CN114039779A - 一种安全接入网络的方法、装置、电子设备及存储介质 - Google Patents
一种安全接入网络的方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114039779A CN114039779A CN202111322835.5A CN202111322835A CN114039779A CN 114039779 A CN114039779 A CN 114039779A CN 202111322835 A CN202111322835 A CN 202111322835A CN 114039779 A CN114039779 A CN 114039779A
- Authority
- CN
- China
- Prior art keywords
- network
- node equipment
- information
- access
- basic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开一种安全接入网络的方法、装置、电子设备及存储介质,涉及网络安全技术领域。所述安全接入网络的方法包括步骤:接收节点设备发送的接入网络的请求消息;根据所述请求消息携带的标识信息,向节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息;获取所述基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准;根据比对结果确定是否允许所述节点设备接入网络。本发明适用于网络接入安全监控及网络安全运行场景中,便于及时发现网络接入过程中存在的安全隐患,从而在一定程度上可以提升网络运行环境的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全接入网络的方法、装置、电子设备及存储介质。
背景技术
随着信息网络已基本融入社会生活及各行各业中,伴随而来的网络安全问题也是相关领域重点关注的焦点之一,像病毒的侵袭、黑客的非法闯入、电子商务攻击、木马植入等网络攻击技术迭代更新,层出不穷。因此,对网络接入的安全性进行监控就成为保障网络安全性能的重要一环。
目前,对网络接入安全监控一般是人为监控方式,该种方式既耗费人力,而且较难及时发现网络接入的安全隐患。
发明内容
有鉴于此,本发明实施例提供一种安全接入网络的方法、装置、电子设备及存储介质,便于及时发现网络接入过程中存在的安全隐患,从而在一定程度上可以提升网络运行环境的安全性。
第一方面,本发明实施例提供的安全接入网络的方法,包括步骤:接收节点设备发送的接入网络的请求消息;所述请求消息携带有节点设备的标识信息;根据所述标识信息,向所述节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息;获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准;根据比对结果确定是否允许所述节点设备接入网络。
结合第一方面,在第一方面的第一种实施方式中,所述基本信息包括:账户密码信息、权限控制信息、外设接入信息、软件配置信息、硬件配置信息、系统进程信息、网络配置信息和/或通信协议信息;
所述基本信息属性标准包括:账户密码安全标准、权限控制标准、外设接入控制标准、软件配置标准、硬件配置标准、系统进程控制标准、网络配置标准和/或通信协议使用标准。
结合第一方面,在第一方面的第二种实施方式中,所述根据比对结果确定是否允许所述节点设备接入网络包括:
若所述基本信息与预设的网络准入审核标准一致,则向所述节点设备下发允许接入网络的指令,以使节点设备安全入网;
若所述基本信息与预设的网络准入审核标准不一致,则向所述节点设备下发阻断接入网络的指令阻断所述节点设备接入网络,以阻断节点设备接入网络。
结合第一方面,在第一方面的第三种实施方式中,所述基本信息包括:账户密码信息、软件配置信息、网络配置信息和/或通信协议信息,所述基本信息属性标准对应包括:账户密码安全标准、软件配置标准、网络配置标准和/或通信协议使用标准时;
在阻断所述节点设备接入网络之后,所述方法还包括:将对所述基本信息进行加固处理的指令下发至所述节点设备;所述指令携带有所述基本信息对应的基本信息属性标准;
获取节点设备上报的根据所述基本信息属性标准对所述基本信息进行加固处理的结果;
根据所述加固处理的结果与预设的网络准入审核标准进行比对判断。
结合第一方面和/或、第一方面的第一、二种实施方式,在第一方面的第四种实施方式中,所述安全项检测指令还用于指示节点设备执行漏洞扫描并上报漏洞信息;
在根据所述标识信息,向所述节点设备下发安全项检测指令之后,所述方法还包括:获取所述节点设备根据所述安全项检测指令执行漏洞扫描得到的漏洞信息,根据所述漏洞信息与预设的网络准入审核标准进行比对;所述网络准入审核标准还包含节点设备的漏洞审核标准。
结合第一方面和/或、第一方面的第一至第四任一种实施方式,在第一方面的第五种实施方式中,所述漏洞信息包括漏洞类型,所述漏洞审核标准包括:漏洞类型及其危险等级;
所述根据比对结果确定是否允许所述节点设备接入网络包括:根据比对结果指示的所述节点设备的漏洞类型对应的危险等级,确定是否允许所述节点设备接入网络;若确定不允许所述节点设备接入网络,则向所述节点设备下发阻断接入网络的指令及漏洞修复指令;所述漏洞修复指令用于指示节点设备执行漏洞扫描任务;当接收到所述节点设备发送的接入网络的请求消息时,根据所述节点设备当前的漏洞信息与预设的网络准入审核标准进行比对;所述请求消息还包括:节点设备当前的漏洞信息。
结合第一方面、第一方面的第一至第五种实施方式,在第一方面的第六种实施方式中,在根据比对结果确定允许所述节点设备接入网络之后,所述方法还包括:定期轮询所述节点设备的基本信息和/或漏洞信息;根据所述节点设备的基本信息和/或漏洞信息与网络准入审核标准进行比对,确定是否阻断所述节点设备接入网络。
第二方面,本发明实施例提供一种安全接入网络的装置,包括:接收程序模块,用于接收节点设备发送的接入网络的请求消息;所述请求消息携带有节点设备的标识信息;第一下发程序模块,用于根据所述标识信息,向所述节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息;第一获取程序模块,用于获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准;确定程序模块,用于根据比对结果确定是否允许所述节点设备接入网络。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行第一方面任一实施方式所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面任一实施方式所述的方法。
本发明实施例提供的安全接入网络的方法、装置、电子设备及存储介质,在接收到节点设备发送的接入网络的请求消息之后;根据请求消息携带的标识信息,向所述节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息;获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准;根据比对结果确定是否允许所述节点设备接入网络。相比于采用人工对网络接入监控的方式,本方案可根据网络接入请求事件自动触发网络安全审核流程,不仅节省人力,还便于及时发现网络接入过程中存在的安全隐患,从而在一定程度上可以提升网络运行环境的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明安全接入网络的方法一实施例的流程示意图;
图2为本发明安全接入网络的方法又一实施例的流程示意图;
图3为本发明安全接入网络的方法再一实施例的流程示意图;
图4为本发明安全接入网络的方法又一实施例的流程示意图;
图5为本发明安全接入网络的装置一实施例程序模块架构示意图;
图6为本发明安全接入网络的装置另一实施例程序模块架构示意图;
图7为本发明安全接入网络的装置再一实施例程序模块架构示意图;
图8为本发明安全接入网络的装置再一实施例程序模块架构示意图;
图9为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明安全接入网络的方法一实施例的流程示意图,参看图1所示,本发明实施例提供的安全接入网络的方法,可应用于网络接入安全监控及网络安全运行场景中;需要说明的是,该方法可以以软件的形式固化于某一制造的产品中,当用户在使用该产品时,可以再现本申请的方法流程。
例如,本实施例提供的安全接入网络的方法以应用软件的形式安装于计算机、手机等电子设备上,当用户在计算机或手机上触发该产品运行,对计算机等电子设备接入网络的事件自动进行安全接入管控,先前被固化于电子产品中的所述方法机械重演再现,允许或阻断所述电子设备接入网络,以保证网络环境的安全性,并进而保障系统运行环境的安全性。
参看图1,本实施例安全接入网络的方法,可包括步骤:
110、接收节点设备发送的接入网络的请求消息;所述请求消息携带有节点设备的标识信息。
本实施例中,所述节点设备的类型可以包括但不限于:个人计算机终端、服务器、业务服务系统以及便携式设备,所述便携式设备包括笔记本电脑、平板电脑及智能手机等。
所述标识信息用于确定节点设备信息资产的唯一性身份,所述标识信息可以为IP(Internet Protocol Address)地址、MAC(Media Access Control)地址等;
120、根据所述标识信息,向所述节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息。
所述基本信息可以包括但不限于:账户密码信息、权限控制信息、外设接入信息、软件配置信息、硬件配置信息、系统进程信息、网络配置信息和/或通信协议信息。
130、获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准。
本实施例中,所述节点设备的基本信息可以是预先采集后,存储在存储单元中,当接收到节点设备发送的接入网络的请求消息时;根据节点设备的标识信息,从所述存储单元中拉取所述节点设备的基本信息。
对应获取的所述基本信息,所述基本信息属性标准包括:账户密码安全标准、权限控制标准、外设接入控制标准、软件配置标准、硬件配置标准、系统进程控制标准、网络配置标准和/或通信协议使用标准。
根据节点设备的类型不同,网络准入审核标准也可以根据需求进行灵活配置,例如,对于服务器类节点设备,所述基本信息属性标准中可以配置外设接入控制标准,即对输入输出接口是否接入外部设备进行审核,如,U盘、音箱等;而对于个人计算机终端,则可以不配置外设接入控制标准,即对输入输出接口是否接入外部设备不审核。
示例性地,对于服务器类节点设备,可以设置禁用mstsc(Microsoft terminalservices client,创建与终端服务器或其他远程计算机的连接)和cmd(cmd.exe,Windows命令提示符)、禁用c盘文件共享等权限控制标准,根据节点设备采集的自身的mstsc、cmd和C盘文件共享等权限控制信息,与对应的权限控制标准进行对比,判断是否符合该权限控制标准。
另外,像便携式设备,例如智能手机,由于当前智能手机上安装的软件,如银行类软件,对像该设备上的密码等信息资产的保密比较重要,因此可以为该类设备接入网络,配置通信协议使用标准,例如对该类设备是否使用加密类通信协议进行安全审核等。
在一些实施例中,对于外设接入控制标准、系统进程控制标准、网络配置标准、软硬件变更等权限控制标准以及通信协议使用标准,可以设置成禁用或启用对应的基本信息,例如,针对服务器类节点设备,外设接入控制标准设置为“禁用”,则当获取到节点设备的外设接入信息之后,将外设接入信息与网络准入审核标准中的外设接入控制标准进行比对;若外设接入信息指示当前接入了U盘,而对应的外设接入控制标准为“禁用”,则确定不允许所述节点设备接入网络。
本实施例中,进一步地,在确定不允许所述节点设备,接入网络所述方法还包括:向所述服务器类节点设备下发根据上述基本信息属性标准,例如,外设接入控制标准,配置服务器类节点设备主机的外设接入信息的指令,服务器类节点设备在执行所述指令之后,将执行结果上报,以根据该执行结果继续确定是否允许该服务器类节点设备接入网络;其中,所述执行结果中包括根据外设接入控制标准配置的外设接入信息。
140、根据比对结果确定是否允许所述节点设备接入网络。
本实施例中,根据比对结果可以对当前设备的安全状态做出判断,并进而根据比对结果自动阻断/准许所述节点设备入网。
本发明实施例提供的安全接入网络的方法,在接收到节点设备发送的接入网络的请求消息之后;根据请求消息携带的标识信息,向所述节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息;获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准;根据比对结果确定是否允许所述节点设备接入网络。相比于采用人工对网络接入监控的方式,本方案可根据网络接入请求事件自动触发网络安全审核流程,不仅节省人力,还便于及时发现网络接入过程中存在的安全隐患,从而在一定程度上可以提升网络运行环境的安全性。
参看图2所示,在一些实施例中,所述根据比对结果确定是否允许所述节点设备接入网络(步骤140)包括:141、若所述基本信息与预设的网络准入审核标准一致,则向所述节点设备下发允许接入网络的指令,以使节点设备安全入网;
141′、若所述基本信息与预设的网络准入审核标准不一致,则向所述节点设备下发阻断接入网络的指令阻断所述节点设备接入网络,以阻断节点设备接入网络。
本发明实施例提供的安全接入网络的方法,在节点设备发送网络接入请求消息之后,可以自动根据获取的节点设备的基本信息与预设的网络准入审核标准进行比对,判断当前节点设备是否安全,并在判断出安全时,下发允许接入网络的指令,以使节点设备安全入网;在判断出当前节点设备不安全时,下发不允许接入网络的指令,自动阻断节点设备接入网络;这在一定程度上可以提升网络环境的安全性。
在一些实施例中,当所述基本信息包括:账户密码信息、软件配置信息、网络配置信息和/或通信协议信息,所述基本信息属性标准对应包括:账户密码安全标准、软件配置标准、网络配置标准和/或通信协议使用标准时;
在阻断所述节点设备接入网络之后,所述方法还包括:将对所述基本信息进行加固处理的指令下发至所述节点设备;所述指令携带有所述基本信息对应的基本信息属性标准;获取节点设备上报的根据所述基本信息属性标准对所述基本信息进行加固处理的结果;根据所述加固处理的结果与预设的网络准入审核标准进行比对判断。
示例性地,对于节点设备的账户密码信息,例如,账户密码设置为8位,登录用户为A;而对应于账户密码安全标准中设定账户密码至少10位,登录用户指定为B。在根据所述节点设备的账户密码信息与预设的账户密码安全标准进行比对之后,判断出所述节点设备的账户密码信息与预设的账户密码安全标准不一致,则阻断网络接入;为了保证所述节点设备账户密码信息资产的安全,将对所述基本信息进行加固处理的指令下发至所述节点设备,所述节点设备根据所述指令更改账户密码为10位,实现了对节点设备的基本信息的加固。
进一步地,根据所述加固处理的结果与预设的网络准入审核标准进行比对判断,从而可保证节点设备安全接入网络。
本实施例中,在确定出节点设备存在不符合基本属性标准的信息之后,阻断网络接入,并且下发处理指令,将不符合配置的基本属性标准的基本信息进行加固处理,可以提升节点设备的安全性,并最终将执行结果上报,以继续根据加固处理后的基本信息与网络准入审核标准中的基本信息属性标准进行比对,实现节点设备安全接入网络。
可以理解的是,节点设备存在漏洞也是影响网络接入后网络环境安全的一个因素,因此,在一些实施例中,所述安全项检测指令还用于指示节点设备执行漏洞扫描并上报漏洞信息;
参看图3所示,在根据所述标识信息,向所述节点设备下发安全项检测指令之后,所述方法还包括:130′、获取所述节点设备根据所述安全项检测指令执行漏洞扫描得到的漏洞信息,根据所述漏洞信息与预设的网络准入审核标准进行比对;所述网络准入审核标准还包含节点设备的漏洞审核标准。
本实施例中,通过根据获取的节点设备的漏洞信息与预设的网络准入审核标准中包含的节点设备的漏洞审核标准进行比对,增加了安全审核项,可以进一步地提升网络接入的安全性。
具体的,所述漏洞信息包括漏洞类型,所述漏洞审核标准包括:漏洞类型及其危险等级;所示危险等级包括:超高、高、中危漏洞;也可以根据节点设备的具体类型和/或应用环境设置其它危险等级。
所述根据比对结果确定是否允许所述节点设备接入网络包括:根据比对结果指示的所述节点设备的漏洞类型对应的危险等级,确定是否允许所述节点设备接入网络;例如,比对结果指示的所述节点设备的漏洞类型对应的危险等级为中级,则可以忽略,接入网络之后继续监控即可。
若确定不允许所述节点设备接入网络,则向所述节点设备下发阻断接入网络的指令及漏洞修复指令;所述漏洞修复指令用于指示节点设备执行漏洞扫描任务;当接收到所述节点设备发送的接入网络的请求消息时,根据所述节点设备当前的漏洞信息与预设的网络准入审核标准进行比对;所述请求消息还包括:节点设备当前的漏洞信息。
本实施例中,在确定不允许所述节点设备接入网络之后,一方面阻断节点设备接入网络,保证网络环境的安全;另一方面,下发漏洞修复指令至节点设备,以使节点设备执行漏洞修复指令,在完成漏洞修复之后达到入网标准。
当接收到所述节点设备发送的接入网络的请求消息时,根据所述节点设备当前的漏洞信息与预设的网络准入审核标准进行比对,当漏洞信息和配置的网络准入审核标准一致时,表示符合入网标准,下发安全入网的命令到节点设备,实现节点设备安全入网的目的。
对于已经接入网络的节点设备,在运行过程中,还可能出现安全威胁。因此,为了能够实现对网络接入之后的运行安全性进行监控,参看图4所示,在一些实施例中,在根据比对结果确定允许所述节点设备接入网络之后,所述方法还包括:150、定期轮询所述节点设备的基本信息和/或漏洞信息;160、根据所述节点设备的基本信息和/或漏洞信息与网络准入审核标准进行比对,确定是否阻断所述节点设备接入网络。
本实施例中,针对已经入网的设备,通过定期轮询新采集到的基本信息和/或漏洞信息,与网络准入审核标准进行比对判断,若不符合网络准入审核标准,会阻断网络,保障网络环境的安全性。
在阻断网络时,也可以如前所述,还可以包括150'、下发修复或加固指令到对应的节点设备上,执行修复或加固任务。
其中,在节点设备首次发送接入网络的请求消息,获取设备的基本信息时,默认网络处于阻断状态。
本实施例的方案中,无论是基本信息中有任一项不符合网络准入审核标准,还是漏洞信息不符合网络入网标准,都不会下发允许入网的指令;但是,这种情况也可通过人工介入检查不合规项是否实质性影响网络环境安全,若不是,通过忽略或者手动修复之后,达到安全入网审核标准。
需要说明的是,预设的网络准入审核标准中包括的基本信息属性标准还可以具体包括很多子项审核标准,例如,权限控制标准可以包括网络访问权限、修改或更改软、硬件配置的权限、操作系统C盘、或远程连接设备的权限控制标准等,不能枚举,用户可以根据节点设备具体应用类型和场景进行灵活设置。
本实施例提供的安全接入网络的方法,在监测到有网络接入事件时,自动触发安全审核机制,根据预设的网络准入审核标准对节点设备的安全性进行审核,并在判断出存在安全隐患时,第一时间阻断安全隐患,并还可以自动完成修复再次准入网络,且对已经接入网络的节点设备的安全性进行定期自动监测。这样可以释放人力成本和避免人工监控的失误,从而提高设备网络环境的安全性,降低公司网络信息泄漏风险几率。
实施例二
图5为本发明安全接入网络的装置一实施例的结构示意图。参看图5所示,本实施例的装置,可以包括:接收程序模块210,用于接收节点设备发送的接入网络的请求消息;所述请求消息携带有节点设备的标识信息;第一下发程序模块220,用于根据所述标识信息,向所述节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息;第一获取程序模块230,用于获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准;确定程序模块240,用于根据比对结果确定是否允许所述节点设备接入网络。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在一些实施例中,所述基本信息包括:账户密码信息、权限控制信息、外设接入信息、软件配置信息、硬件配置信息、系统进程信息、网络配置信息和/或通信协议信息;
所述基本信息属性标准包括:账户密码安全标准、权限控制标准、外设接入控制标准、软件配置标准、硬件配置标准、系统进程控制标准、网络配置标准和/或通信协议使用标准。
在另一些实施例中,所述确定程序模块240包括:第一接入确定程序单元241,用于若所述基本信息与预设的网络准入审核标准一致,则向所述节点设备下发允许接入网络的指令,以使节点设备安全入网;
阻断确定程序单元241',用于若所述基本信息与预设的网络准入审核标准不一致,则向所述节点设备下发阻断接入网络的指令阻断所述节点设备接入网络,以阻断节点设备接入网络。
在又一些实施例中,所述基本信息包括:账户密码信息、软件配置信息、网络配置信息和/或通信协议信息,所述基本信息属性标准对应包括:账户密码安全标准、软件配置标准、网络配置标准和/或通信协议使用标准时;
参看图7所示,所述确定程序模块240还包括:第一下发程序单元242',用于在阻断所述节点设备接入网络之后,将对所述基本信息进行加固处理的指令下发至所述节点设备;所述指令携带有所述基本信息对应的基本信息属性标准;
第一获取程序单元243',用于获取节点设备上报的根据所述基本信息属性标准对所述基本信息进行加固处理的结果;
判断程序单元244',用于根据所述加固处理的结果与预设的网络准入审核标准进行比对判断。
在又一些实施例中,所述安全项检测指令还用于指示节点设备执行漏洞扫描并上报漏洞信息;
所述装置还包括第二获取程序模块,用于在根据所述标识信息,向所述节点设备下发安全项检测指令之后,获取所述节点设备根据所述安全项检测指令执行漏洞扫描得到的漏洞信息,根据所述漏洞信息与预设的网络准入审核标准进行比对;所述网络准入审核标准还包含节点设备的漏洞审核标准。
参看图8所示,所述漏洞信息包括漏洞类型,所述漏洞审核标准包括:漏洞类型及其危险等级;
所述确定程序模块240还包括:第二接入确定程序单元241A',用于:
根据比对结果指示的所述节点设备的漏洞类型对应的危险等级,确定是否允许所述节点设备接入网络;
若确定不允许所述节点设备接入网络,则向所述节点设备下发阻断接入网络的指令及漏洞修复指令;所述漏洞修复指令用于指示节点设备执行漏洞扫描任务;
当接收到所述节点设备发送的接入网络的请求消息时,根据所述节点设备当前的漏洞信息与预设的网络准入审核标准进行比对;所述请求消息还包括:节点设备当前的漏洞信息。
在再一些实施例中,所述装置还包括:定期审核程序模块,用于:
在根据比对结果确定允许所述节点设备接入网络之后,定期轮询所述节点设备的基本信息和/或漏洞信息;
根据所述节点设备的基本信息和/或漏洞信息与网络准入审核标准进行比对,确定是否阻断所述节点设备接入网络。
本实施例的装置,其实现原理和技术效果与前述相应方法实施例类似,未详细述及之处,可以相互参看,此处不再赘述。
本发明实施例提供的安全接入网络的装置,在接收程序模块210接收节点设备发送的接入网络的请求消息;通过第一下发程序模块220根据所述标识信息,向所述节点设备下发安全项检测指令,指示节点设备采集并上报自身的基本信息;第一获取程序模块230获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;最后,确定程序模块240可以根据比对结果确定出是否允许所述节点设备接入网络。相比于采用人工对网络接入监控的方式,本方案可根据网络接入请求事件自动触发网络安全审核流程,不仅节省人力,还便于及时发现网络接入过程中存在的安全隐患,从而在一定程度上可以提升网络运行环境的安全性。
图9为本发明电子设备一个实施例的结构示意图,基于前述实施例一提供的方法、实施例二提供的装置,本发明实施例提供的电子设备,如图9所示,可以实现本发明实施例一中任一所述的实施例的方法流程的步骤,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的安全接入网络的方法流程步骤。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明实施例一的描述,在此不再赘述。
综上可知,本发明实施例提供的安全接入网络的方法及装置,在监测到有网络接入事件时,自动触发安全审核机制,根据预设的网络准入审核标准对节点设备的安全性进行审核,并在判断出存在安全隐患时,第一时间阻断安全隐患,并还可以自动完成修复再次准入网络,且对已经接入网络的节点设备的安全性进行定期自动监测;这样,便于及时发现网络接入过程中存在的安全隐患,无需人工时刻对网络接入事件进行监控,可以释放人力成本和避免人工监控的失误,从而在一定程度上可以提升网络运行环境的安全性,降低网络信息资产泄漏风险几率。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明的实施例还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例一任一所述的安全接入网络的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (16)
1.一种安全接入网络的方法,其特征在于,包括步骤:
接收节点设备发送的接入网络的请求消息;所述请求消息携带有节点设备的标识信息;
根据所述标识信息,向所述节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息;
获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准;
根据比对结果确定是否允许所述节点设备接入网络。
2.根据权利要求1所述的安全接入网络的方法,其特征在于,所述基本信息包括:账户密码信息、权限控制信息、外设接入信息、软件配置信息、硬件配置信息、系统进程信息、网络配置信息和/或通信协议信息;
所述基本信息属性标准包括:账户密码安全标准、权限控制标准、外设接入控制标准、软件配置标准、硬件配置标准、系统进程控制标准、网络配置标准和/或通信协议使用标准。
3.根据权利要求1所述的安全接入网络的方法,其特征在于,所述根据比对结果确定是否允许所述节点设备接入网络包括:
若所述基本信息与预设的网络准入审核标准一致,则向所述节点设备下发允许接入网络的指令,以使节点设备安全入网;
若所述基本信息与预设的网络准入审核标准不一致,则向所述节点设备下发阻断接入网络的指令阻断所述节点设备接入网络,以阻断节点设备接入网络。
4.根据权利要求3所述的安全接入网络的方法,其特征在于,所述基本信息包括:账户密码信息、软件配置信息、网络配置信息和/或通信协议信息,所述基本信息属性标准对应包括:账户密码安全标准、软件配置标准、网络配置标准和/或通信协议使用标准时;
在阻断所述节点设备接入网络之后,所述方法还包括:将对所述基本信息进行加固处理的指令下发至所述节点设备;所述指令携带有所述基本信息对应的基本信息属性标准;
获取节点设备上报的根据所述基本信息属性标准对所述基本信息进行加固处理的结果;
根据所述加固处理的结果与预设的网络准入审核标准进行比对判断。
5.根据权利要求1所述的安全接入网络的方法,其特征在于,所述安全项检测指令还用于指示节点设备执行漏洞扫描并上报漏洞信息;
在根据所述标识信息,向所述节点设备下发安全项检测指令之后,所述方法还包括:获取所述节点设备根据所述安全项检测指令执行漏洞扫描得到的漏洞信息,根据所述漏洞信息与预设的网络准入审核标准进行比对;所述网络准入审核标准还包含节点设备的漏洞审核标准。
6.根据权利要求5所述的安全接入网络的方法,其特征在于,所述漏洞信息包括漏洞类型,所述漏洞审核标准包括:漏洞类型及其危险等级;
所述根据比对结果确定是否允许所述节点设备接入网络包括:根据比对结果指示的所述节点设备的漏洞类型对应的危险等级,确定是否允许所述节点设备接入网络;
若确定不允许所述节点设备接入网络,则向所述节点设备下发阻断接入网络的指令及漏洞修复指令;所述漏洞修复指令用于指示节点设备执行漏洞扫描任务;
当接收到所述节点设备发送的接入网络的请求消息时,根据所述节点设备当前的漏洞信息与预设的网络准入审核标准进行比对;所述请求消息还包括:节点设备当前的漏洞信息。
7.根据权利要求1所述的安全接入网络的方法,其特征在于,在根据比对结果确定允许所述节点设备接入网络之后,所述方法还包括:定期轮询所述节点设备的基本信息和/或漏洞信息;根据所述节点设备的基本信息和/或漏洞信息与网络准入审核标准进行比对,确定是否阻断所述节点设备接入网络。
8.一种安全接入网络的装置,其特征在于,所述装置包括:
接收程序模块,用于接收节点设备发送的接入网络的请求消息;所述请求消息携带有节点设备的标识信息;
第一下发程序模块,用于根据所述标识信息,向所述节点设备下发安全项检测指令;所述安全项检测指令至少用于指示节点设备采集并上报自身的基本信息;
第一获取程序模块,用于获取所述节点设备根据所述安全项检测指令采集的自身的基本信息,根据所述基本信息与预设的网络准入审核标准进行比对;所述网络准入审核标准包含节点设备的基本信息属性标准;
确定程序模块,用于根据比对结果确定是否允许所述节点设备接入网络。
9.根据权利要求8所述的安全接入网络的方法,其特征在于,所述基本信息包括:账户密码信息、权限控制信息、外设接入信息、软件配置信息、硬件配置信息、系统进程信息、网络配置信息和/或通信协议信息;
所述基本信息属性标准包括:账户密码安全标准、权限控制标准、外设接入控制标准、软件配置标准、硬件配置标准、系统进程控制标准、网络配置标准和/或通信协议使用标准。
10.根据权利要求8所述的安全接入网络的装置,其特征在于,所述确定程序模块包括:
第一接入确定程序单元,用于若所述基本信息与预设的网络准入审核标准一致,则向所述节点设备下发允许接入网络的指令,以使节点设备安全入网;
阻断确定程序单元,用于若所述基本信息与预设的网络准入审核标准不一致,则向所述节点设备下发阻断接入网络的指令阻断所述节点设备接入网络,以阻断节点设备接入网络。
11.根据权利要求10所述的安全接入网络的装置,其特征在于,所述基本信息包括:账户密码信息、软件配置信息、网络配置信息和/或通信协议信息,所述基本信息属性标准对应包括:账户密码安全标准、软件配置标准、网络配置标准和/或通信协议使用标准时;
所述确定程序模块还包括:第一下发程序单元,用于在阻断所述节点设备接入网络之后,将对所述基本信息进行加固处理的指令下发至所述节点设备;所述指令携带有所述基本信息对应的基本信息属性标准;
第一获取程序单元,用于获取节点设备上报的根据所述基本信息属性标准对所述基本信息进行加固处理的结果;
判断程序单元,用于根据所述加固处理的结果与预设的网络准入审核标准进行比对判断。
12.根据权利要求8所述的安全接入网络的装置,其特征在于,所述安全项检测指令还用于指示节点设备执行漏洞扫描并上报漏洞信息;
所述装置还包括第二获取程序模块,用于在根据所述标识信息,向所述节点设备下发安全项检测指令之后,获取所述节点设备根据所述安全项检测指令执行漏洞扫描得到的漏洞信息,根据所述漏洞信息与预设的网络准入审核标准进行比对;所述网络准入审核标准还包含节点设备的漏洞审核标准。
13.根据权利要求12所述的安全接入网络的装置,其特征在于,所述漏洞信息包括漏洞类型,所述漏洞审核标准包括:漏洞类型及其危险等级;
所述确定程序模块还包括:第二接入确定程序单元,用于:
根据比对结果指示的所述节点设备的漏洞类型对应的危险等级,确定是否允许所述节点设备接入网络;
若确定不允许所述节点设备接入网络,则向所述节点设备下发阻断接入网络的指令及漏洞修复指令;所述漏洞修复指令用于指示节点设备执行漏洞扫描任务;
当接收到所述节点设备发送的接入网络的请求消息时,根据所述节点设备当前的漏洞信息与预设的网络准入审核标准进行比对;所述请求消息还包括:节点设备当前的漏洞信息。
14.根据权利要求8所述的安全接入网络的装置,其特征在于,所述装置还包括:定期审核程序模块,用于:
在根据比对结果确定允许所述节点设备接入网络之后,定期轮询所述节点设备的基本信息和/或漏洞信息;
根据所述节点设备的基本信息和/或漏洞信息与网络准入审核标准进行比对,确定是否阻断所述节点设备接入网络。
15.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至7任一所述的方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111322835.5A CN114039779A (zh) | 2021-11-09 | 2021-11-09 | 一种安全接入网络的方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111322835.5A CN114039779A (zh) | 2021-11-09 | 2021-11-09 | 一种安全接入网络的方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114039779A true CN114039779A (zh) | 2022-02-11 |
Family
ID=80136994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111322835.5A Pending CN114039779A (zh) | 2021-11-09 | 2021-11-09 | 一种安全接入网络的方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114039779A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915612A (zh) * | 2022-04-22 | 2022-08-16 | 绿盟科技集团股份有限公司 | 主机接入方法、待接入主机及dhcp服务器 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833107A (zh) * | 2012-08-29 | 2012-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 安全准入方法及系统 |
| CN110865774A (zh) * | 2018-12-28 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种打印设备的信息安全检测方法及装置 |
| CN110912938A (zh) * | 2019-12-24 | 2020-03-24 | 医渡云(北京)技术有限公司 | 入网终端接入验证方法、装置、存储介质及电子设备 |
| CN111176755A (zh) * | 2019-12-25 | 2020-05-19 | 哈尔滨安天科技集团股份有限公司 | 云上安全的策略配置方法、系统、电子设备及存储介质 |
| CN112039894A (zh) * | 2020-08-31 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 一种网络准入控制方法、装置、存储介质和电子设备 |
| CN112995236A (zh) * | 2021-05-20 | 2021-06-18 | 杭州海康威视数字技术股份有限公司 | 一种物联网设备安全管控方法、装置和系统 |
-
2021
- 2021-11-09 CN CN202111322835.5A patent/CN114039779A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833107A (zh) * | 2012-08-29 | 2012-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 安全准入方法及系统 |
| CN110865774A (zh) * | 2018-12-28 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种打印设备的信息安全检测方法及装置 |
| CN110912938A (zh) * | 2019-12-24 | 2020-03-24 | 医渡云(北京)技术有限公司 | 入网终端接入验证方法、装置、存储介质及电子设备 |
| CN111176755A (zh) * | 2019-12-25 | 2020-05-19 | 哈尔滨安天科技集团股份有限公司 | 云上安全的策略配置方法、系统、电子设备及存储介质 |
| CN112039894A (zh) * | 2020-08-31 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 一种网络准入控制方法、装置、存储介质和电子设备 |
| CN112995236A (zh) * | 2021-05-20 | 2021-06-18 | 杭州海康威视数字技术股份有限公司 | 一种物联网设备安全管控方法、装置和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915612A (zh) * | 2022-04-22 | 2022-08-16 | 绿盟科技集团股份有限公司 | 主机接入方法、待接入主机及dhcp服务器 |
| CN114915612B (zh) * | 2022-04-22 | 2024-03-15 | 绿盟科技集团股份有限公司 | 主机接入方法、待接入主机及dhcp服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11816222B2 (en) | Detecting vulnerabilities in managed client devices | |
| US11086983B2 (en) | System and method for authenticating safe software | |
| US20130254889A1 (en) | Server-Side Restricted Software Compliance | |
| WO2013059138A1 (en) | System and method for whitelisting applications in a mobile network environment | |
| EP2769324A1 (en) | System and method for whitelisting applications in a mobile network environment | |
| CN104767713B (zh) | 账号绑定的方法、服务器及系统 | |
| KR20100003234A (ko) | 신뢰 검증 방법 및 신뢰 검증 시스템 | |
| EP3168770A2 (en) | Executing process monitoring | |
| EP2828767A1 (en) | System and method for crowdsourcing of mobile application reputations | |
| CN108875373B (zh) | 移动存储介质文件管控方法、装置、系统及电子设备 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN110865774B (zh) | 一种打印设备的信息安全检测方法及装置 | |
| CN114039779A (zh) | 一种安全接入网络的方法、装置、电子设备及存储介质 | |
| CN113965402A (zh) | 一种防火墙安全策略的配置方法、装置及电子设备 | |
| KR20200115730A (ko) | 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법 | |
| CN110351719B (zh) | 一种无线网络管理方法、系统及电子设备和存储介质 | |
| CN111506895A (zh) | 一种应用登录图的构建方法及装置 | |
| CN111030997A (zh) | 内外网流量监控及过滤方法、装置、电子设备及存储介质 | |
| CN116318911A (zh) | 一种域名访问方法、装置、电子设备及存储介质 | |
| CN111030982B (zh) | 一种针对涉密文件的强管控方法、系统及存储介质 | |
| CN114035812A (zh) | 一种应用软件安装和/或运行方法、装置、电子设备及存储介质 | |
| CN115242608A (zh) | 告警信息的生成方法、装置、设备及存储介质 | |
| CN111479273B (zh) | 一种网络接入安全性的检测方法、装置、设备及存储介质 | |
| CN112464225A (zh) | 一种请求处理方法、请求处理装置及计算机可读存储介质 | |
| CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |