CN106257880A - 一种电磁屏蔽环境下的防火墙控制方法和系统 - Google Patents
一种电磁屏蔽环境下的防火墙控制方法和系统 Download PDFInfo
- Publication number
- CN106257880A CN106257880A CN201510338806.6A CN201510338806A CN106257880A CN 106257880 A CN106257880 A CN 106257880A CN 201510338806 A CN201510338806 A CN 201510338806A CN 106257880 A CN106257880 A CN 106257880A
- Authority
- CN
- China
- Prior art keywords
- electromagnetic shielding
- cabinet door
- state
- electromagnetism intensity
- electromgnetic seat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Lock And Its Accessories (AREA)
- Fire Alarms (AREA)
Abstract
本发明公开了一种电磁屏蔽环境下的防火墙控制方法和系统,包括:检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态。根据开关传感器的开关状态判断电磁屏蔽机柜柜门的开关状态。根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略。根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。通过本发明的方案,能够实现在屏蔽机柜被打开的情况下保证防火墙传输信息的保密性。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种电磁屏蔽环境下的防火墙控制方法和系统。
背景技术
随着互联网技术的快速发展以及便捷使用的特点,人们的生活、工作已经越来越依赖各种电子信息设备。电子信息设备在处理数字信息时伴随的电磁发射可以在空间传播,如果包含着敏感数字信息,就可以通过探测和截获辐射电磁波的形式来提取并还原出原始信息,就会导致敏感信息泄露,从电磁辐射泄露中获取情报,已经是某些国家非入侵式电子情报获取的重要手段之一。
网络安全网关和防火墙系统作为高级别信息安全的基础防护设施,同样属于信息处理设备,在机要部门等数据安全敏感度高的环境中,其处理转发的数据必须得到有效保护。为了防止泄露,管理人员会把网络安全网关和防火墙系统安装在电磁屏蔽机柜这样的设备中,通过电磁屏蔽机柜的屏蔽、隔离、接地、滤波等先进技术手段,可以有效地抑制柜内网络安全网关和防火墙系统的电磁辐射避免信息泄漏,同时防止外界的电磁干扰。
在实际部署后,在日常管理工作中,存在打开电磁屏蔽机柜进行日常巡检的需要,而电磁屏蔽机柜在开启柜门后,因为屏蔽密封空间被打开,就会导致电磁辐射泄露的发生。
经对现有技术的文献检索发现,中国专利申请号:CN201420450270,发明名称:一种电磁屏蔽机柜,该发明中的电磁屏蔽机柜通过锁定门把手的方式实现锁定功能,通过门把手控制机械锁紧机构的方式控制机柜的开/关,这样很大程度上增加了机柜的密闭性。该发明是通过安装两层屏蔽门的方式,防止屏蔽机柜的门锁本身成为电磁泄露的途径,但没有涉及屏蔽机柜被打开的情况下,如何控制被其保护的网络安全网关/防火墙系统的电磁辐射。
发明内容
为了解决上述问题,本发明提出了一种电磁屏蔽环境下的防火墙控制方法和系统,能够在屏蔽机柜被打开的情况下保证防火墙传输信息的保密性。
为了达到上述目的,本发明提出了一种电磁屏蔽环境下的防火墙控制方法,该方法包括:
检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态。
根据开关传感器的开关状态判断电磁屏蔽机柜柜门的开关状态。
根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略。
根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。
优选地,该方法还包括:
检测预先安装于电磁屏蔽机柜柜门附近预设范围内的电磁强度检测器件所检测到的电磁强度值。
将电磁强度值与预设的电磁强度阈值相比较,根据比较结果在防火墙中预设的一个或多个电磁安全转发策略中查找与比较结果相匹配的电磁安全转发策略;根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。或者,
将电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断电磁屏蔽机柜柜门的开关状态;根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略;根据相匹配的电磁安全转发策略处理到达防火墙的网络报文。
优选地,
将电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断电磁屏蔽机柜柜门的开关状态包括:
在电磁强度值大于或等于预设的电磁强度阈值时,判定电磁屏蔽机柜柜门的开关状态为开。
在电磁强度值小于预设的电磁强度阈值时,判定电磁屏蔽机柜柜门的开关状态为关。
优选地,一个或多个电磁安全转发策略按照传播信息的保密等级分为屏蔽传输级和非屏蔽传输级两个集合;每个电磁安全转发策略中包含与该电磁安全转发策略所在集合相匹配的允许转发的网络信息的类型。
网络信息的类型包括以下信息的一种或多种:网络接口、网络协议,网络地址、网络服务、网络应用和数据内容。
优选地,
根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略包括:
在电磁屏蔽机柜柜门的开关状态为开时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁屏蔽机柜柜门的开关状态为关时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
将电磁强度值与预设的电磁强度阈值相比较,根据比较结果在防火墙中预设的一个或多个电磁安全转发策略中查找与比较结果相匹配的电磁安全转发策略包括:
在电磁强度值大于或等于预设的电磁强度阈值时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁强度值小于预设的电磁强度阈值时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
为了达到上述目的,本发明还提出了一种电磁屏蔽环境下的防火墙控制系统,该系统包括:第一检测模块、第一判断模块、第一查找模块和处理模块。
第一检测模块,用于检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态。
第一判断模块,用于根据开关传感器的开关状态判断电磁屏蔽机柜柜门的开关状态。
第一查找模块,用于根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略。
处理模块,用于根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。
优选地,该系统还包括:第二检测模块、第二判断模块和第二查找模块。
第二检测模块,用于检测预先安装于电磁屏蔽机柜柜门附近预设范围内的电磁强度检测器件所检测到的电磁强度值。
第二查找模块,用于将电磁强度值与预设的电磁强度阈值相比较,根据比较结果在防火墙中预设的一个或多个电磁安全转发策略中查找与比较结果相匹配的电磁安全转发策略。
第二判断模块,用于将电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断电磁屏蔽机柜柜门的开关状态。
优选地,
第二判断模块将电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断电磁屏蔽机柜柜门的开关状态是指:
在电磁强度值大于或等于预设的电磁强度阈值时,判定电磁屏蔽机柜柜门的开关状态为开。
在电磁强度值小于预设的电磁强度阈值时,判定电磁屏蔽机柜柜门的开关状态为关。
优选地,一个或多个电磁安全转发策略按照传播信息的保密等级分为屏蔽传输级和非屏蔽传输级两个集合;每个电磁安全转发策略中包含与该电磁安全转发策略所在集合相匹配的允许转发的网络信息的类型。
网络信息的类型包括以下信息的一种或多种:网络接口、网络协议,网络地址、网络服务、网络应用和数据内容。
优选地,
第一查找模块根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略是指:
在电磁屏蔽机柜柜门的开关状态为开时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁屏蔽机柜柜门的开关状态为关时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
第二查找模块将电磁强度值与预设的电磁强度阈值相比较,根据比较结果在防火墙中预设的一个或多个电磁安全转发策略中查找与比较结果相匹配的电磁安全转发策略是指:
在电磁强度值大于或等于预设的电磁强度阈值时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁强度值小于预设的电磁强度阈值时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
与现有技术相比,本发明包括:检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态。根据开关传感器的开关状态判断电磁屏蔽机柜柜门的开关状态。根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略。根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。通过本发明的方案,能够实现在屏蔽机柜被打开的情况下保证防火墙传输信息的保密性。
附图说明
下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
图1为本发明的电磁屏蔽环境下的防火墙控制方法流程图;
图2为本发明实施例中另一种电磁屏蔽环境下的防火墙控制方法的流程图;
图3为本发明实施例中另一种电磁屏蔽环境下的防火墙控制方法的流程图;
图4为本发明的电磁屏蔽环境下的防火墙控制系统框图。
具体实施方式
为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不能用来限制本发明的保护范围。
本发明的目的在于针对已有实现技术和现有发明的不足,提出了一种基于电磁屏蔽机柜状态的网络安全网关和防火墙的控制系统及方法,能够通过外部或内部接口感知电磁屏蔽机柜的柜门是否被打开,并按照管理员预定义的策略,停止转发机要数据,防止当前泄露的电磁辐射中包含敏感信息,从而提高整体信息安全性。
需要说明的是,在以下内容中,虽然都是以防火墙来对本发明的方案进行描述,但本发明方案同样适用于网络安全网络。并且,在本发明实施例中,防火墙/安全网关系统,应该理解为包含但不限于以下任意一种:传统的防火墙、传统的安全网关、下一代防火墙、应用防火墙,入侵防护系统、入侵防御系统、病毒防火墙、病毒安全网关、上网行为管理等产品形态。
为了达到上述目的,本发明提出了一种电磁屏蔽环境下的防火墙控制方法,如图1所示,该方法包括:
S101、检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态。
在本发明实施例中,不限制该开关传感器的类型和型号,凡是适用于本发明方案中的电磁屏蔽机柜柜门上使用的开关传感器均可,并且不限制开关传感器的开关状态的检测方法,任何能对所使用的开关传感器的开关状态进行检测的方法均可。
电磁屏蔽机柜柜门上的开关传感器可以通过USB接口和防火墙或网络安全网关系统连接。
S102、根据开关传感器的开关状态判断电磁屏蔽机柜柜门的开关状态。
S103、根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略。
在本发明实施例中,管理员需要在防火墙和/或安全网关系统上预先配置电磁安全转发策略,预先配置电磁安全转发策略可以为一个或多个。
优选地,一个或多个电磁安全转发策略按照传播信息的保密等级分为屏蔽传输级和非屏蔽传输级两个集合;每个电磁安全转发策略中包含与该电磁安全转发策略所在集合相匹配的允许转发的网络信息的类型。
网络信息的类型包括以下信息的一种或多种:网络接口、网络协议,网络地址、网络服务、网络应用和数据内容。
优选地,
根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略包括:
在电磁屏蔽机柜柜门的开关状态为开时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁屏蔽机柜柜门的开关状态为关时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
S104、根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。
在本发明实施例中,获得了电磁屏蔽机柜柜门的开关状态以后,在对到达防火墙的网络报文进行处理之前,还需要在电磁屏蔽机柜柜门位开状态时判断到达防火墙的网络报文中所包含的数据的保密等级,根据该保密等级判断到达防火墙的网络报文中所包含的数据哪一部分属于屏蔽传输级,哪一部分属于非屏蔽传输级;并且对属于非屏蔽传输级的数据仅启用非屏蔽传输级的集合所包含的电磁安全转发策略,对属于屏蔽传输级的数据不进行转发;在电磁屏蔽机柜柜门的开关状态为关时,对到达防火墙的网络报文启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略,即不对到达防火墙的网络报文进行保密等级的检测,全部转发。
在本发明的实施例中,还有另外两种实施方案,具体如下所述。
优选地,如图2所示,该方法还包括:
S201、检测预先安装于电磁屏蔽机柜柜门附近预设范围内的电磁强度检测器件所检测到的电磁强度值。
在本发明实施例中,同样不限制该电磁强度检测器件的类型和型号,凡是适用于本发明方案中的电磁屏蔽机柜柜门附近使用的电磁强度检测器件均可,并且不限制电磁强度检测器件的电磁强度值的检测方法,任何能对所使用的电磁强度检测器件的电磁强度值进行检测的方法均可。
电磁屏蔽机柜柜门附近使用的电磁强度检测器件可以通过USB接口和防火墙或网络安全网关系统连接。
S202、将电磁强度值与预设的电磁强度阈值相比较,根据比较结果在防火墙中预设的一个或多个电磁安全转发策略中查找与比较结果相匹配的电磁安全转发策略。
优选地,一个或多个电磁安全转发策略按照传播信息的保密等级分为屏蔽传输级和非屏蔽传输级两个集合;每个电磁安全转发策略中包含与该电磁安全转发策略所在集合相匹配的允许转发的网络信息的类型。
网络信息的类型包括以下信息的一种或多种:网络接口、网络协议,网络地址、网络服务、网络应用和数据内容。
优选地,
将电磁强度值与预设的电磁强度阈值相比较,根据比较结果在防火墙中预设的一个或多个电磁安全转发策略中查找与比较结果相匹配的电磁安全转发策略包括:
在电磁强度值大于或等于预设的电磁强度阈值时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁强度值小于预设的电磁强度阈值时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
S203、根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。
在本发明实施例中,获得了电磁屏蔽机柜柜门附近预设范围内的电磁强度检测器件所检测到的电磁强度值与预设的电磁强度阈值的比较结果以后,在对到达防火墙的网络报文进行处理之前,还需要在在电磁强度值大于或等于预设的电磁强度阈值时判断到达防火墙的网络报文中所包含的数据的保密等级,根据该保密等级判断到达防火墙的网络报文中所包含的数据哪一部分属于屏蔽传输级,哪一部分属于非屏蔽传输级;并且对属于非屏蔽传输级的数据仅启用非屏蔽传输级的集合所包含的电磁安全转发策略,对属于屏蔽传输级的数据不进行转发;在电磁强度值小于预设的电磁强度阈值时,对到达防火墙的网络报文启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略,即不对到达防火墙的网络报文进行保密等级的检测,全部转发。
该方案在没有电磁屏蔽机柜的情况下也可以使用,可以对任何有电磁辐射,但又需要保密传输的信息进行监测。
优选地,如图3所示,该方法还包括:
S301、检测预先安装于电磁屏蔽机柜柜门附近预设范围内的电磁强度检测器件所检测到的电磁强度值。
在本发明实施例中,同样不限制该电磁强度检测器件的类型和型号,凡是适用于本发明方案中的电磁屏蔽机柜柜门附近使用的电磁强度检测器件均可,并且不限制电磁强度检测器件的电磁强度值的检测方法,任何能对所使用的电磁强度检测器件的电磁强度值进行检测的方法均可。
电磁屏蔽机柜柜门附近使用的电磁强度检测器件可以通过USB接口和防火墙或网络安全网关系统连接。
S302、将电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断电磁屏蔽机柜柜门的开关状态。
优选地,
将电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断电磁屏蔽机柜柜门的开关状态包括:
在电磁强度值大于或等于预设的电磁强度阈值时,判定电磁屏蔽机柜柜门的开关状态为开。
在电磁强度值小于预设的电磁强度阈值时,判定电磁屏蔽机柜柜门的开关状态为关。
S303、根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略。
优选地,一个或多个电磁安全转发策略按照传播信息的保密等级分为屏蔽传输级和非屏蔽传输级两个集合;每个电磁安全转发策略中包含与该电磁安全转发策略所在集合相匹配的允许转发的网络信息的类型。
网络信息的类型包括以下信息的一种或多种:网络接口、网络协议,网络地址、网络服务、网络应用和数据内容。
优选地,
根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略包括:
在电磁屏蔽机柜柜门的开关状态为开时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁屏蔽机柜柜门的开关状态为关时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
S304、根据相匹配的电磁安全转发策略处理到达防火墙的网络报文。
在本发明实施例中,获得了电磁屏蔽机柜柜门的开关状态以后,在对到达防火墙的网络报文进行处理之前,还需要在电磁屏蔽机柜柜门位开状态时判断到达防火墙的网络报文中所包含的数据的保密等级,根据该保密等级判断到达防火墙的网络报文中所包含的数据哪一部分属于屏蔽传输级,哪一部分属于非屏蔽传输级;并且对属于非屏蔽传输级的数据仅启用非屏蔽传输级的集合所包含的电磁安全转发策略,对属于屏蔽传输级的数据不进行转发;在电磁屏蔽机柜柜门的开关状态为关时,对到达防火墙的网络报文启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略,即不对到达防火墙的网络报文进行保密等级的检测,全部转发。
为了达到上述目的,本发明还提出了一种电磁屏蔽环境下的防火墙控制系统01,如图4所示,该系统包括:第一检测模块02、第一判断模块03、第一查找模块04和处理模块05。
第一检测模块02,用于检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态。
第一判断模块03,用于根据开关传感器的开关状态判断电磁屏蔽机柜柜门的开关状态。
第一查找模块04,用于根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略。
处理模块05,用于根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。
优选地,该系统还包括:第二检测模块06、第二判断模块07和第二查找模块08。
第二检测模块06,用于检测预先安装于电磁屏蔽机柜柜门附近预设范围内的电磁强度检测器件所检测到的电磁强度值。
第二查找模块07,用于将电磁强度值与预设的电磁强度阈值相比较,根据比较结果在防火墙中预设的一个或多个电磁安全转发策略中查找与比较结果相匹配的电磁安全转发策略。
第二判断模块08,用于将电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断电磁屏蔽机柜柜门的开关状态。
优选地,
第二判断模块08将电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断电磁屏蔽机柜柜门的开关状态是指:
在电磁强度值大于或等于预设的电磁强度阈值时,判定电磁屏蔽机柜柜门的开关状态为开。
在电磁强度值小于预设的电磁强度阈值时,判定电磁屏蔽机柜柜门的开关状态为关。
优选地,一个或多个电磁安全转发策略按照传播信息的保密等级分为屏蔽传输级和非屏蔽传输级两个集合;每个电磁安全转发策略中包含与该电磁安全转发策略所在集合相匹配的允许转发的网络信息的类型。
网络信息的类型包括以下信息的一种或多种:网络接口、网络协议,网络地址、网络服务、网络应用和数据内容。
优选地,
第一查找模块04根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略是指:
在电磁屏蔽机柜柜门的开关状态为开时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁屏蔽机柜柜门的开关状态为关时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
第二查找模块07将电磁强度值与预设的电磁强度阈值相比较,根据比较结果在防火墙中预设的一个或多个电磁安全转发策略中查找与比较结果相匹配的电磁安全转发策略是指:
在电磁强度值大于或等于预设的电磁强度阈值时,仅启用非屏蔽传输级的集合所包含的电磁安全转发策略;在电磁强度值小于预设的电磁强度阈值时,则启用屏蔽传输级和非屏蔽传输级两个集合中包含的所有电磁安全转发策略。
与现有技术相比,本发明包括:检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态。根据开关传感器的开关状态判断电磁屏蔽机柜柜门的开关状态。根据电磁屏蔽机柜柜门的开关状态在防火墙中预设的一个或多个电磁安全转发策略中查找与电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略。根据相匹配的该电磁安全转发策略处理到达防火墙的网络报文。通过本发明的方案,能够实现在屏蔽机柜被打开的情况下保证防火墙传输信息的保密性,即,可以实现电磁屏蔽机柜打开的情况下,阻止被其保护的防火墙和网络安全网关系统正在转发的网络敏感信息通过电磁泄露的方式泄密。
需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
Claims (10)
1.一种电磁屏蔽环境下的防火墙控制方法,其特征在于,所述方法包括:
检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态;
根据所述开关传感器的开关状态判断所述电磁屏蔽机柜柜门的开关状态;
根据所述电磁屏蔽机柜柜门的开关状态在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略;
根据相匹配的所述电磁安全转发策略处理到达所述防火墙的网络报文。
2.如权利要求1所述的控制方法,其特征在于,所述方法还包括:
检测预先安装于所述电磁屏蔽机柜柜门附近预设范围内的电磁强度检测器件所检测到的电磁强度值;
将所述电磁强度值与预设的电磁强度阈值相比较,根据比较结果在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述比较结果相匹配的电磁安全转发策略;根据相匹配的所述电磁安全转发策略处理到达所述防火墙的网络报文;或者,
将所述电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断所述电磁屏蔽机柜柜门的开关状态;根据所述电磁屏蔽机柜柜门的开关状态在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略;根据相匹配的所述电磁安全转发策略处理到达所述防火墙的网络报文。
3.如权利要求2所述的控制方法,其特征在于,
将所述电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断所述电磁屏蔽机柜柜门的开关状态包括:
在所述电磁强度值大于或等于所述预设的电磁强度阈值时,判定所述电磁屏蔽机柜柜门的开关状态为开;
在所述电磁强度值小于所述预设的电磁强度阈值时,判定所述电磁屏蔽机柜柜门的开关状态为关。
4.如权利要求1或3所述的控制方法,其特征在于,所述一个或多个电磁安全转发策略按照传播信息的保密等级分为屏蔽传输级和非屏蔽传输级两个集合;每个所述电磁安全转发策略中包含与所述电磁安全转发策略所在集合相匹配的允许转发的网络信息的类型;
所述网络信息的类型包括以下信息的一种或多种:网络接口、网络协议,网络地址、网络服务、网络应用和数据内容。
5.如权利要求4所述的控制方法,其特征在于,
根据所述电磁屏蔽机柜柜门的开关状态在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略包括:
在所述电磁屏蔽机柜柜门的开关状态为开时,仅启用所述非屏蔽传输级的集合所包含的所述电磁安全转发策略;在所述电磁屏蔽机柜柜门的开关状态为关时,则启用所述屏蔽传输级和所述非屏蔽传输级两个集合中包含的所有所述电磁安全转发策略;
将所述电磁强度值与预设的电磁强度阈值相比较,根据比较结果在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述比较结果相匹配的电磁安全转发策略包括:
在所述电磁强度值大于或等于所述预设的电磁强度阈值时,仅启用所述非屏蔽传输级的集合所包含的所述电磁安全转发策略;在所述电磁强度值小于所述预设的电磁强度阈值时,则启用所述屏蔽传输级和所述非屏蔽传输级两个集合中包含的所有所述电磁安全转发策略。
6.一种电磁屏蔽环境下的防火墙控制系统,其特征在于,所述系统包括:第一检测模块、第一判断模块、第一查找模块和处理模块;
所述第一检测模块,用于检测预先安装于电磁屏蔽机柜柜门上的开关传感器的开关状态;
所述第一判断模块,用于根据所述开关传感器的开关状态判断所述电磁屏蔽机柜柜门的开关状态;
所述第一查找模块,用于根据所述电磁屏蔽机柜柜门的开关状态在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略;
所述处理模块,用于根据相匹配的所述电磁安全转发策略处理到达所述防火墙的网络报文。
7.如权利要求6所述的控制系统,其特征在于,所述系统还包括:第二检测模块、第二判断模块和第二查找模块;
所述第二检测模块,用于检测预先安装于所述电磁屏蔽机柜柜门附近预设范围内的电磁强度检测器件所检测到的电磁强度值;
所述第二查找模块,用于将所述电磁强度值与预设的电磁强度阈值相比较,根据比较结果在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述比较结果相匹配的电磁安全转发策略;
所述第二判断模块,用于将所述电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断所述电磁屏蔽机柜柜门的开关状态。
8.如权利要求7所述的控制系统,其特征在于,
所述第二判断模块将所述电磁强度值与预设的电磁强度阈值相比较,根据比较结果判断所述电磁屏蔽机柜柜门的开关状态是指:
在所述电磁强度值大于或等于所述预设的电磁强度阈值时,判定所述电磁屏蔽机柜柜门的开关状态为开;
在所述电磁强度值小于所述预设的电磁强度阈值时,判定所述电磁屏蔽机柜柜门的开关状态为关。
9.如权利要求6或8所述的控制系统,其特征在于,所述一个或多个电磁安全转发策略按照传播信息的保密等级分为屏蔽传输级和非屏蔽传输级两个集合;每个所述电磁安全转发策略中包含与所述电磁安全转发策略所在集合相匹配的允许转发的网络信息的类型;
所述网络信息的类型包括以下信息的一种或多种:网络接口、网络协议,网络地址、网络服务、网络应用和数据内容。
10.如权利要求9所述的控制系统,其特征在于,
所述第一查找模块根据所述电磁屏蔽机柜柜门的开关状态在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述电磁屏蔽机柜柜门的开关状态相匹配的电磁安全转发策略是指:
在所述电磁屏蔽机柜柜门的开关状态为开时,仅启用所述非屏蔽传输级的集合所包含的所述电磁安全转发策略;在所述电磁屏蔽机柜柜门的开关状态为关时,则启用所述屏蔽传输级和所述非屏蔽传输级两个集合中包含的所有所述电磁安全转发策略;
所述第二查找模块将所述电磁强度值与预设的电磁强度阈值相比较,根据比较结果在所述防火墙中预设的一个或多个电磁安全转发策略中查找与所述比较结果相匹配的电磁安全转发策略是指:
在所述电磁强度值大于或等于所述预设的电磁强度阈值时,仅启用所述非屏蔽传输级的集合所包含的所述电磁安全转发策略;在所述电磁强度值小于所述预设的电磁强度阈值时,则启用所述屏蔽传输级和所述非屏蔽传输级两个集合中包含的所有所述电磁安全转发策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510338806.6A CN106257880B (zh) | 2015-06-17 | 2015-06-17 | 一种电磁屏蔽环境下的防火墙控制方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510338806.6A CN106257880B (zh) | 2015-06-17 | 2015-06-17 | 一种电磁屏蔽环境下的防火墙控制方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106257880A true CN106257880A (zh) | 2016-12-28 |
CN106257880B CN106257880B (zh) | 2019-06-28 |
Family
ID=57713873
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510338806.6A Active CN106257880B (zh) | 2015-06-17 | 2015-06-17 | 一种电磁屏蔽环境下的防火墙控制方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106257880B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1551245A (zh) * | 2003-05-12 | 2004-12-01 | 在屏蔽的外壳内的无线通信 | |
US20060104284A1 (en) * | 2002-11-11 | 2006-05-18 | Xiaobao Chen | Filtering data packets at a network gateway working as a service-based policy (sblp) enforcement point |
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN101111053A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
CN103916239A (zh) * | 2014-04-09 | 2014-07-09 | 长春大学 | 一种用于金融证券网络的量子保密通信网关系统 |
CN204104290U (zh) * | 2014-09-28 | 2015-01-14 | 江苏华宁电子系统工程有限公司 | 一种全自动指纹密钥型电磁屏蔽机柜 |
-
2015
- 2015-06-17 CN CN201510338806.6A patent/CN106257880B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060104284A1 (en) * | 2002-11-11 | 2006-05-18 | Xiaobao Chen | Filtering data packets at a network gateway working as a service-based policy (sblp) enforcement point |
CN1551245A (zh) * | 2003-05-12 | 2004-12-01 | 在屏蔽的外壳内的无线通信 | |
CN101111053A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN103916239A (zh) * | 2014-04-09 | 2014-07-09 | 长春大学 | 一种用于金融证券网络的量子保密通信网关系统 |
CN204104290U (zh) * | 2014-09-28 | 2015-01-14 | 江苏华宁电子系统工程有限公司 | 一种全自动指纹密钥型电磁屏蔽机柜 |
Also Published As
Publication number | Publication date |
---|---|
CN106257880B (zh) | 2019-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Khan et al. | Threat analysis of blackenergy malware for synchrophasor based real-time control and monitoring in smart grid | |
CN104023034B (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
Slay et al. | Lessons learned from the maroochy water breach | |
Hong et al. | Detection of cyber intrusions using network-based multicast messages for substation automation | |
Fan et al. | Overview of cyber-security of industrial control system | |
US10862926B2 (en) | Cybersecurity threat detection and mitigation system | |
Harrop et al. | Cyber resilience: A review of critical national infrastructure and cyber security protection measures applied in the UK and USA | |
Robinson | The SCADA threat landscape | |
EP3182669B1 (en) | Integrated industrial system and control method thereof | |
Hussain et al. | Vulnerabilities and countermeasures in electrical substations | |
CN109639634A (zh) | 一种物联网自适应安全防护方法及系统 | |
KR20170066031A (ko) | Emp 방호 랙 시스템 | |
Xie et al. | Physical and cybersecurity in a smart grid environment | |
CN103227988A (zh) | 智能物联网及其控制方法 | |
CN105516177A (zh) | 基于sdn和nfv的5g网络多级攻击缓解方法 | |
CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
CN111010384A (zh) | 一种物联网终端自我安全防御系统及其安全防御方法 | |
Elbez et al. | A new classification of attacks against the cyber-physical security of smart grids | |
CN104954864B (zh) | 双向机顶盒入侵检测系统及其检测方法 | |
CN115563613A (zh) | 一种文件安全检测系统及方法 | |
CN106789982A (zh) | 一种应用于工业控制系统中的安全防护方法和系统 | |
Wang et al. | A survey on cybersecurity attacks and defenses for unmanned aerial systems | |
Dolezilek et al. | Cybersecurity based on IEC 62351 and IEC 62443 for IEC 61850 systems | |
CN114137934A (zh) | 一种具有入侵检测功能的工业控制系统及检测方法 | |
CN106257880A (zh) | 一种电磁屏蔽环境下的防火墙控制方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |