CN109005189A - 一种适用于双网隔离的接入访问传输平台 - Google Patents

Abstract

本发明的目的在于提供一种适用于双网隔离的接入访问传输平台，该平台通过在内网设置监控模块、鉴权模块、防护模块、报警模块和管理模块能够实现安全地管理外网接入终端在接入工作过程中的异常事件，并对异常事件进行记录，防止内网数据的泄露以及内网服务器的安全，保证生产安全。

Description

一种适用于双网隔离的接入访问传输平台

技术领域

本发明涉及网络安全领域，具体来说涉及一种适用于双网隔离的接入访问传输平台。

背景技术

随着移动互联网的不断发展，利用无处不在的移动网络和广泛使用的无线客户端对业务内部网络的连接来实现外派工作的便利进行是现在各个涉及网络企业的优势解决方案。利用灵活的外派工作，可以将业务铺展地更广，外派工作人员的工作也更加灵活，不仅能够在现场随时查看现场设备和业务的进行，也能够随时将工作进展上传到业务内部网络，方便内部人员实时监控和调配，可以为企业管理者和工程技术人员随时掌握和设计工作带来极大便利。

只要将业务过程的实时信息通过移动网接入互联网，通过一定条件通过移动 4G网络监视管理工作现场的运行状态和各种参数，内网工作人员可以通过远程监控业务开展情况、根据经营需要及时发出调度指令或者提供解决方案。技术人员还可以根据上传来的实时信息来判断工作状态，对业务进行调整和优化、及时检测、诊断业务问题。还可以设置远程监控系统，通过外派人员接入外网移动网络上传数据可实现对现场业务的远程实时监控。

而外派人员上传来的大量数据文件，很多都涉及到个人与企业的机密或隐私，因此数据安全问题，也就是防止泄露，是内外网接入时的关键。目前，虽然现有技术提供了一些安全解决方案，但仍然存在漏洞。同时，由于外派移动业务的需求需要随时接入不同的移动网络，一套解决方案往往难以应对不同的网络环境。因此，如何实现内外网的安全接入和访问是摆在我们的一个重要课题。

发明内容

本发明的目的在于提供一种内外网安全接入方法系统，能够外派业务人员通过移动终端安全地接入内部管理网络，实现数据上传下载的安全以及内网业务的保密。

本发明的目的可通过以下的技术措施来实现：

一种适用于双网隔离的接入访问传输平台，包括外网接入终端和内网服务器；

所述外网接入终端具有若干台，其中的每一台外网接入终端都配置有唯一的设备ID，该设备ID采用二维码编码并存储在内网服务器的内网数据库中，并定期由专门人员核查接入终端的日常运作情况和数据上传情况是否存在异常，对于存在异常的设备及时召回进行维护；所述的每一台外网接入终端上均设有摄像头、键盘、触摸屏和网络通信模块、存储模块；

所述内网服务器包括监控模块、鉴权模块、防护模块、报警模块、管理模块、网络通信模块和内网数据库；

所述监控模块通过网络通信模块与在线的各台外网接入模块保持通信，并通过显示模块实时显示各台外网接入终端的工作状态，管理并记录各台外网接入终端的实时状态信息、上传和下载的数据内容，生成图文报表供内部管理人员随时查看；

所述鉴权模块通过网络通信模块与外网接入终端连接，其中每次连接过程中对访问数据进行验证，具体来说验证过程包括如下步骤：

A.外网接入终端通过其上层应用界面发送接入请求，该终端中的下层应用将接入请求进行封装加密后发送给内网服务器；其中接入请求包括业务的权限内容、工作人员信息以及该接入终端的设备ID；

B.内网服务器的网络通信模块通过其底层应用模块接收到加密后的请求后进行解密并对所接入的外网接入终端的身份进行验证，验证通过后发送允许接入信号返回给外网接入终端；其中，内网服务器通过查询其内网数据库判断接入请求信息的所有内容的合法性；

所述防护模块建立和维护一个专门的数据表，限定外网接入终端所发送的各类命令的数据格式和数据内容，并对数据交换过程中的每组数据进行合法性校验；该防护模块还设有安全网关，用于实现各个外部计入请求均通过合法的路由访问控制，采用VPN构建的加密专用通道，从而保证数据的保密和完整；设置防火墙进行外界网络的访问控制，防止非法设备接入；配置安全监测模块，对接入的外网接入终端的安全隐患进行监测、防护和管理；对外网接入终端所连接的外部网络与内网服务器的内部专网进行协议匹配，保证数据传输内容的正确性；

所述报警模块对外网接入终端上传和下载的数据的来源、流量以及外网接入终端的工作权限进行监控，检测是否有异常数据出现，对非法访问、越权访问进行报警，并对非法攻击和入侵服务器的事件形成报警报表，供技术人员查询和后期维护，当检测到异常情况达到预设报警等级时关闭内网数据库的数据输入和输出；所述外网接入终端的工作权限设置有多个层级，并按照层级不同设定数据访问的权限；

所述报警模块对外网接入终端的工作权限进行监控具体包括：赋予每个外网接入终端不同层级的工作权限，按照外网接入终端所上传下载的数据的重要性和敏感性进行排序，当检测到某个外网接入终端的操作为越权限工作操作时，暂停对其操作的响应，一段时间后若还存在越权操作则对该外网接入终端进行锁定，并对此次操作事件进行记录形成报警报表；

所述管理模块对所有外网接入终端进行管理，记录所有的工作报表形成内网数据并存储到内网数据库中，所述管理模块由专门人员进行。

本发明对比现有技术，有如下优点：本发明通过在内网中设置监控模块、鉴权模块、防护模块、报警模块和管理模块能够实现安全地管理外网接入终端在接入工作过程中的异常事件，并对异常事件进行记录，防止内网数据的泄露以及内网服务器的安全，保证生产安全。

具体实施方式

本发明的系统可以应用于各类需要通过外派人员现场操作并使用与内网系统连接的外网接入终端进行数据传输、现场布置、软硬件配置等工作领域，具体来说本发明的一种适用于双网隔离的接入访问传输平台，包括外网接入终端和内网服务器；其中，所述外网接入终端具有若干台，其中的每一台外网接入终端都配置有唯一的设备ID，该设备ID采用二维码编码并存储在内网服务器的内网数据库中，并定期由专门人员核查接入终端的日常运作情况和数据上传情况是否存在异常，对于存在异常的设备及时召回进行维护；所述的每一台外网接入终端上均设有摄像头、键盘、触摸屏和网络通信模块、存储模块；

所述内网服务器包括监控模块、鉴权模块、防护模块、报警模块、管理模块、网络通信模块和内网数据库；

所述监控模块通过网络通信模块与在线的各台外网接入模块保持通信，并通过显示模块实时显示各台外网接入终端的工作状态，管理并记录各台外网接入终端的实时状态信息、上传和下载的数据内容，生成图文报表供内部管理人员随时查看；

所述鉴权模块通过网络通信模块与外网接入终端连接，其中每次连接过程中对访问数据进行验证，具体来说验证过程包括如下步骤：

C.外网接入终端通过其上层应用界面发送接入请求，该终端中的下层应用将接入请求进行封装加密后发送给内网服务器；其中接入请求包括业务的权限内容、工作人员信息以及该接入终端的设备ID；

D.内网服务器的网络通信模块通过其底层应用模块接收到加密后的请求后进行解密并对所接入的外网接入终端的身份进行验证，验证通过后发送允许接入信号返回给外网接入终端；其中，内网服务器通过查询其内网数据库判断接入请求信息的所有内容的合法性；

所述防护模块建立和维护一个专门的数据表，限定外网接入终端所发送的各类命令的数据格式和数据内容，并对数据交换过程中的每组数据进行合法性校验；该防护模块还设有安全网关，用于实现各个外部计入请求均通过合法的路由访问控制，采用VPN构建的加密专用通道，从而保证数据的保密和完整；设置防火墙进行外界网络的访问控制，防止非法设备接入；配置安全监测模块，对接入的外网接入终端的安全隐患进行监测、防护和管理；对外网接入终端所连接的外部网络与内网服务器的内部专网进行协议匹配，保证数据传输内容的正确性；

所述报警模块对外网接入终端上传和下载的数据的来源、流量以及外网接入终端的工作权限进行监控，检测是否有异常数据出现，对非法访问、越权访问进行报警，并对非法攻击和入侵服务器的事件形成报警报表，供技术人员查询和后期维护，当检测到异常情况达到预设报警等级时关闭内网数据库的数据输入和输出；所述外网接入终端的工作权限设置有多个层级，并按照层级不同设定数据访问的权限；

所述报警模块对外网接入终端的工作权限进行监控具体包括：赋予每个外网接入终端不同层级的工作权限，按照外网接入终端所上传下载的数据的重要性和敏感性进行排序，当检测到某个外网接入终端的操作为越权限工作操作时，暂停对其操作的响应，一段时间后若还存在越权操作则对该外网接入终端进行锁定，并对此次操作事件进行记录形成报警报表；

所述管理模块对所有外网接入终端进行管理，记录所有的工作报表形成内网数据并存储到内网数据库中，所述管理模块由专门人员进行。

本发明的实施方式不限于此，在本发明上述基本技术思想前提下，按照本领域的普通技术知识和惯用手段对本发明内容所做出其它多种形式的修改、替换或变更，均落在本发明权利保护范围之内。

Claims (1)

1.一种适用于双网隔离的接入访问传输平台，包括外网接入终端和内网服务器，其特征在于：

所述外网接入终端具有若干台，其中的每一台外网接入终端都配置有唯一的设备ID，该设备ID采用二维码编码并存储在内网服务器的内网数据库中，并定期由专门人员核查接入终端的日常运作情况和数据上传情况是否存在异常，对于存在异常的设备及时召回进行维护；所述的每一台外网接入终端上均设有摄像头、键盘、触摸屏和网络通信模块、存储模块；

所述内网服务器包括监控模块、鉴权模块、防护模块、报警模块、管理模块、网络通信模块和内网数据库；

所述监控模块通过网络通信模块与在线的各台外网接入模块保持通信，并通过显示模块实时显示各台外网接入终端的工作状态，管理并记录各台外网接入终端的实时状态信息、上传和下载的数据内容，生成图文报表供内部管理人员随时查看；

所述鉴权模块通过网络通信模块与外网接入终端连接，其中每次连接过程中对访问数据进行验证，具体来说验证过程包括如下步骤：

A.外网接入终端通过其上层应用界面发送接入请求，该终端中的下层应用将接入请求进行封装加密后发送给内网服务器；其中接入请求包括业务的权限内容、工作人员信息以及该接入终端的设备ID；

B.内网服务器的网络通信模块通过其底层应用模块接收到加密后的请求后进行解密并对所接入的外网接入终端的身份进行验证，验证通过后发送允许接入信号返回给外网接入终端；其中，内网服务器通过查询其内网数据库判断接入请求信息的所有内容的合法性；

所述防护模块建立和维护一个专门的数据表，限定外网接入终端所发送的各类命令的数据格式和数据内容，并对数据交换过程中的每组数据进行合法性校验；该防护模块还设有安全网关，用于实现各个外部计入请求均通过合法的路由访问控制，采用VPN构建的加密专用通道，从而保证数据的保密和完整；设置防火墙进行外界网络的访问控制，防止非法设备接入；配置安全监测模块，对接入的外网接入终端的安全隐患进行监测、防护和管理；对外网接入终端所连接的外部网络与内网服务器的内部专网进行协议匹配，保证数据传输内容的正确性；

所述报警模块对外网接入终端上传和下载的数据的来源、流量以及外网接入终端的工作权限进行监控，检测是否有异常数据出现，对非法访问、越权访问进行报警，并对非法攻击和入侵服务器的事件形成报警报表，供技术人员查询和后期维护，当检测到异常情况达到预设报警等级时关闭内网数据库的数据输入和输出；所述外网接入终端的工作权限设置有多个层级，并按照层级不同设定数据访问的权限；

所述报警模块对外网接入终端的工作权限进行监控具体包括：赋予每个外网接入终端不同层级的工作权限，按照外网接入终端所上传下载的数据的重要性和敏感性进行排序，当检测到某个外网接入终端的操作为越权限工作操作时，暂停对其操作的响应，一段时间后若还存在越权操作则对该外网接入终端进行锁定，并对此次操作事件进行记录形成报警报表；

所述管理模块对所有外网接入终端进行管理，记录所有的工作报表形成内网数据并存储到内网数据库中，所述管理模块由专门人员进行。