CN111885070A - 一种网络与信息安全管理系统 - Google Patents

Abstract

本发明公开了网络与信息安全管理系统，系统包括信息接收模块、信息加密模块和信息发送模块；信息接收模块与信息加密模块通信连接，信息加密模块与信息发送模块通信连接；信息接收模块能够接收途径对象网点的数据包，数据加密模块能对数据包进行加密，信息发送模块能将加密后的数据包发送给对象网点，进入网络设备的数据包的内容由于加密发生了改变，可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门，不但可以解决网络设备本身的信任问题，还可以提高网络设备的安全性。同时，管理系统的协同增效作用，利用态势理解模块和态势评估模块对网络安全态势进行动态感知评估，实现了对全局网络的有效掌握，具有较高的应用价值。

Description

一种网络与信息安全管理系统

技术领域

本发明涉及网络安全控制技术领域，具体地说，特别涉及一种基于安全策略的网络安全 管理系统和方法。

背景技术

随着互联网+时代的发展，网络化的社会不仅给人们日常生活带来诸多便利，但是也危及 个人或企业的信息安全，甚至对国家安全和国际关系也产生了深刻的影响。

现行的网络架构，多采用普通交换机、网关、路由器、网卡等设备、以及通信光纤、网 线、WIFI等直接组网，通过设备本身或者电脑等设备自身带有的网络安全硬件或软件来监控 网络，采取各自为战，对于网络威胁与攻击没有系统的监控及防范方法，严重影响了用户的 正常使用。

同时由于客户需求，在各种办公、生产场合，需要设置摄像头，用于安全监控，以及多 设置有LED广告牌，电视墙等显示装置，这些设备通常都采用单独设备及网络管理，不利于 网络的充分利用，并造成了用户使用不变及成本上升。

因此，亟需新的技术方案解决现有技术存在的问题。

如申请号为CN201810822804.8公开了一种基于安全应用服务器的信息安全管理系统及 其管理方法；它包括内网安全应用服务器、信息安全管理系统、外网安全应用服务器和存储 器，所述的存储器与内网安全应用服务器连接，所述的内网安全应用服务器与信息安全管理 系统连接，所述的信息安全管理系统与外网安全应用服务器连接；所述的信息安全管理系统 用于对所述内网安全应用服务器与所述外网安全应用服务器中之间双向传输的数据信息进行 监控管理；所述的信息安全管理系统包括特征数据筛选模块、特征数据匹配模块和特征数据 分发模块；所述的特征数据筛选模块的输入端与内网安全应用服务器和外网安全应用服务器 相连接，输出端与特征数据匹配模块连接；其用于筛选、甄别、提取流经所述信息安全管理 系统所有数据信息中的特征漏洞数据，并将筛选、甄别、提取到的所述特征数据传送给所述 的特征数据匹配模块；所述的特征数据匹配模块的输出端与特征数据分发模块连接，其用于 将所述特征数据匹配模块筛选、甄别、提取的特征数据与预存在特征数据库中的预设特征数 据进行对比匹配，并将对比匹配的结果传送给所述特征数据分发模块；所述的特征数据分发 模块输出端分别与内网安全应用服务器和外网安全应用服务器相连接，其用于根据所述特征 数据匹配模块的对比匹配结果控制所传输的数据信息通过所述信息安全管理系统传输至网安 全应用服务器或外网安全应用服务器；所述的内网安全应用服务器包括WEB服务器，所述 的WEB服务器与终端浏览器连接。但该系统操作方法繁琐，存在冗余问题，不适合应用于 对管理系统容量、性能要求均非常苛刻的大规模企业网络环境。

又如申请号为CN201910063481.3公开了一种计算机网络信息安全管理系统；它包括控制 器，与所述控制器相连的用于监测网络数据的网络监测模块，与所述控制器相连的用于监测 网络交换数据的数据监测模块，与所述控制器相连的用于对计算机内存储文件进行扫描的文 件扫描模块，与所述控制器相连的用于对配置文件、保护机制进行监测的监测扫描模块；与 所述控制器相连的用于在计算机硬盘中分隔设置安全空间的安全空间分隔模块，与所述控制 器相连的用于检测计算机中是否安装杀毒软件的软件检测模块，与所述控制器相连的用于检 测计算机是否开启防火墙的防火墙检测模块，与所述控制器相连的用于根据软件检测模块、 防火墙检测模块的检测结果在显示屏上弹出分级警示对话框的分级对话模块；与所述控制器 相连的用于监测计算机连接资源定位符的数据流量的资源定位符监测模块，与所述控制器相 连的用于将资源定位符监测模块的监测结果与预设流量值进行比对的黑白名单设置模块，与 所述控制器相连的用于根据黑白名单设置模块、文件扫描模块的检测结果删除相应资源定位 符和存储文件的数据资源删除模块，与所述控制器相连的用于对计算机数据资源进行备份的 数据资源备份模块。但该系统需要额外设置防火墙，减慢访问速度，也存在被二次破解的问 题。

发明内容

针对上述现有技术存在的问题，本发明提供一种网络与信息安全管理系统，能够有效的 统整内部网点且实时分配网点的权限，进而达到实用、省时及安全的功效。

为解决上述问题，本发明采用如下的技术方案。

一种网络与信息安全管理系统，包括信息接收模块、信息加密模块和信息发送模块；

所述信息接收模块与所述信息加密模块通信连接，所述信息加密模块与所述信息发送模 块通信连接；所述信息接收模块能够接收途径对象网点的数据包，所述数据加密模块能对所 述数据包进行加密，所述信息发送模块能将加密后的数据包发送给所述对象网点；

其中信息接收模块包括接收单元、应答单元、校验单元及第一供电电源，所述第一供电 电源用于所述接收单元、所述应答单元、所述校验单元的供电，所述接收单元用于接收服务 器传递过来的数据，所述接收单元与所述应答单元之间通过IP协议通信连接，所述应答单元 与所述校验单元相连，所述应答单元与所述信息加密模块相连，所述校验单元用于信息接收 模块所接收数据的校验；

其中信息加密模块包括存储单元、密钥安全芯片、算法保存单元、签名模块、验签模块 及第二供电电源，所述第二供电电源用于所述存储单元、所述密钥安全芯片、所述算法保存 单元、所述签名模块、所述验签模块的供电，所述签名模块用于对来自所述校验单元的数据 使用基于标识认证的信息加密传输装置的公钥进行加密，所述签名模块和所述验签模块分别 与所述验签模块相连，所述密钥安全芯片通过所述算法保存单元与所述存储单元相连，所述 算法保存单元用于保存用户唯一标识、用户私钥、公钥矩阵及加解密算法，所述验签模块用 于验证来自签名模块数据的有效性，所述验签模块与所述信息发送模块相连；

其中信息发送模块包括短波发射模块、GPRS发射模块及第三供电电源，所述短波发射 模块包括编码器、激励器、扩大器及发射天线，所述编码器与中央控制模块连接，编码器与 激励器连接，激励器与扩大器连接，扩大器通过线路与发射天线连接，所述短波发射模块与 所述验签模块相连，所述GPRS发射模块与所述验签模块相连，所述第三供电电源用于所述 短波发射模块、GPRS发射模块的供电；

还包括管理系统，所述管理系统包括安全设备层、数据层、安全决策层和用户展示层； 所述安全设备层包括事件接收单元；所述事件接收单元联接有防火墙模块、防病毒模块、漏 洞扫描模块、入侵检测模块和安全设计模块；所述数据层包括审计信息数据库、设备信息数 据库和安全策略数据库；所述设备信息数据库分别与审计信息数据库和安全策略数据库相联 接；所述安全决策层包括要素提取模块、态势理解模块、加固方案生成模块、态势评估模块 和态势预测模块；所述要素提取模块分别与态势理解模块和加固方案生成模块相联接；所述 态势评估模块分别与态势理解模块、加固方案生成模块和态势预测模块相联接；所述用户展 示层包括策略制订展示模块、策略评估展示模块、应急处理展示模块、集中审计展示模块和 设备管理展示模块；其中，所述事件接收单元通过NB-IOT模块与设备信息数据库相联接； 所述设备信息数据库通过数据传输模块与要素提取模块进行数据的传输；所述态势评估模块 通过数据传输模块分别与策略制订展示模块、策略评估展示模块、应急处理展示模块、集中 审计展示模块和设备管理展示模块相联接；所述态势预测模块通过数据传输模块与安全策略 数据库进行数据的交互；所述态势预测模块通过数据传输模块分别与策略制订展示模块、策 略评估展示模块、应急处理展示模块、集中审计展示模块和设备管理展示模块相联接。

上述所述的网络与信息安全管理系统中，所述对象网点包括服务器、管理路由器、网络 交换机、无线热点装置、硬盘录像机、监控设备中的一种或多种。

上述所述的网络与信息安全管理系统中，所述信息接收模块用于收集各个对象网点于登 入时发出的网点信息，所述网点信息包括网域信息、计算机名称信息及账户信息。

上述所述的网络与信息安全管理系统中，还包括类型判断模块，所述类型判断信号连接 于所述信息接收模块，所述类型判断模块经设置而依据所述信息接收模块所接收的所述网点 信息比对于一网点管理清单，从而判断出各个所述对象网点对所述网络安全管理系统的登入 所属的网点类型。

上述所述的网络与信息安全管理系统中，所述网点管理清单对应于每个该网点类型而各 具有允许网域信息、允许计算机名称信息及允许账户信息，且该网点信息与该网点管理清单 的比对是依据该网点信息分别比对于该允许网域信息、该允许计算机名称信息及该允许账户 信息的比对结果，从而在查照出的该对象网点在清单内的所对应的该网点类型而判断该对象 网点所属该网点类型，或是在该对象网点无对应的该网点类型而判断该对象网点不在清单内。

上述所述的网络与信息安全管理系统中，还包括管理操作模块，所述管理操作模块与所 述信息发送模块连接，所述管理操作模块包括决定所述对象网点是否有操作权限或给予所述 对象网点对应于所属的该网点类型的操作权限。

上述所述的网络与信息安全管理系统中，还包括扫描模块，所述扫描模块与所述对象网 点连接，所述扫描模块用于发现所述对象网点具有漏洞的服务，所述扫描模块中扫描/攻击方 法库由攻击方法插件构成，用于描述和实现攻击方法的动态链接库；所述扫描/攻击方法库与 用于对新的攻击方法描述的描述语言接口相连实现方法库的动态更新。

上述所述的网络与信息安全管理系统中，所述信息加密模块采用至少一种加密策略，对 所述数据包进行加密。

上述所述的网络与信息安全管理系统中，还包括存储器，用于储存加密算法或数据。

有益效果

相比于现有技术，本发明的有益效果为：

数据包在进入网络设备时被加密，对于网络设备而言进入网络设备的数据包的内容由于 加密发生了改变，可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门， 不但可以解决网络设备本身的信任问题，还可以提高网络设备的安全性。本系统能够快速的 利用该信息收集装置收集该对象网点的网点信息，并以该类型判断装置根据该登入信息与已 建置的网点管理清单进行比对，从而能快速识别该对象网点目前登入动作是否合乎于该网点 管理清单，以达到简易控管网络系统的目的。并且，该类型判断装置已将合乎于该网点管理 清单的该对象网点进行分类，从而使该事件管理装置能够快速地依据该对象网点所属的该网 点类型而判断登入事件并给予其所对应的操作权限，如：限定非网域内的特定的允许计算机 的权限、限定只有特定的使用者的权限、限定特定的计算机的权限、限定特定的计算机加特 定的用户才能有的权限等，或是在该对象网点不合乎于网点管理清单，从而可以直接阻断， 以达到快速地整合内部的网络环境并保护信息安全的效果。同时，所述管理系统通过基于NB -IOT技术，利用态势理解模块和态势评估模块对网络安全态势进行动态感知评估，并利用加 固方案生成模块和态势预测模块对网络安全态势进行预测及强化，实现了对全局网络的有效 掌握，具有较高的应用价值。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本申请的网络与信息安全管理系统中管理系统的控制示意图；

图2是本申请的网络与信息安全管理系统的流程示意图；

图3是本申请的网络与信息安全管理系统以云服务器为对象网点的示意图。

具体实施方式

下面结合具体发明对本发明进一步进行描述。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描 述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明 中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例， 都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二” 等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数 据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的 那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，例如，包含了 一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元， 而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

如图1和图2所示，本说明书实施例提供一种网络与信息安全管理系统，其特征在于： 包括信息接收模块、信息加密模块和信息发送模块；

所述信息接收模块与所述信息加密模块通信连接，所述信息加密模块与所述信息发送模 块通信连接；所述信息接收模块能够接收途径对象网点的数据包，所述数据加密模块能对所 述数据包进行加密，所述信息发送模块能将加密后的数据包发送给所述对象网点。

需要注意的是，其中信息接收模块包括接收单元、应答单元、校验单元及第一供电电源， 所述第一供电电源用于所述接收单元、所述应答单元、所述校验单元的供电，所述接收单元 用于接收服务器传递过来的数据，所述接收单元与所述应答单元之间通过IP协议通信连接， 所述应答单元与所述校验单元相连，所述应答单元与所述信息加密模块相连，所述校验单元 用于信息接收模块所接收数据的校验；

其中信息加密模块包括存储单元、密钥安全芯片、算法保存单元、签名模块、验签模块 及第二供电电源，所述第二供电电源用于所述存储单元、所述密钥安全芯片、所述算法保存 单元、所述签名模块、所述验签模块的供电，所述签名模块用于对来自所述校验单元的数据 使用基于标识认证的信息加密传输装置的公钥进行加密，所述签名模块和所述验签模块分别 与所述验签模块相连，所述密钥安全芯片通过所述算法保存单元与所述存储单元相连，所述 算法保存单元用于保存用户唯一标识、用户私钥、公钥矩阵及加解密算法，所述验签模块用 于验证来自签名模块数据的有效性，所述验签模块与所述信息发送模块相连；

其中信息发送模块包括短波发射模块、GPRS发射模块及第三供电电源，所述短波发射 模块包括编码器、激励器、扩大器及发射天线，所述编码器与中央控制模块连接，编码器与 激励器连接，激励器与扩大器连接，扩大器通过线路与发射天线连接，所述短波发射模块与 所述验签模块相连，所述GPRS发射模块与所述验签模块相连，所述第三供电电源用于所述 短波发射模块、GPRS发射模块的供电；

还包括管理系统，所述管理系统包括安全设备层、数据层、安全决策层和用户展示层； 所述安全设备层包括事件接收单元；所述事件接收单元联接有防火墙模块、防病毒模块、漏 洞扫描模块、入侵检测模块和安全设计模块；所述数据层包括审计信息数据库、设备信息数 据库和安全策略数据库；所述设备信息数据库分别与审计信息数据库和安全策略数据库相联 接；所述安全决策层包括要素提取模块、态势理解模块、加固方案生成模块、态势评估模块 和态势预测模块；所述要素提取模块分别与态势理解模块和加固方案生成模块相联接；所述 态势评估模块分别与态势理解模块、加固方案生成模块和态势预测模块相联接；所述用户展 示层包括策略制订展示模块、策略评估展示模块、应急处理展示模块、集中审计展示模块和 设备管理展示模块；其中，所述事件接收单元通过NB-IOT模块与设备信息数据库相联接； 所述设备信息数据库通过数据传输模块与要素提取模块进行数据的传输；所述态势评估模块 通过数据传输模块分别与策略制订展示模块、策略评估展示模块、应急处理展示模块、集中 审计展示模块和设备管理展示模块相联接；所述态势预测模块通过数据传输模块与安全策略 数据库进行数据的交互；所述态势预测模块通过数据传输模块分别与策略制订展示模块、策 略评估展示模块、应急处理展示模块、集中审计展示模块和设备管理展示模块相联接。

对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变，可以避免恶意用 户发送包含特殊数据的报文触发网络设备中存在的后门，不但可以解决网络设备本身的信任 问题，还可以提高网络设备的安全性。

在本说明书实施例中，所述对象网点包括服务器、管理路由器、网络交换机、无线热点 装置、硬盘录像机、监控设备中的一种或多种。以云服务器为例，如图3所示，它包括数据 处理中心，分别与数据处理中心连接的数据存储单元；其中所述数据存储单元包括：竖向间 隔设置的多个存储设备；各存储设备中均设有独立的温度检测模块；所述温度检测模块包括： 贴附于存储设备表面的温度传感器，与该温度传感器相连的AD采集电路，所述AD采集电 路将温度数据转换为数字量信号发送至温度处理器模块；所述温度处理器模块通过第一CAN 通讯模块与数据处理中心相连；所述AD采集电路包括：调理电路、与该调理电路相连的AD 转换芯片；其中所述调理电路包括：二阶RC低通滤波器，与该二阶RC低通滤波器相连的 运算放大器；所述运算放大器的输出端连接AD转换芯片的模拟信号输入端。优选地，所述 管理路由器、网络交换机、无线热点装置通过所述网络通讯线缆组成小型局域网，连接各种 联网设备。此外，所述服务器通过所述网络通讯线缆连接小型局域网，与所述管理路由器、 网络交换机、无线热点装置、硬盘录像机、监控设备、电视墙屏幕等通讯连接。例如，以小 型局域网为例，它包括测试治具、二层交换机和测试终端，所述测试治具包括若干个测试网 络通讯设备的测试槽位，所述二层交换机包括多个网络接口，所述网络接口与测试治具中的 测试槽位对应电性连接，所述测试终端与二层交换机电连接；结合后，本网络通讯设备一拖 多的测试系统通过二层交换机的网络接口可以与测试治具的测试槽位对应电连接，测试终端 可以根据不同网络接口的ID控制测试治具的多个测试槽位的网络通讯设备，完成一拖多的产 品测试，能够方便环境异常时的排查，减少设备维护时间，还能够提高设备利用率，减少员 工等待时间，提高生产效率。

在一些其他实施例中，也可以包括在线设备管理方法，各种联网设备通过网线连接所述 网络交换机、无线热点装置，所述服务器通过命令轮询所述网络交换机、无线热点装置，获 取各个联网设备的IP等设备信息，并通过指令，软件控制各个联网设备连接与断开；具体应 用时，可采用华为的FusionAccess云技术。

在本说明书实施例中，所述信息接收模块，收集各个对象网点于登入时发出的网点信息， 所述网点信息包括网域信息、计算机名称信息及账户信息。本实施例中，信息接收模块可以 收集该对象网点的代理程序(Agent)于登入AD环境所发出的网点信息。该网点信息包含： 登入网域、计算机名称、登入账号，且另外包含了IP地址、MAC地址等。

在本说明书实施例中，所述系统还包括类型判断模块，信号连接于所述信息接收模块， 所述类型判断模块经设置而依据所述信息接收模块所接收的所述网点信息比对于一网点管理 清单，从而判断出各个所述对象网点对所述网络安全管理系统的登入所属的网点类型。

具体地，所述网点管理清单对应于每个该网点类型而各具有允许网域信息、允许计算机 名称信息及允许账户信息，且该网点信息与该网点管理清单的比对是依据该网点信息分别比 对于该允许网域信息、该允许计算机名称信息及该允许账户信息的比对结果，从而在查照出 的该对象网点在清单内的所对应的该网点类型而判断该对象网点所属该网点类型，或是在该 对象网点无对应的该网点类型而判断该对象网点不在清单内。

举例而言，该网点管理清单存取于本系统内，该网点管理清单为一列表。该网点管理清 单的内容代表：索引号、不同的该网点类型及具有该网点类型所对应的一允许网域信息、一 允许计算机名称信息及一允许账户信息的条件。

该网点类型选自一允许本机登入、一通用账号、一绑定计算机与账号及一通用计算机的 四个类型其中之一。该允许网域信息、该允许计算机名称信息及该允许账户信息可为一空信 息(null)，以表示该信息不需具有对应的条件，亦即在进行该信息比对时忽略而不比对。该 允许本机登入类型，其所对应的该允许网域信息与该允许账户信息为空信息；该通用账号类 型，其所对应的该允许计算机名称为空信息；该绑定计算机与账号类型，则无空信息；该通 用计算机类型，其所对应的该允许账号为空信息。

该类型判断模块依据该网点信息的该网域信息、该计算机名称信息及该账户信息分别比 对于该网点管理清单的该允许网域信息、该允许计算机名称信息及该允许账户信息。该类型 判断模块再依据分别比对结果而在查照出的该对象网点在清单内的所对应的该网点类型而判 断该对象网点所属该网点类型。或是，在该类型判断模块查照不出该对象网点任何对应的该 网点类型而判断该对象网点不在清单内并进一步判断不在清单内的类型。

在本说明书实施例中，所述系统还包括管理操作模块，所述管理操作模块与所述信息发 送模块连接，所述管理操作模块包括决定所述对象网点是否有操作权限或给予所述对象网点 对应于所属的该网点类型的操作权限。

所述管理操作模块信号连接于该类型判断模块，所述管理操作模块经设置依据该类型判 断模块的判断结果，从而判断该对象网点所对应的一所属的该网点类型的清单内登入事件， 或是并不在清单内的登入事件。并且，该管理操作模块对在清单内的该对象网点依所属的该 网点类型，允许其登入系统并给予特定的管理操作权限。该管理操作模块并可以对不在清单 内的该对象网点而依据类型决定是否有操作权限，对于高危险类型予以阻断其登入系统而联 机，或是直接将所有不在清单内的该对象网点进行阻断。

在本说明书实施例中，所述管理操作模块为控制芯片，所述控制芯片的型号均为AM335X，具体地，本实施例中，控制模块采用的控制芯片型号为AM335X，采用的内存规 格为DDR3，并且还采用了一个Flash作为存储器。控制芯片AM335X的引脚GPIO2_23和 引脚GPIO2_25配置成GPIO(GeneralPurposeInput Output)通用输入/输出接口，其中引脚GPIO2_23配置为输出引脚，与切换电路的CPU_Bypass端连接。引脚GPIO2_25配置为输入 引脚，连接切换电路的监测端BYPASS_DET。

在本说明书实施例中，所述系统还包括扫描模块，所述扫描模块与所述对象网点连接， 所述扫描模块用于发现所述对象网点具有漏洞的服务，所述扫描模块中扫描/攻击方法库由攻 击方法插件构成，用于描述和实现攻击方法的动态链接库；所述扫描/攻击方法库与用于对新 的攻击方法描述的描述语言接口相连实现方法库的动态更新。具体地，其中，所述扫描模块 包括网络远程安全扫描、防火墙系统扫描、web网站扫描和系统安全扫描技术，并对局域网 络、web站点、主机操作系统以及防火墙系统的安全漏洞进行扫描。需要提醒的是，此处提 供一种常规网络安全扫描装置，具体如下：设置于外部网络中，包括：扫描模块，用于通过 在内部网络中预置的网页文件向内部网络中的目标主机发送网络安全扫描命令，对所述内部 网络中的目标主机进行网络安全扫描，所述网页文件中建立有与所述目标主机通信的套接字 接口；所述扫描模块包括命令发送单元和扫描单元；结果获取模块，用于通过所述网页文件 接收扫描结果；所述命令发送单元，用于通过访问所述内部网络中预置的网页文件向所述内 部网络中的目标主机发送HTTP数据格式的网络安全扫描命令；所述扫描单元，用于根据所 述网页文件中建立的所述套接字接口将所述HTTP数据格式的网络安全扫描命令转换为TCP 数据格式的网络安全扫描命令后对所述目标主机进行网络安全扫描；所述结果获取模块用于 通过所述网页文件接收扫描结果，所述扫描结果已通过所述网页文件中建立的套接字接口由 TCP数据格式转换成HTTP数据格式。

在本说明书实施例中，所述信息加密模块采用至少一种加密策略，对所述数据包进行加 密。具体地，本说明书实施例提供的一种加密策略具体为：(1)利用密钥K1及映射¹或°的 算法，将待加密数据A(i，j)转换成预设格式L(t)，其中t＝1，2…M@N；(2)利用折 叠算法，将预设格式数据折叠处理，得到置乱格式E(i，j)；(3)利用密钥K2及logistic 映射和扩散函数，对置乱格式数据进行扩散处理得到密图；所述解密算法与加密算法密钥相 同，过程相反。

其中设有数据插入方法，分别为a，b，c，d，具体如下：设数据格式为M@N，A(i，j) 为数据中的任意一点数据值i＝1，2….M，j＝1，2…N，L(t)，t＝1，2…M@N为将A(i，j) 转换后的一维向量。

方法a的算法：当j是奇数时，若j＝N，L(M@(j-1)+i)＝A(i，j)，若j<N，L(M @(j-1)+2@(M-i)+1)＝A(i，j)，当j是偶数时，L(M@(j-2)+2@(M-i+1))＝A (i，j)。

方法b的算法:当j是奇数时，若j＝N，L(M@(j-1)+i)＝A(i，j)，若j<N，L(M @(j-1)+2@i-1)＝A(i，j，当j是偶数时，L(M@(j-2)+2@i)＝A(i，j)。

方法c的算法：将原图A做一次镜像，如式Ac(i，j)＝A(i，N-j+1)所示，Ac表示 镜像后的数据，Ac(i，j)＝A(i，N-j+1)，其中，i＝1，2…M；j＝1，2…N，然后通过算法(a)，可得到算法(c)。

方法d的算法：将原图A如式(Ac(i，j)＝A(i，N-j+1)所示做一次镜像得到Ac通过算法(b)中式子，可得到方法(d)的算法。

所述新二维映射包括：设数据A的大小为M@N，首先将A分为左右两个部分，左边的数据块B为M行，

列，右边的数据块C则为M行，

列，设

映射¹算 法:对B实行算法(a)得到长为M@D的格式L1，然后对C实行算法(c)得到长为M@(N-D) 的格式L2。则L(1B(M@D))＝L1，L(((M@D)+1)BM@N)＝L2，得到一条长为 M@N的格式L。

映射°算法：将原图A做一次镜像，如式(Ac(i，j)＝A(i，N-j+1)所示得Ac，然后 对Ac施行映射¹算法，如此得到映射°的算法。

折叠算法：把直线L重新折叠成M@N的图像的算法如式E(i，j)＝L((i-1)@ N+j)所示，其中，i＝1，2…M；j＝1，2…..N。E(i，j)是位置置乱后的数据。

logistic映射产生混沌序列Y方法为：简单定义函数Xn+1＝f(L，Xn)＝LXn(1-Xn)，当L＝4时，系统处于混沌状态，此时系统产生的序列具有随机性，遍历性，对初值的敏感性，其范围为(0，1)。K2作为混沌序列的初值X(0)。对产生的混沌实值序列，每个实值取 其从百分位开始的3个数字组成的十进制数构成序列Y即对于X(i)＝0.b1b2b3b4b5，序列Y 由Y(i)＝100@b1+10@b2+b3，i＝0，1，2...得到。

因此Y就是加密后得到的数据，该算法严谨充实，不易破解，能提高加密的稳定性。

在本说明书实施例中，所述系统还包括存储器，用于储存加密算法或数据。

存储器可用于存储软件程序以及模块，处理器通过运行存储在存储器的软件程序以及模 块，从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区，其 中，存储程序区可存储操作系统、功能所需的应用程序等；存储数据区可存储根据所述设备 的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性 存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存 储器还可以包括存储器控制器，以提供处理器对存储器的访问。

本发明所述的一种网络与信息安全管理系统具有如下有益效果：

数据包在进入网络设备时被加密，对于网络设备而言进入网络设备的数据包的内容由于 加密发生了改变，可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门， 不但可以解决网络设备本身的信任问题，还可以提高网络设备的安全性。本系统能够快速的 利用该信息收集装置收集该对象网点的网点信息，并以该类型判断装置根据该登入信息与已 建置的网点管理清单进行比对，从而能快速识别该对象网点目前登入动作是否合乎于该网点 管理清单，以达到简易控管网络系统的目的。并且，该类型判断装置已将合乎于该网点管理 清单的该对象网点进行分类，从而使该事件管理装置能够快速地依据该对象网点所属的该网 点类型而判断登入事件并给予其所对应的操作权限，如：限定非网域内的特定的允许计算机 的权限、限定只有特定的使用者的权限、限定特定的计算机的权限、限定特定的计算机加特 定的用户才能有的权限等，或是在该对象网点不合乎于网点管理清单，从而可以直接阻断， 以达到快速地整合内部的网络环境并保护信息安全的效果。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，对于本领域技术人员而言， 显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况 下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示 范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在 将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中 的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一 个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明 书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解 的其他实施方式。

Claims (9)

1.一种网络与信息安全管理系统，其特征在于：

包括信息接收模块、信息加密模块和信息发送模块；

所述信息接收模块与所述信息加密模块通信连接，所述信息加密模块与所述信息发送模块通信连接；所述信息接收模块能够接收途径对象网点的数据包，所述数据加密模块能对所述数据包进行加密，所述信息发送模块能将加密后的数据包发送给所述对象网点；

其中信息接收模块包括接收单元、应答单元、校验单元及第一供电电源，所述第一供电电源用于所述接收单元、所述应答单元、所述校验单元的供电，所述接收单元用于接收服务器传递过来的数据，所述接收单元与所述应答单元之间通过IP协议通信连接，所述应答单元与所述校验单元相连，所述应答单元与所述信息加密模块相连，所述校验单元用于信息接收模块所接收数据的校验；

其中信息加密模块包括存储单元、密钥安全芯片、算法保存单元、签名模块、验签模块及第二供电电源，所述第二供电电源用于所述存储单元、所述密钥安全芯片、所述算法保存单元、所述签名模块、所述验签模块的供电，所述签名模块用于对来自所述校验单元的数据使用基于标识认证的信息加密传输装置的公钥进行加密，所述签名模块和所述验签模块分别与所述验签模块相连，所述密钥安全芯片通过所述算法保存单元与所述存储单元相连，所述算法保存单元用于保存用户唯一标识、用户私钥、公钥矩阵及加解密算法，所述验签模块用于验证来自签名模块数据的有效性，所述验签模块与所述信息发送模块相连；

其中信息发送模块包括短波发射模块、GPRS发射模块及第三供电电源，所述短波发射模块包括编码器、激励器、扩大器及发射天线，所述编码器与中央控制模块连接，编码器与激励器连接，激励器与扩大器连接，扩大器通过线路与发射天线连接，所述短波发射模块与所述验签模块相连，所述GPRS发射模块与所述验签模块相连，所述第三供电电源用于所述短波发射模块、GPRS发射模块的供电；

还包括管理系统，所述管理系统包括安全设备层、数据层、安全决策层和用户展示层；所述安全设备层包括事件接收单元；所述事件接收单元联接有防火墙模块、防病毒模块、漏洞扫描模块、入侵检测模块和安全设计模块；所述数据层包括审计信息数据库、设备信息数据库和安全策略数据库；所述设备信息数据库分别与审计信息数据库和安全策略数据库相联接；所述安全决策层包括要素提取模块、态势理解模块、加固方案生成模块、态势评估模块和态势预测模块；所述要素提取模块分别与态势理解模块和加固方案生成模块相联接；所述态势评估模块分别与态势理解模块、加固方案生成模块和态势预测模块相联接；所述用户展示层包括策略制订展示模块、策略评估展示模块、应急处理展示模块、集中审计展示模块和设备管理展示模块；其中，所述事件接收单元通过NB-IOT模块与设备信息数据库相联接；所述设备信息数据库通过数据传输模块与要素提取模块进行数据的传输；所述态势评估模块通过数据传输模块分别与策略制订展示模块、策略评估展示模块、应急处理展示模块、集中审计展示模块和设备管理展示模块相联接；所述态势预测模块通过数据传输模块与安全策略数据库进行数据的交互；所述态势预测模块通过数据传输模块分别与策略制订展示模块、策略评估展示模块、应急处理展示模块、集中审计展示模块和设备管理展示模块相联接。

2.根据权利要求1所述的网络与信息安全管理系统，其特征在于：所述对象网点包括服务器、管理路由器、网络交换机、无线热点装置、硬盘录像机、监控设备中的一种或多种。

3.根据权利要求1所述的网络与信息安全管理系统，其特征在于：所述信息接收模块用于收集各个对象网点于登入时发出的网点信息，所述网点信息包括网域信息、计算机名称信息及账户信息。

4.根据权利要求1所述的网络与信息安全管理系统，其特征在于：还包括类型判断模块，所述类型判断信号连接于所述信息接收模块，所述类型判断模块经设置而依据所述信息接收模块所接收的所述网点信息比对于一网点管理清单，从而判断出各个所述对象网点对所述网络安全管理系统的登入所属的网点类型。

5.根据权利要求4所述的网络与信息安全管理系统，其特征在于：

所述网点管理清单对应于每个该网点类型而各具有允许网域信息、允许计算机名称信息及允许账户信息，且该网点信息与该网点管理清单的比对是依据该网点信息分别比对于该允许网域信息、该允许计算机名称信息及该允许账户信息的比对结果，从而在查照出的该对象网点在清单内的所对应的该网点类型而判断该对象网点所属该网点类型，或是在该对象网点无对应的该网点类型而判断该对象网点不在清单内。

6.根据权利要求1所述的网络与信息安全管理系统，其特征在于：还包括管理操作模块，所述管理操作模块与所述信息发送模块连接，所述管理操作模块包括决定所述对象网点是否有操作权限或给予所述对象网点对应于所属的该网点类型的操作权限。

7.根据权利要求1所述的网络与信息安全管理系统，其特征在于：还包括扫描模块，所述扫描模块与所述对象网点连接，所述扫描模块用于发现所述对象网点具有漏洞的服务，所述扫描模块中扫描/攻击方法库由攻击方法插件构成，用于描述和实现攻击方法的动态链接库；所述扫描/攻击方法库与用于对新的攻击方法描述的描述语言接口相连实现方法库的动态更新。

8.根据权利要求1所述的网络与信息安全管理系统，其特征在于：所述信息加密模块采用至少一种加密策略，对所述数据包进行加密。

9.根据权利要求1所述的网络与信息安全管理系统，其特征在于：还包括存储器，用于储存加密算法或数据。

Images