CN108494729A - 一种零信任模型实现系统 - Google Patents

一种零信任模型实现系统 Download PDF

Info

Publication number
CN108494729A
CN108494729A CN201810124359.8A CN201810124359A CN108494729A CN 108494729 A CN108494729 A CN 108494729A CN 201810124359 A CN201810124359 A CN 201810124359A CN 108494729 A CN108494729 A CN 108494729A
Authority
CN
China
Prior art keywords
zero
physical machine
security card
node security
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810124359.8A
Other languages
English (en)
Other versions
CN108494729B (zh
Inventor
刘学毅
刘磊
洪运
刘景文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Tian Qin Co Creation Technology Co Ltd
Beijing Zhuo Xxx Technology Co Ltd
Original Assignee
Beijing Tian Qin Co Creation Technology Co Ltd
Beijing Zhuo Xxx Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Tian Qin Co Creation Technology Co Ltd, Beijing Zhuo Xxx Technology Co Ltd filed Critical Beijing Tian Qin Co Creation Technology Co Ltd
Priority to CN201810124359.8A priority Critical patent/CN108494729B/zh
Publication of CN108494729A publication Critical patent/CN108494729A/zh
Application granted granted Critical
Publication of CN108494729B publication Critical patent/CN108494729B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种零信任模型实现系统,涉及网络完全技术领域。该系统包括零信节点安全卡、物理机和安全管理端,通过使用在每个物理机上都配置零信节点安全卡,并在每个零信节点安全卡上都设置具有实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视图展现功能的板载CPU计算模块,以及具有通信功能的网络接口,并通过安全管理端对零信节点安全卡进行统一配置和管理安全策略及规则,实现了以物理机为单元的、基于零信节点安全卡的硬件和软件结合的双重防护,而且本实施例中,由于零信节点安全卡中设置有板载CPU计算模块,其防护功能和数据计算处理过程与物理机的资源是相互独立的,所以零信节点安全卡不会依赖物理机的运算,也不会受到物理机被恶意程序破坏造成的影响。

Description

一种零信任模型实现系统
技术领域
本发明涉及网络完全技术领域,尤其涉及一种零信任模型实现系统。
背景技术
传统的网络安全解决方案聚焦在对边界信息系统和网络的脆弱性处理、配置建设和系统强化上,这种安全方案部署模式,将网络人为的分为内部和外部,内部的可信程度高于外部。
但是,这种网络安全方式已经显示出安全防护的多种问题和缺口。比较构成影响力的安全事件,基本都是由于内部网络造成的,而很多攻击或者恶意程序,恰恰是利用了内外网的这种结构,专门针对内网进行破坏。例如,发生在2017年的WannaCry勒索病毒就是一个典型的案例,WannaCry是一种“蠕虫式”的勒索病毒软件,由不法分子利用NSA(NationalSecurity Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。此次病毒事件,影响最大的是具有较大内网的行业或机构,病毒在内网肆意传播,因为普遍的情况是,在互联网工作的电脑可以在最短时间进行病毒的补丁升级,进行安全策略的升级,而工作在内网的电脑,则需要更长的时间。除了僵木蠕在内网具有更强的传染性和破坏性外,很多恶意的破坏也往往来自于内部,利用社会工程学的恶意程序,或者蓄意破坏的内部危险分子,成为目前网络安全的最主要的安全事件来源。事实上自网络安全发展初期,内部风险和安全事件就占据整个安全事件的70%以上,而随着外部网络安全建设的不断升级,这个比例也越来越高。
另外,以虚拟化和云计算为代表的新型计算环境的兴起,也使得云上的计算安全成为重点,但是,在虚拟机和云计算环境中,进行内外网的划分很难,所以,传统的网络安全解决方案很难解决在虚拟机环境下的安全问题。
虚拟化的大量应用,使得微隔离技术作为唯一可以在虚拟环境中进行保护的技术被大规模应用,微隔离技术的基础是采用特定的硬件单元和软件配合,实现每个计算单元,甚至是每台虚拟机之间的数据的安全防护和隔离。微隔离技术的发展使得零信任安全(zero trust security)模型被普遍认可。零信任安全模型是一种强化个体的安全模型,在零信任的物理实施环境下,数据流通过一个集中的带外管控系统管控。零信任安全是一种安全模式,在这种模式下,任何用户、接口或应用程序在默认情况下都不可信。需要个体都具有完整的安全防护能力,可以进行全功能防护。在零信任模型下,访问对象和被访问对象都称为独立的个体,每个被访问对象认为每次访问都是不可信的,需要进行完整的防护,对于访问对象来说,被访问对象也是不可信的,需要进行验证确认。
目前,零信任模型的实现方法主要包括以下三种:Google的BeyondCorp、VMware的NSX防火墙虚拟化隔离产品、以及PaloAltoNetworks的下一代安全平台。其中,BeyondCorp侧重于用户的接入访问权限控制;NSX侧重于虚拟机内部的东西向逻辑隔离;PaloAlto的产品侧重于以边界防护为核心的交换体系。
BeyondCorp将内部网络和外部网络都认为是完全不可信的,通过动态判定和执行访问层级来为应用访问设置安全门槛。它通过集中化的设备目录服务纳入了Google员工设备上亿的数据集,大量的访问控制协议用来判断不同用户的访问权限,Google认为BeyondCorp在不牺牲可用性的前提下从本质上改善了谷歌的安全态势,并且提供了一种不受技术限制地根据策略应用授权决策的弹性基础设施。而BeyondCorp整个认证过程复杂,需要一个由粗到细的、复杂的纵深认证和防护体系。
NSX虚拟防火墙是在虚拟机内部建立防火墙系统,依赖于VMware强大的虚拟机引擎,使得虚拟机之间的所有访问都必须通过虚拟防火墙的规则过滤才可以进行。VMware的防火墙是纯软件产品,存在底层无法避免的漏洞和被绕过问题。
PaloAlto的产品是采用边界为核心的交换体系,其中比较核心的部件是零信任分割平台和网关,平台用来定义内部信任边界的组件,提供实现的零信任操作目标所需要的大部分安全功能,被零信任分割平台划分的就是不同的区域,在不同的区域定义不同的信任度,具有不同信任度的主体具有不同权限。PaloAlto的产品受交换硬件的约束很大,规模扩展成为难点。
可见,上述三种实现方案,都存在这样或那样的缺陷,无法完全有效的实现零信任安全模型。
发明内容
本发明的目的在于提供一种零信任模型实现系统,从而解决现有技术中存在的前述问题。
为了实现上述目的,本发明采用的技术方案如下:
一种零信任模型实现系统,包括零信节点安全卡、物理机和安全管理端,所述零信节点安全卡包括CPU计算模块、Flash存储模块、内存模块、网络接口模块和PCI接口模块,所述CPU计算模块分别与所述Flash存储模块、内存模块、网络接口模块和PCI接口模块数据连接,所述PCI接口模块通过PCI控制器与所述物理机连接,所述网络接口模块通过网线与所述安全管理端以及外部网络数据连接;
所述安全管理端用于对所述零信节点安全卡进行统一配置和管理安全策略及规则;
所述CPU计算模块用于实现实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视图展现功能;
所述Flash存储模块用于存储所述CPU计算模块需要运行的代码以及证书、哈希值和/或访问控制策略这些固定信息。
优选地,所述零信节点安全卡和所述物理机设置为多个,所述安全管理端设置为一个,所述零信节点安全卡与所述物理机一一对应连接,所述物理机的网络连接数据通过所述零信节点安全卡连接,同时多个所述零信节点安全卡通过网线和交换机与一个所述安全管理端连接。
优选地,所述物理机包括服务器或者PC机;所述网络接口模块支持1G到10G的各种不同标准接口。
优选地,所述实时流量监测功能包括:
进出所述物理机的流量监测和统计;
根据五元组信息进行流量排序;
按照某个时间段进行所述物理机的访问统计。
优选地,所述防火墙功能包括:
路由配置、NAT配置、ACL配置、VPN以及攻击监测功能;
执行所述安全管理端下达的防护策略;
根据所述安全管理端的要求,实时拦截异常数据包。
优选地,所述白名单管理功能包括:
对所述物理机内的文件白名单进行管理,使得只有在白名单内的文件可以在特定区域内存储和运行;
对所述物理机内的进程白名单进行管理,通过对进程对应的可执行程序进行哈希,确保正确的程序运行;
对端口白名单进行管理,使得只有特定的端口可以被打开,提供服务。
优选地,所述集中管理及视图展现功能包括:
利用导弹图或线图显示目前整个机房运行环境,或者网络运行环境的数据流向;
进行当前访问量/传输量的TopN排行,并对所得排行进行可视化;
对当前被拒绝的访问和数据情况进行汇总;
对每次访问过程的详细信息进行记录;
采用3D立体展示图对数据进行可视化。
本发明的有益效果是:本发明实施例提供的零信任模型实现系统,包括零信节点安全卡、物理机和安全管理端,通过使用在每个物理机上都配置零信节点安全卡,并在每个零信节点安全卡上都设置具有实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视图展现功能的板载CPU,以及具有通信功能的网络接口,并通过安全管理端对零信节点安全卡进行统一配置和管理安全策略及规则,实现了以物理机为单元的、基于零信节点安全卡的硬件和软件结合的双重防护,而且本实施例中,由于零信节点安全卡中设置有板载CPU,其防护功能和数据计算处理过程与物理机的资源是相互独立的,所以零信节点安全卡不会依赖物理机的运算,也不会受到物理机被恶意程序破坏造成的影响。
附图说明
图1是本发明实施例提供的零信任模型实现系统的结构示意图;
图2是零信节点安全卡的物理结构示意图;
图3是零信节点安全卡的逻辑结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不用于限定本发明。
如图1-3所示,本发明实施例提供了一种零信任模型实现系统,包括零信节点安全卡、物理机和安全管理端,所述零信节点安全卡包括CPU计算模块、Flash存储模块、内存模块、网络接口模块和PCI接口模块,所述CPU计算模块分别与所述Flash存储模块、内存模块、网络接口模块和PCI接口模块数据连接,所述PCI接口模块通过PCI控制器与所述物理机连接,所述网络接口模块通过网线与所述安全管理端以及外部网络数据连接;
所述安全管理端用于对所述零信节点安全卡进行统一配置和管理安全策略及规则;
所述CPU计算模块用于实现实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视图展现功能;
所述Flash存储模块用于存储所述CPU计算模块需要运行的代码以及证书、哈希值和/或访问控制策略这些固定信息。
本实施例中,零信节点安全卡上通过设置网络接口,则,在使用过程中,零信节点安全卡可以代替物理机原来的网卡实现物理机与外部网络之间的数据通信,即在实际使用过程中,所有的进出物理机的数据流量都会通过零信节点安全卡,从而使得零信节点安全卡对通过的所有数据进行安全防护。
现有技术中,物理机中网卡只能实现通信功能,不具有安全防护功能,而本实施例中,为了使得零信节点安全卡具有安全防护功能,在其中设置可以处理流过的数据并具有一定计算能力的板载CPU,同时在零信节点安全卡上还设置有独立的硬件Flash存储区,用来存储证书、签名等安全信息;还设置有一定内存容量,便于对流过的数据进行缓存和扫描处理。
所以,本实施例中,通过零信节点安全卡中的板载CPU实现数据的计算处理以及安全防护,通过网络接口实现物理机与外部网络的通信。
在实际使用过程中,通过在板载CPU中设置各种防护功能的程序,使其对流过的数据进行相应的计算处理及安全防护。
另外,在使用过程中,物理机与外部网络之间的通信,以及物理机与安全管理端之间的通信,可以使用一个网络通道,也可以使用两个网络通道,本发明实施例中,采用一个网络通道,可以使得系统的结构更加简单。
因此,采用本实施例提供的实现系统,实现了以物理机为单元的、基于零信节点安全卡的硬件和软件结合的双重防护,而且本实施例中,由于零信节点安全卡中设置有板载CPU,其防护功能和数据计算处理过程与物理机的资源是相互独立的,零信节点安全卡不会依赖物理机的运算,也不会受到物理机被恶意程序破坏造成的影响。
本发明实施例中,所述零信节点安全卡和所述物理机设置为多个,所述安全管理端设置为一个,所述零信节点安全卡与所述物理机一一对应连接,所述物理机的网络连接数据通过所述零信节点安全卡连接,同时多个所述零信节点安全卡通过网线和交换机与一个所述安全管理端连接。
采用上述结构,可以实现对物理机群的统一配置管理和安全防护。
本实施例中,对物理机的统一配置管理的内容,包括安全防护策略的配置管理,以及安全防护规则的配置管理等。
本发明实施例中,所述物理机可以包括服务器或者PC机;所述网络接口模块支持1G到10G的各种不同标准接口。
本发明实施例提供的零信任模型实现系统,所述实时流量监测功能包括:
进出所述物理机的流量监测和统计;
根据五元组信息进行流量排序;
按照某个时间段进行所述物理机的访问统计。
其中,进出所述物理机的流量监测和统计,零信节点安全卡替代物理机的网卡实现物理机与外部网络之间的通信,所有流量都会经过零信节点安全卡,所以零信节点安全卡对于数据流量的监测是最为全面的。
本实施例中,零信节点安全卡是证书的载体和加密通道建立的起始点和结束点,所有的通信过程到达零信节点安全卡端时,已经是还原后的原始数据,所以可以正确的对访问数据进行统计;
根据五元组信息进行流量排序,得到流量topN排序,实现了对所有计算单元数据交换情况的直接掌握,利用TopN可以直观的掌握当前应用的访问情况;
按照某个时间段进行所述物理机的访问统计,统计类信息可以为管理员提供整个业务系统的健康状况的有效证明。
本发明实施例提供的零信任模型实现系统,所述防火墙功能包括:
路由配置、NAT配置、ACL配置、VPN以及攻击监测功能;
执行所述安全管理端下达的防护策略;
根据所述安全管理端的要求,实时拦截异常数据包。
其中,在物理机端看,零信节点安全卡就是一个针对物理机的防火墙设备,零信节点安全卡可以实现防火墙的路由配置、NAT配置、ACL配置、VPN、攻击监测等基本功能;
零信节点安全卡作为安全管理端的策略执行单元,可以执行安全管理端下达的防护策略,零信节点安全卡具有强大的策略储存和解析能力,本发明实施例中,零信节点安全卡的存储和解析能力为千万级。
根据安全管理端的要求,零信节点安全卡具有实时拦截异常数据包的功能。
本发明实施例提供的零信任模型实现系统,所述白名单管理功能包括:
对所述物理机内的文件白名单进行管理,使得只有在白名单内的文件可以在特定区域内存储和运行;
对所述物理机内的进程白名单进行管理,通过对进程对应的可执行程序进行哈希,确保正确的程序运行;
对端口白名单进行管理,使得只有特定的端口可以被打开,提供服务。
另外,本发明实施例提供的零信任模型实现系统,所述集中管理及视图展现功能包括:
利用导弹图或线图显示目前整个机房运行环境,或者网络运行环境的数据流向;
进行当前访问量/传输量的TopN排行,并对所得排行进行可视化;
对当前被拒绝的访问和数据情况进行汇总;
对每次访问过程的详细信息进行记录;
采用3D立体展示图对数据进行可视化。
其中,利用导弹图或线图显示目前整个机房运行环境,或者网络运行环境的数据流向,从而可以直观观察到机房的运行情况。
当前访问量/传输量进行TopN排行,并进行可视化,为决策者提供判断依据。
对被拒绝的访问和数据情况汇总,确保整个系统的健康运行。
对每次访问的情况和数据进行详细记录,为日后回溯提供支持。
可视化采用3D立体展示图承载,使得各个数据更为直观明了。
本发明实施例中,零信节点安全卡的CPU所具有的功能,都可以通过现有技术手段实现。
本发明实施例提供的系统,具有如下的特点:
1、本发明实施例提供的零信任安全模型实现系统,提出使用零信节点安全卡,形成了一个全新的概念和结构,在该系统中,零信节点安全卡作为网卡的形式接入物理机,并且作为了很多安全功能的载体,通过零信节点安全卡实现了整个系统以物理机为单元的隔离和防护,零信节点安全卡通过安全管理端中的软件进行统一管理。
2、零信节点安全卡对操作系统和上层应用是完全透明的,实现了所有数据流的过滤和管理,适于在云计算中心、虚拟化部署的计算中心使用;
3、通过采用零信节点安全卡实现了物理机个体的独立防护,所以,无论物理机部署于内网还是外网,都具有完整的安全防护能力;
4、安全管理端可以对每个物理机的零信节点安全卡进行统一配置和管理,零信节点安全卡接受安全管理端的集中管控,实现了整个信息系统的策略统一管理;
5、零信节点安全卡配置在物理机的网络接口上,是将物理硬件部署在物理机的出入口,所以,可以有效防止软件逻辑防火墙被绕过的可能性,物理机对外的所有流量都必须通过借点安全卡,可以全面的保证系统安全;
6、基于零信节点安全卡的白名单采用多级控制,可以有效保证白名单不会被恶意程序破坏;
7、本发明实施例提供的实现系统的扩展性强,很容易扩充数量。
通过采用本发明公开的上述技术方案,得到了如下有益的效果:本发明实施例提供的零信任模型实现系统,包括零信节点安全卡、物理机和安全管理端,通过使用在每个物理机上都配置零信节点安全卡,并在每个零信节点安全卡上都设置具有实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视图展现功能的板载CPU,以及具有通信功能的网络接口,并通过安全管理端对零信节点安全卡进行统一配置和管理安全策略及规则,实现了以物理机为单元的、基于零信节点安全卡的硬件和软件结合的双重防护,而且本实施例中,由于零信节点安全卡中设置有板载CPU,其防护功能和数据计算处理过程与物理机的资源是相互独立的,所以零信节点安全卡不会依赖物理机的运算,也不会受到物理机被恶意程序破坏造成的影响。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。

Claims (7)

1.一种零信任模型实现系统,其特征在于,包括零信节点安全卡、物理机和安全管理端,所述零信节点安全卡包括CPU计算模块、Flash存储模块、内存模块、网络接口模块和PCI接口模块,所述CPU计算模块分别与所述Flash存储模块、内存模块、网络接口模块和PCI接口模块数据连接,所述PCI接口模块通过PCI控制器与所述物理机连接,所述网络接口模块通过网线与所述安全管理端以及外部网络数据连接;
所述安全管理端用于对所述零信节点安全卡进行统一配置和管理安全策略及规则;
所述CPU计算模块用于实现实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视图展现功能;
所述Flash存储模块用于存储所述CPU计算模块需要运行的代码以及证书、哈希值和/或访问控制策略这些固定信息。
2.根据权利要求1所述的零信任模型实现系统,其特征在于,所述零信节点安全卡和所述物理机设置为多个,所述安全管理端设置为一个,所述零信节点安全卡与所述物理机一一对应连接,所述物理机的网络连接数据通过所述零信节点安全卡连接,同时多个所述零信节点安全卡通过网线和交换机与一个所述安全管理端连接。
3.根据权利要求1所述的零信任模型实现系统,其特征在于,所述物理机包括服务器或者PC机;所述网络接口模块支持1G到10G的各种不同标准接口。
4.根据权利要求1所述的零信任模型实现系统,其特征在于,所述实时流量监测功能包括:
进出所述物理机的流量监测和统计;
根据五元组信息进行流量排序;
按照某个时间段进行所述物理机的访问统计。
5.根据权利要求1所述的零信任模型实现系统,其特征在于,所述防火墙功能包括:
路由配置、NAT配置、ACL配置、VPN以及攻击监测功能;
执行所述安全管理端下达的防护策略;
根据所述安全管理端的要求,实时拦截异常数据包。
6.根据权利要求1所述的零信任模型实现系统,其特征在于,所述白名单管理功能包括:
对所述物理机内的文件白名单进行管理,使得只有在白名单内的文件可以在特定区域内存储和运行;
对所述物理机内的进程白名单进行管理,通过对进程对应的可执行程序进行哈希,确保正确的程序运行;
对端口白名单进行管理,使得只有特定的端口可以被打开,提供服务。
7.根据权利要求1所述的零信任模型实现系统,其特征在于,所述集中管理及视图展现功能包括:
利用导弹图或线图显示目前整个机房运行环境,或者网络运行环境的数据流向;
进行当前访问量/传输量的TopN排行,并对所得排行进行可视化;
对当前被拒绝的访问和数据情况进行汇总;
对每次访问过程的详细信息进行记录;
采用3D立体展示图对数据进行可视化。
CN201810124359.8A 2018-02-07 2018-02-07 一种零信任模型实现系统 Active CN108494729B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810124359.8A CN108494729B (zh) 2018-02-07 2018-02-07 一种零信任模型实现系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810124359.8A CN108494729B (zh) 2018-02-07 2018-02-07 一种零信任模型实现系统

Publications (2)

Publication Number Publication Date
CN108494729A true CN108494729A (zh) 2018-09-04
CN108494729B CN108494729B (zh) 2019-05-07

Family

ID=63344744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810124359.8A Active CN108494729B (zh) 2018-02-07 2018-02-07 一种零信任模型实现系统

Country Status (1)

Country Link
CN (1) CN108494729B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672526A (zh) * 2018-12-17 2019-04-23 福建联迪商用设备有限公司 一种管控可执行程序的方法及系统
CN111726366A (zh) * 2020-06-30 2020-09-29 成都卫士通信息产业股份有限公司 设备通信方法、装置、系统、介质和电子设备
CN111917714A (zh) * 2020-06-18 2020-11-10 云南电网有限责任公司信息中心 一种零信任架构系统及其使用方法
CN112367188A (zh) * 2020-10-16 2021-02-12 零氪科技(北京)有限公司 一种基于零信任模型的私有化安全系统及实现方法
CN113472778A (zh) * 2021-06-30 2021-10-01 中国人民解放军国防科技大学 一种信息网络安全防护信任系统及方法
CN113783871A (zh) * 2021-09-09 2021-12-10 云南电网有限责任公司信息中心 一种采用零信任架构的微隔离防护系统及其防护方法
CN113794707A (zh) * 2021-09-07 2021-12-14 中科星启(北京)科技有限公司 一种南北向微隔离架构的实现方法
CN113810371A (zh) * 2021-08-04 2021-12-17 苏州椰云科技有限公司 一种软硬件解耦平台的安全管理方法
CN114024704A (zh) * 2020-10-28 2022-02-08 北京八分量信息科技有限公司 一种零信任架构中证书分发方法
CN114301693A (zh) * 2021-12-30 2022-04-08 同济大学 一种用于云平台数据的隐信道安全防御系统
CN114915534A (zh) * 2022-04-22 2022-08-16 中国人民解放军战略支援部队信息工程大学 面向信任增强的网络部署架构及其网络访问方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015171580A1 (en) * 2014-05-09 2015-11-12 Veritaseum, Inc. Devices, systems, and methods for facilitating low trust and zero trust value transfers
CN107040511A (zh) * 2015-12-01 2017-08-11 法国布雷维茨公司 云计算体系结构中的基于位置的可信计算节点

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015171580A1 (en) * 2014-05-09 2015-11-12 Veritaseum, Inc. Devices, systems, and methods for facilitating low trust and zero trust value transfers
CN107040511A (zh) * 2015-12-01 2017-08-11 法国布雷维茨公司 云计算体系结构中的基于位置的可信计算节点

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
荣钰 等: "《零信任安全模型在云计算环境中的应用研究》", 《第32次全国计算机安全学术交流会论文集》 *
薛朝晖 等: "《零信任安全模型下的数据中心安全防护研究》", 《通信技术》 *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672526A (zh) * 2018-12-17 2019-04-23 福建联迪商用设备有限公司 一种管控可执行程序的方法及系统
CN109672526B (zh) * 2018-12-17 2021-11-09 福建联迪商用设备有限公司 一种管控可执行程序的方法及系统
CN111917714A (zh) * 2020-06-18 2020-11-10 云南电网有限责任公司信息中心 一种零信任架构系统及其使用方法
CN111917714B (zh) * 2020-06-18 2022-11-11 云南电网有限责任公司信息中心 一种零信任架构系统及其使用方法
CN111726366A (zh) * 2020-06-30 2020-09-29 成都卫士通信息产业股份有限公司 设备通信方法、装置、系统、介质和电子设备
CN112367188A (zh) * 2020-10-16 2021-02-12 零氪科技(北京)有限公司 一种基于零信任模型的私有化安全系统及实现方法
CN112367188B (zh) * 2020-10-16 2023-08-29 零氪科技(北京)有限公司 一种基于零信任模型的私有化安全系统及实现方法
CN114024704A (zh) * 2020-10-28 2022-02-08 北京八分量信息科技有限公司 一种零信任架构中证书分发方法
CN113472778A (zh) * 2021-06-30 2021-10-01 中国人民解放军国防科技大学 一种信息网络安全防护信任系统及方法
CN113810371A (zh) * 2021-08-04 2021-12-17 苏州椰云科技有限公司 一种软硬件解耦平台的安全管理方法
CN113794707A (zh) * 2021-09-07 2021-12-14 中科星启(北京)科技有限公司 一种南北向微隔离架构的实现方法
CN113783871A (zh) * 2021-09-09 2021-12-10 云南电网有限责任公司信息中心 一种采用零信任架构的微隔离防护系统及其防护方法
CN113783871B (zh) * 2021-09-09 2023-09-19 云南电网有限责任公司信息中心 一种采用零信任架构的微隔离防护系统及其防护方法
CN114301693A (zh) * 2021-12-30 2022-04-08 同济大学 一种用于云平台数据的隐信道安全防御系统
CN114301693B (zh) * 2021-12-30 2023-03-14 同济大学 一种用于云平台数据的隐信道安全防御系统
CN114915534A (zh) * 2022-04-22 2022-08-16 中国人民解放军战略支援部队信息工程大学 面向信任增强的网络部署架构及其网络访问方法

Also Published As

Publication number Publication date
CN108494729B (zh) 2019-05-07

Similar Documents

Publication Publication Date Title
CN108494729B (zh) 一种零信任模型实现系统
Chica et al. Security in SDN: A comprehensive survey
Faquir et al. Cybersecurity in smart grids, challenges and solutions
Jimenez et al. A survey of the main security issues and solutions for the SDN architecture
Irmak et al. An overview of cyber-attack vectors on SCADA systems
CN103490895B (zh) 一种应用国密算法的工业控制身份认证方法及装置
Das et al. Analysis of cyber-attacks in IoT-based critical infrastructures
WO2021233373A1 (zh) 一种网络安全防护方法、装置、储存介质及电子设备
CN103795735B (zh) 安全设备、服务器及服务器信息安全实现方法
CN105516189B (zh) 基于大数据平台的网络安全实施系统及方法
Sha et al. IIoT-SIDefender: Detecting and defense against the sensitive information leakage in industry IoT
Rani et al. Cyber security techniques, architectures, and design
WO2021227465A1 (zh) 工控系统网络的安全防御方法及系统
TW202137735A (zh) 網路基礎架構可程式切換裝置
Yang et al. A Comprehensive Survey of Security Issues of Smart Home System:“Spear” and “Shields,” Theory and Practice
Patidar et al. Information Theory-based Techniques to Detect DDoS in SDN: A Survey
CN108881127A (zh) 一种控制远程访问权限的方法及系统
Zanasi et al. A Zero Trust approach for the cybersecurity of Industrial Control Systems
Aboti Studies of challenges to mitigating cyber risks in iot-based commercial aviation
CN109981549A (zh) 一种安全防护系统、方法及介质
CN105653928A (zh) 一种面向大数据平台的拒绝服务检测方法
CN109561103A (zh) 一种针对集线器的内网边界管控方法
Alquhayz et al. Security management system for 4G heterogeneous networks
CN201742439U (zh) 一种基于防火墙与ips的网络装置
Penttilä Cyber threats in maritime container terminal automation systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant