparatus thereof |
| US20030233440A1 (en) * | 2002-06-18 | 2003-12-18 | Hitachi, Inc. | Network system including host server and method of setting up host server |
| CN1501264A (zh) * | 2002-11-13 | 2004-06-02 | ض� | 网络保护认证代理 |
| CN1804751A (zh) * | 2005-01-14 | 2006-07-19 | 沈阳上方电子有限公司 | 应用指纹认证控制外部设备的计算机安全系统 |
| CN101008987A (zh) * | 2005-11-02 | 2007-08-01 | 株式会社东芝 | 便携电子装置、ic卡、数据处理装置以及数据处理系统 |
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN201491036U (zh) * | 2009-09-14 | 2010-05-26 | 北京鼎普科技股份有限公司 | 主机监控与审计系统 |
| CN101860534A (zh) * | 2010-05-20 | 2010-10-13 | 北京星网锐捷网络技术有限公司 | 网络切换方法、系统及接入设备、认证服务器 |
| CN102355467A (zh) * | 2011-10-18 | 2012-02-15 | 国网电力科学研究院 | 基于信任链传递的输变电设备状态监测系统安全防护方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916312A (zh) * | 2014-04-25 | 2014-07-09 | 集美大学 | 船用数据采集网关和数据采集方法 |
| CN104796261A (zh) * | 2015-04-16 | 2015-07-22 | 长安大学 | 一种网络终端节点的安全接入管控系统及方法 |
| CN108011748A (zh) * | 2017-11-09 | 2018-05-08 | 南京捷安信息科技有限公司 | 一种网络访问调试的软隔离组件及其使用方法 |
| CN108347426A (zh) * | 2017-12-28 | 2018-07-31 | 广州华夏职业学院 | 一种基于大数据的教学系统信息安全管理系统及访问方法 |
| CN108347426B (zh) * | 2017-12-28 | 2021-10-26 | 广州华夏职业学院 | 一种基于大数据的教学系统信息安全管理系统及访问方法 |
| CN108551400A (zh) * | 2018-04-01 | 2018-09-18 | 南京捷安信息科技有限公司 | 一种便携式运维堡垒机系统 |
| CN108551400B (zh) * | 2018-04-01 | 2022-01-11 | 南京捷安信息科技有限公司 | 一种便携式运维堡垒机系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Metke et al. | Smart grid security technology | |
| CN101483872B (zh) | 使用物理接入控制系统为无线网络限定边界 | |
| US8407462B2 (en) | Method, system and server for implementing security access control by enforcing security policies | |
| CN103179130B (zh) | 一种信息系统内网安全统一管理平台及管理方法 | |
| CN101588360A (zh) | 内部网络安全管理的相关设备及方法 | |
| CN109460660A (zh) | 一种移动设备安全管理系统 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN101909298B (zh) | 无线网络安全接入控制方法和装置 | |
| CN106792684B (zh) | 一种多重防护的无线网络安全防护系统及防护方法 | |
| CN103491054A (zh) | Sam准入系统 | |
| CN104469762A (zh) | 一种3g/wifi无线路由器用户分级控制方法 | |
| CN110493195A (zh) | 一种网络准入控制方法及系统 | |
| CN105610839A (zh) | 一种终端接入网络的控制方法及装置 | |
| WO2019084340A1 (en) | SYSTEM AND METHOD FOR PROVIDING SECURE VLAN IN A WIRELESS NETWORK | |
| CN109995769A (zh) | 一种多级异构跨区域的全实时安全管控方法 | |
| CN109636971A (zh) | 一种智能社区安防门禁管理方法及系统 | |
| Samaras et al. | An enterprise security architecture for accessing SaaS cloud services with BYOD | |
| CN202652534U (zh) | 移动终端安全接入平台 | |
| CN103618613A (zh) | 网络接入控制系统 | |
| Alcaraz et al. | OCPP in the spotlight: threats and countermeasures for electric vehicle charging infrastructures 4.0 | |
| CN100592688C (zh) | 一种对接入网络的客户端进行安全认证的系统和方法 | |
| Xie et al. | A micro-segmentation protection scheme based on zero trust architecture | |
| CN105471857A (zh) | 一种电网终端非法外联监测阻断方法 | |
| CN101562620B (zh) | 一种终端互访的方法和控制装置 | |
| CN202998166U (zh) | 一种访问器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 519080 Tsinghua Science Park A605, 101 Tang Cheng Road, Zhuhai, Guangdong Applicant after: Zhuhai Hongrui information technology Limited by Share Ltd Address before: 519080 Tsinghua Science Park A606, 101 Tang Cheng Road, Zhuhai, Guangdong Applicant before: Zhuhai City Hongrui Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140101 |
|
| RJ01 | Rejection of invention patent application after publication |