CN110099060A - 一种网络信息安全保护方法及系统 - Google Patents

Abstract

本发明属于网络安全技术领域，更具体地，涉及一种网络信息安全保护方法及系统。该方法能够对网络系统中的数据进行实时监控和主动防护，当监测到外界入侵时，能够主动采用保护措施，保护服务器及其上的信息安全。本发明能够便捷、集中化地对各类信息系统进行统筹资源监管、登录行为记录、攻击记录、文件防篡改、应急监管、安全监管，充分掌握所有信息系统的运行情况、安全态势、风险识别、威胁感知、安全处置‑攻击事件溯源。

Description

一种网络信息安全保护方法及系统

技术领域

本发明属于网络安全技术领域，更具体地，涉及一种网络信息安全保护方法及系统。

背景技术

没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。《互联网安全保护技术措施规定》也明确指出：“保障互联网网络安全和信息安全”。全国人大、工业与信息化部也先后出台了相关法规条例，要求做好防篡改、防攻击工作。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

黑客通过各种手段，攻击、获取、破坏、篡改各种重要信息，给各组织机构、单位造成重大的经济损失和恶劣的社会影响，甚至威胁到国家经济的安全。

如何解决不法黑客的恶意攻击，如何保证信息系统安全、主动抵御恶意攻击、应急处置，根据网络安全法的相关规定，等级保护体系的要求，从“被动挨打”转变为主动防御保护。

发明内容

针对现有技术存在的不足之处，本发明提出了一种网络信息安全保护方法及系统，该方法能够对网络系统中的数据进行实时监控和主动防护，当监测到外界入侵时，能够主动采用保护措施，保护服务器及其上的信息安全。本发明提出的网络信息安全保护系统能够为服务器提供跨平台实时、批量、远程安全管理、安全防护及运维管理。该系统能够持续对网络系统的硬件、软件及其系统中的数据进行实时监控与主动防护，不因偶然或者恶意的原因使其遭受到破坏、更改、泄露，从而提高用户服务器安全性，并尽可能降低用户服务器在遭到网络攻击时的损失。在检测到未知威胁和恶意入侵时，能自动调整安全策略，帮助用户有效抵御黑客攻击、病毒、木马、后门等恶意代码，并且在发生安全事件时，能自动回溯攻击过程，并形成事件分析报告，为用户提供入侵取证及攻击源分析的能力，进而形成“风险识别-威胁感知-安全防御-攻击事件回溯”的一体化安全防护体系，提高用户服务器安全等级。

本发明采用如下技术方案：

一种网络信息安全保护方法，它包括以下步骤，

采用多重认证的方法登录服务器，记录登录服务器的行为；

限制文件上传的类型，限制方式包括白名单限制和黑名单限制；

通过内核加固技术保护网站目录及文件不被修改；

记录单个IP单位时间内扫描的端口数量N，当N不小于M时，锁定扫描IP，并生成日志记录，N、M均为自然数；

对所管理服务器进行监控，定位异常的资源使用和/或异常的服务器，出现异常时记录日志并报警；

在服务器遭受恶意攻击时，采用一键断网切通信，并自动回溯攻击过程形成事件分析报告。

本技术方案进一步的优化，多重认证包括数字密码认证、短信密码认证、语音密码认证、人脸识别中的一种或多种。

本技术方案进一步的优化，所述限制文件上传类型采用黑名单限制，并限制文件名长度小于系统限制长度。

本技术方案进一步的优化，所述保护网站目录及文件不被修改，设置保护目录和保护路径，保护目录下的网站和保护路径下的文件需要管理员权限和密码才能修改。

本技术方案进一步的优化，所述IP锁定一定时间后自动解锁，同一IP被锁定大于3次，直接锁死不再自动解锁。

一种网络信息安全保护系统，包括，

登录保护模块，采用多重认证的方法登录服务器，实现实时、主动地提供保护，防止非法用户入侵服务器，获取服务器内信息，同时对于登录服务器的行为进行记录。

上传文件限制模块，限制文件的上传类型，限制方式包括白名单限制和黑名单限制，从而达到保护服务器安全的目的。

文件保护模块，通过内核加固技术保护网站目录及文件不被修改，甚至即使被获取了权限也无法对网站的文件进行修改。

监控模块，对所管理服务器进行监控，同时显示多台服务器的工作状况，无需逐台地进行观察，提高工作效率，并及时定位异常的资源使用或异常的服务器，方便工作人员快速进行问题排查和解决。当监测到服务器受到安全威胁时，立即对攻击者进行警告同时报警提醒用户。用于监控管理服务器的工作情况，定位异常的资源使用和/或异常的服务器，对服务器上的资源进行监控及报警设置，当在出现异常时就会记录日志并报警。

扫描限制模型，防止黑客通过端口扫描工具获取服务器敏感信息，记录单个IP单位时间内扫描的端口数量N，当N不小于M时，锁定扫描IP，并生成日志记录，N、M均为自然数。有效的防止黑客通过端口扫描工具获取服务器敏感信息，并对扫描IP进行锁定，从而保护服务器安全。

断网保护模块，在服务器遭受黑客恶意攻击时，通过对系统网络的一键断网，立即切断通信，并自动回溯攻击过程形成事件分析报告，为用户提供入侵取证及攻击源分析。

本技术方案进一步的优化，登录保护模块的多重认证包括数字密码认证、短信密码认证、语音密码认证、人脸识别中的一种或多种。

本技术方案进一步的优化，限制文件上传模块采用黑名单限制，并限制文件名长度小于系统限制长度。

本技术方案进一步的优化，文件保护模块保护网站目录及文件不被修改，设置保护目录和保护路径，保护目录下的网站和保护路径下的文件需要管理员权限和密码才能修改。

本技术方案进一步的优化，扫描限制模块对IP锁定一定时间后自动解锁，同一IP被锁定大于3次，直接锁死不再自动解锁。

本发明能够便捷、集中化地对各类信息系统进行统筹资源监管、登录行为记录、攻击记录、文件防篡改、应急监管、安全监管，充分掌握所有信息系统的运行情况、安全态势、风险识别、威胁感知、安全处置-攻击事件溯源。在遇到突发安全事件时最大程度缩短应急响应时间，真正实现应急监管扁平化管理和分权管理。提高信息系统的整体安全监管效率，第一时间应急响应威胁行为，保证业务系统连续性不被中断，保证损失最小化。

附图说明

图1是实施例一的流程图；

图2是实施例二的流程图；

图3是网络信息安全保护系统的结构框图。

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

现结合附图和具体实施方式对本发明进一步说明。

实施例一

参阅图1所示，为实施例一的流程图，本发明优选一实施例的一种网络信息安全保护方法，它包括以下步骤，

步骤S1，采用多重认证的方法登录服务器，记录登录服务器的行为。该实施例多重认证包括数字密码认证、短信密码认证和人脸识别。用户在注册账号的时候，录入账号对应的数字密码、手机号码、人脸图像和该账号对应的权限。当用户登录服务器时，输入账号和数字密码确认，数字密码正确后，向账号对应的手机号码发送短信密码，用户输入短信密码确认，短信密码正确后，进行人脸识别，人脸识别通过后根据账号的权限展示相应的内容。

步骤S2，限制文件上传的类型。黑客利用文件上传漏洞获取用户账号、密码等重要信息，此举严重危害网站安全。采用内核加固技术，以白名单的方式限制上传文件的类型，从而达到保护服务器安全的目的。白名单限制为限制特定IP允许访问服务器，仅允许运行信任列表中的程序。

根据操作系统特性，不同操作系统的文献长度要求不同，例如windows10 文件名长度总共为223包括后缀，win2012的为237，linux ubuntu0.16.04.1 文件名长度252。对于白名单限制，黑客在攻击系统的时候会通过不断尝试测试系统的文件名长度限制，该实施例主动限制文件名长度，在小于系统限制长度的基础上，设置一个数值，使得黑客难以根据文件名长度识别系统。

步骤S3，通过内核加固技术保护网站目录及文件不被修改。黑客往往会通过各种手段获得网站管理员账号，然后登录网站后台，通过获取权限修改网站页面的内容，向页面中加入恶意转向代码。通过内核加固技术保护网站目录及文件不被修改，甚至即使被获取了权限也无法对网站的文件进行修改。保护目录下的网站和保护路径下的文件需要管理员权限和密码才能修改，用户添加受保护的路径，可以根据网站文件实际情况选择是否运行创建和删除文件。用户则可以根据自己的实际情况选择保护网站目录或文件。

步骤S4，记录单个IP单位时间内扫描的端口数量N，当N不小于M时，锁定扫描IP，并生成日志记录，N、M均为自然数。

端口扫描是检查IP地址上的所有端口以查看它们是打开还是关闭的过程。端口扫描软件将检查端口0、端口1、端口2，并一直检查到端口65535。它通过简单地向每个端口发送请求响应来实现这一点。端口扫描可以帮助攻击者找到攻击的弱点，并入侵系统。限制单个IP单位时间内允许扫描的端口数目来防止黑客通过端口扫描工具获取服务器敏感信息，而扫描的端口超过设置数目时则对扫描IP锁定一定时间。例如15秒内扫描端口超过15个则锁定120分钟， IP锁定120分钟后自动解锁，如果同一IP被锁定5次，那么直接锁死必须手动解锁才可以。

步骤S5，对所管理服务器进行监控，定位异常的资源使用和/或异常的服务器，出现异常时记录日志并报警。即对所管理服务器进行监控，同时显示多台服务器的工作状况，无需逐台地进行观察，提高工作效率，并及时定位异常的资源使用或异常的服务器，方便工作人员快速进行问题排查和解决。

步骤S6，在服务器遭受黑客恶意攻击时，通过对系统网络的一键断网，立即切断黑客与服务器之间的所有通信，并自动回溯攻击过程形成事件分析报告，为用户提供入侵取证及攻击源分析。

实施例二

参阅图2所示，为实施例二的流程图。一种网络信息安全保护方法，它包括以下步骤，

步骤S1，采用多重认证的方法登录服务器，记录登录服务器的行为，该实施例多重认证包括数字密码认证、短信密码认证和语音密码认证。用户在注册账号的时候，录入账号对应的数字密码、手机号码、语音信息和该账号对应的权限。当用户登录服务器时，输入账号和数字密码确认，数字密码正确后，向账号对应的手机号码发送短信密码，用户输入短信密码确认，短信密码正确后，进行语音信息验证，语音信息验证通过后根据账号的权限展示相应的内容。

步骤S2，限制文件上传的类型。黑客利用文件上传漏洞获取用户账号、密码等重要信息，此举严重危害网站安全。采用内核加固技术，以黑名单的方式限制上传文件的类型，从而达到保护服务器安全的目的。黑名单限制特定IP不允许访问服务器，带有木马病毒特征的禁止运行。

步骤S3，通过内核加固技术保护网站目录及文件不被修改。黑客往往会通过各种手段获得网站管理员账号，然后登录网站后台，通过获取权限修改网站页面的内容，向页面中加入恶意转向代码。通过内核加固技术保护网站目录及文件不被修改，甚至即使被获取了权限也无法对网站的文件进行修改。保护目录下的网站和保护路径下的文件需要管理员权限和密码才能修改，用户添加受保护的路径，可以根据网站文件实际情况选择是否运行创建和删除文件。用户则可以根据自己的实际情况选择保护网站目录或文件。

步骤S4，记录单个IP单位时间内扫描的端口数量N，当N不小于M时，锁定扫描IP，并生成日志记录，N、M均为自然数。

端口扫描是检查IP地址上的所有端口以查看它们是打开还是关闭的过程。端口扫描软件将检查端口0、端口1、端口2，并一直检查到端口65535。它通过简单地向每个端口发送请求响应来实现这一点。端口扫描可以帮助攻击者找到攻击的弱点，并入侵系统。限制单个IP单位时间内允许扫描的端口数目来防止黑客通过端口扫描工具获取服务器敏感信息，而扫描的端口超过设置数目时则对扫描IP锁定一定时间。例如10秒内扫描端口超过8个则锁定90分钟，IP 锁定90分钟后自动解锁，如果同一IP被锁定4次，那么直接锁死必须手动解锁才可以。

步骤S5，对所管理服务器进行监控，定位异常的资源使用和/或异常的服务器，出现异常时记录日志并报警。可以对所管理服务器的CPU、内存、网络IO 进行监控；并对服务器的性能进行整体监控，无需对一台一台的进行观察。

当监测到服务器受到安全威胁时，立即对攻击者进行警告同时报警提醒用户，用户通过一键的操作即可对系统实现管控，在避免安全漏洞被利用的情况下确保系统安全正常运行。

步骤S6，在服务器遭受黑客恶意攻击时，通过对系统网络的一键断网，立即切断黑客与服务器之间的所有通信，并自动回溯攻击过程形成事件分析报告，为用户提供入侵取证及攻击源分析。

步骤S7，功能优化，服务器系统默认会开启很多不常用的服务和设置，这些服务和设置既会给服务器造成安全隐患，也会影响服务器使用性能。对所管理的服务器进行分析，对服务器系统设置进行优化，提高服务器的安全及性能。

S8，备份和还原，当服务器环境出现问题需要还原，而不想重新配置一遍规则；这时可以先将规则备份保存在在电脑或者云端，当服务器环境还原后，将备份的内容还原就可以恢复服务器还原前的配置状态了。同时该功能还适用于多个相同网站环境的服务器，只需要配置一台服务器的规则，备份一份出来还原到其它的服务器中，省去了配置每一台服务器的重复性工作。

参阅图3所示，为网络信息安全保护系统的结构框图。一种网络信息安全保护系统，包括：

登录保护模块，采用多重认证的方法登录服务器，实现实时、主动地提供保护，防止非法用户入侵服务器，获取服务器内信息，同时对于登录服务器的行为进行记录。登录保护模块的多重认证包括数字密码认证、短信密码认证、语音密码认证、人脸识别中的一种或多种。

上传文件限制模块，限制文件的上传类型，限制方式包括白名单限制和黑名单限制，从而达到保护服务器安全的目的。需要说明的是该实施例限制文件上传模块采用黑名单限制，并限制文件名长度小于系统限制长度。

文件保护模块，通过内核加固技术保护网站目录及文件不被修改，甚至即使被获取了权限也无法对网站的文件进行修改。文件保护模块保护网站目录及文件不被修改，设置保护目录和保护路径，保护目录下的网站和保护路径下的文件需要管理员权限和密码才能修改。

监控模块，对所管理服务器进行监控，同时显示多台服务器的工作状况，无需逐台地进行观察，提高工作效率，并及时定位异常的资源使用或异常的服务器，方便工作人员快速进行问题排查和解决。当监测到服务器受到安全威胁时，立即对攻击者进行警告同时报警提醒用户。用于监控管理服务器的工作情况，定位异常的资源使用和/或异常的服务器，对服务器上的资源进行监控及报警设置，当在出现异常时就会记录日志并报警。

扫描限制模型，防止黑客通过端口扫描工具获取服务器敏感信息，记录单个IP单位时间内扫描的端口数量N，当N不小于M时，锁定扫描IP，并生成日志记录，N、M均为自然数。有效的防止黑客通过端口扫描工具获取服务器敏感信息，并对扫描IP进行锁定，从而保护服务器安全。扫描限制模块对IP锁定一定时间后自动解锁，同一IP被锁定大于3次，直接锁死不再自动解锁。

断网保护模块，在服务器遭受黑客恶意攻击时，通过对系统网络的一键断网，立即切断通信，并自动回溯攻击过程形成事件分析报告，为用户提供入侵取证及攻击源分析。

此外，该系统还包括功能优化模块、备份和还原模块。功能优化模块，服务器系统默认会开启很多不常用的服务和设置，这些服务和设置既会给服务器造成安全隐患，也会影响服务器使用性能。对所管理的服务器进行分析，对服务器系统设置进行优化，提高服务器的安全及性能。

备份和还原模块，当服务器环境出现问题需要还原，而不想重新配置一遍规则；这时可以先将规则备份保存在在电脑或者云端，当服务器环境还原后，将备份的内容还原就可以恢复服务器还原前的配置状态了。同时该功能还适用于多个相同网站环境的服务器，只需要配置一台服务器的规则，备份一份出来还原到其它的服务器中，省去了配置每一台服务器的重复性工作。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。

Claims (10)

1.一种网络信息安全保护方法，其特征在于：它包括以下步骤，

采用多重认证的方法登录服务器，记录登录服务器的行为；

限制文件上传的类型；

通过内核加固技术保护网站目录及文件不被修改；

记录单个IP单位时间内扫描的端口数量N，当N不小于M时，锁定扫描IP，并生成日志记录，N、M均为自然数；

对所管理服务器进行监控，定位异常的资源使用和/或异常的服务器，出现异常时记录日志并报警；

在服务器遭受恶意攻击时，采用一键断网切通信，并自动回溯攻击过程形成事件分析报告。

2.如权利要求1所述的网络信息安全保护方法，其特征在于：所述多重认证包括数字密码认证、短信密码认证、语音密码认证、人脸识别中的一种或多种。

3.如权利要求1所述的网络信息安全保护方法，其特征在于：所述限制文件上传类型采用黑名单限制，并限制文件名长度小于系统限制长度。

4.如权利要求1所述的网络信息安全保护方法，其特征在于：所述保护网站目录及文件不被修改，设置保护目录和保护路径，保护目录下的网站和保护路径下的文件需要管理员权限和密码才能修改。

5.如权利要求1所述的网络信息安全保护方法，其特征在于：所述IP锁定一定时间后自动解锁，同一IP被锁定大于3次，直接锁死不再自动解锁。

6.一种网络信息安全保护系统，其特征在于：包括，

登录保护模块，采用多重认证的方法登录服务器，对于登录服务器的行为进行记录；

上传文件限制模块，限制文件的上传类型；

文件保护模块，通过内核加固技术保护网站目录及文件不被修改，甚至即使被获取了权限也无法对网站的文件进行修改；

扫描限制模型，防止黑客通过端口扫描工具获取服务器敏感信息，记录单个IP单位时间内扫描的端口数量N，当N不小于M时，锁定扫描IP，并生成日志记录，N、M均为自然数；

监控模块，用于监控管理服务器的工作情况，定位异常的资源使用和/或异常的服务器，对服务器上的资源进行监控及报警设置，当在出现异常时就会记录日志并报警；

断网保护模块，在服务器遭受黑客恶意攻击时，通过对系统网络的一键断网，立即切断通信，并自动回溯攻击过程形成事件分析报告，为用户提供入侵取证及攻击源分析。

7.如权利要求6所述的网络信息安全保护系统，其特征在于：所述登录保护模块的多重认证包括数字密码认证、短信密码认证、语音密码认证、人脸识别中的一种或多种。

8.如权利要求6所述的网络信息安全保护系统，其特征在于：所述限制文件上传模块采用黑名单限制，并限制文件名长度小于系统限制长度。

9.如权利要求6所述的网络信息安全保护系统，其特征在于：所述文件保护模块保护网站目录及文件不被修改，设置保护目录和保护路径，保护目录下的网站和保护路径下的文件需要管理员权限和密码才能修改。

10.如权利要求6所述的网络信息安全保护系统，其特征在于：所述扫描限制模块对IP锁定一定时间后自动解锁，同一IP被锁定大于3次，直接锁死不再自动解锁。