CN109587095A - 信息安全控制方法、装置和系统 - Google Patents

信息安全控制方法、装置和系统 Download PDF

Info

Publication number
CN109587095A
CN109587095A CN201710897051.2A CN201710897051A CN109587095A CN 109587095 A CN109587095 A CN 109587095A CN 201710897051 A CN201710897051 A CN 201710897051A CN 109587095 A CN109587095 A CN 109587095A
Authority
CN
China
Prior art keywords
rule
examination
information
intervention
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710897051.2A
Other languages
English (en)
Inventor
张建宇
王锦华
何昆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201710897051.2A priority Critical patent/CN109587095A/zh
Publication of CN109587095A publication Critical patent/CN109587095A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种信息安全控制方法、装置和系统,涉及信息安全领域。其中信息安全控制装置根据集中管理平台下发的审查规则对流量进行审查,以判断流量中是否含有违法信息,在流量中含有违法信息的情况下,根据集中管理平台下发的干预规则,对违法信息进行干预处理。本发明通过采用集中控制、分散审查,控制与审查相分离的方式,从而便于网络扩展,消除了性能瓶颈,同时相对于用户侧设备来说,可充分利用电信网络边缘设备能力,缩短异常流量在网络中的传播路径,有效降低核心网的负载。

Description

信息安全控制方法、装置和系统
技术领域
本发明涉及信息安全领域,特别涉及一种信息安全控制方法、装置和系统。
背景技术
当前信息安全服务器的部署主要采用网络出口集中部署的方式,以执行相应的审查和干预。这种方式存在的问题是:集中处理性能压力大、有延迟、丢包不可预测、存在网络可用性风险等。
此外,部分互联网安全厂商给予用户侧设备干预审查,此类方案的问题是:结果收集难度大、推广成本高、用户设备型号能力不统一,且用户侧设备不可信,容易被旁路或篡改。
发明内容
本发明实施例提供一种信息安全控制方法、装置和系统,通过采用集中控制、分散审查,控制与审查相分离的方式,从而便于网络扩展,消除了性能瓶颈,同时相对于用户侧设备来说,可充分利用电信网络边缘设备能力,缩短异常流量在网络中的传播路径,有效降低核心网的负载。
根据本发明的一个方面,提供一种信息安全控制方法,包括:
根据集中管理平台下发的审查规则对流量进行审查,以判断流量中是否含有违法信息;
在流量中含有违法信息的情况下,根据集中管理平台下发的干预规则,对违法信息进行干预处理。
在一个实施例中,在接收到集中管理平台下发的审查规则和干预规则后,将接收到的审查规则和干预规则分别与本地存储的审查规则和干预规则进行合并。
在一个实施例中,对流量进行审查包括:
根据信息来源、信息目的地、关键字、正则表达式中的至少一项对流量进行审查。
在一个实施例中,干预处理包括阻断、重定向、修改、发送警告中的至少一项。
在一个实施例中,还包括以预定周期上报审查和干预处理结果。
根据本发明的另一方面,提供一种信息安全控制装置,包括:
审查模块,用于根据集中管理平台下发的审查规则对流量进行审查,以判断流量中是否含有违法信息;
干预模块,用于在流量中含有违法信息的情况下,根据集中管理平台下发的干预规则,对违法信息进行干预处理。
在一个实施例中,上述装置还包括规则合并模块,用于在接收到集中管理平台下发的审查规则和干预规则后,将接收到的审查规则和干预规则分别与本地存储的审查规则和干预规则进行合并。
在一个实施例中,审查模块用于根据信息来源、信息目的地、关键字、正则表达式中的至少一项对流量进行审查。
在一个实施例中,干预处理包括阻断、重定向、修改、发送警告中的至少一项。
在一个实施例中,上述装置还包括:
上报模块,用于以预定周期上报审查和干预处理结果。
根据本发明的另一方面,提供一种信息安全控制装置,其特征在于,包括:
存储器,用于存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现上述任一实施例涉及的方法。
根据本发明的另一方面,提供一种宽带接入服务器,包括上述任一实施例涉及的信息安全控制装置。
根据本发明的另一方面,提供一种接入网络,包括:
如上述任一实施例涉及的宽带接入服务器;
集中管理平台,用于向宽带接入服务器中的信息安全控制装置提供审查规则和干预规则。
根据本发明的另一方面,提供一种计算机可读存储介质,其中计算机可读存储介质存储有计算机指令,指令被处理器执行时实现上述任一实施例涉及的方法。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明信息安全控制方法一个实施例的示意图。
图2为本发明信息安全控制方法另一实施例的示意图。
图3为本发明信息安全控制装置一个实施例的示意图。
图4为本发明信息安全控制装置另一实施例的示意图。
图5为本发明信息安全控制装置又一实施例的示意图。
图6为本发明宽带接入服务器一个实施例的示意图。
图7为本发明接入网络系统一个实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明信息安全控制方法一个实施例的示意图。可选地,本实施例的方法步骤可由信息安全控制装置执行。其中:
步骤101,根据集中管理平台下发的审查规则对流量进行审查,以判断流量中是否含有违法信息。
可选地,对流量进行审查可包括:
根据信息来源、信息目的地、关键字、正则表达式等多个条件中的至少一项对流量进行审查。
步骤102,在流量中含有违法信息的情况下,根据集中管理平台下发的干预规则,对违法信息进行干预处理。
可选地,干预处理可包括阻断、重定向、修改、发送警告等操作中的至少一项。
可选地,还以预定周期上报审查和干预处理结果,以便集中管理平台能够对各信息安全控制装置所进行的审查和干预处理进行统一管理。
基于本发明上述实施例提供的信息安全控制方法,通过采用集中控制、分散审查,控制与审查相分离的方式,从而便于网络扩展,消除了性能瓶颈,同时相对于用户侧设备来说,可充分利用电信网络边缘设备能力,缩短异常流量在网络中的传播路径,有效降低核心网的负载。
图2为本发明信息安全控制方法另一实施例的示意图。可选地,本实施例的方法步骤可由信息安全控制装置执行。其中:
步骤201,在接收到集中管理平台下发的审查规则和干预规则后,将接收到的审查规则和干预规则分别与本地存储的审查规则和干预规则进行合并。
若本地没有存储相应的审查规则和干预规则,则可将接收到的审查规则和干预规则直接进行存储。若本地已存储有审查规则和干预规则,则将接收到的审查规则和干预规则分别与本地存储的审查规则和干预规则进行合并,以提高后续的执行效率。
步骤202,根据审查规则对流量进行审查。
可选地,对流量进行审查可包括:
根据信息来源、信息目的地、关键字、正则表达式等多个条件中的至少一项对流量进行审查。
步骤203,判断流量中是否含有违法信息。若流量中含有违法信息,则执行步骤204;若流量中不含有违法信息,则执行步骤205。
步骤204,根据干预规则对违法信息进行干预处理。
可选地,干预处理可包括阻断、重定向、修改、发送警告等操作中的至少一项。
步骤205,以预定周期上报审查和干预处理结果,以便集中管理平台能够对各信息安全控制装置所进行的审查和干预处理进行统一管理。
图3为本发明信息安全控制装置一个实施例的示意图。如图3所示,信息安全控制装置可包括审查模块31和干预模块32,其中:
审查模块31用于根据集中管理平台下发的审查规则对流量进行审查,以判断流量中是否含有违法信息。
可选地,审查模块31根据信息来源、信息目的地、关键字、正则表达式等条件中的至少一项对流量进行审查。
干预模块32用于在流量中含有违法信息的情况下,根据集中管理平台下发的干预规则,对违法信息进行干预处理。
可选地,干预处理可包括阻断、重定向、修改、发送警告中的至少一项。
基于本发明上述实施例提供的信息安全控制装置,通过采用集中控制、分散审查,控制与审查相分离的方式,从而便于网络扩展,消除了性能瓶颈,同时相对于用户侧设备来说,可充分利用电信网络边缘设备能力,缩短异常流量在网络中的传播路径,有效降低核心网的负载。
图4为本发明信息安全控制装置另一实施例的示意图。与图3所示实施例相比,在图4所示实施例中,除审查模块41和干预模块42之外,信息安全控制装置还可进一步包括规则合并模块43。其中:
规则合并模块43在接收到集中管理平台下发的审查规则和干预规则后,将接收到的审查规则和干预规则分别与本地存储的审查规则和干预规则进行合并。
可选地,如图4所示,信息安全控制装置还可包括上报模块44,用于以预定周期上报审查和干预处理结果。
图5为本发明信息安全控制装置又一实施例的示意图。如图5所示,该装置包括存储器51和处理器52。其中:
存储器51用于存储指令,处理器52耦合到存储器51,处理器52被配置为基于存储器存储的指令执行实现如图1或图2中任一实施例涉及的方法。
如图5所示,该装置还包括通信接口53,用于与其它设备进行信息交互。同时,该装置还包括总线54,处理器52、通信接口53、以及存储器51通过总线54完成相互间的通信。
存储器51可以包含高速RAM存储器,也可还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。存储器51也可以是存储器阵列。存储器51还可能被分块,并且块可按一定的规则组合成虚拟卷。
此外,处理器52可以是一个中央处理器CPU,或者可以是专用集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
本发明同时还涉及一种计算机可读存储介质,其中计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1或图2中任一实施例涉及的方法。
图6为本发明宽带接入服务器(Broadband Remote Access Server,简称:BRAS)一个实施例的示意图。如图6所示,宽带接入服务器61中设有信息安全控制装置62,其中信息安全控制装置62可为图3-图5中任一实施例涉及的信息安全控制装置。
通过将信息安全控制装置设置在宽带接入服务器上,从而可有效实现控制与审查相分离,即集中控制、分散审查,有助于网络扩展和性能瓶颈的消除。
图7为本发明接入网络系统一个实施例的示意图。如图7所示,该网络系统包括集中管理平台71和多个宽带接入服务器72,其中每个宽带接入服务器均为图6所示的宽带接入服务器。
集中管理平台71用于向各宽带接入服务器72中的信息安全控制装置提供审查规则和干预规则,还用于接收宽带接入服务器72中的信息安全控制装置以预定周期上报的审查和干预处理结果。
通过实施本发明,可得到以下有益效果:
1)相对于信息安全设备在网络出口集中部署的方案,本发明提出采用控制与审查相分离的架构,即集中控制、分散审查,从而便于网络扩展,消除了性能瓶颈。
2)相对于用户侧设备来说,可充分利用电信网络边缘设备能力,缩短异常流量在网络中的传播路径,有效降低核心网的负载。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (14)

1.一种信息安全控制方法,其特征在于,包括:
根据集中管理平台下发的审查规则对流量进行审查,以判断所述流量中是否含有违法信息;
在所述流量中含有违法信息的情况下,根据集中管理平台下发的干预规则,对所述违法信息进行干预处理。
2.根据权利要求1所述的方法,其特征在于,还包括:
在接收到集中管理平台下发的审查规则和干预规则后,将接收到的审查规则和干预规则分别与本地存储的审查规则和干预规则进行合并。
3.根据权利要求1或2所述的方法,其特征在于,对流量进行审查包括:
根据信息来源、信息目的地、关键字、正则表达式中的至少一项对所述流量进行审查。
4.根据权利要求1或2所述的方法,其特征在于,
所述干预处理包括阻断、重定向、修改、发送警告中的至少一项。
5.根据权利要求1或2所述的方法,其特征在于,还包括:
以预定周期上报审查和干预处理结果。
6.一种信息安全控制装置,其特征在于,包括:
审查模块,用于根据集中管理平台下发的审查规则对流量进行审查,以判断所述流量中是否含有违法信息;
干预模块,用于在所述流量中含有违法信息的情况下,根据集中管理平台下发的干预规则,对所述违法信息进行干预处理。
7.根据权利要求6所述的装置,其特征在于,还包括:
规则合并模块,用于在接收到集中管理平台下发的审查规则和干预规则后,将接收到的审查规则和干预规则分别与本地存储的审查规则和干预规则进行合并。
8.根据权利要求6或7所述的装置,其特征在于
审查模块用于根据信息来源、信息目的地、关键字、正则表达式中的至少一项对所述流量进行审查。
9.根据权利要求6或7所述的装置,其特征在于,
所述干预处理包括阻断、重定向、修改、发送警告中的至少一项。
10.根据权利要求6或7所述的装置,其特征在于,还包括
上报模块,用于以预定周期上报审查和干预处理结果。
11.一种信息安全控制装置,其特征在于,包括:
存储器,用于存储指令;
处理器,耦合到所述存储器,所述处理器被配置为基于所述存储器存储的指令执行实现如权利要求1-5中任一项所述的方法。
12.一种宽带接入服务器,其特征在于,包括如权利要求6-11中任一项所述的信息安全控制装置。
13.一种接入网络系统,其特征在于,包括:
如权利要求12所述的宽带接入服务器;
集中管理平台,用于向所述宽带接入服务器中的信息安全控制装置提供审查规则和干预规则。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1-5中任一项所述的方法。
CN201710897051.2A 2017-09-28 2017-09-28 信息安全控制方法、装置和系统 Pending CN109587095A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710897051.2A CN109587095A (zh) 2017-09-28 2017-09-28 信息安全控制方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710897051.2A CN109587095A (zh) 2017-09-28 2017-09-28 信息安全控制方法、装置和系统

Publications (1)

Publication Number Publication Date
CN109587095A true CN109587095A (zh) 2019-04-05

Family

ID=65912857

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710897051.2A Pending CN109587095A (zh) 2017-09-28 2017-09-28 信息安全控制方法、装置和系统

Country Status (1)

Country Link
CN (1) CN109587095A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1564530A (zh) * 2004-04-15 2005-01-12 沈春和 网络安全防护的分布式入侵检测与内网监控系统及方法
CN101964804A (zh) * 2010-10-22 2011-02-02 北京工业大学 一种IPv6协议下的攻击防御系统及其实现方法
CN103310154A (zh) * 2013-06-04 2013-09-18 腾讯科技(深圳)有限公司 信息安全处理的方法、设备和系统
CN104333549A (zh) * 2014-10-28 2015-02-04 福建师范大学 一种用于分布式防火墙系统的数据包过滤方法
US20160072747A1 (en) * 2014-09-04 2016-03-10 International Business Machines Corporation Automated spam filter updating by tracking user navigation
CN105915535A (zh) * 2016-05-24 2016-08-31 北京朋创天地科技有限公司 一种基于用户身份的虚拟化资源访问控制方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1564530A (zh) * 2004-04-15 2005-01-12 沈春和 网络安全防护的分布式入侵检测与内网监控系统及方法
CN101964804A (zh) * 2010-10-22 2011-02-02 北京工业大学 一种IPv6协议下的攻击防御系统及其实现方法
CN103310154A (zh) * 2013-06-04 2013-09-18 腾讯科技(深圳)有限公司 信息安全处理的方法、设备和系统
US20160072747A1 (en) * 2014-09-04 2016-03-10 International Business Machines Corporation Automated spam filter updating by tracking user navigation
CN104333549A (zh) * 2014-10-28 2015-02-04 福建师范大学 一种用于分布式防火墙系统的数据包过滤方法
CN105915535A (zh) * 2016-05-24 2016-08-31 北京朋创天地科技有限公司 一种基于用户身份的虚拟化资源访问控制方法

Similar Documents

Publication Publication Date Title
US11218423B2 (en) Method for service implementation in network function virtualization (NFV) system and communications unit
DE112013000731B4 (de) Skalierbare virtuelle Geräte-Cloud
US10452422B2 (en) Method and apparatus for deploying virtual machine instance, and device
DE112015004008B4 (de) Selektives abtasten von netzwerkpaketverkehr unter verwendung von virtuelle-maschinen-werkzeugplattformen auf cloud-basis
CN105591978B (zh) 基于网络的服务功能链接
CN105765906B (zh) 用于网络功能虚拟化信息集中器的方法、系统和计算机可读介质
EP2972855B1 (en) Automatic configuration of external services based upon network activity
EP4131014A1 (en) Method and device for offloading processing of data flows
DE112016004347T5 (de) Lokale und globale Datenzentrumsnetzoptimierungen in Echtzeit basierend auf Plattformtelemetriedaten
DE102018210537A1 (de) Mikrodienste-Architektur
DE102015119890A1 (de) Paralleles Verarbeiten von Service-Funktionen in Service-Funktionsketten
US20170099215A1 (en) Link aggregation group (lag) support on a software-defined network (sdn)
DE102013208431B4 (de) Großer verteilter Switch auf Fabric-Basis unter Verwendung virtueller Switches und virtueller Steuereinheiten
DE102018004111B4 (de) Rechensystem, computerlesbares medium und bedarfsskalierungsengine zum kommunikativen koppeln an einen prozessor
US11240115B2 (en) Network topology display method and network management device
KR20170017903A (ko) 네트워크 장애의 선제적 핸들링 기법
US9507625B2 (en) Apparatus and method for generating software defined network(SDN)-based virtual network according to user demand
DE112019000965T5 (de) Technologien zur reduzierung der nic-anschlüsse mit beschleunigter schaltung
CN109964507A (zh) 网络功能的管理方法、管理单元及系统
RU2623897C2 (ru) Способ и устройство для управления пакетами
CN104811403B (zh) 基于开放流的组表处理方法、装置及组表配置单元
CN105210324B (zh) 策略与计费规则功能虚拟化方法、装置及系统
CN106657279A (zh) 一种网络业务加速方法和设备
DE102013209306A1 (de) Bereitstellen von Echtzeit-Interrupts über Ethernet
CN109587095A (zh) 信息安全控制方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190405

RJ01 Rejection of invention patent application after publication