CN113783871A - 一种采用零信任架构的微隔离防护系统及其防护方法 - Google Patents
一种采用零信任架构的微隔离防护系统及其防护方法 Download PDFInfo
- Publication number
- CN113783871A CN113783871A CN202111056649.1A CN202111056649A CN113783871A CN 113783871 A CN113783871 A CN 113783871A CN 202111056649 A CN202111056649 A CN 202111056649A CN 113783871 A CN113783871 A CN 113783871A
- Authority
- CN
- China
- Prior art keywords
- network
- micro
- security
- strategy
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种采用零信任架构的微隔离防护系统及方法,系统包括逻辑架构和物理架构,其中,所述逻辑架构包括执行层、采集层、持久层、逻辑功能层和展示层;物理架构包括策略控制中心、安全网关和Agent插件;本发明主要基于对云计算环境的充分了解,在零信任安全的理念下,融合网络微隔离、安全网关、系统环境感知等多项安全技术,并最终实现南北向流量安全准入、东西向流量(自适应管控、接入设备安全状态实时关联网络策略的效果。
Description
技术领域
本发明属于网络安全维护技术领域,具体涉及一种采用零信任架构的微隔离防护系统及其防护。
背景技术
随着云计算等新的IT技术涌现,越来越模糊的网络安全边界,复杂的网络接入环境、数量庞大的网络资产也对企业安全带来了全新的挑战;东西向流量难以管控、庞大的网络策略难以维护、南北向流量缺乏完善准入、接入环境安全程度与网络策略脱钩等,传统基于固定边界的防护方案已经开始逐渐失效。
无论是对于传统内网网络环境还是当前的云主机网络环境来说,当前的网络安全防护方法,至少存在如下三个问题:一、南北向流量缺乏完善的准入机制问题,包括内外网远程连接问题、TCP/IP的先连接后验证问题、不同角色之间访问应用服务和资源权限划分问题等等,传统互联网本身也存在这些问题,只是云计算的快速发展,将这些问题凸显的更为严峻;二、东西向流量难以管控问题,传统网络边界还可以依靠防火墙、WAF、IDS、IPS等一系列产品串接进行安全防护,而一旦绕过这些边界安全产品,在网络内部反而缺乏相应的网络安全保障机制,众多的内网主机处于“裸跑”状态;三、网络用户身份认证只验证账号而不会校验接入设备的安全性,对于接入云计算网络或传统内网网络的用户来说,一般仅在接入时进行一次账号校验,一旦通过校验,则意味着除非该用户主动放弃,否则将一直具备相应的网络访问权限,且接入时和接入期间,也不会对接入设备的安全性进行校验。
发明内容
针对现有技术中的上述不足,本发明提供的采用零信任架构的微隔离防护系统及方法解决了现有的网络中难以实现南北向流量准入控制及业务应用资源准入控制;东西向流量难以管控,易引发跳板攻击;网络接入设备一次性身份校验,缺乏设备安全环境实时校验机制。
为了达到上述发明目的,本发明采用的技术方案为:一种采用零信任架构的微隔离防护系统,包括逻辑架构和物理架构,其中,所述逻辑架构包括执行层、采集层、持久层、逻辑功能层和展示层;物理架构包括策略控制中心、安全网关和Agent插件;
所述执行层用于执行策略控制中心指定的安全策略;所述采集层用于采集网络接入设备的资产;所述持久层用于格式化存储资产信息,并为策略控制中心提供数据基础;所述逻辑功能层用于网络授信准入、访问策略的制定及维护,进行设备环境风险评估和微隔离策略的制定和维护;所述展示层用于导出设备风险评估报告并展示网络流量拓扑图;
所述策略控制中心用于负责持久层、逻辑功能层以及展示层的功能执行;所述安全网关用于负责执行层的身份验证;所述Agent插件用于负责采集层和执行层中除身份验证外的其他功能。
进一步地,所述采集层采集的资产包括设备的资产信息、网络流量信息、病毒查杀信息,以及系统和应用漏洞信息。
一种采用零信任架构的微隔离防护方法,所述微隔离防护方法应用于所述微隔离防护系统中,所述采用零信任架构的微隔离防护方法具体为:
实时监控网络运行中的东西向流量、南北向流量以及网络接入设备安全状态,并在需进行东西向流量自适应管控、南北向流量安全准入以及网络接入设备安全状态实时关联网络中任意一项及一项以上时,采用对应策略实现微隔离防护。
进一步地,需进行东西向流量自适应管控的条件为:用于提供主机或业务间的东西向流量超过设定阈值;
需进行南北向流量安全准入的条件为:用户请求访问网络及网络资源;
需进行网络接入设备安全状态实时关联网络的条件为:接入网络的可信评估分数低于设定阈值。
进一步地,东西向量流量自适应管控对应的微隔离防护策略具体为:
A1、通过管理员在策略控制中心启动网络流量采集策略;
A2、基于网络流量采集策略,通过Agent插件采集全平台的网络流量信息;
A3、基于采集的网络流量信息,通过策略控制中心生成可信网络策略;
A4、通过管理员确认及优化生成的可信网络策略,并下发至Agent插件中;
A5、通过Agent插件接收并在各主体之间执行可信网络策略;
A6、通过Agent插件捕获主体间的流量是否符合当前可信网络策略;
若是,则进入步骤A7;
若否,则进入步骤A6;
A6、允许根据当前流量进行访问,实现东西向流量自适应管控;
A7、拒绝根据当前流量进行访问,并上报至策略控制中心,返回步骤A3。
进一步地,所述步骤A5中,执行可信网络策略的主体包括各主机之间和各安全域之间。
进一步地,南北向流量安全准入对应的微隔离防护策略具体为:
B1、当用户发起网络访问请求时,通过Agent插件向策略控制中心发送安全认证请求;
B2、通过策略控制中心对接收到的安全认证请求相关的用户进行身份验证,并判断是否验证通过;
若是,则进入步骤B3;
若否,则进入步骤B6;
B3、通过Agent插件接收策略控制中心发送的加密连接信息,并向安全网关发起TLS隧道连接请求;
B4、通过安全网关对当前用户进行身份验证,并判断是否验证通过;
若是,则进入步骤B5;
若否,则进入步骤B6;
B5、根据策略控制中心当前下发的可信网络策略,控制Agent插件与后端资源连接,南北向流量安全准入;
B6、拒绝用户的访问请求。
进一步地,所述步骤B3中,所述Agent插件接收的加密连接信息包括策略控制中心通过加密通道向Agent插件发送的安全网关及资源,以及动态发送的安全网关准入用户及其所访问的资源信息。
进一步地,网络接入设备安全状态实时关联网络对应的微隔离策略具体为:
C1、在网络运行过程中,通过Agent插件实时采集接入设备的安全要素;
C2、基于采集到的安全要素结合策略控制中心的可信网络策略,对当前接入设备进行可信评估打分;
C3、判断当前接入设备的可信评估分数是否低于设定阈值;
若是,则进入步骤C4;
若否,则进入步骤C8;
C4、判断当前接入设备处于外网环境还是内网环境;
若为内网环境,则进入步骤C5;
若为外网环境,则进入步骤C6;
C5、控制Agent插件自动联动可信网络策略,隔离当前接入设备,进入步骤C7;
C6、控制Agent插件自动联动安全网关,阻断当前设备的网络接入行为,进入步骤C7;
C7、完成接入设备环境感知,实现安全环境校验;
C8、将当前接入设备的可信评估分数上报至策略控制中心。
进一步地,所述步骤C1中安全要素包括系统及应用的漏洞、病毒查杀情况、硬件配置变化以及上网环境行为。
本发明的有益效果为:
本发明主要基于对云计算环境的充分了解,在零信任安全的理念下,融合网络微隔离、安全网关及系统环境感知等多项技术,实现了:
(1)采用安全网关技术,避免网络资产直接暴露在互联网环境中,以用户权限为中心,实现应用级的安全准入;
(2)采用自适应微隔离防护技术,智能创建东西向流量隔离规则,有效简化了网络隔离管理方式;
(3)采用设备安全环境感知技术,动态管理安全网关和微隔离功能,实时监控网络接入设备自身安全性,有效阻断恶意行为通过不安全设备对内部网络的侵害。
附图说明
图1为本发明提供的采用零信任架构的微隔离防护系统结构示意图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
在描述本发明的具体实施例之前,为使本发明的方案更加清楚完整,首先对本发明中出现的缩略语和关键术语定义进行说明:
南北向流量:通常画网络拓扑图时,习惯上把服务器和客户端之间画成上下方向,因此叫南北流量
东西向流量:网络图拓扑图中将服务器之间的流量喜欢画在水平方向,因此叫东西流量,也叫横向流量;
微隔离技术:微隔离技术(Micro-Segmentation)是VMware在应对虚拟化隔离技术时提出来的,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移(或者叫东西向移动)。
零信任:零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
安全网关:安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,设置的目的是防止Internet或外网不安全因素蔓延到自己企业或组织的内部网,安全网关在应用层和网络层上面都有防火墙的身影,在第三层上面还能看到VPN作用。
实施例1:
如图1所示,一种采用零信任架构的微隔离防护系统,包括逻辑架构和物理架构,其中,所述逻辑架构包括执行层、采集层、持久层、逻辑功能层和展示层;物理架构包括策略控制中心、安全网关和Agent插件;
所述执行层用于执行策略控制中心指定的安全策略;所述采集层用于采集网络接入设备的资产;所述持久层用于格式化存储资产信息,并为策略控制中心提供数据基础;所述逻辑功能层用于网络授信准入、访问策略的制定及维护,进行设备环境风险评估和微隔离策略的制定和维护;所述展示层用于导出设备风险评估报告并展示网络流量拓扑图;
所述策略控制中心用于负责持久层、逻辑功能层以及展示层的功能执行;所述安全网关用于负责执行层的身份验证;所述Agent插件用于负责采集层和执行层中除身份验证外的其他功能。
上述采集层采集的资产包括设备的资产信息、网络流量信息、病毒查杀信息,以及系统和应用漏洞信息。
基于上述系统结构,本实施例实现微隔离网络防护时,对于南北向流量,采用安全网关模块进行身份验证和访问授权;对于东西向流量,采用微隔离模块进行自适应网络流量管控;采用安全环境感知模块,对网络接入设备的安全性进行实时校验,一旦感知到设备异常,立即中断网络接入行为。
实施例2:
基于上述实施例1中的系统结构,本实施例提供了一种采用零信任架构的微隔离防护方法,所述微隔离防护方法应用于所述微隔离防护系统中,所述采用零信任架构的微隔离防护方法具体为:
实时监控网络运行中的东西向流量、南北向流量以及网络接入设备安全状态,并在需进行东西向流量自适应管控、南北向流量安全准入以及网络接入设备安全状态实时关联网络中任意一项及一项以上时,采用对应策略实现微隔离防护。
在上述方法中,需进行东西向流量自适应管控的条件为:用于提供主机或业务间的东西向流量超过设定阈值;
需进行南北向流量安全准入的条件为:用户请求访问网络及网络资源;
需进行网络接入设备安全状态实时关联网络的条件为:接入网络的可信评估分数低于设定阈值。
在本实施例中,东西向量流量自适应管控对应的微隔离防护策略具体为:
A1、通过管理员在策略控制中心启动网络流量采集策略;
A2、基于网络流量采集策略,通过Agent插件采集全平台的网络流量信息;
A3、基于采集的网络流量信息,通过策略控制中心生成可信网络策略;
A4、通过管理员确认及优化生成的可信网络策略,并下发至Agent插件中;
A5、通过Agent插件接收并在各主体之间执行可信网络策略;
其中,执行可信网络策略的主体包括各主机之间和各安全域之间。
A6、通过Agent插件捕获主体间的流量是否符合当前可信网络策略;
若是,则进入步骤A7;
若否,则进入步骤A6;
A6、允许根据当前流量进行访问,实现东西向流量自适应管控;
A7、拒绝根据当前流量进行访问,并上报至策略控制中心,返回步骤A3。
上述策略主要用于提供主机或业务间的东西(横向)网络流量控制,首先根据业务或组织结构等终端属性,将平台下的所有终端划分为不同的安全域,然后利用位于终端上的代理程序,自动采集全平台网络流量信息,并由管理中心以流量可视化的形式,直观展示在不同安全域之间、不同逐渐之间的网络流量访问情况;结合策略控制中心强大的计算能力,智能分析,自动生成域与域之间、主机与主机之间的可信网络策略,最终实现平台内部主机之间网络侧面、业务层面的微隔离,从根本上盖板原有主机版防火墙策略僵化、难以维护的问题。
本实施例中,南北向流量安全准入对应的微隔离防护策略具体为:
B1、当用户发起网络访问请求时,通过Agent插件向策略控制中心发送安全认证请求;
B2、通过策略控制中心对接收到的安全认证请求相关的用户进行身份验证,并判断是否验证通过;
若是,则进入步骤B3;
若否,则进入步骤B6;
其中,对于通过验证的用户会发送响应报文;
B3、通过Agent插件接收策略控制中心发送的加密连接信息,并向安全网关发起TLS隧道连接请求;
其中,Agent插件接收的加密连接信息包括策略控制中心通过加密通道向Agent插件发送的安全网关及资源,以及动态发送的安全网关准入用户及其所访问的资源信息;且当在Agent插件接收到响应报文后,再想完全网关发送TLS隧道连接请求;
B4、通过安全网关对当前用户进行身份验证,并判断是否验证通过;
若是,则进入步骤B5;
若否,则进入步骤B6;
具体地,安全网关收到agent插件的TLS隧道连接请求时,核对agent身份以及控制器下发的关于agent的信息,核对通过后,agent与安全网关建立安全TLS隧道连接;
B5、根据策略控制中心当前下发的可信网络策略,控制Agent插件与后端资源连接,南北向流量安全准入;
其中,后端资源是指用户请求访问资源的业务服务端等资源;
B6、拒绝用户的访问请求。
上述策略基于零信任安全模型,以用户权限为中心实现应用及的安全准入,用过形成按需、动态的权限矩阵,结合IAM认证技术对用户身份进行管理,在用户认证基础上,对访问资源范围进行策略预设立,有效控制访问资源列表范围。
本实施例中网络接入设备安全状态实时关联网络对应的微隔离策略具体为:
C1、在网络运行过程中,通过Agent插件实时采集接入设备的安全要素;
其中,安全要素包括系统及应用的漏洞、病毒查杀情况、硬件配置变化以及上网环境行为;
C2、基于采集到的安全要素结合策略控制中心的可信网络策略,对当前接入设备进行可信评估打分;
C3、判断当前接入设备的可信评估分数是否低于设定阈值;
若是,则进入步骤C4;
若否,则进入步骤C8;
C4、判断当前接入设备处于外网环境还是内网环境;
若为内网环境,则进入步骤C5;
若为外网环境,则进入步骤C6;
C5、控制Agent插件自动联动可信网络策略,隔离当前接入设备,进入步骤C7;
C6、控制Agent插件自动联动安全网关,阻断当前设备的网络接入行为,进入步骤C7;
C7、完成接入设备环境感知,实现安全环境校验;
C8、将当前接入设备的可信评估分数上报至策略控制中心。
Claims (10)
1.一种采用零信任架构的微隔离防护系统,其特征在于,包括逻辑架构和物理架构,其中,所述逻辑架构包括执行层、采集层、持久层、逻辑功能层和展示层;物理架构包括策略控制中心、安全网关和Agent插件;
所述执行层用于执行策略控制中心指定的安全策略;所述采集层用于采集网络接入设备的资产;所述持久层用于格式化存储资产信息,并为策略控制中心提供数据基础;所述逻辑功能层用于网络授信准入、访问策略的制定及维护,进行设备环境风险评估和微隔离策略的制定和维护;所述展示层用于导出设备风险评估报告并展示网络流量拓扑图;
所述策略控制中心用于负责持久层、逻辑功能层以及展示层的功能执行;所述安全网关用于负责执行层的身份验证;所述Agent插件用于负责采集层和执行层中除身份验证外的其他功能。
2.根据权利要求1所述的采用零信任架构的微隔离防护系统,其特征在于,所述采集层采集的资产包括设备的资产信息、网络流量信息、病毒查杀信息,以及系统和应用漏洞信息。
3.一种采用零信任架构的微隔离防护方法,其特征在于,所述微隔离防护方法应用于所述微隔离防护系统中,所述采用零信任架构的微隔离防护方法具体为:
实时监控网络运行中的东西向流量、南北向流量以及网络接入设备安全状态,并在需进行东西向流量自适应管控、南北向流量安全准入以及网络接入设备安全状态实时关联网络中任意一项及一项以上时,采用对应策略实现微隔离防护。
4.根据权利要求3所述的微隔离防护方法,其特征在于,需进行东西向流量自适应管控的条件为:用于提供主机或业务间的东西向流量超过设定阈值;
需进行南北向流量安全准入的条件为:用户请求访问网络及网络资源;
需进行网络接入设备安全状态实时关联网络的条件为:接入网络的可信评估分数低于设定阈值。
5.根据权利要求4所述的微隔离防护方法,其特征在于,东西向量流量自适应管控对应的微隔离防护策略具体为:
A1、通过管理员在策略控制中心启动网络流量采集策略;
A2、基于网络流量采集策略,通过Agent插件采集全平台的网络流量信息;
A3、基于采集的网络流量信息,通过策略控制中心生成可信网络策略;
A4、通过管理员确认及优化生成的可信网络策略,并下发至Agent插件中;
A5、通过Agent插件接收并在各主体之间执行可信网络策略;
A6、通过Agent插件捕获主体间的流量是否符合当前可信网络策略;
若是,则进入步骤A7;
若否,则进入步骤A6;
A6、允许根据当前流量进行访问,实现东西向流量自适应管控;
A7、拒绝根据当前流量进行访问,并上报至策略控制中心,返回步骤A3。
6.根据权利要求5所述的微隔离防护方法,其特征在于,所述步骤A5中,执行可信网络策略的主体包括各主机之间和各安全域之间。
7.根据权利要求4所述的微隔离防护方法,其特征在于,南北向流量安全准入对应的微隔离防护策略具体为:
B1、当用户发起网络访问请求时,通过Agent插件向策略控制中心发送安全认证请求;
B2、通过策略控制中心对接收到的安全认证请求相关的用户进行身份验证,并判断是否验证通过;
若是,则进入步骤B3;
若否,则进入步骤B6;
B3、通过Agent插件接收策略控制中心发送的加密连接信息,并向安全网关发起TLS隧道连接请求;
B4、通过安全网关对当前用户进行身份验证,并判断是否验证通过;
若是,则进入步骤B5;
若否,则进入步骤B6;
B5、根据策略控制中心当前下发的可信网络策略,控制Agent插件与后端资源连接,南北向流量安全准入;
B6、拒绝用户的访问请求。
8.根据权利要求7所述的微隔离防护方法,其特征在于,所述步骤B3中,所述Agent插件接收的加密连接信息包括策略控制中心通过加密通道向Agent插件发送的安全网关及资源,以及动态发送的安全网关准入用户及其所访问的资源信息。
9.根据权利要求8所述的微隔离防护方法,其特征在于,网络接入设备安全状态实时关联网络对应的微隔离策略具体为:
C1、在网络运行过程中,通过Agent插件实时采集接入设备的安全要素;
C2、基于采集到的安全要素结合策略控制中心的可信网络策略,对当前接入设备进行可信评估打分;
C3、判断当前接入设备的可信评估分数是否低于设定阈值;
若是,则进入步骤C4;
若否,则进入步骤C8;
C4、判断当前接入设备处于外网环境还是内网环境;
若为内网环境,则进入步骤C5;
若为外网环境,则进入步骤C6;
C5、控制Agent插件自动联动可信网络策略,隔离当前接入设备,进入步骤C7;
C6、控制Agent插件自动联动安全网关,阻断当前设备的网络接入行为,进入步骤C7;
C7、完成接入设备环境感知,实现安全环境校验;
C8、将当前接入设备的可信评估分数上报至策略控制中心。
10.根据权利要求9所述的微隔离防护方法,其特征在于,所述步骤C1中安全要素包括系统及应用的漏洞、病毒查杀情况、硬件配置变化以及上网环境行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111056649.1A CN113783871B (zh) | 2021-09-09 | 2021-09-09 | 一种采用零信任架构的微隔离防护系统及其防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111056649.1A CN113783871B (zh) | 2021-09-09 | 2021-09-09 | 一种采用零信任架构的微隔离防护系统及其防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113783871A true CN113783871A (zh) | 2021-12-10 |
CN113783871B CN113783871B (zh) | 2023-09-19 |
Family
ID=78842138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111056649.1A Active CN113783871B (zh) | 2021-09-09 | 2021-09-09 | 一种采用零信任架构的微隔离防护系统及其防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113783871B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301693A (zh) * | 2021-12-30 | 2022-04-08 | 同济大学 | 一种用于云平台数据的隐信道安全防御系统 |
CN114598740A (zh) * | 2022-03-04 | 2022-06-07 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
CN115001804A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
CN116633693A (zh) * | 2023-07-24 | 2023-08-22 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
CN117201112A (zh) * | 2023-09-06 | 2023-12-08 | 江南信安(北京)科技有限公司 | 基于全节点零信任网关的数据访问处理方法及系统 |
CN117201112B (zh) * | 2023-09-06 | 2024-06-04 | 江南信安(北京)科技有限公司 | 基于全节点零信任网关的数据访问处理方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080040418A1 (en) * | 2006-08-11 | 2008-02-14 | Risaris | Accessing existing data using a service oriented architecture gateway |
CN108494729A (zh) * | 2018-02-07 | 2018-09-04 | 北京卓讯科信技术有限公司 | 一种零信任模型实现系统 |
CN109167795A (zh) * | 2018-09-27 | 2019-01-08 | 深信服科技股份有限公司 | 一种安全防御系统及方法 |
US20200236112A1 (en) * | 2019-01-18 | 2020-07-23 | Cisco Technology, Inc. | Machine learning-based application posture for zero trust networking |
CN111917714A (zh) * | 2020-06-18 | 2020-11-10 | 云南电网有限责任公司信息中心 | 一种零信任架构系统及其使用方法 |
CN112118102A (zh) * | 2020-10-21 | 2020-12-22 | 国网天津市电力公司 | 一种电力专用的零信任网络系统 |
US20210044623A1 (en) * | 2019-08-07 | 2021-02-11 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
CN113051602A (zh) * | 2021-01-22 | 2021-06-29 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
-
2021
- 2021-09-09 CN CN202111056649.1A patent/CN113783871B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080040418A1 (en) * | 2006-08-11 | 2008-02-14 | Risaris | Accessing existing data using a service oriented architecture gateway |
CN108494729A (zh) * | 2018-02-07 | 2018-09-04 | 北京卓讯科信技术有限公司 | 一种零信任模型实现系统 |
CN109167795A (zh) * | 2018-09-27 | 2019-01-08 | 深信服科技股份有限公司 | 一种安全防御系统及方法 |
US20200236112A1 (en) * | 2019-01-18 | 2020-07-23 | Cisco Technology, Inc. | Machine learning-based application posture for zero trust networking |
US20210044623A1 (en) * | 2019-08-07 | 2021-02-11 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
CN111917714A (zh) * | 2020-06-18 | 2020-11-10 | 云南电网有限责任公司信息中心 | 一种零信任架构系统及其使用方法 |
CN112118102A (zh) * | 2020-10-21 | 2020-12-22 | 国网天津市电力公司 | 一种电力专用的零信任网络系统 |
CN113051602A (zh) * | 2021-01-22 | 2021-06-29 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
Non-Patent Citations (2)
Title |
---|
苗功勋、蔡力兵: "基于零信任的企业安全上云融合解决方案研究", 《保密科学技术》 * |
苗功勋、蔡力兵: "基于零信任的企业安全上云融合解决方案研究", 《保密科学技术》, 20 August 2021 (2021-08-20), pages 25 - 32 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301693A (zh) * | 2021-12-30 | 2022-04-08 | 同济大学 | 一种用于云平台数据的隐信道安全防御系统 |
CN114301693B (zh) * | 2021-12-30 | 2023-03-14 | 同济大学 | 一种用于云平台数据的隐信道安全防御系统 |
CN114598740A (zh) * | 2022-03-04 | 2022-06-07 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
CN114598740B (zh) * | 2022-03-04 | 2024-02-02 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
CN115001804A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
CN115001804B (zh) * | 2022-05-30 | 2023-11-10 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
CN116633693A (zh) * | 2023-07-24 | 2023-08-22 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
CN116633693B (zh) * | 2023-07-24 | 2023-10-31 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
CN117201112A (zh) * | 2023-09-06 | 2023-12-08 | 江南信安(北京)科技有限公司 | 基于全节点零信任网关的数据访问处理方法及系统 |
CN117201112B (zh) * | 2023-09-06 | 2024-06-04 | 江南信安(北京)科技有限公司 | 基于全节点零信任网关的数据访问处理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113783871B (zh) | 2023-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Panchal et al. | Security issues in IIoT: A comprehensive survey of attacks on IIoT and its countermeasures | |
CN113783871B (zh) | 一种采用零信任架构的微隔离防护系统及其防护方法 | |
EP1782265B1 (en) | System and method for secure network connectivity | |
CN115001870B (zh) | 信息安全防护系统、方法及存储介质 | |
WO2023159994A1 (zh) | 一种运维处理方法和终端设备 | |
CN113114632B (zh) | 一种可插配式智能财务审核平台 | |
CN111917714A (zh) | 一种零信任架构系统及其使用方法 | |
CN114598540A (zh) | 访问控制系统、方法、装置及存储介质 | |
CN115150208B (zh) | 一种基于零信任的物联网终端安全接入方法及系统 | |
CN109347847A (zh) | 一种智慧城市信息安全保障系统 | |
CN115065564B (zh) | 一种基于零信任机制的访问控制方法 | |
Dondossola et al. | Effects of intentional threats to power substation control systems | |
CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
CN104918248A (zh) | 应用流量管理、应用加速和安全的企业移动安全网关方法 | |
Kumar et al. | A real time fog computing applications their privacy issues and solutions | |
KR20200011702A (ko) | 보안관제체계 진단장치 및 보안관제체계 진단방법 | |
KR20150114921A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
CN109040225A (zh) | 一种动态端口桌面接入管理方法和系统 | |
Yang | Network attack and Countermeasures Based on telnet connection in the era of Internet of Things | |
Wu et al. | Design and Implementation of the Zero Trust Model in the Power Internet of Things | |
Choi | IoT (Internet of Things) based Solution Trend Identification and Analysis Research | |
KR20150041613A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
Phan et al. | Threat detection and mitigation with MonB5G components in the aLTEr scenario | |
CN109218315A (zh) | 一种安全管理方法和安全管理装置 | |
US20210218747A1 (en) | System and method for computer network communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |