CN114499927A - 一种混合云环境下的网络安全处理方法及系统 - Google Patents
一种混合云环境下的网络安全处理方法及系统 Download PDFInfo
- Publication number
- CN114499927A CN114499927A CN202111515305.2A CN202111515305A CN114499927A CN 114499927 A CN114499927 A CN 114499927A CN 202111515305 A CN202111515305 A CN 202111515305A CN 114499927 A CN114499927 A CN 114499927A
- Authority
- CN
- China
- Prior art keywords
- maintenance
- security
- area
- internet
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 13
- 238000012423 maintenance Methods 0.000 claims abstract description 89
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000001514 detection method Methods 0.000 claims abstract description 27
- 238000002955 isolation Methods 0.000 claims abstract description 16
- 238000005206 flow analysis Methods 0.000 claims abstract description 13
- 238000012550 audit Methods 0.000 claims abstract description 9
- 230000000903 blocking effect Effects 0.000 claims abstract description 9
- 239000000523 sample Substances 0.000 claims abstract description 9
- 230000008447 perception Effects 0.000 claims abstract description 4
- 238000007726 management method Methods 0.000 claims description 22
- 238000004458 analytical method Methods 0.000 claims description 19
- 230000004044 response Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 8
- 230000008439 repair process Effects 0.000 claims description 7
- 230000007123 defense Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000008260 defense mechanism Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002787 reinforcement Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种混合云环境下的网络安全处理方法及系统,包括:对系统进行安全区域的划分,确定运维安管区,并在核心交换机上配置访问控制列表,以实现不同安全区域之间的隔离;在核心交换机上配置路由,将来自互联网的流量路由至所述运维安管区的下一代防火墙,以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截;通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审计系统,以基于预设规则进行安全审计,确定非法访问和危险操作,并进行告警和阻断;通过探针将核心交换机的流量全量镜像至态势感知平台,通过全流量分析,检测来自外部的安全威胁和来自内部的横向攻击和非法外联威胁。
Description
技术领域
本发明涉及网络安全技术领域,并且更具体地,涉及一种混合云环境下的网络安全处理方法及系统。
背景技术
随着信息系统部署架构的日趋复杂,兼顾灵活性和安全性、融合了传统IT+公有云的混合云架构被广泛应用。
现有的复杂网络环境带来了各种安全问题,需要制定混合云环境下的网络安全解决方案,以实现构建事前感知、事中防御、事后响应的纵深防御体系。实现在保证安全合规的同时,提升信息系统的安全防御和应急响应能力。
发明内容
本发明提出一种混合云环境下的网络安全处理方法及系统,以解决如何实现混合云环境下的网络安全的问题。
为了解决上述问题,根据本发明的一个方面,提供了一种混合云环境下的网络安全处理方法,所述方法包括:
对系统进行安全区域的划分,确定运维安管区,并在核心交换机上配置访问控制列表,以实现不同安全区域之间的隔离;
在核心交换机上配置路由,将来自互联网的流量路由至所述运维安管区的下一代防火墙,以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截;
通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审计系统,以基于预设规则进行安全审计,确定非法访问和危险操作,并进行告警和阻断;
通过探针将核心交换机的流量全量镜像至态势感知平台,通过全流量分析,检测来自外部的安全威胁和来自内部的横向攻击和非法外联威胁。
优选地,其中所述方法还包括:
在所述运维安全区的所有云主机和物理机上部署端点检测与响应EDR,以通过所述EDR按照预设时间进行漏洞扫描和基线核查,发现并修复安全漏洞;其中,通过运维安管区的管理平台对所述EDR进行集中管控。
优选地,其中所述方法还包括:
通过所述运维安全区的VPN和堡垒机进行运维操作;其中,运维人员登录VPN,通过VPN网络登录堡垒机或管理后台,运维权限精确到每一名运维人员、每一个IP+端口、每一个主机/数据库账户,且所有运维操作全程录像。
优选地,其中所述安全区域还包括:互联网出口区、公有云区、专属云区和物理机区。
优选地,其中所述互联网出口区通过边界防火墙实现互联网访问控制,仅对外开放关键业务端口和VPN入口;所有业务通过负载均衡设备对外提供服务,不允许任何主机映射公网IP;需要外联的主机通过代理服务器访问互联网,代理服务器访问互联网的策略配置为单向可出不可进。
根据本发明的另一个方面,提供了一种混合云环境下的网络安全处理系统,所述系统包括:
安全区域划分单元,用于对系统进行安全区域的划分,确定运维安管区,并在核心交换机上配置访问控制列表,以实现不同安全区域之间的隔离;
应用安全分析单元,用于在核心交换机上配置路由,将来自互联网的流量路由至所述运维安管区的下一代防火墙,以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截;
数据安全分析单元,用于通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审计系统,以基于预设规则进行安全审计,确定非法访问和危险操作,并进行告警和阻断;
全流量分析单元,用于通过探针将核心交换机的流量全量镜像至态势感知平台,通过全流量分析,检测来自外部的安全威胁和来自内部的横向攻击和非法外联威胁。
优选地,其中所述系统还包括:
主机安全分析单元,用于在所述运维安全区的所有云主机和物理机上部署端点检测与响应EDR,以通过所述EDR按照预设时间进行漏洞扫描和基线核查,发现并修复安全漏洞;其中,通过运维安管区的管理平台对所述EDR进行集中管控。
优选地,其中所述系统还包括:
运维安全分析单元,用于通过所述运维安全区的VPN和堡垒机进行运维操作;其中,运维人员登录VPN,通过VPN网络登录堡垒机或管理后台,运维权限精确到每一名运维人员、每一个IP+端口、每一个主机/数据库账户,且所有运维操作全程录像。
优选地,其中所述安全区域还包括:互联网出口区、公有云区、专属云区和物理机区。
优选地,其中所述互联网出口区通过边界防火墙实现互联网访问控制,仅对外开放关键业务端口和VPN入口;所有业务通过负载均衡设备对外提供服务,不允许任何主机映射公网IP;需要外联的主机通过代理服务器访问互联网,代理服务器访问互联网的策略配置为单向可出不可进。
本发明提供了一种混合云环境下的网络安全处理方法及系统,包括:对系统进行安全区域的划分,确定运维安管区,并在核心交换机上配置访问控制列表,以实现不同安全区域之间的隔离;在核心交换机上配置路由,将来自互联网的流量路由至所述运维安管区的下一代防火墙,以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截;通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审计系统,以基于预设规则进行安全审计,确定非法访问和危险操作,并进行告警和阻断;通过探针将核心交换机的流量全量镜像至态势感知平台,通过全流量分析,检测来自外部的安全威胁和来自内部的横向攻击和非法外联威胁。本发明的方法将混合云环境划分为不同安全域,进行隔离防护和统一管理,可实现安全资源的高效利用,形成联动防御机制,避免产生安全孤岛;基于全流量分析的威胁检测可提前识别安全漏洞和隐患,为系统加固提供有效支撑;多角度的异构防御手段可协同互补,在面对安全攻击时发挥最大功效,极大提升了信息系统的安全防御和应急响应能力。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施方式的混合云环境下的网络安全处理方法100的流程图;
图2为根据本发明实施方式的实现混合云环境下的网络安全处理的架构图;
图3为根据本发明实施方式的混合云环境下的网络安全处理系统300的结构示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施方式的混合云环境下的网络安全处理方法100的流程图。如图1所示,本发明实施方式提供的混合云环境下的网络安全处理方法,将混合云环境划分为不同安全域,进行隔离防护和统一管理,可实现安全资源的高效利用,形成联动防御机制,避免产生安全孤岛;基于全流量分析的威胁检测可提前识别安全漏洞和隐患,为系统加固提供有效支撑;多角度的异构防御手段可协同互补,在面对安全攻击时发挥最大功效,极大提升了信息系统的安全防御和应急响应能力。本发明实施方式提供的混合云环境下的网络安全处理方法100,从步骤101处开始,在步骤101对系统进行安全区域的划分,确定运维安管区,并在核心交换机上配置访问控制列表,以实现不同安全区域之间的隔离。
优选地,其中所述安全区域还包括:互联网出口区、公有云区、专属云区和物理机区。
结合图2所示,在本发明的实施方式中,通过虚拟局域(Virtual Local AreaNetwork,VLAN)隔离技术将系统划分为互联网出口区、运维安管区、公有云区、专属云区和物理机区等5个安全域,各安全域之间相互隔离且进行严格的访问控制,并通过运维安管区的安全设备进行统一的安全防护。
各安全域分属不同的vlan,需经由核心交换机互访访问,通过在核心交换机上配置访问控制列表(Access Control List,ACL)实现区域隔离。公有云区的不同租户、专属云区、物理机区的不同业务也分配到不同的vlan,通过核心交换机上的ACL实现租户隔离和业务隔离。
在步骤102,在核心交换机上配置路由,将来自互联网的流量路由至所述运维安管区的下一代防火墙,以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截。
结合图2所示,在本发明的实施方式中,各安全域通过运维安管区进行统一的安全防护,运维安管区包括下一代防火墙、数据库审计、EDR、态势感知、VPN、堡垒机、日志审计等安全设备。
其中,在应用安全方面,在核心交换机配置路由,将所有来自互联网的流量路由至运维安管区的下一代防火墙;通过下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截,发现攻击行为及时进行封堵,有效保障应用安全。
在步骤103,通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审计系统,以基于预设规则进行安全审计,确定非法访问和危险操作,并进行告警和阻断。
在本发明的实施方式中,在数据安全方面,通过终端采集的方式将所有数据库服务器的流量采集至数据库审计系统,利用系统自带规则和自定义规则进行安全审计,发现非法访问和危险操作及时进行告警和阻断,有效保障数据安全。
在步骤104,通过探针将核心交换机的流量全量镜像至态势感知平台,通过全流量分析,检测来自外部的安全威胁和来自内部的横向攻击和非法外联威胁。
在本发明的实施方式中,在全流量分析发明,通过探针将核心交换机的流量全量镜像至态势感知平台,结合内置的威胁情况,进行统一分析,提前发现系统中的脆弱点并提供修复建议。通过全流量分析,不仅可以检测来自外部的安全威胁,还可以发现来自内部的横向攻击和非法外联等威胁。
优选地,其中所述方法还包括:
在所述运维安全区的所有云主机和物理机上部署端点检测与响应EDR,以通过所述EDR按照预设时间进行漏洞扫描和基线核查,发现并修复安全漏洞;其中,通过运维安管区的管理平台对所述EDR进行集中管控。
优选地,其中所述方法还包括:
通过所述运维安全区的VPN和堡垒机进行运维操作;其中,运维人员登录VPN,通过VPN网络登录堡垒机或管理后台,运维权限精确到每一名运维人员、每一个IP+端口、每一个主机/数据库账户,且所有运维操作全程录像。
优选地,其中所述互联网出口区通过边界防火墙实现互联网访问控制,仅对外开放关键业务端口和VPN入口;所有业务通过负载均衡设备对外提供服务,不允许任何主机映射公网IP;需要外联的主机通过代理服务器访问互联网,代理服务器访问互联网的策略配置为单向可出不可进。
在本发明的实施方式中,在主机安全方面,在所有云主机、物理机上部署EDR,并通过运维安管区的管理平台进行集中管控。定期进行漏洞扫描和基线核查,及时发现并修复安全漏洞。同时可对请求到主机的入侵和攻击行为进行检测和拦截,作为最后一道防线,有效保障主机安全。
在运维安全发明,所有运维操作通过VPN和堡垒机进行,运维人员需要先登录VPN,然后通过VPN网络登录堡垒机或管理后台。运维权限精确到每一名运维人员、每一个IP+端口、每一个主机/数据库账户,执行重要操作需单独审批。所有运维操作全程录像,审计记录保留一年以上。
另外,本发的互联网出口区通过边界防火墙实现互联网访问控制,仅对外开放必要的业务端口和VPN入口。所有业务通过负载均衡设备对外提供服务,不允许任何主机映射公网IP。需要外联的主机通过代理服务器访问互联网,代理服务器访问互联网的策略配置为单向可出不可进。公有云区、专属云区、物理机区分别通过单独的边界防火墙进行访问控制,根据具体业务限制开放端口和访问源IP。
本发明的关键在于,在混合云的复杂网络环境下,通过vlan隔离技术实现不同安全域的划分、隔离和访问控制。所有区域通过运维安管区的安全设备进行统一、集中的安全防护和管理。能够从网络、主机、应用、数据、运维等各个层面逐层加固,不同厂商、不同类型的安全设备相互补充,构建事前感知、事中防御、事后响应的多维纵深防御体系。
效果在于,在混合云的复杂网络环境下,对不同租户、不同业务进行网络隔离,最大程度地减小了网络入侵和横向攻击事件的影响范围。统一、集中的安全防护和管理,可实现安全资源的高效利用,形成联动防御机制,避免产生安全孤岛。
基于全流量分析的威胁检测可提前识别安全漏洞和隐患,为系统加固提供有效支撑;多角度的异构防御手段可协同互补,在面对安全攻击时发挥最大功效。
图3为根据本发明实施方式的混合云环境下的网络安全处理系统300的结构示意图。如图3所示,本发明实施方式提供的混合云环境下的网络安全处理系统300,包括:安全区域划分单元301、应用安全分析单元302、数据安全分析单元303和全流量分析单元304。
优选地,所述安全区域划分单元301,用于对系统进行安全区域的划分,确定运维安管区,并在核心交换机上配置访问控制列表,以实现不同安全区域之间的隔离。
优选地,所述应用安全分析单元302,用于在核心交换机上配置路由,将来自互联网的流量路由至所述运维安管区的下一代防火墙,以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截。
优选地,所述数据安全分析单元303,用于通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审计系统,以基于预设规则进行安全审计,确定非法访问和危险操作,并进行告警和阻断。
优选地,所述全流量分析单元304,用于通过探针将核心交换机的流量全量镜像至态势感知平台,通过全流量分析,检测来自外部的安全威胁和来自内部的横向攻击和非法外联威胁。
优选地,其中所述系统还包括:
主机安全分析单元,用于在所述运维安全区的所有云主机和物理机上部署端点检测与响应EDR,以通过所述EDR按照预设时间进行漏洞扫描和基线核查,发现并修复安全漏洞;其中,通过运维安管区的管理平台对所述EDR进行集中管控。
优选地,其中所述系统还包括:
运维安全分析单元,用于通过所述运维安全区的VPN和堡垒机进行运维操作;其中,运维人员登录VPN,通过VPN网络登录堡垒机或管理后台,运维权限精确到每一名运维人员、每一个IP+端口、每一个主机/数据库账户,且所有运维操作全程录像。
优选地,其中所述安全区域还包括:互联网出口区、公有云区、专属云区和物理机区。
优选地,其中所述互联网出口区通过边界防火墙实现互联网访问控制,仅对外开放关键业务端口和VPN入口;所有业务通过负载均衡设备对外提供服务,不允许任何主机映射公网IP;需要外联的主机通过代理服务器访问互联网,代理服务器访问互联网的策略配置为单向可出不可进。
本发明的实施例的合云环境下的网络安全处理系统300与本发明的另一个实施例的合云环境下的网络安全处理方法100相对应,在此不再赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.一种混合云环境下的网络安全处理方法,其特征在于,所述方法包括:
对系统进行安全区域的划分,确定运维安管区,并在核心交换机上配置访问控制列表,以实现不同安全区域之间的隔离;
在核心交换机上配置路由,将来自互联网的流量路由至所述运维安管区的下一代防火墙,以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截;
通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审计系统,以基于预设规则进行安全审计,确定非法访问和危险操作,并进行告警和阻断;
通过探针将核心交换机的流量全量镜像至态势感知平台,通过全流量分析,检测来自外部的安全威胁和来自内部的横向攻击和非法外联威胁。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述运维安全区的所有云主机和物理机上部署端点检测与响应EDR,以通过所述EDR按照预设时间进行漏洞扫描和基线核查,发现并修复安全漏洞;其中,通过运维安管区的管理平台对所述EDR进行集中管控。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过所述运维安全区的VPN和堡垒机进行运维操作;其中,运维人员登录VPN,通过VPN网络登录堡垒机或管理后台,运维权限精确到每一名运维人员、每一个IP+端口、每一个主机/数据库账户,且所有运维操作全程录像。
4.根据权利要求1所述的方法,其特征在于,所述安全区域还包括:互联网出口区、公有云区、专属云区和物理机区。
5.根据权利要求4所述的方法,其特征在于,所述互联网出口区通过边界防火墙实现互联网访问控制,仅对外开放关键业务端口和VPN入口;所有业务通过负载均衡设备对外提供服务,不允许任何主机映射公网IP;需要外联的主机通过代理服务器访问互联网,代理服务器访问互联网的策略配置为单向可出不可进。
6.一种混合云环境下的网络安全处理系统,其特征在于,所述系统包括:
安全区域划分单元,用于对系统进行安全区域的划分,确定运维安管区,并在核心交换机上配置访问控制列表,以实现不同安全区域之间的隔离;
应用安全分析单元,用于在核心交换机上配置路由,将来自互联网的流量路由至所述运维安管区的下一代防火墙,以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检测和拦截;
数据安全分析单元,用于通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审计系统,以基于预设规则进行安全审计,确定非法访问和危险操作,并进行告警和阻断;
全流量分析单元,用于通过探针将核心交换机的流量全量镜像至态势感知平台,通过全流量分析,检测来自外部的安全威胁和来自内部的横向攻击和非法外联威胁。
7.根据权利要求6所述的系统,其特征在于,所述系统还包括:
主机安全分析单元,用于在所述运维安全区的所有云主机和物理机上部署端点检测与响应EDR,以通过所述EDR按照预设时间进行漏洞扫描和基线核查,发现并修复安全漏洞;其中,通过运维安管区的管理平台对所述EDR进行集中管控。
8.根据权利要求6所述的系统,其特征在于,所述系统还包括:
运维安全分析单元,用于通过所述运维安全区的VPN和堡垒机进行运维操作;其中,运维人员登录VPN,通过VPN网络登录堡垒机或管理后台,运维权限精确到每一名运维人员、每一个IP+端口、每一个主机/数据库账户,且所有运维操作全程录像。
9.根据权利要求6所述的系统,其特征在于,所述安全区域还包括:互联网出口区、公有云区、专属云区和物理机区。
10.根据权利要求9所述的系统,其特征在于,所述互联网出口区通过边界防火墙实现互联网访问控制,仅对外开放关键业务端口和VPN入口;所有业务通过负载均衡设备对外提供服务,不允许任何主机映射公网IP;需要外联的主机通过代理服务器访问互联网,代理服务器访问互联网的策略配置为单向可出不可进。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111515305.2A CN114499927A (zh) | 2021-12-13 | 2021-12-13 | 一种混合云环境下的网络安全处理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111515305.2A CN114499927A (zh) | 2021-12-13 | 2021-12-13 | 一种混合云环境下的网络安全处理方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114499927A true CN114499927A (zh) | 2022-05-13 |
Family
ID=81492347
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111515305.2A Pending CN114499927A (zh) | 2021-12-13 | 2021-12-13 | 一种混合云环境下的网络安全处理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114499927A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900371A (zh) * | 2022-06-27 | 2022-08-12 | 镇江港务集团有限公司 | 一种具有提示功能的网络安全检测装置及提示方法 |
CN116566747A (zh) * | 2023-07-11 | 2023-08-08 | 华能信息技术有限公司 | 基于工业互联网的安全防护方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030204632A1 (en) * | 2002-04-30 | 2003-10-30 | Tippingpoint Technologies, Inc. | Network security system integration |
CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
CN113645213A (zh) * | 2021-08-03 | 2021-11-12 | 南方电网国际有限责任公司 | 一种基于vpn技术的多终端网络管理监控系统 |
-
2021
- 2021-12-13 CN CN202111515305.2A patent/CN114499927A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030204632A1 (en) * | 2002-04-30 | 2003-10-30 | Tippingpoint Technologies, Inc. | Network security system integration |
CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
CN113645213A (zh) * | 2021-08-03 | 2021-11-12 | 南方电网国际有限责任公司 | 一种基于vpn技术的多终端网络管理监控系统 |
Non-Patent Citations (2)
Title |
---|
曾辛等: "利用态势感知技术加强网络信息安全平台建设", 信息安全, 15 February 2020 (2020-02-15), pages 60 - 63 * |
莫禹钧等: "基于网络安全态势感知的主动防御系统设计与实现", 医学信息学杂志, 25 March 2020 (2020-03-25), pages 61 - 63 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900371A (zh) * | 2022-06-27 | 2022-08-12 | 镇江港务集团有限公司 | 一种具有提示功能的网络安全检测装置及提示方法 |
CN116566747A (zh) * | 2023-07-11 | 2023-08-08 | 华能信息技术有限公司 | 基于工业互联网的安全防护方法及装置 |
CN116566747B (zh) * | 2023-07-11 | 2023-10-31 | 华能信息技术有限公司 | 基于工业互联网的安全防护方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104144063B (zh) | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 | |
CN104023034B (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
CN109347814A (zh) | 一种基于Kubernetes构建的容器云安全防护方法与系统 | |
CN104104679B (zh) | 一种基于私有云的数据处理方法 | |
US7904454B2 (en) | Database access security | |
CN114499927A (zh) | 一种混合云环境下的网络安全处理方法及系统 | |
CN100486180C (zh) | 一种基于ieee 802.1x协议的局域网安全管理方法 | |
CN112398844A (zh) | 基于内外网实时引流数据的流量分析实现方法 | |
Achbarou et al. | Securing cloud computing from different attacks using intrusion detection systems | |
CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
Ruffy et al. | A STRIDE-based security architecture for software-defined networking | |
KR100466798B1 (ko) | 내·외부망 통합 보안 시스템 및 방법 | |
CN116566747B (zh) | 基于工业互联网的安全防护方法及装置 | |
CN108418697A (zh) | 一种智能化的安全运维服务云平台的实现架构 | |
Çalışkan et al. | Benefits of the virtualization technologies with intrusion detection and prevention systems | |
CN112839031A (zh) | 一种工业控制网络安全防护系统及方法 | |
Vokorokos et al. | Network security on the intrusion detection system level | |
CN116707980A (zh) | 一种基于零信任的免疫安全防御方法 | |
Sourour et al. | Ensuring security in depth based on heterogeneous network security technologies | |
Lai et al. | Network security improvement with isolation implementation based on ISO-17799 standard | |
CN201742439U (zh) | 一种基于防火墙与ips的网络装置 | |
CN115622808B (zh) | 安全隔离的方法、电子设备、计算机可读介质 | |
KR20100103126A (ko) | 클러스터링 기법을 이용한 통합보안관리시스템 | |
Barika et al. | MA_IDS: mobile agents for intrusion detection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |