CN106789873B - 一种等级保护安全边界的检查方法 - Google Patents
一种等级保护安全边界的检查方法 Download PDFInfo
- Publication number
- CN106789873B CN106789873B CN201610994094.8A CN201610994094A CN106789873B CN 106789873 B CN106789873 B CN 106789873B CN 201610994094 A CN201610994094 A CN 201610994094A CN 106789873 B CN106789873 B CN 106789873B
- Authority
- CN
- China
- Prior art keywords
- boundary
- domain
- address
- domains
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 13
- 238000007689 inspection Methods 0.000 title claims description 8
- 238000004891 communication Methods 0.000 claims abstract description 12
- 239000000523 sample Substances 0.000 claims abstract description 9
- 238000012545 processing Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 238000013316 zoning Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种等级保护安全边界的检查方法,首先要为域内所有连入网络的机器安装探头软件,不同域的各个探头之间每隔24小时进行一次通讯,且返回源IP地址、目的IP地址及通讯是否成功的反馈结果等数据,接着将返回数据统一上传至数据库服务器,并根据源IP地址和目的IP地址所属域,按照每两个域之间有两种指向来标志,根据域的数量M,建立M*(M‑1)张表来分别存储返还数据,然后采对同一个域中的探头反馈的重复数据进行归并,得到各个域之间的边界访问策略,最后将每次返回数据的处理结果和前一次进行比对,由此得知安全边界的调整变化情况。本发明能够提高识别效率和准确度,且在安全防护边界经常性变动的情况下,确保安全防护边界有效性并能及时地发现安全隐患。
Description
技术领域:
本发明涉及信息安全等级保护技术领域,具体讲是一种等级保护安全边界的检查方法。
背景技术:
根据国家电网公司信息化SG186工程安全总体防护方案,对管理信息大区系统的安全防护体系建设采用了“分区、分级、分域”的安全防护方针,将各系统划分至相应安全域进行防护,具体是指在国家电网公司信息系统划分为管理信息大区与生产控制大区的基础上,将管理信息大区的系统依据定级情况及业务系统类型,进行安全域的划分,以实现不同安全域的独立化、差异化的防护,在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计。
国家电网公司对不同的安全域之间所交换的数据流采取访问控制措施,部署在等级保护安全边界上,具体措施包括硬件或软件防火墙、虚拟防火墙技术以及VLAN间访问控制技术,具体实现方式各可根据具体情况进行选择。
在实际生产运营中,由于业务需求,各安全域之间的安全防护边界会经常进行更改变动,为了确保安全防护边界的有效性,需要对其进行定期检查。目前的信息安全等级保护的边界通常采用手工检查的方式,因此存在效率低下,识别困难,效果较差等问题。
发明内容:
本发明要解决的技术问题是,提供一种不但能够提高识别的效率和准确度,而且可以在安全防护边界经常性变动的情况下,确保安全防护边界的有效性并能及时地发现安全隐患的等级保护安全边界的检查方法。
本发明的技术解决方案是,提供一种等级保护安全边界的检查方法,包括该检查方法包括以下步骤:
①为域内所有连入网络的机器安装探头软件;
②不同域的各个探头之间每隔24小时进行一次通讯,通讯采用全端口扫描的方式,且返回以下数据:源IP地址、目的IP地址、协议、端口号及通讯是否成功的反馈结果;
③将步骤②中所述的返回数据统一上传至数据库服务器,并根据源IP地址和目的IP地址所属域,按照每两个域之间有两种指向来标志,根据域的数量M,建立M*(M-1)张表,来分别存储以上返回数据;
④对同一个域中的探头反馈的重复数据进行归并,最终得到各个域之间的边界访问策略;
⑤将每次返回数据的处理结果和前一次进行比对,由此得知安全边界的调整变化情况。
本发明一种等级保护安全边界的检查方法具有的有益效果是:
1、本发明能够提高识别的效率和准确度。
2、在安全防护边界经常性变动的情况下,本发明可以确保安全防护边界的有效性并能及时地发现安全隐患。
附图说明:
图1是信息安全防护体系分域后的结构示意图。
具体实施方式:
下面结合附图和具体实施方式对本发明一种等级保护安全边界的检查方法作进一步说明:
如图1所示,信息安全防护体系通常会被分成营销域、桌面域或ERP域等各种安全域,各安全域之间的安全防护边界通常被称为域间安全边界(即图1中的粗实线所示),而同一个安全域内的安全防护边界通常被称为域内安全边界(即图1中每个安全域内的虚线所示)。为了确保这些安全防护边界的有效性,本发明采用的检查方法步骤如下:
①为域内所有连入网络的机器安装探头软件,图1中所示的圆形表示安装有探头软件的机器,探头软件”指的是特定的软件,是针对本发明申请专门开发的特定程序,其原理是通过对记录的地址段进行全端口扫描(此项技术是已有的成熟技术),来判断当前网络结构拓扑中的连通性。
②不同域的各个探头之间每隔24小时进行一次通讯,通讯采用全端口扫描(0-65535)的方式,且返回以下数据:源IP地址、目的IP地址、协议、端口号及通讯是否成功,其中,通讯是否成功是指发送的数据包得到反馈,可以将反馈的结果理解为一种数据,其值只有“成功”、“不成功”。
③将步骤②中所述的返回数据统一上传至数据库服务器,并根据源IP地址和目的IP地址所属域,按照每两个域之间有两种指向来标志,根据域的数量M,建立M*(M-1)张表,来分别存储以上返回数据,“两种指向”是指“从源IP到目的IP”和“从目的IP到源IP”。
④对同一个域中的探头反馈的重复数据进行归并,最终得到各个域之间的边界访问策略。
⑤将每次返回数据的处理结果和前一次进行比对,由此得知安全边界的调整变化情况。
传统的边界检查方法是针对边界防火墙策略进行梳理,得出不同域之间的访问策略,当网络拓扑较大时,就需要对所有的域间边界进行梳理,从而整理出完整的边界防护策略,效率较低。采用本发明申请提出的方法,可以通过探头探测出不同域之间的策略,再通过数据库服务器进行统一的处理,可以迅速获得域间边界策略。由于所有的数据均每天更新,当拓扑变化较为频繁的时候,可以第一时间反应出当前的访问策略,通过比对变化的策略,可以迅速的排查可能存在的策略问题,综上所述,本发明不但可以提高识别的效率和准确度,而且在安全防护边界经常性变动的情况下,可以确保安全防护边界的有效性并能及时地发现安全隐患。
以上所述的实施方式仅仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案做出的各种变形和改进,均应落入本发明权利要求书确定的保护范围内。
Claims (1)
1.一种等级保护安全边界的检查方法,其特征在于:该检查方法包括以下步骤:
①为域内所有连入网络的机器安装探头软件;
②不同域的各个探头之间每隔24小时进行一次通讯,通讯采用全端口扫描的方式,且返回以下数据:源IP地址、目的IP地址、协议、端口号及通讯是否成功的反馈结果;
③将步骤②中所述的返回数据统一上传至数据库服务器,并根据源IP地址和目的IP地址所属域,按照每两个域之间有两种指向来标志,根据域的数量M,建立M*(M-1)张表来分别存储以上返回数据,所述两种指向是指从源IP到目的IP和从目的IP到源IP;
④对同一个域中的探头反馈的重复数据进行归并,最终得到各个域之间的边界访问策略;
⑤将每次返回数据的处理结果和前一次进行比对,由此得知安全边界的调整变化情况。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610994094.8A CN106789873B (zh) | 2016-11-11 | 2016-11-11 | 一种等级保护安全边界的检查方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610994094.8A CN106789873B (zh) | 2016-11-11 | 2016-11-11 | 一种等级保护安全边界的检查方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106789873A CN106789873A (zh) | 2017-05-31 |
CN106789873B true CN106789873B (zh) | 2020-09-01 |
Family
ID=58973275
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610994094.8A Expired - Fee Related CN106789873B (zh) | 2016-11-11 | 2016-11-11 | 一种等级保护安全边界的检查方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106789873B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112738114B (zh) * | 2020-12-31 | 2023-04-07 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
CN115643058A (zh) * | 2022-10-09 | 2023-01-24 | 上海有孚网络股份有限公司 | 云虚拟机零信任处理及运维方法、装置、电子设备、介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141308A (zh) * | 2007-10-15 | 2008-03-12 | 清华大学 | 一种ip主干网的拓扑发现方法 |
CN102158348A (zh) * | 2011-01-30 | 2011-08-17 | 北京星网锐捷网络技术有限公司 | 网络拓扑发现方法、装置及网络设备 |
CN102404159A (zh) * | 2011-12-30 | 2012-04-04 | 南京邮电大学 | 一种基于事件触发的认知网络拓扑发现方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
CN102143007A (zh) * | 2011-05-03 | 2011-08-03 | 中国南方电网有限责任公司 | 基于分布式的多级网络拓扑发现方法 |
CN102170372B (zh) * | 2011-06-09 | 2014-08-06 | 长安大学 | 网络结构监测与边界勘验方法 |
CN103166944B (zh) * | 2011-12-19 | 2016-02-24 | 中国人民解放军63928部队 | 一种基于角色映射的跨安全域数据访问控制方法 |
-
2016
- 2016-11-11 CN CN201610994094.8A patent/CN106789873B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141308A (zh) * | 2007-10-15 | 2008-03-12 | 清华大学 | 一种ip主干网的拓扑发现方法 |
CN102158348A (zh) * | 2011-01-30 | 2011-08-17 | 北京星网锐捷网络技术有限公司 | 网络拓扑发现方法、装置及网络设备 |
CN102404159A (zh) * | 2011-12-30 | 2012-04-04 | 南京邮电大学 | 一种基于事件触发的认知网络拓扑发现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106789873A (zh) | 2017-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210152443A1 (en) | Technologies for annotating process and user information for network flows | |
US10601637B2 (en) | Hierarchical network managers | |
EP2562973B1 (en) | Virtual machine migration method, switch, virtual machine system | |
US9602375B2 (en) | Tracing host-originated logical network packets | |
Wang et al. | Fog computing: Issues and challenges in security and forensics | |
US20150229641A1 (en) | Migration of a security policy of a virtual machine | |
CN103118148B (zh) | 一种arp缓存更新方法和设备 | |
CN102316001A (zh) | 一种虚拟网络连接配置实现方法和网络设备 | |
CN107888613B (zh) | 一种基于云平台的管理系统 | |
TWI474681B (zh) | 雲端系統中的虛擬機器連線方法 | |
CN106789873B (zh) | 一种等级保护安全边界的检查方法 | |
CN104092730A (zh) | 一种云计算系统 | |
CN105245386A (zh) | 服务器连接关系的自动定位方法和系统 | |
WO2023207202A1 (zh) | 创建网络配置模板及网络配置的方法、装置和设备 | |
CN105607606B (zh) | 一种基于双主板架构的数据采集装置及方法 | |
CN104363306A (zh) | 一种企业私有云管理控制方法 | |
CN109582509A (zh) | 分布式文件系统容灾配置方法、装置和可读存储介质 | |
CN103117880A (zh) | 一种基于Web技术的网络拓扑图生成方法 | |
CN108040131A (zh) | 整机柜服务器自动配置节点管理模块网口地址的方法 | |
CN104410668A (zh) | 一种适用于公有云的虚拟机远程桌面管理方法 | |
CN102523135B (zh) | 电网信息化评测远程测试系统 | |
CN104700512B (zh) | 采用dhcp与dns协议快速配置服务器与网络税控器集群的方法 | |
CN107169579A (zh) | 一种电梯维保云平台运营管理系统 | |
CN116599775B (zh) | 一种主被动探测结合的资产发现系统及方法 | |
CN116860381B (zh) | 一种可视化微服务灰度发布的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200901 Termination date: 20201111 |
|
CF01 | Termination of patent right due to non-payment of annual fee |