基于网络过滤驱动的业务系统传输安全加固方法
技术领域
本发明涉及网络安全通信领域,尤其涉及一种基于网络过滤驱动的业务系统传输安全加固方法。
背景技术
在日常的网络应用中,TCP/IP协议为主要的通信传输协议,办公系统,业务系统,ERP软件,数据库,网站服务等都基于TCP/IP协议。由于TCP/IP协议本身并不涉及安全保护功能,所以在现有的业务系统中,如果业务系统软件的实现对通信安全性考虑不足,将导致业务系统关键数据被监听、盗取、篡改,从而造成严重损失。
现有技术中,一般使用HTTPS和IPsec(Internet Protocol Security)两种技术方式实现对业务系统的网络传输进行安全保护,第一种技术方式HTTPS仅适用于基于HTTPS协议的网络通信,对于局域网中常用的C/S结构的业务系统、ERP软件无法使用HTTPS技术方式进行传输加密,第二种技术方式IPsec可适用于局域网环境,计算机被加密后,所有网络通信都将被加密传输,并且需要更改每个计算机的网络配置,使用IPsec技术的计算机无法与未使用IPsec技术的计算机通信,在日常局域网环境部署实施难度较大。另外,IPsec协议要求对数据进行加密和验证,其中涉及很大的运算量,占用大量CPU资源,这样势必会导致系统性能的下降,难以达到高速处理数据的目的。综上所述,业务系统传输的安全保护存在较大局限性,HTTPS技术方式仅适用于基于HTTPS协议的网络通信,对于C/S结构的业务系统无法进行传输加密,IPsec技术方式需要改变局域网中每个计算机的现有网络配置进行传输加密,因此,需要一种安全通用的,适用于任何网络环境,且不改变计算机现有网络配置的业务系统传输安全加固方法解决上述问题。
发明内容
本发明的主要目的在于提供一种基于网络过滤驱动的业务系统传输安全加固方法,该方法无需改变计算机现有网络配置,在任意软件、任意硬件环境下,能够对业务系统传输进行安全加固保护。
为了达到上述目的,本发明所采用的技术方案如下:
基于网络过滤驱动的业务系统传输安全加固方法,包括以下步骤:
a.配置保护策略:配置策略类型、授权IP地址列表、授权进程列表;
所述策略类型包括:安全性优先、兼容性优先,根据所述策略类型的不同将执行不同的保护策略;
所述授权IP地址列表包括:若干个被授权的终端计算机IP地址;
所述授权进程列表包括:若干个被保护的业务系统的进程名;
b.捕获网络数据报文:通过网络过滤驱动的方式捕获发送或接收的网络数据报文,并将所述网络数据报文存储在通信缓存列表中;
所述网络数据报文包括:报文内容、报文长度、进程名、报文传输方向;
所述通信缓存列表包括:若干个网络数据报文;
c.将通信缓存列表转换为数据信息列表:通过分析所述通信缓存列表中存储的网络数据报文的报文内容、报文长度、进程名、报文传输方向,将网络数据报文转换为报文数据信息,并将该报文数据信息存储到数据信息列表中;
通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址;
所述报文数据信息包括:报文内容、报文长度、进程名、报文传输方向、对端IP地址;
所述数据信息列表包括:若干个报文数据信息;
d.读取所述报文数据信息中的进程名,如果该进程名包含在所述授权进程列表中,则继续执行步骤e,如果该进程名不包含在授权进程列表中,执行步骤f;
e.实施保护策略:将所述报文数据信息中的进程名作为保护进程的数据信息,实施保护策略;
f.如果所述报文数据信息的传输方向为发送,则传递报文内容、报文长度给操作系统的下层网络驱动;如果所述报文数据信息的传输方向为接收,则传递报文内容、报文长度给操作系统上层网络驱动,结束。
在所述步骤e中,将所述报文数据信息中的进程名作为保护进程的数据信息,实施保护策略,包括以下步骤:
e1.如果所配置的策略类型为安全性优先,则继续执行步骤e2;如果所配置的策略类型为兼容性优先,则执行步骤e3;
e2.如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
e3.如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4;如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4;
如果对端地址不包含在所述授权IP地址列表中,则不处理,即不加密不解密,执行步骤e4;
e4.结束。
本发明的有益效果是:
本发明的基于网络过滤驱动的业务系统传输安全加固方法,该方法基于驱动层实现通信加密,适用于任何网络环境,在不改变终端计算机现有网络配置的情况下,实现了即兼容未加固的终端计算机、又可以严格匹配只能与已加固的终端计算机进行通信。有效地杜绝了网络监听、数据盗取、篡改等手段造成的安全损失,解决了业务系统实现安全加固时,在日常局域网环境部署实施难度较大、系统资源占用高、运营维护成本高,无法在不改变终端计算机现有网络配置实现业务系统传输透明加密的问题,极大地降低部署实施难度、减少了系统资源占用、降低了运营维护成本。
附图说明
图1是本发明的基于网络过滤驱动的业务系统传输安全加固方法的流程图;
图2是本发明的基于网络过滤驱动的业务系统传输安全加固方法步骤e的流程图;
图3是本发明的实施例的应用环境的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的基于网络过滤驱动的业务系统传输安全加固方法做进一步详细描述。
本发明的基于网络过滤驱动的业务系统传输安全加固方法,该方法基于驱动层实现通信加密,适用于任何网络环境,在不改变终端计算机现有网络配置的情况下,实现兼容未加固终端计算机、严格匹配只能与已加固终端计算机进行通信。
本实施例以财务管理系统(Finance)为例,如图3所示,该财务管理系统(Finance)包括60台终端计算机,终端计算机A1,A2,…,A60,以点对点方式星型连接。
财务管理系统中的60台终端计算机A1,A2,…,A60的IP地址全部存储在60台终端计算机的授权IP地址列表中。本实施例被授权的业务系统3个,包括安全管理系统、运维系统、财务管理系统,将所有被授权的3个业务系统进程名均存储在60台终端计算机的授权进程列表中,其中财务管理系统的进程名为Finance.exe。
以终端计算机A1和终端计算机A2进行财务管理系统文件传输为例进行说明。
终端计算机A1发送文件“财务明细.xlsx”,终端计算机A2接收终端计算机A1发送的文件“财务明细.xlsx”。
例如,终端计算机A1的账号为A1@dev.gsc.com、密码为123456,终端计算机A1发送文件名为“财务明细.xlsx”的文件到终端计算机A2的账号A2@dev.gsc.com中。
实施例1,策略类型为安全性优先:
如图1所示,本发明的基于网络过滤驱动的业务系统传输安全加固方法,具体工作步骤如下:
终端计算机A1工作步骤如下:
a.配置保护策略:配置终端计算机A1的策略类型,授权IP地址列表,授权进程列表;
配置终端计算机A1的策略类型为安全性优先;
配置终端计算机A1的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance.exe,并存储到终端计算机A1和终端计算机A2的授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机A1和终端计算机A2的授权进程列表;
终端计算机A1的授权IP地址列表包括:被授权的终端计算机A1的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机A1的授权进程列表包括:被保护的业务系统:财务管理系统的进程名Finance.exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机A1通过网络过滤驱动的方式捕获到发送的网络数据报文包括:报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:发送,终端计算机A1将捕获到发送的网络数据报文存储到其通信缓存列表;
终端计算机A1的通信缓存列表包括:终端计算机A1发送的网络数据报文;
c.将通信缓存列表转换为数据信息列表:
终端计算机A1分析其通信缓存列表中存储的发送的网络数据报文中的报文内容、报文长度、进程名、报文传输方向,将发送的网络数据报文转换为报文数据信息,并将该报文数据信息存储在其数据信息列表;
终端计算机A1通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址:192.168.0.2(即终端计算机2的IP地址);
终端计算机A1的报文数据信息包括:报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:发送、对端IP地址:192.168.0.2;
所述数据信息列表包括:终端计算机A1发送的报文数据信息;
d.终端计算机A1读取所述报文数据信息中的进程名Finance.exe,本实施例该进程名Finance.exe包含在其授权进程列表中,即为被保护的业务系统的进程名,继续执行步骤e;
(如果终端计算机A1读取所述报文数据信息的进程名Finance.exe不包含在其授权进程列表中,执行步骤f;)
e.实施保护策略:将终端计算机A1的报文数据信息中的进程名Finance.exe作为保护进程的数据信息,实施保护策略,具体步骤如下:
e1.判断终端计算机A1的策略类型为安全性优先,继续执行步骤e2;
e2.判断终端计算机A1报文数据信息中的对端IP地址为192.168.0.2,此IP地址包含在终端计算机A1的授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密;
(如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密;)
f.判断终端计算机A1报文数据信息中的报文传输方向为发送,则终端计算机A1将报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”(其中************为不可见字符),报文长度:1450字节传递给操作系统的下层网络驱动。
终端计算机A2工作步骤如下:
a.配置保护策略:配置终端计算机A2的策略类型,授权IP地址列表,授权进程列表;
配置终端计算机A2的策略类型为安全性优先;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A1的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance.exe,并存储到终端计算机A2的授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机A1和终端计算机A2的授权进程列表;
终端计算机A2的授权IP地址列表包括:被授权的终端计算机A1的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机A2的授权进程列表包括:被保护的业务系统:财务管理系统的进程名Finance.exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机A2通过网络过滤驱动的方式捕获到接收的网络数据报文包括:加密过的报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:接收,终端计算机A2将捕获到接收的网络数据报文存储在其通信缓存列表;
终端计算机A2的通信缓存列表包括:终端计算机A2接收的网络数据报文;
c.将通信缓存列表转换为数据信息列表:
终端计算机A2分析其通信缓存列表中存储的接收的网络数据报文中的报文内容、报文长度、进程名、报文传输方向,将接收的网络数据报文转换为报文数据信息,并将该报文数据信息存储到其数据信息列表;
终端计算机A2通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址:192.168.0.1(即终端计算机A1的IP地址);
终端计算机A2的报文数据信息包括:加密过的报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:接收、对端IP地址:192.168.0.1;
终端计算机A2的数据信息列表包括:终端计算机A2接收的报文数据信息;
d.终端计算机A2读取所述报文数据信息中的进程名Finance.exe,本实施例该进程名Finance.exe包含在其授权进程列表中,即为被保护的业务系统的进程名,继续执行步骤e;
(如果终端计算机A2读取所述报文数据信息的进程名Finance.exe不包含在其授权进程列表中,执行步骤f;)
e.实施保护策略:将终端计算机A2的报文数据信息中的进程名Finance.exe作为保护进程的数据信息,实施保护策略,具体步骤如下:
e1.判断终端计算机A2的策略类型为安全性优先,继续执行步骤e2;
e2.判断终端计算机A2报文数据信息中的对端IP地址为192.168.0.1,此IP地址包含在终端计算机A2的授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,;
(如果对端IP地址不包含在其授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,;)
f.判断终端计算机A2报文数据信息中的报文传输方向为接收,则终端计算机A2将解密出的报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节传递给操作系统的上层网络驱动。
实施例2,策略类型为兼容性优先:
如图1所示,本发明的基于网络过滤驱动的业务系统传输安全加固方法,具体工作步骤如下:
终端计算机A1工作步骤如下:
a.配置保护策略:配置终端计算机A1的策略类型,授权IP地址列表,授权进程列表;
配置终端计算机A1的策略类型为兼容性优先;
配置终端计算机A1的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance.exe,并存储到其授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机A1和终端计算机A2的授权进程列表;
终端计算机A1的授权IP地址列表包括:被授权的终端计算机A1的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机A1的授权进程列表包括:被保护的业务系统,即财务管理系统的进程名Finance.exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机A1通过网络过滤驱动的方式捕获到发送的网络数据报文包括:报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:发送,终端计算机A1将捕获到的发送的网络数据报文存储到其通信缓存列表;
终端计算机A1的通信缓存列表包括:终端计算机A1发送的网络数据报文;
c.将通信缓存列表转换为数据信息列表:
终端计算机A1分析其通信缓存列表中存储的发送的网络数据报文中的报文内容、报文长度、进程名、报文传输方向,将发送的网络数据报文提取,分析转换为报文数据信息,并将该报文数据信息存储在其数据信息列表;
终端计算机A1通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址:192.168.0.2(即终端计算机A2的IP地址);
终端计算机A1的报文数据信息包括:报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:发送、对端IP地址:192.168.0.2;
终端计算机A1的数据信息列表包括:终端计算机A1发送的报文数据信息;
d.终端计算机A1读取所述报文数据信息中的进程名Finance.exe,本实施例该进程名Finance.exe包含在其授权进程列表中,即为被保护的业务系统的进程名,继续执行步骤e;
(如果终端计算机A1读取所述报文数据信息中的进程名Finance.exe不包含在其授权进程列表中,执行步骤f;)
e.实施保护策略:将终端计算机A1的报文数据信息中的进程名Finance.exe作为保护进程的数据信息,实施保护策略,具体步骤如下:
e1.判断终端计算机A1的策略类型为兼容性优先,执行步骤e3;
(e2.判断终端计算机A1的策略类型不为安全性优先,故不执行此步骤;)
e3.判断终端计算机A1报文数据信息中的对端IP地址为192.168.0.2,此IP地址包含在终端计算机A1的授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密;
(如果对端IP地址不包含在所述授权IP地址列表中,则不处理,即不加密不解密,结束;)
f.判断终端计算机A1报文数据信息中的报文传输方向为发送,则终端计算机A1将报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”(其中************为不可见字符),报文长度:1450字节传递给操作系统的下层网络驱动;
终端计算机A2工作步骤如下:
a.配置保护策略:配置终端计算机A2的策略类型,授权IP地址列表,授权进程列表;
配置终端计算机A2的策略类型为兼容性优先;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A1的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance.exe,并存储到终端计算机A2的授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机A1和终端计算机A2的授权进程列表;
终端计算机A2的授权IP地址列表包括:被授权的终端计算机A1的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机A2的授权进程列表包括:被保护的业务系统:财务管理系统的进程名Finance.exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机A2通过网络过滤驱动的方式捕获到接收的网络数据报文包括:加密过的报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:接收,终端计算机A2将捕获到接收的网络数据报文存储在其通信缓存列表;
终端计算机A2的通信缓存列表包括:终端计算机A2接收的网络数据报文;
c.将通信缓存列表转换为数据信息列表:
终端计算机A2分析其通信缓存列表中存储的接收的网络数据报文中的报文内容、报文长度、进程名、报文传输方向,将接收的网络数据报文提取,分析转换为报文数据信息,并将该报文数据信息存储到其数据信息列表;
终端计算机A2通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址:192.168.0.1(即终端计算机A1的IP地址);
终端计算机A2的报文数据信息包括:加密过的报文内容:“************,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节、进程名:Finance.exe、报文传输方向:接收、对端IP地址:192.168.0.1;
终端计算机A2的数据信息列表包括:终端计算机A2接收的报文数据信息;
d.终端计算机A2读取所述报文数据信息中的进程名Finance.exe,本实施例该进程名Finance.exe包含在其授权进程列表中,即为被保护的业务系统的进程名,继续执行步骤e;
(如果终端计算机A2读取所述报文数据信息的进程名Finance.exe不包含在其授权进程列表中,则不处理,即不加密不解密,执行步骤f;)
e.实施保护策略:将终端计算机A2的报文数据信息中的进程名Finance.exe作为保护进程的数据信息,实施保护策略,具体步骤如下:
e1.判断终端计算机A2的策略类型为兼容性优先,继续执行步骤e3;
(e2.判断终端计算机A2的策略类型不为安全性优先,故不执行此步骤;)
e3.判断终端计算机A2报文数据信息中的对端IP地址为192.168.0.1,此IP地址包含在终端计算机A2的授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密;
(如果对端IP地址不包含在其授权IP地址列表中,则不处理,即不加密不解密,执行步骤f;)
f.判断终端计算机A2报文数据信息中的报文传输方向为接收,则终端计算机A2将报文内容:“账号:A1@dev.gsc.com,密码:123456,文件:财务明细.xlsx,IP头信息:源IP地址:192.168.0.1、目的IP地址:192.168.0.2等”、报文长度:1450字节传递给操作系统的上层网络驱动。
上述方法也可应用于多终端计算机与服务器连接的网络应用系统中。
通过上述步骤实现了不改变终端计算机现有网络配置实现业务系统传输透明加密的问题,极大地降低部署实施难度、减少了系统资源占用、运营维护成本。