CN114520734B - 一种基于双向传输的网络数据安全管控方法及系统 - Google Patents
一种基于双向传输的网络数据安全管控方法及系统 Download PDFInfo
- Publication number
- CN114520734B CN114520734B CN202111662698.XA CN202111662698A CN114520734B CN 114520734 B CN114520734 B CN 114520734B CN 202111662698 A CN202111662698 A CN 202111662698A CN 114520734 B CN114520734 B CN 114520734B
- Authority
- CN
- China
- Prior art keywords
- security
- data
- identifier
- equipment
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000005540 biological transmission Effects 0.000 title claims abstract description 28
- 230000002457 bidirectional effect Effects 0.000 title claims abstract description 24
- 238000012360 testing method Methods 0.000 claims abstract description 38
- 238000012546 transfer Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 abstract description 27
- 238000013523 data management Methods 0.000 abstract description 2
- 230000003993 interaction Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 5
- 206010063385 Intellectualisation Diseases 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000004575 stone Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明适用于数据管控技术领域,提供了一种基于双向传输的网络数据安全管控方法及系统,所述方法包括以下步骤:对连接测试通过的设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID;基于所述安全标识为设备绑定安全策略;当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问。本发明通过对设备进行安全标识和对数据进行数据标识,为设备绑定安全策略,保证了接入设备的安全性,同时便于对数据进行操控和追溯,保证了数据的安全性。
Description
技术领域
本发明涉及数据管控技术领域,具体是涉及一种基于双向传输的网络数据安全管控方法及系统。
背景技术
工业互联网是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径,是第四次工业革命的重要基石。随着工业互联网的不断深化与应用,工厂和企业中越来越多的设备可以接入网络,这样方便对工业设备进行监测、管理以及维护,但是,工业设备产生的数据的流转范围也越来越广,容易造成数据泄漏,造成安全隐患。因此,需要提供一种基于双向传输的网络数据安全管控方法及系统,旨在解决上述问题。
发明内容
针对现有技术存在的不足,本发明的目的在于提供一种基于双向传输的网络数据安全管控方法及系统,以解决上述背景技术中存在的问题。
本发明是这样实现的,一种基于双向传输的网络数据安全管控方法,所述方法包括以下步骤:
对连接测试通过的设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID;
基于所述安全标识为设备绑定安全策略;
当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问。
作为本发明进一步的方案:所述对连接验证通过的设备添加安全标识的步骤,具体包括:
对接入设备进行连接测试;
根据测试结果自动为所述设备添加安全标识,所述安全标识包括一级安全标识、二级安全标识以及三级安全标识。
作为本发明进一步的方案:所述基于所述安全标识为设备绑定安全策略的步骤,具体包括:
建立安全策略库,所述安全策略库中包括一级安全策略、二级安全策略和安全策略;
根据安全标识的级别自动为设备绑定对应级别的安全策略,所述一级安全标识与一级安全策略相对应,二级安全标识与二级安全策略相对应,三级安全标识与三级安全策略相对应。
作为本发明进一步的方案:所述针对不同安全标识的设备对不同数据标识的操作权限进行设定的步骤,还包括:
对数据的流转范围进行限定,当数据标识中包含一级安全标识,所述数据仅能够在一级安全标识的设备间流转;当数据标识中包含二级安全标识,所述数据能够在一级安全标识和二级安全标识的设备间流转;当数据标识中包含三级安全标识,所述数据能够在所有连接测试通过的设备件流转;
当数据标识中包含低级别安全标识,而数据需要流转至高级别安全标识的设备时,建立专用安全协议隧道,数据必须通过专用安全协议隧道方可流转至高级别安全标识的设备。
作为本发明进一步的方案:所述方法还包括对设备运行进行管理,所述对设备运行进行管理的步骤具体为:
检测到设备登录成功,将设备的连接信息、设备身份属性信息、登录用户名、登录口令和登录用户角色记录到设备在线信息中;
定期向安全中台发送心跳信号,安全中台根据接收的心跳信号通过统一界面向安全管理员显示设备的登录状态信息,如安全中台接收不到心跳信号且未接收到设备的退出状态信息,则将该设备显示为问题状态;
检测到设备退出登录,向安全中台发送退出信息,安全中台接收后通过统一界面向安全管理员显示设备的退出信息。
本发明的另一目的在于提供一种基于双向传输的网络数据安全管控系统,所述系统包括:
安全标识添加模块,用于对连接测试通过的设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID;
安全策略绑定模块,基于所述安全标识为设备绑定安全策略;
数据标识模块,当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问。
作为本发明进一步的方案:所述安全标识添加模块包括:
连接测试单元,用于对接入设备进行连接测试;
安全标识添加单元,用于根据测试结果自动为所述设备添加安全标识,所述安全标识包括一级安全标识、二级安全标识以及三级安全标识。
作为本发明进一步的方案:所述安全策略绑定模块包括:
安全策略库,所述安全策略库中包括一级安全策略、二级安全策略和安全策略;
安全策略绑定单元,用于根据安全标识的级别自动为设备绑定对应级别的安全策略,所述一级安全标识与一级安全策略相对应,二级安全标识与二级安全策略相对应,三级安全标识与三级安全策略相对应。
作为本发明进一步的方案:所述数据标识模块包括:
流转范围限定单元,用于对数据的流转范围进行限定,当数据标识中包含一级安全标识,所述数据仅能够在一级安全标识的设备间流转;当数据标识中包含二级安全标识,所述数据能够在一级安全标识和二级安全标识的设备间流转;当数据标识中包含三级安全标识,所述数据能够在所有连接测试通过的设备件流转;
安全协议隧道单元,当数据标识中包含低级别安全标识,而数据需要流转至高级别安全标识的设备时,建立专用安全协议隧道,数据必须通过专用安全协议隧道方可流转至高级别安全标识的设备。
作为本发明进一步的方案:所述系统还包括设备运行管理模块,设备运行管理模块包括:
设备登录单元,检测到设备登录成功,将设备的连接信息、设备身份属性信息、登录用户名、登录口令和登录用户角色记录到设备在线信息中;
心跳信号发送单元,用于定期向安全中台发送心跳信号,安全中台根据接收的心跳信号通过统一界面向安全管理员显示设备的登录状态信息,如安全中台接收不到心跳信号且未接收到设备的退出状态信息,则将该设备显示为问题状态;以及
设备退出单元,检测到设备退出登录,向安全中台发送退出信息,安全中台接收后通过统一界面向安全管理员显示设备的退出信息。
与现有技术相比,本发明的有益效果是:
本发明通过对设备进行安全标识和对数据进行数据标识,为设备绑定安全策略,保证了接入设备的安全性;将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问,同时便于对数据进行操控和追溯,保证了数据的安全性。
附图说明
图1为一种基于双向传输的网络数据安全管控方法的流程图。
图2为一种基于双向传输的网络数据安全管控方法中对连接验证通过的设备添加安全标识的流程图。
图3为一种基于双向传输的网络数据安全管控方法中基于所述安全标识为设备绑定安全策略的流程图。
图4为一种基于双向传输的网络数据安全管控方法中对数据的流转范围进行限定的流程图。
图5为一种基于双向传输的网络数据安全管控方法中对设备运行进行管理的流程图。
图6为一种基于双向传输的网络数据安全管控系统的结构示意图。
图7为一种基于双向传输的网络数据安全管控系统中安全标识添加模块的结构示意图。
图8为一种基于双向传输的网络数据安全管控系统中安全策略绑定模块的结构示意图。
图9为一种基于双向传输的网络数据安全管控系统中数据标识模块的结构示意图。
图10为一种基于双向传输的网络数据安全管控系统中设备运行管理模块的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清晰,以下结合附图及具体实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下结合具体实施例对本发明的具体实现进行详细描述。
如图1所示,本发明实施例提供了一种基于双向传输的网络数据安全管控方法,所述方法包括以下步骤:
S100,对连接测试通过的设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID;
S200,基于所述安全标识为设备绑定安全策略;
S300,当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问。
需要说明的是,工业互联网是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径,是第四次工业革命的重要基石。随着工业互联网的不断深化与应用,工厂和企业中越来越多的设备可以接入网络,这样方便对工业设备进行监测、管理以及维护,但是,工业设备产生的数据的流转范围也越来越广,容易造成数据泄漏,造成安全隐患,因此需要加强对数据的安全管控,本发明实施例旨在解决这个问题。
本发明实施例中,当一台工业设备需要接入工业互联网时,所述工业互联网可以是局域网,需要对工业设备进行连接测试,连接测试通过后自动为设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID,安全中台将基于所述安全标识为设备绑定安全策略,并将安全标识信息提交密钥管理系统申请密钥并启动安全策略的执行;当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问,需要说明的是,数据标识是数据的身份数据,具有不可篡改、可认证、可追溯等特性,必须由经过认证的、经过授权的设备根据统一标识管理策略对数据进行标识,数据标识同时依托数据系统的日志和审计功能实时记录设备对资源的访问操作,保证数据的安全性。本发明通过对设备进行安全标识和对数据进行数据标识,为设备绑定安全策略,保证了接入设备的安全性,同时便于对数据进行操控和追溯,保证了数据的安全性。
如图2和图3所示,作为本发明一个优选的实施例,所述对连接验证通过的设备添加安全标识的步骤,具体包括:
S101,对接入设备进行连接测试;
S102,根据测试结果自动为所述设备添加安全标识,所述安全标识包括一级安全标识、二级安全标识以及三级安全标识。
所述基于所述安全标识为设备绑定安全策略的步骤,具体包括:
S201,建立安全策略库,所述安全策略库中包括一级安全策略、二级安全策略和安全策略,具体安全策略是制定后上传得到的;
S202,根据安全标识的级别自动为设备绑定对应级别的安全策略,所述一级安全标识与一级安全策略相对应,二级安全标识与二级安全策略相对应,三级安全标识与三级安全策略相对应。
本发明实施例中,对接入设备进行连接测试后,能够得知设备的基本情况,当设备连接方式单一,只与少量工业设备进行数据交互,所述少量的界限可以根据需求自行设定,则所述设备的可控性较高,数据的流转范围较窄,为所述设备添加一级安全标识;当设备与较多的工业设备进行数据交互,数据的流转范围相对较广,但是这些交互都是在工厂的局域网范围内进行,数据不会流到外界,为所述设备添加二级安全标识;当设备与较多的设备进行数据交互,这些设备不仅包括工业设备还包括其它终端,数据的流转范围很广,数据交互不仅仅在工厂的局域网范围内进行,数据会流到外界,为所述设备添加三级安全标识;最后根据安全标识的级别自动为设备绑定对应级别的安全策略,所述一级安全标识与一级安全策略相对应,二级安全标识与二级安全策略相对应,三级安全标识与三级安全策略相对应,容易理解,三级安全策略的安全防护手段最高,一级安全策略的安全防护手段最低。
如图4所示,作为本发明一个优选的实施例,所述针对不同安全标识的设备对不同数据标识的操作权限进行设定的步骤,还包括:
S301,对数据的流转范围进行限定,当数据标识中包含一级安全标识,所述数据仅能够在一级安全标识的设备间流转;当数据标识中包含二级安全标识,所述数据能够在一级安全标识和二级安全标识的设备间流转;当数据标识中包含三级安全标识,所述数据能够在所有连接测试通过的设备件流转;
S302,当数据标识中包含低级别安全标识,而数据需要流转至高级别安全标识的设备时,建立专用安全协议隧道,数据必须通过专用安全协议隧道方可流转至高级别安全标识的设备。
本发明实施例中,通过对数据的流转范围进行限定,使得数据更加可控,避免数据发生泄密,当数据标识中包含一级安全标识,说明数据是由一级安全标识的设备生成的,此时,数据仅能够在一级安全标识的设备间流转;当数据标识中包含二级安全标识,所述数据能够在一级安全标识和二级安全标识的设备间流转;当数据标识中包含三级安全标识,所述数据能够在所有连接测试通过的设备件流转,容易理解,三级安全标识的设备本身就能够与多方设备进行交互,因此,三级安全标识的设备产生的数据能够在所有连接测试通过的设备件流转,保证了工业数据传输的高效性;另外,当数据标识中包含低级别安全标识,而数据需要流转至高级别安全标识的设备时,例如一级安全标识的设备生成数据需要流转到二级安全标识的设备时,由于二级安全标识的设备能够进行交互的设备相对更多,容易造成数据泄漏,因此,需要建立专用安全协议隧道,数据必须通过专用安全协议隧道方可流转至高级别安全标识的设备,安全协议隧道能够对流经的数据自动进行加密,这样既能够保证数据正常传输,又能够保证数据的安全性。
如图5所示,作为本发明一个优选的实施例,所述方法还包括对设备运行进行管理,所述对设备运行进行管理的步骤具体为:
S401,检测到设备登录成功,将设备的连接信息、设备身份属性信息、登录用户名、登录口令和登录用户角色记录到设备在线信息中;
S402,定期向安全中台发送心跳信号,安全中台根据接收的心跳信号通过统一界面向安全管理员显示设备的登录状态信息,如安全中台接收不到心跳信号且未接收到设备的退出状态信息,则将该设备显示为问题状态,已提醒相关工作人员及时进行设备检修维护;
S403,检测到设备退出登录,向安全中台发送退出信息,安全中台接收后通过统一界面向安全管理员显示设备的退出信息,退出信息包括工作时长、退出时间等。
如图6所示,本发明实施例还提供了一种基于双向传输的网络数据安全管控系统,所述系统包括:
安全标识添加模块100,用于对连接测试通过的设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID;
安全策略绑定模块200,基于所述安全标识为设备绑定安全策略;
数据标识模块300,当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问。
本发明实施例中,当一台工业设备需要接入工业互联网时,所述工业互联网可以是局域网,需要对工业设备进行连接测试,连接测试通过后自动为设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID,安全中台将基于所述安全标识为设备绑定安全策略,并将安全标识信息提交密钥管理系统申请密钥并启动安全策略的执行;当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问,需要说明的是,数据标识是数据的身份数据,具有不可篡改、可认证、可追溯等特性,必须由经过认证的、经过授权的设备根据统一标识管理策略对数据进行标识,数据标识同时依托数据系统的日志和审计功能实时记录设备对资源的访问操作,保证数据的安全性。本发明通过对设备进行安全标识和对数据进行数据标识,为设备绑定安全策略,保证了接入设备的安全性,同时便于对数据进行操控和追溯,保证了数据的安全性。
如图7和图8所示,作为本发明一个优选的实施例,所述安全标识添加模块100包括:
连接测试单元101,用于对接入设备进行连接测试;
安全标识添加单元102,用于根据测试结果自动为所述设备添加安全标识,所述安全标识包括一级安全标识、二级安全标识以及三级安全标识。
所述安全策略绑定模块200包括:
安全策略库201,所述安全策略库中包括一级安全策略、二级安全策略和安全策略;
安全策略绑定单元202,用于根据安全标识的级别自动为设备绑定对应级别的安全策略,所述一级安全标识与一级安全策略相对应,二级安全标识与二级安全策略相对应,三级安全标识与三级安全策略相对应。
本发明实施例中,对接入设备进行连接测试后,能够得知设备的基本情况,当设备连接方式单一,只与少量工业设备进行数据交互,所述少量的界限可以根据需求自行设定,则所述设备的可控性较高,数据的流转范围较窄,为所述设备添加一级安全标识;当设备与较多的工业设备进行数据交互,数据的流转范围相对较广,但是这些交互都是在工厂的局域网范围内进行,数据不会流到外界,为所述设备添加二级安全标识;当设备与较多的设备进行数据交互,这些设备不仅包括工业设备还包括其它终端,数据的流转范围很广,数据交互不仅仅在工厂的局域网范围内进行,数据会流到外界,为所述设备添加三级安全标识;最后根据安全标识的级别自动为设备绑定对应级别的安全策略,所述一级安全标识与一级安全策略相对应,二级安全标识与二级安全策略相对应,三级安全标识与三级安全策略相对应,容易理解,三级安全策略的安全防护手段最高,一级安全策略的安全防护手段最低。
如图9所示,作为本发明一个优选的实施例,所述数据标识模块300包括:
流转范围限定单元301,用于对数据的流转范围进行限定,当数据标识中包含一级安全标识,所述数据仅能够在一级安全标识的设备间流转;当数据标识中包含二级安全标识,所述数据能够在一级安全标识和二级安全标识的设备间流转;当数据标识中包含三级安全标识,所述数据能够在所有连接测试通过的设备件流转;
安全协议隧道单元302,当数据标识中包含低级别安全标识,而数据需要流转至高级别安全标识的设备时,建立专用安全协议隧道,数据必须通过专用安全协议隧道方可流转至高级别安全标识的设备。
本发明实施例中,通过对数据的流转范围进行限定,使得数据更加可控,避免数据发生泄密,当数据标识中包含一级安全标识,说明数据是由一级安全标识的设备生成的,此时,数据仅能够在一级安全标识的设备间流转;当数据标识中包含二级安全标识,所述数据能够在一级安全标识和二级安全标识的设备间流转;当数据标识中包含三级安全标识,所述数据能够在所有连接测试通过的设备件流转,容易理解,三级安全标识的设备本身就能够与多方设备进行交互,因此,三级安全标识的设备产生的数据能够在所有连接测试通过的设备件流转,保证了工业数据传输的高效性;另外,当数据标识中包含低级别安全标识,而数据需要流转至高级别安全标识的设备时,例如一级安全标识的设备生成数据需要流转到二级安全标识的设备时,由于二级安全标识的设备能够进行交互的设备相对更多,容易造成数据泄漏,因此,需要建立专用安全协议隧道,数据必须通过专用安全协议隧道方可流转至高级别安全标识的设备,安全协议隧道能够对流经的数据自动进行加密,这样既能够保证数据正常传输,又能够保证数据的安全性。
如图10所示,作为本发明一个优选的实施例,所述系统还包括设备运行管理模块400,设备运行管理模块400包括:
设备登录单元401,检测到设备登录成功,将设备的连接信息、设备身份属性信息、登录用户名、登录口令和登录用户角色记录到设备在线信息中;
心跳信号发送单元402,用于定期向安全中台发送心跳信号,安全中台根据接收的心跳信号通过统一界面向安全管理员显示设备的登录状态信息,如安全中台接收不到心跳信号且未接收到设备的退出状态信息,则将该设备显示为问题状态;以及
设备退出单元403,检测到设备退出登录,向安全中台发送退出信息,安全中台接收后通过统一界面向安全管理员显示设备的退出信息。
以上仅对本发明的较佳实施例进行了详细叙述,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
本领域技术人员在考虑说明书及实施例处的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
Claims (4)
1.一种基于双向传输的网络数据安全管控方法,其特征在于,所述方法包括以下步骤:
对连接测试通过的设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID;
基于所述安全标识为设备绑定安全策略;
当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问;
所述对连接验证通过的设备添加安全标识的步骤,具体包括:
对接入设备进行连接测试;
根据测试结果自动为所述设备添加安全标识,所述安全标识包括一级安全标识、二级安全标识以及三级安全标识;
所述基于所述安全标识为设备绑定安全策略的步骤,具体包括:
建立安全策略库,所述安全策略库中包括一级安全策略、二级安全策略和安全策略;
根据安全标识的级别自动为设备绑定对应级别的安全策略,所述一级安全标识与一级安全策略相对应,二级安全标识与二级安全策略相对应,三级安全标识与三级安全策略相对应;
所述针对不同安全标识的设备对不同数据标识的操作权限进行设定的步骤,还包括:
对数据的流转范围进行限定,当数据标识中包含一级安全标识,所述数据仅能够在一级安全标识的设备间流转;当数据标识中包含二级安全标识,所述数据能够在一级安全标识和二级安全标识的设备间流转;当数据标识中包含三级安全标识,所述数据能够在所有连接测试通过的设备件流转;
当数据标识中包含低级别安全标识,而数据需要流转至高级别安全标识的设备时,建立专用安全协议隧道,数据必须通过专用安全协议隧道方可流转至高级别安全标识的设备。
2.根据权利要求1所述一种基于双向传输的网络数据安全管控方法,其特征在于,所述方法还包括对设备运行进行管理,所述对设备运行进行管理的步骤具体为:
检测到设备登录成功,将设备的连接信息、设备身份属性信息、登录用户名、登录口令和登录用户角色记录到设备在线信息中;
定期向安全中台发送心跳信号,安全中台根据接收的心跳信号通过统一界面向安全管理员显示设备的登录状态信息,如安全中台接收不到心跳信号且未接收到设备的退出状态信息,则将该设备显示为问题状态;
检测到设备退出登录,向安全中台发送退出信息,安全中台接收后通过统一界面向安全管理员显示设备的退出信息。
3.一种基于双向传输的网络数据安全管控系统,其特征在于,所述系统包括:
安全标识添加模块,用于对连接测试通过的设备添加安全标识,所述安全标识一旦添加,将作为所述设备在整个网络中的唯一合法ID;
安全策略绑定模块,基于所述安全标识为设备绑定安全策略;
数据标识模块,当设备生成数据时,为每个数据颁发唯一的数据标识,将数据标识和安全标识进行绑定,数据标识中包括安全标识信息,针对不同安全标识的设备对不同数据标识的操作权限进行设定,以控制设备对数据资源的访问;
所述安全标识添加模块包括:
连接测试单元,用于对接入设备进行连接测试;
安全标识添加单元,用于根据测试结果自动为所述设备添加安全标识,所述安全标识包括一级安全标识、二级安全标识以及三级安全标识;
其特征在于,所述安全策略绑定模块包括:
安全策略库,所述安全策略库中包括一级安全策略、二级安全策略和安全策略;
安全策略绑定单元,用于根据安全标识的级别自动为设备绑定对应级别的安全策略,所述一级安全标识与一级安全策略相对应,二级安全标识与二级安全策略相对应,三级安全标识与三级安全策略相对应;
所述数据标识模块包括:
流转范围限定单元,用于对数据的流转范围进行限定,当数据标识中包含一级安全标识,所述数据仅能够在一级安全标识的设备间流转;当数据标识中包含二级安全标识,所述数据能够在一级安全标识和二级安全标识的设备间流转;当数据标识中包含三级安全标识,所述数据能够在所有连接测试通过的设备件流转;
安全协议隧道单元,当数据标识中包含低级别安全标识,而数据需要流转至高级别安全标识的设备时,建立专用安全协议隧道,数据必须通过专用安全协议隧道方可流转至高级别安全标识的设备。
4.根据权利要求3所述一种基于双向传输的网络数据安全管控系统,其特征在于,所述系统还包括设备运行管理模块,设备运行管理模块包括:
设备登录单元,检测到设备登录成功,将设备的连接信息、设备身份属性信息、登录用户名、登录口令和登录用户角色记录到设备在线信息中;
心跳信号发送单元,用于定期向安全中台发送心跳信号,安全中台根据接收的心跳信号通过统一界面向安全管理员显示设备的登录状态信息,如安全中台接收不到心跳信号且未接收到设备的退出状态信息,则将该设备显示为问题状态;以及
设备退出单元,检测到设备退出登录,向安全中台发送退出信息,安全中台接收后通过统一界面向安全管理员显示设备的退出信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111662698.XA CN114520734B (zh) | 2021-12-31 | 2021-12-31 | 一种基于双向传输的网络数据安全管控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111662698.XA CN114520734B (zh) | 2021-12-31 | 2021-12-31 | 一种基于双向传输的网络数据安全管控方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114520734A CN114520734A (zh) | 2022-05-20 |
CN114520734B true CN114520734B (zh) | 2024-01-26 |
Family
ID=81596107
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111662698.XA Active CN114520734B (zh) | 2021-12-31 | 2021-12-31 | 一种基于双向传输的网络数据安全管控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114520734B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115587233B (zh) * | 2022-10-11 | 2023-06-23 | 华能信息技术有限公司 | 一种数据标识及目录管理方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104918248A (zh) * | 2015-04-16 | 2015-09-16 | 深圳市高星文网络科技有限公司 | 应用流量管理、应用加速和安全的企业移动安全网关方法 |
WO2017036003A1 (zh) * | 2015-09-01 | 2017-03-09 | 中国互联网络信息中心 | 一种可信网络身份管理和验证系统和方法 |
US10097560B1 (en) * | 2016-03-08 | 2018-10-09 | Symantec Corporation | Systems and methods for automatically adjusting user access permissions based on beacon proximity |
CN111600845A (zh) * | 2020-04-21 | 2020-08-28 | 上海上实龙创智慧能源科技股份有限公司 | 一种物联网数据访问控制方法及系统 |
CN111738702A (zh) * | 2020-08-21 | 2020-10-02 | 北京志翔科技股份有限公司 | 数据流转方法、装置、计算机设备和存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170063927A1 (en) * | 2015-08-28 | 2017-03-02 | Microsoft Technology Licensing, Llc | User-Aware Datacenter Security Policies |
-
2021
- 2021-12-31 CN CN202111662698.XA patent/CN114520734B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104918248A (zh) * | 2015-04-16 | 2015-09-16 | 深圳市高星文网络科技有限公司 | 应用流量管理、应用加速和安全的企业移动安全网关方法 |
WO2017036003A1 (zh) * | 2015-09-01 | 2017-03-09 | 中国互联网络信息中心 | 一种可信网络身份管理和验证系统和方法 |
US10097560B1 (en) * | 2016-03-08 | 2018-10-09 | Symantec Corporation | Systems and methods for automatically adjusting user access permissions based on beacon proximity |
CN111600845A (zh) * | 2020-04-21 | 2020-08-28 | 上海上实龙创智慧能源科技股份有限公司 | 一种物联网数据访问控制方法及系统 |
CN111738702A (zh) * | 2020-08-21 | 2020-10-02 | 北京志翔科技股份有限公司 | 数据流转方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114520734A (zh) | 2022-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104718526A (zh) | 安全移动框架 | |
CN102307114A (zh) | 一种网络的管理方法 | |
CN105139139A (zh) | 用于运维审计的数据处理方法和装置及系统 | |
CN108989118B (zh) | 一种基于go语言的企业级私有区块链部署工具 | |
CN105657660A (zh) | 基站巡检终端的接入方法、巡检终端、服务器及基站 | |
CN104683127A (zh) | 一种设备弱口令集中核查的方法和系统 | |
CN114520734B (zh) | 一种基于双向传输的网络数据安全管控方法及系统 | |
Ma et al. | A blockchain-based risk and information system control framework | |
CN111914234A (zh) | 一种应用于运维审计系统的数据安全管理方法 | |
CN109685946A (zh) | 锁具的开启方法、装置、设备和存储介质 | |
CN114866346B (zh) | 一种基于分散式的密码服务平台 | |
CN112398859A (zh) | 一种基于区域物联网平台的安全控制方法和装置 | |
CN105162763A (zh) | 通讯数据的处理方法和装置 | |
CN115081001A (zh) | 一种数据资产主动管理系统、计算设备及存储介质 | |
CN102291239A (zh) | 远程认证方法、系统、代理组件和认证服务器 | |
CN114244568B (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
CN108805516A (zh) | 一种基于erp的移动办公系统 | |
US20220060463A1 (en) | Method for managing network devices, apparatus, and computer readable storage medium | |
CN113162950A (zh) | 一种基于i国网的移动应用二次权限认证与管理系统 | |
CN111652454A (zh) | 一种监理质量、安全生产管理评测管理系统 | |
CN107465688B (zh) | 一种状态监测评价系统网络应用权限的标识方法 | |
CN103220265B (zh) | 工业自动化系统和对其进行保护的方法 | |
DE102018204370A1 (de) | Verfahren und System zur Autorisierung der Kommunikation eines Netzwerkknotens | |
CN113157373A (zh) | 一种基于云桌面的内容标注平台及方法 | |
CN111711600A (zh) | 基于电网移动平台的通信终端接入方法、装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |