CN114157462A - 一种计算机网络信息安全控制系统及方法 - Google Patents
一种计算机网络信息安全控制系统及方法 Download PDFInfo
- Publication number
- CN114157462A CN114157462A CN202111390215.5A CN202111390215A CN114157462A CN 114157462 A CN114157462 A CN 114157462A CN 202111390215 A CN202111390215 A CN 202111390215A CN 114157462 A CN114157462 A CN 114157462A
- Authority
- CN
- China
- Prior art keywords
- control system
- computer
- data
- central
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 241000700605 Viruses Species 0.000 claims abstract description 53
- 230000007123 defense Effects 0.000 claims abstract description 31
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 238000003860 storage Methods 0.000 claims abstract description 15
- 238000004891 communication Methods 0.000 claims abstract description 13
- 230000009545 invasion Effects 0.000 claims abstract description 13
- 230000007246 mechanism Effects 0.000 claims abstract description 8
- 238000012544 monitoring process Methods 0.000 claims description 44
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 238000011084 recovery Methods 0.000 claims description 11
- 230000008260 defense mechanism Effects 0.000 claims description 7
- 238000013500 data storage Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 5
- 238000005336 cracking Methods 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000006835 compression Effects 0.000 claims description 3
- 238000007906 compression Methods 0.000 claims description 3
- 230000004888 barrier function Effects 0.000 description 11
- 238000002955 isolation Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000009825 accumulation Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种计算机网络信息安全控制系统及方法,包括中央总控系统、分控制系统、中控防御系统和加密通讯系统,中央总控系统包括紧急断网系统、异常比对数据库、数据日志存储系统、整机数据加密系统、杀毒检测系统。通过设置的后台人员介入系统,后台人员介入系统是在布防联防机制系统的整体计算机连接布防失效后,由后台人员介入系统的专业技术人员进行人工操作,增加了进一步的保护安全性,避免过于程式化的系统操作应对入侵的失误,整体使用效果好,从多角度多层次的对网络信息安全进行控制,避免信息泄露,增加了信息战中的可靠性,避免被有心人利用信息,对安全信息保护提供了不可磨灭的贡献。
Description
技术领域
本发明属于计算机技术领域,具体涉及一种计算机网络信息安全控制系统及方法。
背景技术
计算机俗称电脑,是现代一种用于高速计算的电子计算机器,可以进行数值计算,又可以进行逻辑计算,还具有存储记忆功能,是能够按照程序运行,自动、高速处理海量数据的现代化智能电子设备,由硬件系统和软件系统所组成,没有安装任何软件的计算机称为裸机。可分为超级计算机、工业控制计算机、网络计算机、个人计算机、嵌入式计算机五类,较先进的计算机有生物计算机、光子计算机、量子计算机等,它的应用领域从最初的军事科研应用扩展到社会的各个领域,已形成了规模巨大的计算机产业,带动了全球范围的技术进步,由此引发了深刻的社会变革,计算机已遍及一般学校、企事业单位,进入寻常百姓家,成为信息社会中必不可少的工具。
在计算机诞生之后,为人们的生产生活产生了极大的影响,而计算机应用技术的越发广泛,对于计算机的使用和信息安全也愈发的重视,传统的做法是对计算机添加杀毒和防火墙用以应对保护计算机的安全避免病毒进行窃取计算机内部信息,而此种办法不适用于大型的企事业单位和效果较为单一无法全面的保护计算机系统和信息安全,基于此我们提出种计算机网络信息安全控制系统及方法。
发明内容
针对上述问题,本发明提供了一种计算机网络信息安全控制系统及方法,具有避免病毒进行窃取计算机内部信息的优点。
本发明的技术方案是:一种计算机网络信息安全控制系统,包括中央总控系统、分控制系统、中控防御系统和加密通讯系统,所述中央总控系统包括紧急断网系统、异常比对数据库、数据日志存储系统、整机数据加密系统、杀毒检测系统、数据恢复还原备份系统、病毒实时更新数据库,所述分控制系统包括键鼠异位操作监控系统、管理员ID监控记录系统、访问程序日志监控系统、定点路径监测系统、隐藏文件系统、秘密文件系统、防火墙系统和数据盘监控系统,所述加密通讯系统包括密码本数据库、加密压缩系统和解析破译系统。
首先在整个控制系统使用过程中,该信息安全控制方法是,分控制系统及其附属被设置在所使用的计算机内,而中央控制系统及其附属设置在局域网内服务器的内部,该设置是为了使得整体安全控制系统有承载的内网载体,而各个计算机分别连接局域内网和外部互联网,便于中央总控系统与外部互联网以单个计算机产生隔离带与安全屏障,此为整体信息安全的技术屏障,便于从根源保护计算机信息安全和隔离信息盗取与服务器之间的连接,增加了技术安全性,而后当互联网外部技术侵入计算时,首先有防火墙系统建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制系统通数据盘监控系统,对计算机内部的数据存储进行数据监控,产生应急操作,避免计算机内部信息出现大规模拷贝的情况,该依据是拷贝操作未通过管理员ID信息认证的合法操作,通过管理员ID信息监测记录系统进行收录电脑操作员的管理员身份登录计算机并所进行的操作,用以辅助对计算机内部的数据监控,从根本上建立底层逻辑防线,当判定出现病毒时,此时杀毒检测系统进行对特定的分控系统所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库,该数据库可定期访问互联网的病毒库,并且使得整体系统增加了对病毒的识别能力,当病毒或者黑客操作过于猛烈时,可以通过紧急断网系统切断对外部的互联网连接,以及可以选择对整体的格式化,并将数据报送至后台人员介入系统,从根本保护信息的避免泄露,整体使用效果好,从多角度多层次的对网络信息安全进行控制,避免信息泄露,增加了信息战中的可靠性,避免被有心人利用信息,对安全信息保护提供了不可磨灭的贡献。
在进一步的技术方案中,所述加密通讯系统分别与中央总控系统和分控制系统连接。
加密通讯系统对中央总控系统和分控制系统进行连接,类似于加密连接方式,并且自备密码本和信息根目录,防止出现由单个计算机及分控制系统逆流入侵中央总控系统的情况出现。
在进一步的技术方案中,所述中央防御系统包括布防联防机制系统和后台人员介入系统。
布防联防机制系统则是可以越过中央总控系统将分控制系统调动起进行主动防御模式,并且使得多个分控制系统进行多角度的切换配合连接上报,使得被入侵局限于小范围避免扩大。
在进一步的技术方案中,所述定点路径检测系统分别与隐藏文件系统和秘密文件系统连接。
隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块。
在进一步的技术方案中,所述杀毒检测系统与病毒实时更新数据库连接。
病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库,该数据库可定期访问互联网的病毒库,并且使得整体系统增加了对病毒的识别能力。
在进一步的技术方案中,所述中央防御系统与中央总控系统和分控制系统连接,所述后台人员介入系统与布防联防机制系统连接。
后台人员介入系统是在布防联防机制系统的整体计算机连接布防失效后,由后台人员介入系统的专业技术人员进行人工操作,增加了进一步的保护安全性。
在进一步的技术方案中,所述整机数据加密系统与数据恢复还原备份系统连接。
整机数据加密系统将分控制系统上传的数据进行加密备份,并收录在数据恢复还原备份系统内。
在进一步的技术方案中,所述中央总控系统连接有异常溯源系统,所述异常溯源系统与数据日志存储系统连接。
便于确定敏感操作的切入点或者根目录,便于后续的记录和安全保护的经验积累。
在本发明中还公开了一种计算机网络信息安全控制系统的控制方法,具体步骤如下:
S1:首先在整个控制系统使用过程中,该信息安全控制方法是,分控制系统及其附属被设置在所使用的计算机内,而中央控制系统及其附属设置在局域网内服务器的内部,各个计算机分别连接局域内网和外部互联网。
S2:而后当互联网外部技术侵入计算时,首先有防火墙系统建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制系统通数据盘监控系统,对计算机内部的数据存储进行数据监控,产生应急操作。
S3:进而当入侵的继续更加深入时,如采用传统的远程控制计算机的行为,此时键鼠异位操作监控系统监测计算机内部键鼠的操作与硬件反馈是否一致以及针对使用人员正常操作键鼠的频率和次数进行预设操作值,当出现异常时则对中央总控系统进行报告,而后访问程序日志监控系统对计算机内部的程序被启动运行的计算机系统日志进行读取进行异常监测。
S4:其次单个入侵计算机的最后防线,则是通过隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,而后根据秘密文件系统建立秘密文件,如遇到暴力破解或者无中央总控系统的内部许可,文件将会被损坏,最后定点路径监测系统,监测特定的文件存储路径,如果出现不同路径改变则会上报中央总控系统,并且对路径访问及操作的目标进行记录。
S5:接着中央总控系统通过收到的分控制系统的上报信息,并且整机数据加密系统将分控制系统上传的数据进行加密备份,并收录在数据恢复还原备份系统内,而后中央总控系统根据分控制系统上报的敏感信息操作和记录通过异常信息比对数据库进行比对以往数据,或者由技术人员添加的程序特征进行比对。
S6:当判定出现病毒时,此时杀毒检测系统进行对特定的分控系统所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库。
S7:最后后台人员介入系统是在布防联防机制系统的整体计算机连接布防失效后,由后台人员介入系统的专业技术人员进行人工操作。
在进一步的技术方案中,所述S3步骤中建立的算法为,定义两个固定且不同的字符串ipad,opad(‘i′,′o′标志内部与外部):
ipad=the byte 0x36 repeated B times
opad=the byte 0x5C repeated B times.
计算′text′的HMAC:
H(K XOR opad,H(K XOR ipad,text))。
即为以下步骤:1、在密钥K后面添加0来创建一个子长为B的字符串(例如,如果K的字长是20字节,B=60字节,则K后会加入44个零字节0x00);2、将上一步生成的B字长的字符串K与ipad做异或运算;3、将数据流text填充至第二步的结果字符串中;4、用H作用于第三步生成的数据流;5、将第一步生成的B字长字符串与opad做异或运算;6、再将第四步的结果填充进第五步的结果中;7、用H作用于第六步生成的数据流,输出最终结果;8、进行动态截位,生成otp。
与现有技术相比,本发明的有益效果是:
1、通过设置的分控制系统,分控制系统及其附属被设置在所使用的计算机内,而中央控制系统及其附属设置在局域网内服务器的内部,该设置是为了使得整体安全控制系统有承载的内网载体,而各个计算机分别连接局域内网和外部互联网,便于中央总控系统与外部互联网以单个计算机产生隔离带与安全屏障,此为整体信息安全的技术屏障,便于从根源保护计算机信息安全和隔离信息盗取与服务器之间的连接,增加了技术安全性。
2、通过设置的隐藏文件,其次单个入侵计算机的最后防线,则是通过隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,类似于格式化覆盖时特定区域的数据仍在但显示为空白,后续读写则是覆盖数据,此时修改重复覆盖路径,而后根据秘密文件系统建立秘密文件,该访问需持有磁层密码方可进入,如遇到暴力破解或者无中央总控系统的内部许可,文件将会被损坏,最后定点路径监测系统,监测特定的文件存储路径,该路径在根据系统标注的敏感文件或者各个不同星级的进行标注该文件的所属路径,包含隐藏文件和秘密文件,如果出现不同路径改变则会上报中央总控系统,并且对路径访问及操作的目标进行记录。
3、通过设置的后台人员介入系统,后台人员介入系统是在布防联防机制系统的整体计算机连接布防失效后,由后台人员介入系统的专业技术人员进行人工操作,增加了进一步的保护安全性,避免过于程式化的系统操作应对入侵的失误,整体使用效果好,从多角度多层次的对网络信息安全进行控制,避免信息泄露,增加了信息战中的可靠性,避免被有心人利用信息,对安全信息保护提供了不可磨灭的贡献。
附图说明
图1为本发明的中央总控系统框图示意图;
图2为本发明的分控制系统框图示意图;
图3为本发明的加密通信系统框图示意图;
图4为本发明的中控防御系统示意图。
具体实施方式
下面结合附图对本发明的实施例作进一步说明。
实施例1:
如图1-图4所示,一种计算机网络信息安全控制系统,包括中央总控系统、分控制系统、中控防御系统和加密通讯系统,中央总控系统包括紧急断网系统、异常比对数据库、数据日志存储系统、整机数据加密系统、杀毒检测系统、数据恢复还原备份系统、病毒实时更新数据库,分控制系统包括键鼠异位操作监控系统、管理员ID监控记录系统、访问程序日志监控系统、定点路径监测系统、隐藏文件系统、秘密文件系统、防火墙系统和数据盘监控系统,加密通讯系统包括密码本数据库、加密压缩系统和解析破译系统。
本实施方案中,首先在整个控制系统使用过程中,该信息安全控制方法是,分控制系统及其附属被设置在所使用的计算机内,而中央控制系统及其附属设置在局域网内服务器的内部,该设置是为了使得整体安全控制系统有承载的内网载体,而各个计算机分别连接局域内网和外部互联网,便于中央总控系统与外部互联网以单个计算机产生隔离带与安全屏障,此为整体信息安全的技术屏障,便于从根源保护计算机信息安全和隔离信息盗取与服务器之间的连接,增加了技术安全性,而后当互联网外部技术侵入计算时,首先有防火墙系统建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制系统通数据盘监控系统,对计算机内部的数据存储进行数据监控,产生应急操作,避免计算机内部信息出现大规模拷贝的情况,该依据是拷贝操作未通过管理员ID信息认证的合法操作,通过管理员ID信息监测记录系统进行收录电脑操作员的管理员身份登录计算机并所进行的操作,用以辅助对计算机内部的数据监控,从根本上建立底层逻辑防线,当判定出现病毒时,此时杀毒检测系统进行对特定的分控系统所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库,该数据库可定期访问互联网的病毒库,并且使得整体系统增加了对病毒的识别能力,当病毒或者黑客操作过于猛烈时,可以通过紧急断网系统切断对外部的互联网连接,以及可以选择对整体的格式化,并将数据报送至后台人员介入系统,从根本保护信息的避免泄露,整体使用效果好,从多角度多层次的对网络信息安全进行控制,避免信息泄露,增加了信息战中的可靠性,避免被有心人利用信息,对安全信息保护提供了不可磨灭的贡献。
在另外一个实施方案中,如图3所示,加密通讯系统分别与中央总控系统和分控制系统连接。
加密通讯系统对中央总控系统和分控制系统进行连接,类似于加密连接方式,并且自备密码本和信息根目录,防止出现由单个计算机及分控制系统逆流入侵中央总控系统的情况出现,首先通过密码本数据库将中央总控系统和分控制系统发送的信息,经由加密压缩系统进行打包处理,而后达到对方后由解析破译系统进行翻译,将中央总控系统和分控制系统进行技术通信隔阂壁垒,进一步增加了内网信息的安全性,避免攻破中央总控系统从而使得全部信息损失。
在另外一个实施方案中,如图4所示,中央防御系统包括布防联防机制系统和后台人员介入系统。
布防联防机制系统则是可以越过中央总控系统将分控制系统调动起进行主动防御模式,并且使得多个分控制系统进行多角度的切换配合连接上报,使得被入侵局限于小范围避免扩大,后台人员介入系统由人工进行操作。
在另外一个实施方案中,如图2所示,定点路径检测系统分别与隐藏文件系统和秘密文件系统连接。
隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,类似于格式化覆盖时特定区域的数据仍在但显示为空白,后续读写则是覆盖数据,此时修改重复覆盖路径,而后根据秘密文件系统建立秘密文件,该访问需持有磁层密码方可进入,如遇到暴力破解或者无中央总控系统的内部许可,文件将会被损坏,最后定点路径监测系统,监测特定的文件存储路径,该路径在根据系统标注的敏感文件或者各个不同星级的进行标注该文件的所属路径,包含隐藏文件和秘密文件,如果出现不同路径改变则会上报中央总控系统,并且对路径访问及操作的目标进行记录。
在另外一个实施方案中,如图1所示,杀毒检测系统与病毒实时更新数据库连接。
判定出现病毒时,此时杀毒检测系统进行对特定的分控系统所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库,该数据库可定期访问互联网的病毒库,并且使得整体系统增加了对病毒的识别能力。
在另外一个实施方案中,如图1和图4所示,中央防御系统与中央总控系统和分控制系统连接,后台人员介入系统与布防联防机制系统连接。
后台人员介入系统是在布防联防机制系统的整体计算机连接布防失效后,由后台人员介入系统的专业技术人员进行人工操作,增加了进一步的保护安全性,避免过于程式化的系统操作应对入侵的失误,整体使用效果好,从多角度多层次的对网络信息安全进行控制。
在另外一个实施方案中,如图1所示,整机数据加密系统与数据恢复还原备份系统连接。
整机数据加密系统将分控制系统上传的数据进行加密备份,并收录在数据恢复还原备份系统内,便于后续病毒操作过于猛烈时可无顾虑的选择进行整机格式化操作。
在另外一个实施方案中,如图1所示,中央总控系统连接有异常溯源系统,异常溯源系统与数据日志存储系统连接。
出现敏感操作异常溯源系统,根据各个数据库和服务器的数据进行对比敏感操作的产生路径,和对不同的编号的计算机等分控制系统进行查询,当便于确定敏感操作的切入点或者根目录,便于后续的记录和安全保护的经验积累。
实施例2:
在实施例1的基础上,如图1-图4所示,一种计算机网络信息安全控制系统的控制方法,具体步骤如下:
S1:首先在整个控制系统使用过程中,该信息安全控制方法是,分控制系统及其附属被设置在所使用的计算机内,而中央控制系统及其附属设置在局域网内服务器的内部,各个计算机分别连接局域内网和外部互联网。
S2:而后当互联网外部技术侵入计算时,首先有防火墙系统建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制系统通数据盘监控系统,对计算机内部的数据存储进行数据监控,产生应急操作。
S3:进而当入侵的继续更加深入时,如采用传统的远程控制计算机的行为,此时键鼠异位操作监控系统监测计算机内部键鼠的操作与硬件反馈是否一致以及针对使用人员正常操作键鼠的频率和次数进行预设操作值,当出现异常时则对中央总控系统进行报告,而后访问程序日志监控系统对计算机内部的程序被启动运行的计算机系统日志进行读取进行异常监测。
S4:其次单个入侵计算机的最后防线,则是通过隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,而后根据秘密文件系统建立秘密文件,如遇到暴力破解或者无中央总控系统的内部许可,文件将会被损坏,最后定点路径监测系统,监测特定的文件存储路径,如果出现不同路径改变则会上报中央总控系统,并且对路径访问及操作的目标进行记录。
S5:接着中央总控系统通过收到的分控制系统的上报信息,并且整机数据加密系统将分控制系统上传的数据进行加密备份,并收录在数据恢复还原备份系统内,而后中央总控系统根据分控制系统上报的敏感信息操作和记录通过异常信息比对数据库进行比对以往数据,或者由技术人员添加的程序特征进行比对。
S6:当判定出现病毒时,此时杀毒检测系统进行对特定的分控系统所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库。
S7:最后后台人员介入系统是在布防联防机制系统的整体计算机连接布防失效后,由后台人员介入系统的专业技术人员进行人工操作。
在另外一个实施方案中,所述S3步骤中建立的算法为,定义两个固定且不同的字符串ipad,opad(‘i′,′o′标志内部与外部):
ipad=the byte 0x36 repeated B times
opad=the byte 0x5C repeated B times.
计算′text′的HMAC:
H(K XOR opad,H(K XOR ipad,text))。
即为以下步骤:1、在密钥K后面添加0来创建一个子长为B的字符串(例如,如果K的字长是20字节,B=60字节,则K后会加入44个零字节0x00);2、将上一步生成的B字长的字符串K与ipad做异或运算;3、将数据流text填充至第二步的结果字符串中;4、用H作用于第三步生成的数据流;5、将第一步生成的B字长字符串与opad做异或运算;6、再将第四步的结果填充进第五步的结果中;7、用H作用于第六步生成的数据流,输出最终结果;8、进行动态截位,生成otp。
以上实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (10)
1.一种计算机网络信息安全控制系统,包括中央总控系统、分控制系统、中控防御系统和加密通讯系统,其特征在于:所述中央总控系统包括紧急断网系统、异常比对数据库、数据日志存储系统、整机数据加密系统、杀毒检测系统、数据恢复还原备份系统、病毒实时更新数据库,所述分控制系统包括键鼠异位操作监控系统、管理员ID监控记录系统、访问程序日志监控系统、定点路径监测系统、隐藏文件系统、秘密文件系统、防火墙系统和数据盘监控系统,所述加密通讯系统包括密码本数据库、加密压缩系统和解析破译系统。
2.根据权利要求1所述的一种计算机网络信息安全控制系统,其特征在于:所述加密通讯系统分别与中央总控系统和分控制系统连接。
3.根据权利要求1所述的一种计算机网络信息安全控制系统,其特征在于:所述中央防御系统包括布防联防机制系统和后台人员介入系统。
4.根据权利要求1所述的一种计算机网络信息安全控制系统,其特征在于:所述定点路径检测系统分别与隐藏文件系统和秘密文件系统连接。
5.根据权利要求1所述的一种计算机网络信息安全控制系统,其特征在于:所述杀毒检测系统与病毒实时更新数据库连接。
6.根据权利要求3所述的一种计算机网络信息安全控制系统,其特征在于:所述中央防御系统与中央总控系统和分控制系统连接,所述后台人员介入系统与布防联防机制系统连接。
7.根据权利要求1所述的一种计算机网络信息安全控制系统,其特征在于:所述整机数据加密系统与数据恢复还原备份系统连接。
8.根据权利要求1所述的一种计算机网络信息安全控制系统,其特征在于:所述中央总控系统连接有异常溯源系统,所述异常溯源系统与数据日志存储系统连接。
9.一种计算机网络信息安全控制系统的控制方法,其特征在于:具体步骤如下:
S1:首先在整个控制系统使用过程中,该信息安全控制方法是,分控制系统及其附属被设置在所使用的计算机内,而中央控制系统及其附属设置在局域网内服务器的内部,各个计算机分别连接局域内网和外部互联网;
S2:而后当互联网外部技术侵入计算时,首先有防火墙系统建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制系统通数据盘监控系统,对计算机内部的数据存储进行数据监控,产生应急操作;
S3:进而当入侵的继续更加深入时,如采用传统的远程控制计算机的行为,此时键鼠异位操作监控系统监测计算机内部键鼠的操作与硬件反馈是否一致以及针对使用人员正常操作键鼠的频率和次数进行预设操作值,当出现异常时则对中央总控系统进行报告,而后访问程序日志监控系统对计算机内部的程序被启动运行的计算机系统日志进行读取进行异常监测;
S4:其次单个入侵计算机的最后防线,则是通过隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,而后根据秘密文件系统建立秘密文件,如遇到暴力破解或者无中央总控系统的内部许可,文件将会被损坏,最后定点路径监测系统,监测特定的文件存储路径,如果出现不同路径改变则会上报中央总控系统,并且对路径访问及操作的目标进行记录;
S5:接着中央总控系统通过收到的分控制系统的上报信息,并且整机数据加密系统将分控制系统上传的数据进行加密备份,并收录在数据恢复还原备份系统内,而后中央总控系统根据分控制系统上报的敏感信息操作和记录通过异常信息比对数据库进行比对以往数据,或者由技术人员添加的程序特征进行比对;
S6:当判定出现病毒时,此时杀毒检测系统进行对特定的分控系统所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库;
S7:最后后台人员介入系统是在布防联防机制系统的整体计算机连接布防失效后,由后台人员介入系统的专业技术人员进行人工操作。
10.根据权利要求9所述的一种计算机网络信息安全控制方法,其特征在于:所述S3步骤中建立的算法为,定义两个固定且不同的字符串ipad,opad(‘i′,′o′标志内部与外部):
ipad=the byte 0x36 repeated B times
opad=the byte 0x5C repeated B times.
计算′text′的HMAC:
H(K XOR opad,H(K XOR ipad,text))。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111390215.5A CN114157462A (zh) | 2021-11-23 | 2021-11-23 | 一种计算机网络信息安全控制系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111390215.5A CN114157462A (zh) | 2021-11-23 | 2021-11-23 | 一种计算机网络信息安全控制系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114157462A true CN114157462A (zh) | 2022-03-08 |
Family
ID=80457295
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111390215.5A Pending CN114157462A (zh) | 2021-11-23 | 2021-11-23 | 一种计算机网络信息安全控制系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114157462A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109934010A (zh) * | 2019-03-15 | 2019-06-25 | 温州职业技术学院 | 一种计算机信息安全储存系统 |
| CN112487383A (zh) * | 2020-11-17 | 2021-03-12 | 重庆第二师范学院 | 一种保证信息安全的计算机系统及其控制方法 |
| CN112651021A (zh) * | 2020-12-23 | 2021-04-13 | 湖南工学院 | 一种基于大数据的信息安全防御系统 |
| CN113395694A (zh) * | 2021-06-23 | 2021-09-14 | 深圳市凯莱特科技股份有限公司 | 基于5g及局域基站的智慧安全防御系统及防御方法 |
-
2021
- 2021-11-23 CN CN202111390215.5A patent/CN114157462A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109934010A (zh) * | 2019-03-15 | 2019-06-25 | 温州职业技术学院 | 一种计算机信息安全储存系统 |
| CN112487383A (zh) * | 2020-11-17 | 2021-03-12 | 重庆第二师范学院 | 一种保证信息安全的计算机系统及其控制方法 |
| CN112651021A (zh) * | 2020-12-23 | 2021-04-13 | 湖南工学院 | 一种基于大数据的信息安全防御系统 |
| CN113395694A (zh) * | 2021-06-23 | 2021-09-14 | 深圳市凯莱特科技股份有限公司 | 基于5g及局域基站的智慧安全防御系统及防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2962432C (en) | Secure high speed data storage, access, recovery, and transmission | |
| JP3807747B2 (ja) | コンピュータ・システムの暗号化データファイルへのアクセスを制御するための方法並びに装置 | |
| CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
| US20080141040A1 (en) | Secure data protection during disasters | |
| WO2009023422A1 (en) | System and method for generating and displaying a keyboard comprising a random layout of keys | |
| JP2004534333A (ja) | コンピュータネットワークにおける分散データ処理に関する統合された保護方法及びシステム | |
| CN104615947B (zh) | 一种可信的数据库完整性保护方法及系统 | |
| Dalai et al. | Neutralizing SQL injection attack using server side code modification in web applications | |
| US11082205B2 (en) | Methods for securing data | |
| Pattewar et al. | Detection of SQL injection using machine learning: a survey | |
| US11847223B2 (en) | Method and system for generating a list of indicators of compromise | |
| CN110071917A (zh) | 用户口令检测方法、设备、装置及存储介质 | |
| Rani et al. | Tampering detection of distributed databases using blockchain technology | |
| US20240031381A1 (en) | Systems and methods for facilitating detection of a security event associated with an iot device | |
| Agbakwuru et al. | SQL Injection Attack on Web Base Application: Vulnerability Assessments and Detection Technique | |
| US11256824B2 (en) | Securing database backups with unique global identifier | |
| US11741248B2 (en) | Data access control using data block level encryption | |
| CN110502888B (zh) | 一种基于可信度量的移动软件白名单机制的移动办公方法 | |
| CN114157462A (zh) | 一种计算机网络信息安全控制系统及方法 | |
| US11176264B2 (en) | Data access control using data block level decryption | |
| Nigam et al. | PCP framework to expose malware in devices | |
| KR102667827B1 (ko) | 데이터 파일들을 보안화하는 시스템 및 방법 | |
| US20230205896A1 (en) | Methods for securing data | |
| TWI829608B (zh) | 用於保護資料檔案之系統及方法 | |
| CN116305071B (zh) | 一种基于人工智能的账号密码安全系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |