CN111510431B - 一种泛终端准入管控平台、客户端及管控方法 - Google Patents
一种泛终端准入管控平台、客户端及管控方法 Download PDFInfo
- Publication number
- CN111510431B CN111510431B CN202010179375.4A CN202010179375A CN111510431B CN 111510431 B CN111510431 B CN 111510431B CN 202010179375 A CN202010179375 A CN 202010179375A CN 111510431 B CN111510431 B CN 111510431B
- Authority
- CN
- China
- Prior art keywords
- terminal
- universal
- information
- management
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种泛终端准入管控平台、客户端及管控方法,所述泛终端准入管控平台包括一台或多台管控服务器,所述泛终端准入管控平台用于对多个泛终端接入预设网络的准入操作进行管控,所述管控服务器包括:身份识别单元,用于根据预设条件,在泛终端接入预设网络前对该泛终端的身份进行识别;响应单元,用于响应于所述身份识别单元识别出的身份不符合预设条件,针对泛终端接入预设网络的行为,执行对应的安全事件。本发明能够有效实现增强对信息内网泛终端的安全检测与防护技术能力,健壮安全防护体系。
Description
技术领域
本公开涉及电力通信技术领域,尤其涉及一种泛终端准入管控平台、客户端及管控方法。
背景技术
随着网络终端数量的不断增加及须用场景的不断延伸,终端本体防护措施部署情况参差不齐,同时缺乏有效的入网控制技术措施及安全行为监控手段,导致终端易被仿冒、劫持,易被攻击者利用进而对公司信息网络进行攻击,产生各类入侵威胁。
终端安全已成为影响公司整体网络安全的重要因素。国建电网公司要求各单位须严格贯彻落实《国家电网公司网络与信息安全反违章措施-准入规范十八条》(信通技术〔2016〕6号),将接入信息网络的终端设备均纳入管控范围,采用有效的准入手段来对边界的安全风险和安全事件进行实时的监视和在线的管理,只允许受信终端设备接入网络,并开展正常的业务通信,禁止非授权设备访问,规范入网流程、防范接入风险、追溯威胁源头,确保终端安全可控从而提升管理信息大区整体安全防护水平。
发明内容
本公开的目的之一是通过提供一种泛终端准入管控平台、客户端及管控方法,以增强对信息内网泛终端的安全检测与防护技术能力,健壮安全防护体系。
为实现上述目的,根据本公开实施例的第一方面,提供一种泛终端准入管控平台,所述泛终端准入管控平台包括一台或多台管控服务器,所述泛终端准入管控平台用于对多个泛终端接入预设网络的准入操作进行管控,所述管控服务器包括:身份识别单元,用于根据预设条件,在泛终端接入预设网络前对该泛终端的身份进行识别;响应单元,用于响应于所述身份识别单元识别出的身份不符合预设条件,针对泛终端接入预设网络的行为,执行对应的安全事件。
可选地,所述多台管控服务器采用MPLS网络进行数据传输,所述多台管控服务器布置在所述MPLS网络中的接入或汇聚节点。
可选地,所述多台管控服务器采用策略路由与旁路镜像的混合方式布置在所述MPLS网络中。
可选地,在所述MPLS网络中:所述多台管控服务器中的第一部分管控服务器采用策略路由方式予以布置,所述第一部分管控服务器用于对与其连接的泛终端进行准入管控;所述多台管控服务器中的第二部分管控服务器采用单机旁路镜像部署在所述MPLS网络中的汇聚交换机处,或根据交换机接口的镜像使用信息采用策略路由方式予以布置,所述第二部分管控服务器用于对与其连接的泛终端进行准入管控;所述多台管控服务器中的第三部分管控服务器用于对所述MPLS 网络流量和基于SNMP对交换机管理的方式,对与其连接的泛终端的接入情况信息进行准入管控。
可选地,所述泛终端准入管控平台基于以下方式对目标泛终端进行管控:对于不能安装预设客户端的终端,通过SNMP对所述终端所述的交换机进行数据交互,基于所述数据交互对与所述交换机连接的终端或泛终端进行指纹识别与分析,并基于指纹识别与分析的结果对终端或泛终端的准入进行管控;对于能够安装预设客户端的终端,基于所述客户端与所述泛终端准入管控平台的数据交互对所述终端及与所述终端连接的泛终端的准入进行管控。
可选地,所述管控服务器采用PHP框架和Nginx架构进行配置。
可选地,所述管控服务器还包括:信息采集单元,用于基于设备属性采集泛终端的多个维度信息,所述多个维度信息包括泛终端在网络链路层地址、嵌入式操作系统、对外提供的网络服务、应用配置中的一项或多项信息;数字指纹信息生成单元,用于基于信息采集单元采集的信息和预设的数字指纹生成算法,生成与预设泛终端对应的唯一数字身份指纹信息,其中所述数字身份指纹信息作为所述身份识别单元的预设条件的依据。
可选地,所述管控服务器还包括:自学习单元,用于基于信息采集单元采集的信息,采用监督式学习算法对泛终端的网络行为进行自学习分析,其中所述自学习分析结果也作为所述身份识别单元的预设条件的依据。
根据本公开实施例的第二方面,提供一种泛终端准入客户端,所述泛终端准入客户端基于准入探针与上述任一项的泛终端准入管控平台进行以下数据交互:准入探针配置好管理地址后对向泛终端准入管控平台发起设备注册登记,向控制中心上线注册成功后,定期向 console同步心跳信息来确认是否有策略和任务更新,如果有配置更新会触发配置数据同步流程和任务执行流程;泛终端准入管控平台对准入探针的配置和控制策略包括:认证用户、交换机配置、审批列表、流程控制策略、黑白名单中的一项或多项,并通过心跳通知NAC设备,准入探针从泛终端准入管控平台同步这些数据;准入探针产生的日志数据、包括泛终端识别信息、网络设备及关系信息、阻断隔离信息、认证日志信息、异常告警灯信息在内的一个或多个业务数据向泛终端准入管控平台上报;准入探针上线注册成功后,和泛终端准入管控平台建立一个tcp长连接,断线重连,保证管理员通过控制台的设备面板对设备的数据查看和管理的时效性。
根据本公开实施例的第三方面,提供一种泛终端准入客户端的管控方法,所述泛终端准入客户端安装在移动终端上,所述移动终端与上述任一项所述的泛终端准入管控平台进行数据交互,所述管控方法包括:接收到开启客户端的准入操作,在所述移动终端上启动客户端;基于所述客户端采集所述移动终端的终端信息;对所采集终端信息按照预设规则进行合规性检查,判断所述移动终端是否存在违法异常行为;如果存在违法异常行为,执行告警与阻断操作,或/和提供引导修复以使移动终端上执行对应的修复操作。
本公开的实施例提供的技术方案可以实现以下有益效果:本发明通过泛终端准入一体化管控平台的设计开发,能够实现对网内泛终端的实时接入控制及安全检测,增强对信息内网泛终端的安全检测与防护技术能力,健壮安全防护体系。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请一个实施例提供的管控服务器的示意性框图;
图2为本申请一个实施例采用的高效PHP框架;
图3示出了本申请一个优选实施例的Nginx进程模型图;
图4示出了本申请一个优选实施例的准入客户端与所述360 杀毒客户端集成的360客户端的示意框架图;
图5为根据本申请的一个实施例的管控方法的流程示意图;
附图中相同或相似的附图标记代表相同或相似的结构。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/ 或”是指并包括一个或多个相关联的列出项目的任何或所有可能组合。
根据本申请的一个方面,提供了一种泛终端准入管控平台,所述泛终端准入管控平台包括一台或多台管控服务器,所述泛终端准入管控平台用于对多个泛终端接入预设网络的准入操作进行管控。其中,所述泛终端主要包括包括传真机、打印机等不是仅仅只有存储功能能够与计算机进行信息通信的外部设备。
请参考图1,图1为本申请一个实施例提供的管控服务器的示意性框图。如图1所示,所述管控服务器包括:
身份识别单元101,用于根据预设条件,在泛终端接入预设网络前对该泛终端的身份进行识别;其中,所述预设条件例如包括以下中的至少一项:用于判断泛终端的数字身份指纹信息是否符合预设要求、用于判断泛终端的应用配置信息是否符合预设要求等。
响应单元102,用于响应于所述身份识别单元识别出的身份不符合预设条件,针对泛终端接入预设网络的行为,执行对应的安全事件。其中,所述泛终端接入预设网络的行为例如包括传真机终端接入预设内网的行为,所述安全事件例如包括允许或禁止泛终端接入预设网络等。
可选地,所述多台管控服务器采用MPLS(多协议标签交换)网络进行数据传输,所述多台管控服务器布置在所述MPLS网络中的接入或汇聚节点。
具体地,如果所述泛终端准入管控平台布置在所述MPLS网络中,则由于MPLS网络无汇聚流量特殊性,所以为实现网络中的泛终端准入控制,需要在MPLS网络中的接入或汇聚节点部署泛终端管控服务器。
可选地,所述多台管控服务器采用策略路由与旁路镜像的混合方式布置在所述MPLS网络中。可选地,在所述MPLS网络中:所述多台管控服务器中的第一部分管控服务器采用策略路由方式予以布置,所述第一部分管控服务器用于对与其连接的泛终端进行准入管控;所述多台管控服务器中的第二部分管控服务器采用单机旁路镜像部署在所述MPLS网络中的汇聚交换机处,或根据交换机接口的镜像使用信息采用策略路由方式予以布置,所述第二部分管控服务器用于对与其连接的泛终端进行准入管控;所述多台管控服务器中的第三部分管控服务器用于对所述MPLS网络流量和基于SNMP(网络管理协议) 对交换机管理的方式,对与其连接的泛终端的接入情况信息进行准入管控。
具体地,以所述泛终端准入管控平台应用在市局供电公司为例,泛终端准入管控平台中的多台管控服务器采用策略路由与旁路镜像的混合方式布置在所述MPLS网络中,首先通过在市局核心处通过策略路由方式部署管控服务器,对市局及其管理的其他直属单位网络中的各类泛终端进行准入管控,其次通过在市局下属县区供电局汇聚交换机处单机旁路镜像(根据现场实际汇聚交换机接口镜像使用情况,可改为策略路由部署)部署,对网络范围内的各类泛终端进行准入管控,最后通过对网络流量及SNMP对交换机管理的方式,负责监测管控所在区域内的所有泛终端的接入状况,主要功能包括终端发现识别、终端检查、终端准入控制等。
可选地,所述泛终端准入管控平台基于以下方式对目标泛终端进行管控:对于不能安装预设客户端的终端,通过SNMP对所述终端所述的交换机进行数据交互,基于所述数据交互对与所述交换机连接的终端或泛终端进行指纹识别与分析,并基于指纹识别与分析的结果对终端或泛终端的准入进行管控,实现各类违规或仿冒的准入控制;对于能够安装预设客户端的终端,基于所述客户端与所述泛终端准入管控平台的数据交互对所述终端及与所述终端连接的泛终端的准入进行管控。
可选地,所述管控服务器采用PHP框架和Nginx架构进行配置。
具体地,泛终端准入管控平台对于后台处理服务器要求具有高安全性以及高可用性,所以在服务器后台方面,采用PHP和Nginx相配合的技术来搭建一台高性能的WEB服务器,高效的完成本公开需求中的大量终端信息的处理以及任务下发需求。优选地,本公开所采用的高效PHP框架如图2所示,根据图2,对比现有技术,现有通用方案都是在访问index.php直接进入到controller层。然后通过运算,找到相应的model跟view,这部分运算是整个框架里面最消耗性能的部分。本申请的技术方案则是在前面先进入一个file route的模块,此模块读取包含route常量的route config文件,直接使用key->value 来代替Controller执行前的运算工作。基于此改进,由于使用的是 key->value方式,能将所产生的运算量降到最低,所以能提高整体运行的速度,有效降低产品的计算负载。
另外,由于本申请的技术方案经常涉及到的PC终端采用的是XP 终端,要求WEB服务器可以在高并发的情况下稳定运行,根据此需求,本品采用Nginx架构来搭建后台处理的WEB服务器。
相较于传统的APACHE等WEB服务器,NGINX架构具有以下优点:
(1)性能强大
Nginx支持内核Poll模型,能够经受高负载考验,特别是高并发下的服务器后台计算。
(2)高稳定性
其他WEB服务器,当遇到访问峰值,或者有人恶意发起慢连时,可能会导致服务器物理内存耗尽、频繁交换,造成服务市区相应,这种情况下只能重启服务器。而Nginx采用了分阶段资源分配技术,大大降低了CPU和内存的占用率,大大提高了服务的稳定性。
(3)支持热部署
Nginx支持7*24小时不间断运行,支持在不间断服务下对软件版本进行升级。
(4)磁盘I/O优化
Nginx采用master-slave模型,能够充分利用SMP的优势,且能够减少工作进程在磁盘I/O的阻塞延迟。当采用select()/poll()调用时,还可以限制每个进程的连接数。
本项目采用的Nginx架构采用如图3所示模型完成:
根据图3,图3示出了本申请一个优选实施例的Nginx进程模型图,nginx在启动后,会有一个master进程和多个worker进程。master 进程主要用来管理worker进程,包含:接收来自外界的信号,向各 worker进程发送信号,监控worker进程的运行状态,当worker进程退出后(异常情况下),会自动重新启动新的worker进程。而基本的网络事件,则是放在worker进程中来处理了。多个worker进程之间是对等的,他们同等竞争来自客户端的请求,各进程互相之间是独立的。一个请求,只可能在一个worker进程中处理,一个worker进程,不可能处理其它进程的请求。worker进程的个数是可以设置的,一般建议与机器cpu核数一致。
可选地,请继续参考图1,所述管控服务器还包括:
信息采集单元103,用于基于设备属性采集泛终端的多个维度信息,所述多个维度信息包括泛终端在网络链路层地址、嵌入式操作系统、对外提供的网络服务、应用配置中的一项或多项信息;
数字指纹信息生成单元104,用于基于信息采集单元采集的信息和预设的数字指纹生成算法,生成与预设泛终端对应的唯一数字身份指纹信息,其中所述数字身份指纹信息作为所述身份识别单元的预设条件的依据。
具体地,本申请的发明人发现,本申请的管控服务器采用ABAC (基于设备属性)准入控制技术,通过对大量的泛终端设备的多个维度信息的采集分析研究发现,泛终端在网络链路层地址、嵌入式操作系统、对外提供的网络服务、应用配置信息等方面具有相对稳定性信息,基于采集的多个维度的信息结合多来源数字指纹生成算法,系统内部为每个设备生成一个唯一的数字身份指纹。这个指纹信息可以应用于无端设备的入网身份认证、设备仿冒接入识别发现。
可选地,所述管控服务器还包括:自学习单元,用于基于信息采集单元采集的信息,采用监督式学习算法对泛终端的网络行为进行自学习分析,其中所述自学习分析结果也作为所述身份识别单元的预设条件的依据。
具体地,由于泛终端在网络链路层地址、嵌入式操作系统、对外提供的网络服务、应用配置信息等方面具有相对稳定性特性,采用监督式学习算法对每一类终端的网络行为进行自学习分析,为每一类终端建立日常的行为基线准则,应用于异常行为检测、网络行为控制与安全风险分析,可大大节省了管理员的终端甄别和权限定义工作。
根据本申请的一个总的发明构思,本申请实施例还提供一种泛终端准入客户端,所述泛终端准入客户端基于准入探针与上述任一项的泛终端准入管控平台进行以下数据交互:
-准入探针配置好管理地址后对向泛终端准入管控平台发起设备注册登记。向控制中心上线注册成功后,定期向console同步心跳信息来确认是否有策略和任务更新,如果有配置更新会触发配置数据同步流程和任务执行流程;
-泛终端准入管控平台对准入探针的配置和控制策略包括:认证用户、交换机配置、审批列表、流程控制策略、黑白名单中的一项或多项,并通过心跳通知NAC设备,准入探针从泛终端准入管控平台同步这些数据;
-准入探针产生的日志数据、包括泛终端识别信息、网络设备及关系信息、阻断隔离信息、认证日志信息、异常告警灯信息在内的一个或多个业务数据向泛终端准入管控平台上报;
-准入探针上线注册成功后,和泛终端准入管控平台建立一个tcp 长连接,断线重连,保证管理员通过控制台的设备面板对设备的数据查看和管理的时效性。
具体地,本申请的发明人在将本申请的准入客户端部署在诸如 PC等终端上时,可以有效利用PC终端上已安装的现有杀毒客户端,实现在终端上的无害部署的同时也能在性能占用、兼容性、稳定性等方面得到有效保证。更具体地,以PC终端上已安装的360杀毒客户端为例,本申请的准入客户端可以与所述360杀毒客户端集成,并在集成后于终端上开启泛终端准入客户端,并基于终端准入客户端与泛终端准入管控平台进行数据交互,使得终端准入客户端能接收泛终端准入管控平台下发的终端策略,实现对终端主机层的准入手段,并对 PC终端以及与该PC终端连接或预访问的其他泛终端(如打印机、传真机等)信息进行采集与上报至泛终端准入管控平台,并进行合规性检查、违法异常行为告警与阻断,并提供引导修复。
其中,所述准入客户端与所述360杀毒客户端集成的360客户端的示意框架图可以参考图4。如图4所示,所述PC终端上已安装的 360杀毒客户端已有的组件包括杀毒组件、补丁组件、S6000接口组件以及PC客户端已有的操作系统,而所述准入客户端在此基础上新增的组件可以包括:认证客户端交互界面组件301、认证服务组件304、应用准入打点插件302、合规检查服务与修复组件303、网络驱动组件305和配套的基础框架组件306等。其中,所述认证服务组件304 例如用于对PC终端上的用户上网登录账户信息进行身份认证、对泛终端连接到PC终端的网络连接行为进行准入认证等。而其他组件是与该认证服务组件304对应的、可基于现有常规技术实现的配套组件。
根据本申请的一个总的发明构思,本申请实施例还提供一种泛终端准入客户端的管控方法,所述泛终端准入客户端安装在移动终端上,所述移动终端与上述任一项的泛终端准入管控平台进行数据交互。请参考图5,图5示出了本申请一个实施例的管控方法的流程示意图。根据图5,所述管控方法包括:
步骤S101,接收到开启客户端的准入操作,在所述移动终端上启动客户端;
步骤S102,基于所述客户端采集所述移动终端的终端信息;
步骤S103,对所采集终端信息按照预设规则进行合规性检查,判断所述移动终端是否存在违法异常行为;
步骤S104,如果存在违法异常行为,执行告警与阻断操作,或/ 和提供引导修复以使移动终端上执行对应的修复操作。
具体地,以PC终端上已安装的360杀毒客户端为例,本申请的准入客户端可以与所述360杀毒客户端集成,并在集成后,用户于该终端上开启泛终端准入客户端并基于终端准入客户端与泛终端准入管控平台进行数据交互,使得终端准入客户端能接收泛终端准入管控平台下发的终端策略,实现对终端主机层的准入手段,并对PC终端以及与该PC终端连接或预访问的其他泛终端(如打印机、传真机等) 信息进行采集与上报至泛终端准入管控平台,并进行合规性检查、违法异常行为告警与阻断,并提供引导修复。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (7)
1.一种泛终端准入管控平台,所述泛终端准入管控平台包括一台或多台管控服务器,所述泛终端准入管控平台用于对多个泛终端接入预设网络的准入操作进行管控,其特征在于,所述管控服务器包括:
身份识别单元,用于根据预设条件,在泛终端接入预设网络前对该泛终端的身份进行识别;
响应单元,用于响应于所述身份识别单元识别出的身份不符合预设条件,针对泛终端接入预设网络的行为,执行对应的安全事件;所述多台管控服务器采用MPLS网络进行数据传输,所述多台管控服务器布置在所述MPLS网络中的接入或汇聚节点;所述多台管控服务器采用策略路由与旁路镜像的混合方式布置在所述MPLS网络中;在所述MPLS网络中:
所述多台管控服务器中的第一部分管控服务器采用策略路由方式予以布置,所述第一部分管控服务器用于对与其连接的泛终端进行准入管控;
所述多台管控服务器中的第二部分管控服务器采用单机旁路镜像部署在所述MPLS网络中的汇聚交换机处,或根据交换机接口的镜像使用信息采用策略路由方式予以布置,所述第二部分管控服务器用于对与其连接的泛终端进行准入管控;
所述多台管控服务器中的第三部分管控服务器用于对所述MPLS网络流量和基于SNMP对交换机管理的方式,对与其连接的泛终端的接入情况信息进行准入管控。
2.根据权利要求1所述的泛终端准入管控平台,其特征在于,所述泛终端准入管控平台基于以下方式对目标泛终端进行管控:
对于不能安装预设客户端的终端,通过SNMP对所述终端所述的交换机进行数据交互,基于所述数据交互对与所述交换机连接的终端或泛终端进行指纹识别与分析,并基于指纹识别与分析的结果对终端或泛终端的准入进行管控;
对于能够安装预设客户端的终端,基于所述客户端与所述泛终端准入管控平台的数据交互对所述终端及与所述终端连接的泛终端的准入进行管控。
3.根据权利要求1所述的泛终端准入管控平台,其特征在于,所述管控服务器采用PHP框架和Nginx架构进行配置。
4.根据权利要求1所述的泛终端准入管控平台,其特征在于,所述管控服务器还包括:
信息采集单元,用于基于设备属性采集泛终端的多个维度信息,所述多个维度信息包括泛终端在网络链路层地址、嵌入式操作系统、对外提供的网络服务、应用配置中的一项或多项信息;
数字指纹信息生成单元,用于基于信息采集单元采集的信息和预设的数字指纹生成算法,生成与预设泛终端对应的唯一数字身份指纹信息,其中所述数字身份指纹信息作为所述身份识别单元的预设条件的依据。
5.根据权利要求4所述的泛终端准入管控平台,其特征在于,所述管控服务器还包括:
自学习单元,用于基于信息采集单元采集的信息,采用监督式学习算法对泛终端的网络行为进行自学习分析,其中所述自学习分析结果也作为所述身份识别单元的预设条件的依据。
6.一种泛终端准入客户端,其特征在于,所述泛终端准入客户端基于准入探针与权利要求1-5任一项的泛终端准入管控平台进行以下数据交互:
准入探针配置好管理地址后对向泛终端准入管控平台发起设备注册登记,向控制中心上线注册成功后,定期向console同步心跳信息来确认是否有策略和任务更新,如果有配置更新会触发配置数据同步流程和任务执行流程;
泛终端准入管控平台对准入探针的配置和控制策略包括:认证用户、交换机配置、审批列表、流程控制策略、黑白名单中的一项或多项,并通过心跳通知NAC设备,准入探针从泛终端准入管控平台同步这些数据;
准入探针产生的日志数据、包括泛终端识别信息、网络设备及关系信息、阻断隔离信息、认证日志信息、异常告警灯信息在内的一个或多个业务数据向泛终端准入管控平台上报;
准入探针上线注册成功后,和泛终端准入管控平台建立一个tcp长连接,断线重连,保证管理员通过控制台的设备面板对设备的数据查看和管理的时效性。
7.一种泛终端准入客户端的管控方法,所述泛终端准入客户端安装在移动终端上,所述移动终端与权利要求1-5任一项的泛终端准入管控平台进行数据交互,其特征在于,所述管控方法包括:
接收到开启客户端的准入操作,在所述移动终端上启动客户端;
基于所述客户端采集所述移动终端的终端信息;
对所采集终端信息按照预设规则进行合规性检查,判断所述移动终端是否存在违法异常行为;
如果存在违法异常行为,执行告警与阻断操作,或/和提供引导修复以使移动终端上执行对应的修复操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010179375.4A CN111510431B (zh) | 2020-03-16 | 2020-03-16 | 一种泛终端准入管控平台、客户端及管控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010179375.4A CN111510431B (zh) | 2020-03-16 | 2020-03-16 | 一种泛终端准入管控平台、客户端及管控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111510431A CN111510431A (zh) | 2020-08-07 |
| CN111510431B true CN111510431B (zh) | 2022-04-15 |
Family
ID=71871534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010179375.4A Active CN111510431B (zh) | 2020-03-16 | 2020-03-16 | 一种泛终端准入管控平台、客户端及管控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111510431B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113691521A (zh) * | 2021-08-19 | 2021-11-23 | 北京鼎普科技股份有限公司 | 一种基于终端网络准入的方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104184735A (zh) * | 2014-08-26 | 2014-12-03 | 国家电网公司 | 电力营销移动应用安全防护系统 |
| CN104660523A (zh) * | 2013-11-25 | 2015-05-27 | 遵义供电局 | 一种网络准入控制系统 |
| WO2015183014A1 (en) * | 2014-05-28 | 2015-12-03 | Samsung Electronics Co., Ltd. | Apparatus and method for controlling internet of things devices |
| WO2018208290A1 (en) * | 2017-05-09 | 2018-11-15 | Intel Corporation | Subject matching for distributed access control scenarios |
| CN109120599A (zh) * | 2018-07-23 | 2019-01-01 | 国网河南省电力公司商丘供电公司 | 一种外联管控系统 |
| CN110071579A (zh) * | 2019-06-05 | 2019-07-30 | 国网北京市电力公司 | 基于泛在电力物联网的电网供电保障和智能管控系统 |
| CN110855605A (zh) * | 2019-09-26 | 2020-02-28 | 山东鲁能软件技术有限公司 | 一种终端设备的安全防护方法,系统,设备及可读存储介质 |
-
2020
- 2020-03-16 CN CN202010179375.4A patent/CN111510431B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660523A (zh) * | 2013-11-25 | 2015-05-27 | 遵义供电局 | 一种网络准入控制系统 |
| WO2015183014A1 (en) * | 2014-05-28 | 2015-12-03 | Samsung Electronics Co., Ltd. | Apparatus and method for controlling internet of things devices |
| CN104184735A (zh) * | 2014-08-26 | 2014-12-03 | 国家电网公司 | 电力营销移动应用安全防护系统 |
| WO2018208290A1 (en) * | 2017-05-09 | 2018-11-15 | Intel Corporation | Subject matching for distributed access control scenarios |
| CN109120599A (zh) * | 2018-07-23 | 2019-01-01 | 国网河南省电力公司商丘供电公司 | 一种外联管控系统 |
| CN110071579A (zh) * | 2019-06-05 | 2019-07-30 | 国网北京市电力公司 | 基于泛在电力物联网的电网供电保障和智能管控系统 |
| CN110855605A (zh) * | 2019-09-26 | 2020-02-28 | 山东鲁能软件技术有限公司 | 一种终端设备的安全防护方法,系统,设备及可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| "电力企业泛终端一体化管控体系的建设与研究";宋洁;《万方》;20191211;第1-2页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111510431A (zh) | 2020-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9282114B1 (en) | Generation of alerts in an event management system based upon risk | |
| CN110941844B (zh) | 一种认证鉴权方法、系统、电子设备及可读存储介质 | |
| CN112766672B (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
| US7447752B2 (en) | Identification information creating method, information processing apparatus, computer program product, recording device monitoring method, terminal apparatus management method, and communication network system | |
| CN111490981B (zh) | 访问管理方法、装置、堡垒机及可读存储介质 | |
| EP2597569A1 (en) | System and method for distributing processing of computer security tasks | |
| CN110995640B (zh) | 识别网络攻击的方法及蜜罐防护系统 | |
| CN111131176B (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| CN113542399B (zh) | 车辆的远程控制方法、装置、车辆以及存储介质 | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| CN111131221A (zh) | 接口校验的装置、方法及存储介质 | |
| US20060143717A1 (en) | Computer network monitoring method and device | |
| CN111510431B (zh) | 一种泛终端准入管控平台、客户端及管控方法 | |
| CN117319212B (zh) | 云环境下多租户隔离的密码资源自动化调度系统及其方法 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN103916376A (zh) | 具攻击防护机制的云端系统及其防护方法 | |
| CN115118481B (zh) | 一种主机信息采集方法、装置、设备及介质 | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| CN114969744A (zh) | 进程拦截方法及系统、电子设备、存储介质 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| CN116567083A (zh) | 业务数据处理方法、装置、设备及介质 | |
| CN109547397B (zh) | 网络安全管理系统 | |
| CN114338777B (zh) | 一种逃生控制方法及装置 | |
| EP4203413A1 (en) | Device abnormality detection method and device networking system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |